Cybersecus дайджест #80

1. Bloomberg, издание, которое в свое время опубликовало материал о наличии китайских “жучков” в серверах Apple и Amazon, теперь публикует статью об обнаруженных в сети Vodafone Italy бэкдорах в оборудовании Huawei. Уязвимости были обнаружены в период с 2009 по 2011 год в роутерах для домашнего интернета, а также в инфраструктурном оборудовании оператора. В статье также говорится, что уязвимости существовали и после 2012 года, и присутствовали в сетях компании в Великобритании, Германии, Испании и Португалии.

В отличии от истории про сервера Apple и Amazon, где обе компании активно опровергали информацию Bloomberg, в этом случае Vodafone подтвердил, что уязвимости действительно были обнаружены, но проблема была решена в 2011-2012 годах. Huawei со своей стороны утверждает, что это не намеренное включение бэкдоров в оборудование, а “технические ошибки, которые были обнаружены и исправлены”.
Материал Bloomberg https://www.bloomberg.com/news/articles/2019-04-30/vodafone-found-hidden-backdoors-in-huawei-equipment-jv3fmbrc
Дополнительный материал в ZDNet https://www.zdnet.com/article/huawei-denies-existence-of-backdoors-in-vodafone-networking-equipment-brands-them-technical-flaws/
Continue reading

Apple vs мониторилки использования смартфонов

Пару недель назад я писал о том, как Лаборатория Касперского подала жалобу против Apple по поводу блокировки апдейтов для их приложения по мониторингу активности детей. Я там подробно разобрал и сам пост ЛК, и технические ограничения самой iOS, которые требуют определенных приседаний для того, чтобы такие приложения вообще работали (и как эти приседания, вероятней всего, нарушают требования Apple к мобильным приложениям в iOS).

На прошлой неделе к этой теме еще подключилась The New York Times, опубликовавшая материал на эту тему, в котором тоже активно педалируется месседж, что Apple ограничивает приложения сторонних разработчиков в пользу функции Screen Time в iOS 12. Статья изобилует цитатами разработчиков, которые жалуются, что их приложения начали блокировать с бухты-барахты, без всяких предупреждений. Вся эта активность привела к тому, что Фил Шиллер, вице-президент Apple по продуктовому маркетингу ответил в письме одному из пользователей, в котором описал позицию компании и отметил, что статья в NYT подала информацию только с одной стороны, не озвучив позицию компании полностью.
Continue reading

Cybersecus дайджест #79

После небольшого затишья редакция возвращается в строй с коллекцией интересных ссылок из мира информационных опасностей.

Россиянам на заметку: материал от BBC о том, как продают ваши данные и доступ к ним.
“В России расцвел нелегальный рынок “онлайн-пробива”, на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.”
https://www.bbc.com/russian/features-48037582

Полезные советы от ЛК по хоть каким-то усилиям, которые могут предпринять пользователи по улучшению безопасности своих данных.
“Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.”
https://www.kaspersky.ru/blog/privacy-ten-tips-2018/

В пятницу Docker Hub объявил о взломе и утечке данных на 190 тыс пользовательских записей (менее 5% от общего количества пользователей), включая логины, хешированные пароли, и токены доступа к GitHub и Bitbucket. Пользователям рекомендуется сменить пароли в Docker Hub, и переподключить их к репозитория, так как токены были отозваны. Также стоит проверить логи в Github и Bitbucket на предмет несанционированного доступа.
https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Continue reading

Cybersecus дайджест #78

1. Прекрасная по своей трагичности история про студента, который использовал устройство USB killer (флешка, которая вставляется в USB-порт, и приводит к преждевременной смерти компьютера) для того, чтобы нанести вред колледже, в котором он учился. Он воткнул флешку в 66 компьютеров на кампусе, и наверняка получил от этого какое-то удовлетворение. Вреда на 58 тыс долларов, а штраф светит до 250 тыс долларов, плюс еще до 10 лет тюрьмы. Мотивация такого поступка что-то не очень ясна.
Тут можно почитать больше про эти самые USB Killer
https://arstechnica.com/information-technology/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
О признании вины студента
https://www.justice.gov/usao-ndny/pr/former-student-pleads-guilty-destroying-computers-college-st-rose

2.Помните WannaCry? ((если не помните, то можно освежить память поиском по каналу запросами WCry, WannaCry, WannaCrypt, ETERNALBLUE). Короче, страшный вирус-вымогатель, эпидемию которого удалось остановить только благодаря тому, что в коде нашли незарегистрированный домен для kill-switch.

Герой, который остановил эту эпидемию — Marcus Hutchins, британский исследователь, которого потом неожиданно арестовали в Лас Вегасе на конференции Def Con в 2017 году. В итоге оказалось, что он в свое время написал ПО для воровства данных к банковским учетным записям. На прошлой неделе он признал свою вину по двум инцидентам, и теперь ему светит до 5 лет тюрьмы за каждый инцидент, и до 250 тыс долларов штрафа. Забавно, что после этого в infosec-сообществе развернулось бурное обсуждение на тему “кто из нас в детстве не был хакером, взламывающим банки”, но, кажется, все остались при своем мнении (и со своими скелетами в шкафах).
https://www.malwaretech.com/public-statement

Continue reading

Cybersecus дайджест #77, Facebook edition

Свежие апдейты про Facebook

Я несколько дней назад писал о том, как Facebook при создании новой учетной записи в социальной сети требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса, чтобы провести некую автоматическую проверку. У меня было тогда подозрение, что этим все не ограничится, и действительно, оказалось, что пароль это было только начало. Потому что дальше Facebook без запроса разрешения пользователя загружал адресную книгу пользователей себе на сервер. Business Insider запросили подтверждение у Facebook, и компания признала, что действительно “случайно” загрузила данные адресных книг 1,5 млн пользователей, и теперь собирается удалить эти данные.
https://www.businessinsider.in/Facebook-says-it-unintentionally-uploaded-1-5-million-peoples-email-contacts-without-their-consent/articleshow/68930320.cms

Еще один follow-up к истории про Facebook из марта, когда компания обнаружила в служебных файлах данные 600 млн паролей пользователей. Тогда шла речь о том, что среди этих паролей также “завалялись” пароли десятков тысяч пользователей Instagram. Сегодня у поста появилось обновление:
Continue reading

Cybersecus дайджест #76

Пользователям Evernote для Мак рекомендуется убедиться, что их приложение обновилось до последней версии. В приложении была исправлена уязвимость, позволявшая исполнение вредоносного кода на компьютере жертвы:
https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html

У систем удаленного управления некоторыми функциями автомобилей (обогрев салона, открытие-закрытие дверей, контроль сигнализации, и тд) MyCar обнаружили лажу — в мобильном приложении были прошиты логин-пароль для работы с системой. Они могли быть использованы вместо пользовательских логина и пароля для подключения к автомобилю и активации вышеуказанных функций кем-то вместо владельца автомобиля. Удобно!
https://kb.cert.org/vuls/id/174715/

Покупаете детям умные часы для мониторинга детей? Будьте готовы к тому, что кроме вас, их могут мониторить и другие люди, в том числе получать информацию об их местоположении и даже подслушивать их разговоры. Об этом узнала компания Tic Toc Track, продающая подобные часы под своим брендом. А на самом деле они продавали чужие часы Gator Kids GPS watch с незащищенной системой, позволявшей злоумышленникам наблюдать за чужими детьми.
https://www.pentestpartners.com/security-blog/tic-toc-pwned/
https://www.pentestpartners.com/security-blog/tracking-and-snooping-on-a-million-kids/

Взлом крупного аутсорсера Wipro, через сеть которого впоследствии были организованы атаки на клиентов компании
https://krebsonsecurity.com/2019/04/experts-breach-at-it-outsourcing-giant-wipro/

Cybersecus дайджест #75

Год блокировки Роскомнадзором мессенджера Telegram показал, что ужесточение регулирования интернета в России неизбежно, но ему можно эффективно сопротивляться, отмечает Александр Плющев
https://www.dw.com/ru/комментарий-telegram-год-цифрового-неповиновения/a-48331914

Пост от редакции этого канала о том, как пока одни операторы в РФ тестируют поддержку eSIM, другие распространяют FUD о рисках eSIM и хакерских атаках, которые обязательно возрастут, когда eSIM появится в РФ.
https://alexmak.net/2019/04/15/esim/

Директор по развитию сетевой инфраструктуры Яндекса Алексей Соколов на конференции «Обеспечение доверия и безопасности при использовании ИКТ» рассказал, как технологии из закона «о суверенном интернете» (принят сегодня госдумой) обвалили сервисы Яндекса пару недель назад.
https://roem.ru/16-04-2019/277211/zakon-deystvuet/

Если вы пользовались клиентом Origin от Electronic Arts, рекомендуется обновиться до последней версии. EA исправили критическую уязвимость, которая могла привести к исполнению вредоносного кода на компьютере. Уязвимость затрагивает версию Origin для Windows, и связана с собственным форматом URL, который использует клиентское приложение origin://
https://techcrunch.com/2019/04/16/ea-origin-bug-exposed-hackers/
Continue reading

Бурление вокруг eSIM

В последние пару недель я заметил почему-то обилие материалов в российских СМИ по поводу SIM-карт в целом, и eSIM в частности. Подозреваю, российские операторы пытаются расшевелить тему с одной стороны, а с другой стороны есть силы, которые пытаются форсить тему криптографии в SIM-картах, вот эти материалы и всплывают:

Например, материал у РБК о подготовке перехода на новые SIM-карты:

Сотовые операторы начали переход на отечественную связь Идет подготовка к выдаче абонентам сим-карт с российской криптографией

Или странный материал у того же РБК о том, что операторы(!) почему-то сопротивляются внедрению eSIM:

Операторы связи и ФСБ выступили против используемой в iPhone технологии

А ещё обратный материал у Ведомостей (paywall) о том, что операторы вроде бы как раз и не против eSIM:

Российские операторы сотовой связи не реагируют на возражения ФСБ
Некоторые из них готовятся к внедрению технологии eSim, хотя спецслужба выступает против нее

Continue reading

Взлом почты Microsoft

История этих выходных – это несанкционированный доступ злоумышленников к почте Microsoft, а более конкретно – к почте сервисов Hotmail, MSN и Outlook. Об этом мне утром в субботу написал читатель, получивший уведомление от Microsoft, а позже об этом написали TechCrunch.


Continue reading

Cybersecus дайджест #74

Накопилось очень много новостей, включая и присланные читателями, поэтому поехали!

Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com

Большая статья у Bloomberg о том, что сотрудники Amazon имеют доступ к аудио-записям, которые делают устройства Amazon Echo. Amazon говорит, что речь идет о небольшом поднаборе записей, который используется для прослушивания, аннотации и последующего улучшения алгоритма. Также в Bloomberg пишут о том, что у Apple и Google тоже есть подобные живые слушатели записей голосовых записей, сделанных через соответствующие голосовые помощники. (В данном случае у Bloomberg есть и подтверждения этих материалов со стороны компаний. А вообще Bloomberg — это то издание, которое в прошлом году опубликовало материал о китайских чипах в серверах Apple и Amazon, и с тех пор так и не предоставило доказательств этого материала).
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio
Continue reading