Cybersecus дайджест #70

Posted on April 2, 2019 by alexmak

1. Автомобили, как и многое другое, становятся все более компьютеризированными. Электрические автомобили так вообще, по сути, один большой компьютер с колесами, а если добавить туда весь софт и железо для автономного вождения, то тем более. А компьютеризация в данном случае означает данные — их сбор, обработку и хранение. На прошлой неделе было очень интересно почитать про то, как исследователи взяли разбитую Tesla Model 3, и изучили, какая там информация хранится. Фишка в том, что когда машина разбита, данные с нее не удаляются, и все, что машина собирала за время её использования, может храниться в ней. В случае с GreenTheOnly (никнейм исследователя), на компьютере машины обнаружилась информация о местоположении, маршрутах, информация о владельце, информация с мобильных устройств, которые были связаны с автомобилем (включая адресные книги, календари, адреса электронной почты участников встреч), а также видео самой аварии. (Интересно, что за секунду до аварии в машину позвонил родственник водителя, что, видимо, и привело к аварии).

В статье еще говорится интересное о том, Tesla в целом довольно скрытно относится к информации о том, что, как и когда записывают камеры автомобиля. При этом отказ от сбора информации автоматически приводит к отказу от получения обновлений ПО (“а если откажутся, отключим газ”). Такие дела.
https://www.cnbc.com/2019/03/29/tesla-model-3-keeps-data-like-crash-videos-location-phone-contacts.html

2. CloudFlare, разработчик безопасного DNS 1.1.1.1, также анонсировал бесплатный VPN-сервис Warp. Пока что на него можно подписаться через приложение 1.1.1.1 для Android и iOS, и ожидать официального запуска.
https://blog.cloudflare.com/1111-warp-better-vpn/
Continue reading →

Cybersecus дайджест #69

Posted on April 1, 2019 by alexmak

Ограничение работы VPN в России — немного апдейтов
https://mbk-news.appspot.com/news/hhennyx-sajtov/
ответ про уход TorGuard https://torguard.net/blog/why-torguard-has-removed-all-russian-servers/
ответ Vypr VPN https://www.goldenfrog.com/blog/russia-demands-vpn-providers-to-comply-with-censorship-vyprvpn-refuses

Еще парочка новостей, которые могут быть интересны читателям из России:
– Пользователи обнаружили, что при поиске по документам в соцсети «ВКонтакте» можно получить доступ к архивам аудиосообщений.
https://meduza.io/news/2019/04/01/v-poiske-po-dokumentam-vkontakte-nashli-tysyachi-audiosoobscheniy-sotsset-otklyuchila-vozmozhnost-poiska-po-nim

Про утечку данных о покупках — о том, как кассовая техника была перенастроена на передачу данных третьим лицам. Первоисточник так себе, но вообще, когда ваш банк присылает вам письмо “в этом году вы потратили больше всего денег на пиво”, помните, что хотя банк и знает о транзакциях по карте, он не должен знать, что именно вы покупали.
https://iz.ru/862205/dmitrii-grinkevich/chek-trustcoi-pochemu-i-kuda-utekaiut-personalnye-dannye-pokupatelei
Continue reading →

Cybersecus дайджест #68

Posted on March 28, 2019 by alexmak

Много новостей одной строкой (вот что бывает, когда пропускаешь день апдейтов, а опасносте не ждут).

Исследователи обнаружили уязвимость в драйвере Huawei для компьютеров Windows, дающую возможность злоумышленникам получить полный контроль над компьютером (исправлена в январе)
https://www.zdnet.com/article/microsoft-windows-10-devices-open-to-full-compromise-from-huawei-pc-driver/

Кстати, о Huawei. Большой отчет британского государственного агентства по кибербезопасности, исследовавшей риски в случае применения оборудования Huawei в критических компонентах национальной инфраструктуры. Прямых доказательств шпионажа в пользу другого государства в результате исследований обнаружено не было, но были обнаружены другие серьезные уязвимости, которые могут дать возможность злоумышленникам получить доступ к пользовательским данным или изменить конфигурацию сетевых компонентов.
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf
Тут статья с разбором одной такой уязвимости:
https://www.theregister.co.uk/2019/03/28/huawei_mirai_router_vulnerability/

В Израиле, кажется, взялись за технологические компании, занимающиеся ПО для различных видов “цифровой разведки”. В частности, одна из компаний, у которой отозвали лицензию на экспорт ПО, Ability, известна тем, что продает решения для эксплуатации уязвимостей в системе SS7, позволяющей перехватывать телефоны в мобильных сетях, не взламывая их.
https://www.timesofisrael.com/defense-ministry-rebukes-israeli-spy-tech-company-for-unlawful-exports/
В то же время другая израильская компания, NSO, продававшая свое вредоносное ПО различным диктаторским режимам, активно занялась отмыванием своего имиджа
https://motherboard.vice.com/en_us/article/qvy97x/israeli-nso-group-marketing-pr-push

Китайская сеть Rela — популярное приложение для знакомств лесбиянок — раскрыло данные на 5 миллионов пользователей, потому что у сервера не было защиты паролем.
https://techcrunch.com/2019/03/27/rela-data-exposed/

В какой-то мере новость на близкую тему. Популярная сеть для знакомств геев Grindr в свое время была продана китайским владельцам (компании Beijing Kunlun Tech Co Ltd). Теперь Комитет по зарубежным инвестициям в США (CFIUS) требует от китайских владельцев продать приложение, потому что “китайское владение этим сервисом представляет собой риск для национальной безопасности”. ШТОВООБЩЕ? (к сожалению, каким именно образом это риск для национальной безопасности, в статье не раскрывается).
https://www.reuters.com/article/us-grindr-m-a-exclusive/exclusive-us-pushes-chinese-owner-of-grindr-to-divest-the-dating-app-sources-idUSKCN1R809L

Apple недавно выпустила обновления для своих операционных систем, и, как обычно, опубликовала информацию о содержимом исправлений безопасности в этих обновлениях. В iOS 12.2 более 50 различных фиксов!
iOS 12.2 https://support.apple.com/en-us/HT209599
tvOS 12.2 https://support.apple.com/kb/HT209601
macOS 10.14.4 (и апдейты для High Sierra и Sierra) https://support.apple.com/kb/HT209600
watchOS 5.2 https://support.apple.com/en-us/HT209602

Cybersecus новости из России

Posted on March 28, 2019 by alexmak

Кажется, в России пришли за VPN. Роскомнадзор направил требования о необходимости подключения к государственной информационной системе (ФГИС) владельцам 10 VPN-сервисов.

Соответствующие уведомления были направлены в адрес сервисов NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. Согласно Федеральному закону «Об информации..» указанные сервисы обязаны подключиться к ФГИС Роскомнадзора в течение 30 рабочих дней с момента направления требований.

https://rkn.gov.ru/news/rsoc/news66248.htm

В России еще и IoT не дает покоя властям. Минкомсвязь планирует одобрить концепцию развития в России интернета вещей (IoT). Она предусматривает, что правоохранительные органы смогут получать доступ к информации, хранящейся на IoT-платформах, а для защиты российского сегмента интернета вещей на территории страны будет создана его замкнутая сеть. У участников рынка остались вопросы к концепции: помимо подключения к СОРМ, их беспокоят перспективы импортозамещения в условиях нехватки отечественного оборудования.

https://www.kommersant.ru/doc/3924324

Cybersecus дайджест #67

Posted on March 26, 2019 by alexmak

Апдейт про ASUS
Еще 9 месяцев назад кто-то озадачился странным апдейтом с сервера компании, но тогда этому не придали особого значения.
ASUS подтвердили историю в пресс-релизе, сказав, что целями атаки было небольшое количество определенных пользователей.

Кстати, интересный твит про таргетинг этой атаки:

In some cases, the #shadowhammer backdoor checks both the NIC and WiFi adapter MACs to identify the victim for further exploitation. Second stage is deployed only if both addresses match. It was really that targeted.

— Costin Raiu (@craiu) March 26, 2019

Также ASUS выпустила инструмент для проверки (хотя с ними теперь никогда не знаешь, а вдруг это опять враги?)

Проверка от ЛК на предмет того, был ли ваш MAC-адрес целью этой атаки (скорей всего, нет, но можно и провериться).

И еще немного разнообразия:
– Уволенный сотрудник компании, недовольный увольнением (после 4 недель работы в компании), снес 23 сервера компании на AWS. Теперь посидит, подумает.
https://nakedsecurity.sophos.com/2019/03/22/sacked-it-guy-annihilates-23-of-his-ex-employers-aws-servers/

– Тут оказалось, что вживленные дефибрилляторы компании Medtronic подвержены хакерской атаке, в результате которой злоумышленник может получить полный контроль над устройством (ой). Никакого шифрования, никакой аутентификации, и другие неприятные мелочи. Но риски жизни без устройства еще выше, поэтому госорганы рекомендуют продолжать использовать их, и ждать исправления.
https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

– Обнаружилась очередная компания с программным продуктом для ~~слежки~~ мониторинга детей и супругов, которая умудрилась тысячи изображений и записей аудио выложить на доступный всем сервер в интернете. Компания Mobiispy.com так и не ответила на письма экспертов, обнаруживших проблему, поэтому все закончилось тем, что хостинговая компания, на сервере которой хранились эти данные, была вынуждена погасить сервер, чтобы убрать данные из доступности. Помните о том, что за последние пару лет огромное количество этих “мониторинговых” сервисов продемонстрировали полное наплевательство по отношению к пользовательским данным, когда решите чем-то таким воспользоваться
https://motherboard.vice.com/en_us/article/j573k3/spyware-data-leak-pictures-audio-recordings
https://motherboard.vice.com/en_us/article/7xnybe/hosting-provider-takes-down-spyware-mobiispy

– Помните хакера с почти миллиардом свежих записей с логинами и паролями? В очередном (четвертом) раунде раздачи данных он предложил еще 26 миллионов пользовательских записей, куда вошли уже менее известные сервисы, такие как GameSalad, Estante Virtual, Coubic, LifeBear, Bukalapak, YouthManual (часть из Бразилии, часть из Индонезии).
https://www.zdnet.com/article/round-4-hacker-returns-and-puts-26mil-user-records-for-sale-on-the-dark-web/

О сервисах, которые анонсировала Apple

Posted on March 25, 2019 by alexmak

Вчера было очень необычное мероприятие Apple, и когда я говорю “необычное”, я скорее имею в виду “странное”, чем “волнующее”. С одной стороны, совершенно очевидно, что в эпоху закончившегося безумного роста продаж iPhone “сервисы всякие нужны, сервисы разные нужны”. С другой стороны, вчерашний анонс был в основном именно анонсом (а не релизом), и большинство анонсированных сервисов не будут доступны в ближайшее время. На многие вопросы, возникшие еще до мероприятия (машина Apple по раскрутке хайпа и наличие сторонних партнеров позволило утечь большей части информации о том, что анонсировали), остались без ответа. Да и вообще как-то все то действо, происходившее на сцене, сильно выбивалось из духа обычных презентаций Apple.

Интересно еще и то, что часть сервисов, анонсированных вчера, либо актуальны только для пользователей в США, либо какое-то еще время будут доступны только в США и паре других стран. Что объясняет разочарование некоторых: “Вроде бы ничего не показали”. Зато это дает возможность другим компаниям попробовать скопировать и запустить что-то подобное на локальных рынках, куда Apple пока не дотянулась. В любом случае, пройдемся по тому, что же вчера показала Apple, и как это вписывается в то, что уже есть на рынке США. В данном случае моя перспектива с взглядом отсюда может оказаться полезной.
Continue reading →

Apple Card

Posted on March 25, 2019 by alexmak

На прошедшем вчера анонсе Apple рассказала о неком повороте компании в банковскую сферу, в частности анонсировав кредитную карту, выпускаемую совместно с MasterCard и Goldman Sachs. Карта представляет собой, по сути, виртуальную карту в приложении Wallet и работающую через Apple Pay. Система позволяет видеть на телефоне все транзакции в читаемом виде, получать ежедневно начисляемый возврат по всем покупкам в размере 2% (3% от покупок в Apple), а также в удобном и понятном виде будет обеспечивать возможность оплаты долга по карте, показывая переплату по процентам в разных кейсах. Поддержка по карте будет предоставляться по чату Messages. Доступна карта будет только в США летом этого года.

Continue reading →

Бэкдор через ASUS

Posted on March 25, 2019 by alexmak

Совершенно адовейшая история о производителе компьютеров ASUS — между прочим, один из крупнейших мировых производителей! Исследователи из Лаборатории Касперского обнаружили, что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, и, что самое ужасное — подписанный настоящим сертификатом ASUS, так что файл выглядел абсолютно легитимно для пользователей.

Этот файл распространялся на протяжении (как минимум) 5 месяцев, и, по некоторым оценкам, был установлен на около 500 тысяч компьютеров с Windows. Предполагается, что злоумышленники поставили себе целью скомпрометировать с помощью вредоносного ПО около 600 целей, которые идентифицировались по MAC-адресам компьютеров. Интересно, что большинство зараженных машин, обнаруженных ПО от Лаборатории Касперского, находились в России (около 18%). По информации от Symantec, это вредоносное ПО было у 15% пользователей Symantec в США. ЛК обнаружила взлом сервера в январе, и планирует рассказать об этом в деталях в апреле на Security Analyst Summit. Сама компания ASUS, по словам представителей ЛК, была достаточно некоммуникабельна и пока что не проинформировала своих пользователей об этой проблеме. Более того, ASUS до сих пор не признал недействительным два скомпроментированых сертификата, что означает, что злоумышленники, имеющие доступ к этим сертификатам, могут подписать свое ПО с его помощью, и это ПО будет выглядеть как легитимное ПО ASUS.

https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

Cybersecus дайжест #66

Posted on March 21, 2019 by alexmak

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/

Facebook и пароли в plain-text

Posted on March 21, 2019 by alexmak

С новостями из мира Facebook очень сложно фейспалмами не разбить лицо. Последняя новость из мира социальной сети, о которой рассказала сама компания — во время внутреннего аудита обнаружилось, что пароли “некоторых пользователей” хранились в открытом виде во внутренней системе, и были доступны для просмотра сотрудниками компании. Несмотря на то, что аудит показал, что вроде как к данным никто (кроме 2 тысяч сотрудников) доступа не имел, в предупредительных целях компания напишет затронутым пользователям о том, что неплохо бы изменить пароль.

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

А теперь разберемся с термином “некоторые пользователи”. Туда входят:
– сотни миллионов пользователей Facebook Lite
– десятки миллионов пользователей Facebook
– десятки тысяч пользователей Instagram.

примерно как “во время Второй мировой войны некоторые участники боевых действий и некоторые гражданские лица погибли”. Пора заводить хэштэг #facebookкаквсегда

Дополнительные материалы по теме:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

alexmak.net

Apple, технологии, информационная безопасность и все остальное

Cybersecus дайджест #70

Cybersecus дайджест #69

Cybersecus дайджест #68

Cybersecus новости из России

Cybersecus дайджест #67

О сервисах, которые анонсировала Apple

Apple Card

Бэкдор через ASUS

Cybersecus дайжест #66

Facebook и пароли в plain-text