Обновите WhatsApp

Обнаруженная в августе уязвимость в WhatsApp (для iOS и Android) была исправлена в последнем апдейте, так что обновление не помешает. Уязвимость позволяла при поступлении звонка от злоумышленника закрешить клиент (и, видимо, потенциально сделать что-то еще, о чем исследователь из Google не говорит, но называет эту проблему big deal).

Кстати, комментарий к багу там интересный:

Китайские чипы везде

Между тем, так и не предоставив никаких доказательств истории с китайскими чипами в серверах Apple и Amazon, Bloomberg продолжает педалировать тему, публикуя новую статью на эту тему. Теперь, если верить статье, крупная телекоммуникационная компания в США обнаружила у себя в сети сервер Supermicro, с критическим технологическим компонентом, над которым были проведены некие манипуляции. Якобы был обнаружен имплант, встроенный в Ethernet-порт сервера, который, видимо, должен был служить бэкдором в сервер (но из статьи не очень понятно, делал ли он это).

Важно отметить также, что все крупнейшие телекоммуникационные компании США заявили о том, что эта история не о них (компания в статье не называется).

Я уже не знаю, что об этом думать (к счастью, я не один такой). Все требуют доказательств, но Bloomberg хранит молчание.
Continue reading

MikroTik как всегда

Из рубрики «никогда такого не было, и вот опять» – исследователи Tenable обнаружили несколько уязвимостей в RouterOS, используемой в роутерах MikroTik. И все, как уже было неоднократно: параметры входа по умолчанию, и уязвимости, приводящие к полному контролю над роутером. Для разных роутеров вышли обновления RouterOS версий 6.40.9, 6.42.7 и 6.43 – вы знаете, что делать.

https://www.tenable.com/blog/tenable-research-advisory-multiple-vulnerabilities-discovered-in-mikrotiks-routeros

Privacy is dead, baby

Я много пишу про доступность любой информации в интернете (и в блоге, и в Телеграм-канале). А ведь дальше будет только хуже. Просто почитайте эту статью (в отрыве от ее политического аспекта), чтобы в очередной раз убедиться, что сохранности частных данных просто не существует. То кто-то чужое водительское удостоверение пришлёт, то читатели по базам данных страховых компаний, куда у них есть доступ, ищут информацию и присылают её исследователям:

Наши читатели, используя базу данных страховых полисов ОСАГО и реквизиты водительского удостоверения, выяснили, что данные права действительно зарегистрированы на имя

Ну и дальше там полный список различных сервисов, по которым проводится полный деанон человека. Только подтверждаются тезисы из этой статьи. Не новость, конечно, но каждый раз хочется уехать куда-то в лес без электричества.

Уязвимость Google+

В статье в Wall Street Journal (paywall) сегодня рассказали о том, что уязвимость в Google+ на протяжении трех лет позволяла видеть данные профиля пользователей (имя, адрес электронной почты, пол, возраст), даже если эти данные были отмечены как скрытые. Google утверждает, что сторонние разработчики не воспользовались этой уязвимостью для сбора пользовательских данных. Вот пост Google о том, что произошло и что будет дальше:
https://www.blog.google/technology/safety-security/project-strobe/

Проблема, по словам представителей Google, затрагивала около 500 тыс пользователей (на протяжении последних двух недель, пока хранятся логи. Что там было в прошлом, Google сказать не может). Интересно, что Google обнаружила эту проблему в марте 2018 года, но компания решила не сообщать о ней, так как опасалась внимания со стороны регуляционных органов (на волне внимания к проблеме Facebook и Cambridge Analytica). Эта скрытность, чувствую, еще вылезет Google каким-нибудь боком. Зато из хорошего: Google таки в течение следующего года закроет социальную сеть Google+ для потребителей, потому что “там все равно никого нет” (90% сессий короче 5 секунд — видимо, те, кто случайно туда попал).

Кроме того, Google проводит аудит доступа разработчиков к пользовательским данным и вносит соответствующие изменения. В частности, появятся ограничения для разработчиков приложений на Android в плане доступа к истории звонков: только те приложения-звонилки, которые установлены таковыми по умолчанию, плюс приложения для работы с голосовой почтой и резервными копиями. Появятся и дополнительные ограничения на доступ к почте в Gmail для разработчиков приложений.

Еще о китайских чипах в серверах

Меня самого эта тема уже немного утомила писать о ней каждый день, но это, наверно, по масштабам потенциально одна из основных новостей области информационной безопасности в этом году, поэтому появление новой информации по ней очень интересно.

Bloomberg пока что хранит гордое молчание по поводу обновлений истории, но зато за выходные высказалось Министерство национальной безопасности США. В их заявлении говорится, что они в курсе того, что это обсуждается в новостях, и у них нет поводов сомневаться в заявлениях компаний, фигурирующих в статье”. Не уверен, что участие в этой истории заявления МНБ вселяет в меня уверенность в правдивости заявлений компании, но формулировки заявления тоже достаточно однозначны. Напомню, что есть подобное заявление и от британского разведывательного агентства.

Buzzfeed пишет о том, что журналисты поговорили со своими источниками внутри Apple, и никто не может подтвердить историю Bloomberg. Вообще ничего близкого по теме, говорят источники.
Continue reading

Портал в Facebook

Сегодня компания Facebook анонсировала свой новый продукт Portal — два устройства с разным размером экранов, со встроенной камерой, микрофоном и спикером. Устройство позволяет осуществлять видеозвонки между пользователями Portal, а также использовать умного помощника Alexa для задач вроде таймера, справки или управления умным домом. Но это, конечно, не обзор устройства, мне интересен больше аспект информационной безопасности этого гаджета. Хотя к функциональности тоже есть вопросы: отсутствие поддержки Facebook Messenger, WhatsApp для чатов. Гаджет умеет показывать фотографии с Facebook, но не умеет делать этого для аккаунта Instagram. Впрочем, все может измениться еще с обновлениями ПО.

В целом выпуск устройства с камерой и микрофоном для Facebook сейчас, когда компания еще отходит от последних скандалов, начиная от манипуляций информации ботами или скандала с Cambridge Analytica, в рамках которого до сих пор непонятно, сколько разных разработчиков собрали информацию о неизвестном количестве пользователей. Или заканчивая последним скандалом со взломом Facebook, когда неизвестные злоумышленники получили полный контроль над десятками миллионов аккаунтов пользователей. А разработчики сторонних сервисов тоже пока не могут определенно сказать, затронул ли этот взлом тех пользователей сервисов, которые использовали вход в них с токеном Facebook.
Continue reading

Еще про китайский чип в серверах

Вчерашняя история с якобы китайским чипом, установленным в серверах Apple и Amazon за сутки, к сожалению, понятней не стала. С одной стороны есть издание Bloomberg, методы журналистских расследований которого известны и считаются одними из лучших в мире. Расследование этой темы заняло не один месяц, и прошло перед публикацией соответствующие проверки.

С другой стороны, есть вполне жесткие и однозначные ответы Apple и Amazon, которые во вполне конкретных формулировках опровергают утверждения из статьи Bloomberg про осведомленность компаний о расследовании и ситуации с чипами в целом. (Ниже в статье есть перевод на русский язык заявления Apple). Им вторит (втроит?) и заявление компании Supermicro, акции которой вчера провалились на 50% на новостях об устанавливаемых во время сборки на китайских фабриках секретных чипов. Надо понимать, что подобные статьи — это не просто PR-активность. Для публичных компаний подобные заявления — это официальные документы, которые проходят проверку у юристов и в случае сообщения ложных сведений руководство компании несет полную ответственность, включая уголовную, за ложные данные (подобные заявления регулируются Комиссией по ценным бумагам). Так что если ориентироваться на ситуацию “статья vs заявления”, тут уже каждый должен выбрать, кому верить.
Continue reading

Шпионские истории

Еще одна история дня касается поимки и высылки из Нидерландов двух офицеров военной разведки Российской Федерации, которые занимались там попытками взлома Организации по запрету химического оружия. Тут есть целый тред в Твиттере с пресс-конференции в Гааге, с информацией об используемым оборудовании и прочими интересными деталями.

Кроме этого, Министерство Юстиции США выдвинуло обвинение против 7 офицеров ГРУ РФ, которые разъезжали по миру (Бразилия, США, Канада, Швейцария), и пытались взламывать различные организации: анти-допинговое агентство, спортивные федерации и другие спортивные организации. Также среди жертв оказались Westinghouse Electric Corporation — находящаяся в Пенсильвании компания по ядерной энергетике, и уже указанная выше Организации по запрету химического оружия, расследовавшая применение химического оружия в Сирии и отравление бывшего офицера ГРУ в Великобритании.

Имена из обвинения:
Aleksei Sergeyevich Morenets, 41
Evgenii Mikhaylovich, Serebriakov, 37
Ivan Sergeyevich Yermakov, 32
Artem Andreyevich Malyshev, 30
Dmitriy Sergeyevich Badin, 27
Oleg Mikhaylovich Sotnikov, 46
Alexey Valerevich Minin, 46,

PS Это провал, подумал Штирлиц.

Пресс-релиз МинЮста США
Текст обвинения

История про китайский чип в серверах

Новость дня, безусловно, это статья на Bloomberg о микрочипе на платах для серверов компании Supermicro. Якобы во время сборки материнских плат для серверов компании Supermicro на платы устанавливался микроскопический чип, разработанный военным ведомством Китая. Эти материнские платы затем использовались в серверах, которые собирала компания Supermicro в США. А сервера, в свою очередь, использовались в дата-центрах других американских компаний, включая Amazon, Apple, Microsoft и еще несколько десятков компаний. Чип, исходя из материалов статьи, обеспечивал удаленный доступ к серверам, модифицируя код операционной системы (интересно, как это позволяло ему оставаться незамеченным?). Статья в Bloomberg изобилует массой деталей, как и информацией о многолетнем расследовании всей этой истории.

В статье говорится также о том, что якобы Apple заподозрила что-то еще в 2015 году, когда планировала большую закупку серверов для своих дата-центров (я даже припоминаю такие новости 3 года назад). Была вот еще такая история из 2017 года про проблемы в прошивках серверов. Но также нужно отметить, что и Amazon, и Apple заявили, что они не обладают информацией ни о подобных уязвимостях в серверах Supermicro, ни о расследовании этой истории, и сами неоднократно проводили аудиты серверов Supermicro, и никаких лишних чипов не обнаруживали. Правда, Apple также говорит, что однажды обнаружили зараженный драйвер в сервере, но никаких чипов не было. Вообще заявление Apple довольно жесткое и прямолинейное, утверждающее, что Bloomberg было бы неплохо усомниться в осведомленности или искренности их источников.

АПД А вот еще не менее жесткий ответ от Amazon:

There are so many inaccuracies in ‎this article as it relates to Amazon that they’re hard to count.

Правда, осадочек остается — дыма-то без огня не бывает, но непонятно, какой дым за какой огонь принимают журналисты Bloomberg.