Автомобильная слежка

Помните, я писал недавно о системе социальных баллов и слежке за жителями в Китае? Слежка распространяется не только на пешеходов, лица которых распознают камеры. Associated Press пишет о том, что в Китае, согласно правилам, опубликованным еще в 2016 году, автопроизводители передают различную информацию, собираемую автомобилями, в правительственные мониторинговые сервисы. Более 200 автопроизводителей, продающих автомобили в Китае (включая Tesla, Volkswagen, BMW, Daimler, Ford, General Motors, Nissan, Mitsubishi), вынуждены сообщать различную информацию, собираемую электромобилями, включая местоположение под предлогом анализа для улучшения безопасности, планирования инфраструктуры и избежания мошенничества в системе субсидирования покупок электромобилей. Однако эксперты, ссылаясь на те же статьи о системе наблюдения за гражданами, говорят, что информации собирается гораздо больше, чем нужно для того же планирования инфраструктуры, и все это делается для дополнительного наблюдения за перемещениями граждан страны. При этом такая передача информации в системы мониторинга, которые финансируются государством и могут государству эти данные передавать, покупателям, как правило, не анонсируется и для них оказывается сюрпризом.

Вымогатель с большой канатной дороги

На неделе в новостях проскакивала информация о том, что свежезапущенная в Москве канатная дорога стала жертвой атаки хакеров (мне несколько читателей прислали ссылку на эту историю). Вчера несколько изданий опубликовали интересное:

По словам собеседника агентства, на головной компьютер компании-оператора “Московские канатные дороги” поступило сообщение от неизвестного с требованием перевести ему биткоины в обмен на расшифровку всех электронных файлов компьютера, который отвечает за работу канатки.

Как правильно указал один из читателей, “судя по всему страшные хакеры, напавшие на системы свежеоткрытой канатной дороги в Москве, оказались обычным вирусом-шифровальщиком”. В связи с этим особенно интересно смотрятся утверждения о том, что “личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена”. Мне интересно, как этого злоумышленника зовут на самом деле: Петя? НотПетя? ВоннаКрай?

Утечка данных Starwood/Marriott

Новость дня — это, безусловно, анонс компании Marriott об обнаружении утечки данных на 500 миллионов гостей гостиниц сети Starwood, которую Marriott приобрел в 2016 году. Во время расследования обнаружилось, что злоумышленники получили доступ к сети Starwood еще в 2014(!) году. Среди этих 500 млн записей около 327 миллионов включают в себя некую комбинацию данных из имени, почтового адреса, номера телефона, адреса электронной почты, даты рождения, номера паспорта(!), даты резервирования, информации о прибытии и убытии, и тд. У некоторых посетителей гостиницы в том числе утекла и их платежная информация, хотя Marriott не раскрывает информацию о количестве таких записей. Информация о платежных средствах была зашифрована с AES-128, но компания утверждает, что компоненты, необходимые для расшифровки этой информации, тоже были похищены(!).

Из информации, опубликованной Marriott, непонятно, кто именно получил доступ к данным и каким образом это произошло. Компания опубликовала также отдельный вебсайт, содержащий в себе детальную информацию о том, что произошло, с большим количеством часто задаваемых вопросов и ответов: https://answers.kroll.com. 30 ноября затронутым взломом пользователям компания разошлет имейл с дополнительным ведомлением.

Если вы когда-либо останавливались в одном из перечисленных ниже отелей, ваши данные, скорей всего, попали в утечку:
W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton и Design Hotels.

It never ends, this shit.

Cybersecus дайджест

1. монументальнейший факап со стороны производителя наушников Sennheiser с рутовым сертификатом и приватным ключом

https://arstechnica.com/information-technology/2018/11/sennheiser-discloses-monumental-blunder-that-cripples-https-on-pcs-and-macs/

2. Уязвимость в камерах наблюдения Nuuo, которая позволяет не только перехватывать поток изображения, но и подменять его. Уже вышел апдейт у вендора.

https://www.digitaldefense.com/blog/zero-day-alerts/nuuo-firmware-disclosure/

3. Бурлит скандал, связанный с продажей ПО Pegasus для цифровой слежки компанией NSO Саудовской Аравии (кстати, поищите по каналу термин “Pegasus”, он уже неоднократно упоминался):
https://www.itnews.com.au/news/storm-brewing-over-israeli-spyware-firm-over-sales-to-saudis-516111

3ve

Информация о раскрытии крупной сети рекламного фрода.
Вот имена, кому предъявлено обвинение:
Aleksandr Zhukov, Boris Timokhin, Mikhail Andreev, Denis Avdeev, Dmitry Novikov, Sergey Ovsyannikov, Aleksandr Isaev, Yevgeniy Timchenko
Хм….

В арсенале создание фейковых вебсайтов и направление на них трафика для получения выручки от показа рекламы, а также сеть на 1,7 миллиона ботов на зараженных вредоносным ПО Boaxxe/Miuref и Kovter компьютерах.

Материалы по теме
Обвинение министерства юстиции США
Большой материал от Google, которая участвовала в поимке этой группировки

Дополнительный материал от министерства внутренней безопасности

Свежие взломы и утечки

1. Компания Dell анонсировала “потенциальный инцидент, связанный с кибербезопасностью”
– Пресс-релиз

Дополнительная информация

9 ноября в Dell обнаружили активность в сети с попытками добыть информацию о пользователях (имена, пароли, и хешированные пароли). Подтверждения, что злоумышленники добыли эту информацию, в компании не обнаружили, однако из соображений безопасности всем на всякий случай сбросили пароли.

2. С помощью поискового движка Shodan, используемого для обнаружения публично доступных серверов, была обнаружена база размером в 73ГБ на трех Elasticsearch кластерах. На одном из них были доступны 57 миллионов записей о гражданах США, включая имена, информацию о работодателях, имейлы, адреса, номера телефонов и IP-адреса. Еще одна база содержала в себе более 25 миллионов записей о компаниях: адреса, координаты, количество сотрудников, и другие записи.

Возможный источник утечки — компания Data&Leads Inc, сайт которой теперь показывает ошибку 404. Компания предоставляет (предоставляла?) информацию для генерации лидов в продажах.

Cybersecus дайджест

ссылки по теме:

– вредоносное ПО в файлах AutoCAD, кто бы мог подумать
https://arstechnica.com/information-technology/2018/11/malware-targeting-autocad-is-infecting-companies-all-around-the-world/

– ЛК рассказывает ужасы про обнаруженный имплант для iPhone, хотя на самом деле там применяется метод через mobile device management, который требует столько интерактива со стороны пользователя, что только самый безнадежный юзер может на это попасться
https://motherboard.vice.com/en_us/article/mby7kq/malware-to-spy-hack-iphones

– интересный лонгрид о Бригаде 77 — британских кибернетических войсках. Редактирование видео, виральные посты и запись подкастов — тяжела и неказиста жизнь британского кибернитиста.
https://www.wired.co.uk/article/inside-the-77th-brigade-britains-information-warfare-military

DriveSavers и iPhone

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

Год велосипеда

Так уж получилось в моей жизни, что этот год получится богатым на «годовщины»: сначала я отпраздновал годовщину сломанной ноги, потом год с пересадки почки, а вот теперь решил отметить еще сразу целых две приятных годовщины: год с момента, как я увлёкся велосипедом, а также год ежедневного заполнения колечек активности в Apple Watch. На самом деле эти две вещи, конечно, сильно между собой связаны, потому что без велосипеда заполнять колечки мне было бы сложнее.

Когда через месяц после операции я начал более-менее восстанавливаться, я задумался о том, что нужен какой-то вид физической активности, который позволил бы укреплять здоровье и был бы мне интересен. В итоге я остановился на велосипеде, и 28 ноября прошлого года купил свой первый велосипед. С тех пор я успел уже тот велосипед продать, купить второй велосипед и даже рассказать о процессе выбора этого второго велосипеда. Как ни странно, но с момента публикации предыдущего поста я получал неоднократно просьбы продолжить рассказывать о своём велосипедном хобби. «Странно» потому, что я к велосипеду отношусь как к хобби, не стремясь к каким-то невероятным свершениям и достижениями. Да и в самой теме разбираюсь довольно посредственно, рассказывая о своих «открытиях» и исследованиях на совершенно любительском уровне (наверняка вызывая моральные страдания у велоэкспертов). Но, очевидно, этим мои тексты кому-то и нравятся, так что я продолжу и немножко расскажу, что в итоге произошло за этот год и что я вообще делаю с велосипедом.
Continue reading

Cybersecus дайджест

Еще несколько ссылок по теме:

– китайское наблюдение такое наблюдение. Система видеонаблюдения распознала лицо и выписала штраф человеку за проезд на красный свет. Все хорошо, но лицо человека было изображено на автобусе в виде рекламного плаката
https://www.caixinglobal.com/2018-11-22/ai-mistakes-bus-side-ad-for-famous-ceo-charges-her-with-jaywalkingdo-101350772.html

– государственные базы, да еще и доступные в интернете, к добру не приводят (а приводят к утечкам). 180 млн записей на рабочих профсоюзов в Бразилии, включая имя, дату рождения, пол, адрес, номер телефона и регистрационные номера. Elasticsearch, заходи кто хочет.
https://blog.hackenproof.com/industry-news/brazilian-personal-data-exposure/

В Firefox 64 появится встроенный менеджер задач
http://www.opennet.ru/opennews/art.shtml?num=49663