Cybersecus дайджест

Очередная подборка новостей на тему информационной безопасности.

1. Читатели прислали мне примерно 100500 миллионов раз ссылку на статью про “странности в алгоритмах ГОСТ Кузнечик и Стрибог”, из которой можно сделать выводы про возможное наличие бекдоров в российских алгоритмах шифрования.
https://m.habr.com/ru/company/virgilsecurity/blog/439788/

2. Криптографическая атака на зашифрованный трафик, которая актуальна даже против TLS 1.3
https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

3. Помните историю с австралийским законом, по которому технологические компании должны предоставлять помощь правоохранительным органам в доступе к зашифрованной информации? (вплоть до скрытого рекрутинга сотрудников компаний с последующим встраиваением бекдоров). В статье сообщается, что уже пошла активная эксплуатация норм закона для доступа куда потребуется.
https://www.innovationaus.com/2019/02/AA-bill-notices-already-issued

4. Статья о том, как Google и Apple размещают в своих магазинах приложение Absher, используемое мужчинами в Саудовской Аравии для контроля за перемещением своих жен (предупреждения о приближении к аэропортам, пересечении границ, и тд). Формально приложение отвечает требованиям правительства СА, но представители правоохранительных органов утверждают, что это приложение нарушает и притесняет права женщин, и поэтому приложение должно быть удалено из App Store/Google Play.
https://www.businessinsider.com/apple-google-criticised-for-saudi-government-app-activists-say-fuel-discrimination-2019-2

5. Amazon покупает компанию Eero, разработчика mesh-роутеров для домашнего WiFi, и что это может означать для конфиденциальности данных пользователей роутеров.
https://techcrunch.com/2019/02/12/amazon-eero-privacy/

6. Компания VFEmail, провайдер почты для компаний и индивидуальных лиц, подверглась атаке, в результате которой все данные (включая резервные копии) были удалены. Все, все что нажито непосильным трудом за 18 лет существования компании. Хакер просто отформатировал все сервера компании, включая те, на которых хранились бекапные данные.
https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/

Cybersecus дайджест

Под конец года что-то увеличилось количество материалов, которые достойны упоминания в канале, но, к сожалению, вселенная забыла увеличить количество доступного для этого времени. Короче, очередная подборка ссылок, зато там много всего интересного!

1. “Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей”
https://www.bbc.com/russian/features-46596673

2. “Наши с вами персональные данные по-прежнему нагло продаются”
https://habr.com/post/433384/

3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они… Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html

4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC

5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/

6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085

8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)
https://www.rbc.ru/politics/20/12/2018/5c1b671f9a7947ec90c89b6b

Cybersecus дайджест

1. Статья о том, как исследователи напечатали на 3D-принтере голову человека (одного из исследователей) и проверяли системы биометрической аутентификации на смартфонах. Смартфоны с Android (LG G7 Linq, Samsung S9, Samsung Note 8 и OnePlus 6) радостно разблокировались, а вот смартфоны Apple и устройства Microsoft с Windows Hello устояли против такой атаки.

2. Полезная ссылка от читателя о том, как хеширование паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

3. Как полиция ловит воришек, ворующих посылки Amazon (с помощью фальшивых коробок, камер и GPS-трекеров)
https://www.apnews.com/c654020c42b94055a19801b849d337a2

4. Сразу несколько ссылок для читателей из Украины (ссылки тоже прислали читатели). Там бушует эпидемия рассылки вирусов по почте, прикидываясь письмами из госучреждений. Открывайте почту в перчатках!
https://mc.today/ne-otkryvajte-pismo-iz-suda-eto-hakery-rassylayut-virusy-kak-ne-stat-zhertvoj-takih-atak/
https://www.npu.gov.ua/ua/news/kiberzlochini/kiberpolicziya-fiksuje-vipadki-rozpovsyudzhennya-virusu-zamaskovanogo-pid-povidomlennya-vid-derzhustanov/
https://cert.gov.ua/news/49

Supermicro и Bloomberg

Помните историю года про чипы в серверах Supermicro, собранных для Apple и Amazon, опубликованную в издании Bloomberg? (что я спрашиваю, конечно, помните). У той новости было много дополнений, в основном в виде опровержений от Apple, от Amazon, от разведывательных ведомств разных стран, и даже от Supermicro. Издание Bloomberg продолжает хранить гордое молчание, не предоставив никаких дополнительных доказательств к этому материалу, ни отозвав материал, как призывали представители Apple и Amazon. Подозреваю, что Bloomberg пытается собрать дополнительные материалы, чтобы доказать, что они все-таки опубликовали не полный bullshit, но пока что эта статья является темным пятном на репутации вполне уважаемого издания.

Но вспомнил я об этой истории сегодня, потому что именно сегодня компания Supermicro разослала своим клиентам письмо о том, что компания закончила расследование по материалам, озвученным в статье Bloomberg. Компания пишет, что во время расследования она не обнаружила никаких доказательств вредоносного аппаратного внедрения ни в текущих, ни в старых моделях материнских плат в серверах компании. Расследование было проведено компанией Nardello & Co, которая тестировала в том числе и материнские платы, проданные в Apple и Amazon. Supermicro все еще рассматривает различные юридические опции касательно этого материала. Хотя, конечно, негативный эффект распространяется и на Amazon/Apple, но, скорей всего, эти компании не будут подавать на Bloomberg в суд — это плохо с точки зрения PR, когда огромные корпорации судятся с журналистами.

АПД Письмо CEO Supermicro

Окопавшееся издание Bloomberg и сервера с китайскими чипами

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it.”

Continue reading

История про китайский чип в серверах

Новость дня, безусловно, это статья на Bloomberg о микрочипе на платах для серверов компании Supermicro. Якобы во время сборки материнских плат для серверов компании Supermicro на платы устанавливался микроскопический чип, разработанный военным ведомством Китая. Эти материнские платы затем использовались в серверах, которые собирала компания Supermicro в США. А сервера, в свою очередь, использовались в дата-центрах других американских компаний, включая Amazon, Apple, Microsoft и еще несколько десятков компаний. Чип, исходя из материалов статьи, обеспечивал удаленный доступ к серверам, модифицируя код операционной системы (интересно, как это позволяло ему оставаться незамеченным?). Статья в Bloomberg изобилует массой деталей, как и информацией о многолетнем расследовании всей этой истории.

В статье говорится также о том, что якобы Apple заподозрила что-то еще в 2015 году, когда планировала большую закупку серверов для своих дата-центров (я даже припоминаю такие новости 3 года назад). Была вот еще такая история из 2017 года про проблемы в прошивках серверов. Но также нужно отметить, что и Amazon, и Apple заявили, что они не обладают информацией ни о подобных уязвимостях в серверах Supermicro, ни о расследовании этой истории, и сами неоднократно проводили аудиты серверов Supermicro, и никаких лишних чипов не обнаруживали. Правда, Apple также говорит, что однажды обнаружили зараженный драйвер в сервере, но никаких чипов не было. Вообще заявление Apple довольно жесткое и прямолинейное, утверждающее, что Bloomberg было бы неплохо усомниться в осведомленности или искренности их источников.

АПД А вот еще не менее жесткий ответ от Amazon:

There are so many inaccuracies in ‎this article as it relates to Amazon that they’re hard to count.

Правда, осадочек остается — дыма-то без огня не бывает, но непонятно, какой дым за какой огонь принимают журналисты Bloomberg.

В каждую спальню – по камере!

Все вы знаете компанию Amazon — самый большой онлайн-магазин. Для удобства покупателей Amazon выпустил пару лет назад устройство Echo, такой спикер со встроенным помощником Alexa. Формально как бы оно предназначено быть универсальным помощником, хотя, конечно, основная цель — еще один интерфейс к магазину: там действительно удобно голосом заказывать всякие штуки с сайта, не заморачиваясь на телефон или компьютер (это приводит к отдельным казусам, когда фраза, сказанная по телевизору, делает заказ в Echo, но это временные технические сложности).

Так вот, вчера Amazon представил новое устройство — Amazon Look, это камера со встроенным микрофоном и все тем же виртуальным помощником Alexa. Цель камеры — оценивать изображение владельца, анализировать одежду и внешний вид, давать необходимые рекомендации по улучшению внешнего вида, и, конечно же, давать возможность тут же покупать на Амазоне рекомендованные продукты. Камера, микрофон, спальня или шкаф с одеждой… Казалось, что может пойти не так?
Continue reading

"Где мой all-inclusive сервис, Apple?"

Последний раз, когда я задал вопрос “где…?” про Маки, Apple быстро подсуетилась и таки организовала мероприятие, на котором, скорей всего, новые Маки как раз и покажут. Ждем 27 октября, после которого мы, возможно, услышим много стонов в интернете про невинно убиенный мини-джек, токмо во исполнение воли пославшей мя… (и дальше придумайте сами по тексту), или про замену USB на USB-C, или еще что-нибудь, что придумает заточенный в белой комнате Джони Айв. Но я отвлекся немного.
Поэтому, когда я получил ответ на вопрос про Маки, я решил задать еще один наболевший вопрос. Но сначала небольшая предыстория. Признаюсь в страшном: я люблю Apple Music. (кстати, забыл предупредить, этот и следующий абзацы могут нанести тяжелую травму людям, которые активно корпят над созданием и поддержанием своей музыкальной коллекции). Я и сам когда-то увлекался коллекционированием музыки: оцифрованные CD, купленная в онлайн-сервисах музыка, скачанная из различных источников — все это приводилось в порядок, прописывались, где надо, тэги, добавлялись обложки, все красиво сортировалось по папкам, потом раскладывалось по плейлистам в iTunes, и тд. А потом появилась Apple Music.
alexmak_2016-oct-20
Танцующий в яркой рубашке Эдди Кью как олицетворение Apple Music
Continue reading

Вдогонку про Apple TV

Про новый Apple TV я уже писал в прошлом году, когда добрался изучить более внимательно эту приставку. С тех пор для tvOS вышел важный апдейт, по результатам которого я хотел написать дополнительную заметку, так как это обновление исправило большинство моих замечаний к приставке.
А тут как раз и повод появился — на выходных я сломался и решил заменить старый Apple TV в спальне на новую версию. Там стояла приставка еще второго поколения, с 720p, которая жутко тормозила, постоянно крешилась, на ней не было YouTube, Siri и еще много всяких приятных вещей, доступных в новом поколении Apple TV. Как раз подвернулся хороший вариант в соседнем Best Buy, за 115 долларов 32ГБ версию, и я не смог остановить себя.
Continue reading

Яблоприставка

Слухи про AppleTV, будь то прям полноценный телевизор или просто приставка к существующим телевизорам, только значительно более продвинутая, чем текущее поколение приставки Apple TV, как-то в последнее время, к счастью, поутихли, а то их постоянная циркуляция, умноженная на восторги фенбоев, и поделенная на отсутствие анонса реального продукта, начинала утомлять.

Огоньку в костер подлил недавний анонс очень похожего на существующую приставку AppleTV устройства от Amazon — FireTV. Такая же черная коробочка, доступ к видео-контенту, которого у Амазона и его партнеров завались, и даже цена — те же 99 долларов.
Continue reading