Cybersecus дайджест #55

На 55 пятом выпуске коллекции мне пришла в голову мысль, что неплохо бы ввести для выпусков нумерацию, с чем я себя и поздравляю!

1. Кто-то из Твиттера обнаружил в мультимедия-системе Сингапурских Авиалиний встроенную камеру:
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.

Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/

2. Исследование надежности менеджеров паролей в ситуации, если компьютер попал в руки злоумышленников. Изучались 5 популярных менеджеров паролей на платформе Windows: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Из выводов:
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/

3. Австралийское правительство, активно внедряющее у себя в стране тему с бэкдорами в программном обеспечении и устройствах, оказалось жертвой компьютерного взлома. Пострадали сервера не только самого правительства, но и политических партий, а в качестве основного подозреваемого фигурирует Китай. К сожалению, дополнительных данных о взломе нет пока что.
https://www.bbc.com/news/world-australia-47274663

4. Статья для общего развития о том, зачем различные приложения, позволяющие следить за здоровьем, собирают себе вашу информацию о здоровье (спойлер-алерт: совсем необязательно, чтобы улучшать ваше здоровье). На самом деле никаких пруфов в статье нет, но говорится о том, что данные о здоровье в целом стоят больше, чем просто обычные персональные данные. Взломы и утечка, и плюс, конечно, потенциально продажа данных страховым компаниям, что может иметь неприятные последствия для уровня страховых премиумов в будущем.
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health

Cybersecus дайджест

Очередная подборка новостей на тему информационной безопасности.

1. Читатели прислали мне примерно 100500 миллионов раз ссылку на статью про “странности в алгоритмах ГОСТ Кузнечик и Стрибог”, из которой можно сделать выводы про возможное наличие бекдоров в российских алгоритмах шифрования.
https://m.habr.com/ru/company/virgilsecurity/blog/439788/

2. Криптографическая атака на зашифрованный трафик, которая актуальна даже против TLS 1.3
https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

3. Помните историю с австралийским законом, по которому технологические компании должны предоставлять помощь правоохранительным органам в доступе к зашифрованной информации? (вплоть до скрытого рекрутинга сотрудников компаний с последующим встраиваением бекдоров). В статье сообщается, что уже пошла активная эксплуатация норм закона для доступа куда потребуется.
https://www.innovationaus.com/2019/02/AA-bill-notices-already-issued

4. Статья о том, как Google и Apple размещают в своих магазинах приложение Absher, используемое мужчинами в Саудовской Аравии для контроля за перемещением своих жен (предупреждения о приближении к аэропортам, пересечении границ, и тд). Формально приложение отвечает требованиям правительства СА, но представители правоохранительных органов утверждают, что это приложение нарушает и притесняет права женщин, и поэтому приложение должно быть удалено из App Store/Google Play.
https://www.businessinsider.com/apple-google-criticised-for-saudi-government-app-activists-say-fuel-discrimination-2019-2

5. Amazon покупает компанию Eero, разработчика mesh-роутеров для домашнего WiFi, и что это может означать для конфиденциальности данных пользователей роутеров.
https://techcrunch.com/2019/02/12/amazon-eero-privacy/

6. Компания VFEmail, провайдер почты для компаний и индивидуальных лиц, подверглась атаке, в результате которой все данные (включая резервные копии) были удалены. Все, все что нажито непосильным трудом за 18 лет существования компании. Хакер просто отформатировал все сервера компании, включая те, на которых хранились бекапные данные.
https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/

Cybersecus дайджест

1. Тот взлом SPG/Marriott, при котором за 4 года утекло данных на 500 млн человек? NYT пишет, что это дело китайских хакеров, работавших на министерство государственной безопасности
https://www.nytimes.com/2018/12/11/us/politics/trump-china-trade.html

2. Больше года назад я писал о взломе Equifax — кредитного бюро в США, при взломе которого утекло данных на почти 150 млн американцев, причем там все — от имени до номера социального страхования, и последствия для многих — на всю жизнь. Так вот, Конгресс США опубликовал доклад об этом взломе, из которого следует, что этот взлом вполне можно было предотвратить. Я просто оставлю цитату из отчета тут:

Equifax did not see the data exfiltration because the device used to monitor ACIS network traffic had been inactive for 19 months due to an expired security certificate. On July 29, 2017, Equifax updated the expired certificate and immediately noticed suspicious web traffic.

Рука, встречай лицо.

3. История с австралийским законом о шифровании точно пока не закончилась. Вот большое открытое письмо, подписанное огромным количеством экспертов по безопасности.

Вот хорошая статья с FAQ об этом законе: https://www.zdnet.com/article/whats-actually-in-australias-encryption-laws-everything-you-need-to-know/.

А вот, например, что пишут об этом разработчики менеджера пароля 1Password, часть из которых работает в Австралии — они реально опасаются, что правительство Австралии может склонить кого-то из сотрудников к тому, чтобы вставить бэкдор в продукт.