Cybersecus дайджест #73

1. Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f

И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

2. Я уже как-то писал про шпионское ПО Exodus, которое обнаружили в приложениях, находящихся в Google. Интересно, что эксперты обнаружили подобное приложение и для iOS — приложение прикидывалось приложением для поддержки мобильных операторов Италии и Туркменистана, и распространялось с корпоративным сертификатом разработчика для iOS (ранее было много новостей о том, как Google, Facebook и другие разработчики тоже распространяли в обход App Store приложения, подписанные корпоративным сертификатом). С точки зрения функциональности приложение могло украсть данные адресной книги пользователя, видео, фотографии, а также сгрузить информацию о местоположении пользователей. Apple уже отозвала сертификат разработчика, так что приложение невозможно больше установить. Есть подозрение, что разработчиком приложения является компания Connexxa, которая разрабатывает приложения для госорганов Италии с целью слежки.
https://blog.lookout.com/esurv-research

3. Очередная прекрасная история про AirBnB и то, как туристы из Новой Зеландии обнаружили в в доме скрытую камеру, которая транслировала картинку из гостиной. Камеру обнаружил один из гостей, просканировав сеть и обнаружив трансляцию. Камера была спрятана во что-то, замаскированное под датчик дыма. Там еще длинная история о том, как хозяин отмазывался, да и AirBnB не то, чтобы демонстрировало чудеса поддержки гостям. Так что если вы вдруг останавливаетесь в чьем-то AirBnB, первое, что нужно там сделать — это найти роутер от интернета и отключить его нафиг.
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater

4. А помните историю с китайской шпионкой, пойманной на курорте, принадлежащем президенту Дональду Трампу? У истории есть и продолжение о расследовании, и, в частности, рассказ о том, как анализировали её флешку:

Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.

Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.

https://www.miamiherald.com/news/politics-government/article228963409.html

Cybersecus дайджест #72

Очень ироничная новость про компанию Xiaomi. У той на телефоне предустановлено неудаляемое приложение Guard Provider, которое должно обнаруживать вредоносное ПО. Вместо этого приложение ходило на свой сервер по незащищенному подключению, что, как известно, может окончиться не очень хорошо. Например, это могло позволить злоумышленникам, находясь в той же сети WiFi, создать атаку MITM (Man-in-the-middle), отключить защиту и делать дальше что угодно с телефоном: устанавливать вредоносное ПО, инструменты слежки и тд. Компания Check Point, обнаружившая эту уязвимость, сообщила о ней в Xiaomi, и компания выпустила обновление, исправляющее эту проблему.
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/

Говоря об исправленных уязвимостях. Тут вот Huawei тоже выкатил апдейт для своих ноутбуков MateBook, где исправлен драйвер, позволяющий создавать бесправным пользователям создавать процессы с правами суперпользователей.
Информация о том, как была обнаружена проблема, от Microsoft: https://www.microsoft.com/security/blog/2019/03/25/from-alert-to-driver-vulnerability-microsoft-defender-atp-investigation-unearths-privilege-escalation-flaw/
Описание проблемы у Ars https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a-huawei-driver-that-opened-systems-up-to-attack/

Вдогонку о вчерашней новости о том, как ЛК начала определять своим ПО инструменты шпионажа:
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

А еще про полумиллиардные утечки. Исследователи обнаружили за первые три месяца этого года около 590 миллионов резюме, утекших через незащищенные базы MongDB и ElasticSearch:
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

И немного крипоты на закуску. Сюжет о компании, которая разработала бейдж сотрудника, который может мониторить разговоры сотрудников, движения и перемещение по офису. Информация, собираемая бейджем, интегрируется с календарями и почтой сотрудников. Компания, разрабатывающая эти бейджи, рассказывает, что это для “улучшения производительности сотрудников”, но наверняка какие-то работодатели захотят использовать это и для более тщательного наблюдения за сотрудниками. Где заканчиваются права работодателя, который платит зарплату за работу, и начинается прайваси сотрудника, сказать сложно.

Cybersecus дайджест #71

Я неоднократно писал тут про различные сервисы слежки за партнерами, и о том, как эти сервисы, с одной стороны, в целом нарушают приватность людей, а в добавок к этому еще и зачастую оставляют свои сервера совершенно незащищенными. Это приводит к тому, что частная информация — переписка, фотографии, и тд — оказываются полностью доступными в интернете. Лаборатория Касперского опубликовала большой и интересный материал о подобных приложениях и сервисах, и о том, какую угрозу они таят для пользователей. Так что начиная с 3 апреля, мобильные продукты «Лаборатории Касперского» для Android будут оповещать пользователей о присутствии таких программ в системе при помощи специальной функции. Это очень здорово.
https://securelist.ru/beware-of-stalkerware/93771/

Пять VPN-сервисов из десяти отказались блокировать доступ к запрещённым в России сайтам по требованию Роскомнадзора
https://vc.ru/services/62917-pyat-vpn-servisov-iz-desyati-otkazalis-blokirovat-dostup-k-zapreshchennym-v-rossii-saytam-po-trebovaniyu-roskomnadzora

Странная и подозрительная история о том, как в курортном отеле Mar-a-Lago, принадлежащем президенту США Трампу, в котором он сам часто бывает, задержали жительницу Китая. В маленькой женской сумочке (которые, как известно, гораздо больше внутри, чем выглядят снаружи), были обнаружены портсигар золотой, три штуки 4 смартфона, внешний жесткий диск, ноутбук, и флешка с вредоносным ПО. Женщина утверждала, что прилетела на несуществующее мероприятие, и настаивала, что пришла к бассейну, хотя и купальника у нее с собой не было. Кто из нас, идя к бассейну, не берет с собой несколько смартфонов, ноутбуков и жестких дисков?
https://www.nytimes.com/2019/04/02/us/mar-a-lago-zhang-chinese-secret-service.html

Не менее странная история с Facebook, который как всегда! Ладно уж все многочисленные утечки, и обнаруженные завалы из паролей 600 млн пользователей. Тут обнаружилось, что при создании новых аккаунтов Facebook требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса — “мы сделаем за вас проверку автоматической”. Отличный шаг, вполне в духе move fast and break things, как любил говорить Цукерберг.
https://www.thedailybeast.com/beyond-sketchy-facebook-demanding-some-new-users-email-passwords

С момента выхода статьи Facebook уже успели сказать, что они отменят эту порочную практику, но на этом этапе хочется только спросить WTF? (F, разумеется, означает Facebook).

Cybersecus дайджест #63

После небольшого затишья редакция снова выходит на связь с очередной коллекцией того, как в мире все плохо.

• Apple
• Amadeus
• Discovery
• Edelman
• Herbalife
• Schneider Electric
• PointCare
• Opportunity International
• Box
Что объединяет эти компании? Все они настроили свои корпоративные папки на файловом сервисе несколько неудачно, что позволило исследователям обнаружить внутренние файлы компаний, включая даже критические корпоративные данные.
https://www.adversis.io/research/pandorasbox

В России продолжается борьба с почтой ProtonMail, по ссылкам, присланным читателями, хорошее резюме ситуации
https://roskomsvoboda.org/45632/
https://habr.com/ru/company/tm/blog/443222/
Continue reading

Квартальные результаты Apple, Q1 2019

Вчера Apple официально подвела итоги первого финансового квартала 2019 года (того самого, об изменении прогнозов которого предупреждал всех Тим Кук почти месяц назад). Главный показатель квартала — выручка компании за квартал составила 84,3 млрд долларов США, что на 5% меньше по сравнению с годом ранее, а чистая прибыль на акцию за квартал составила 4,18 доллара. Прогноз Apple по продажам на следующий квартал — выручка 55-59 млрд долл (для сравнения, год назад выручка в этом же квартале составила 61,1 млрд долл).

Поскольку продажи в штуках Apple перестала сообщать, приходится довольствоваться данными о выручке по категориям продуктов:
– iPhone: $51,98 млрд (снижение на 15%)
– iPad: $6,73 млрд (рост 17%)
– Mac: $7,416 млрд (рост 9%)
– Сервисы: $10,9 млрд (рост 19%)
– Носимая и домашняя электроника, аксессуары: $7,31 млрд (рост 33%)
Continue reading

Кризис, шмизис

Прошло несколько дней с того момента, как Apple объявила, что прогнозированные ранее результаты квартала придется немного “пересмотреть”. Можете почитать об этом по ссылке выше, если вы вдруг пропустили, а также здесь есть перевод письма Тима Кука акционерам на русском языке. Напомню вкратце: компания объявила, что прогнозируемая ранее выручка в квартале на уровне 89-93 млрд долларов не будет достигнута, а выручка составит примерно 84 млрд долл (не дотянули примерно 5% от минимального прогноза и около 9% от максимального).

Даже несмотря на то, что Тим Кук несколько раз упомянул рынок Китая как один из основных составляющих компонентов падения, аналитики всех мастей завели волынку о самых разных проблемах с продуктами компании и о проблемах внутри самой компании. Вот заголовки статей только с одного сайта за сутки(!):

Continue reading

Cybersecus дайжест

Для тех, кто не сильно занят покупкой подарков и нарезанием оливье, очередная подборка актуальных новостей и интересных статей на тему информации, которая опасносте.

1. В Китае, который, как знают читатели канала, пытаются наблюдать за всеми и везде, школьники не остаются без внимания и школьники. В одной из провинций страны для школьников ввели “умную” форму, которая включает в себя трекинг местоположения школьников по GPS. Если школьник прогуливает школу без разрешения, то родители об этом немедленно узнают (система работает только на территории школы). Распознавание лиц дополняет информацию о пребывании и поведении школьников. Правильно, население должно с малых лет знать, что все под контролем.

https://www.abc.net.au/news/2018-12-28/microchipped-school-uniforms-monitor-students-in-china/10671604

2. На проходящей в Германии конференции Chaos Communication Congress исследователи продемонстрировали обход системы аутентификации по венам под кожей с помощью руки из воска.
https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress

3. Уязвимости в камерах наблюдения компании Guardzilla позволяют злоумышленникам получить доступ к хранилищу записей с камер. Потому что захардкоженные ключи позволили получить доступ к AWS-серверам компании.

https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/

4. Статья в NYT под говорящим названием “Our Cellphones Aren’t Safe”. Притворяющиеся настоящими базовые станции Stingray, и уязвимости в SS7, вот это все.
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html

Автомобильная слежка

Помните, я писал недавно о системе социальных баллов и слежке за жителями в Китае? Слежка распространяется не только на пешеходов, лица которых распознают камеры. Associated Press пишет о том, что в Китае, согласно правилам, опубликованным еще в 2016 году, автопроизводители передают различную информацию, собираемую автомобилями, в правительственные мониторинговые сервисы. Более 200 автопроизводителей, продающих автомобили в Китае (включая Tesla, Volkswagen, BMW, Daimler, Ford, General Motors, Nissan, Mitsubishi), вынуждены сообщать различную информацию, собираемую электромобилями, включая местоположение под предлогом анализа для улучшения безопасности, планирования инфраструктуры и избежания мошенничества в системе субсидирования покупок электромобилей. Однако эксперты, ссылаясь на те же статьи о системе наблюдения за гражданами, говорят, что информации собирается гораздо больше, чем нужно для того же планирования инфраструктуры, и все это делается для дополнительного наблюдения за перемещениями граждан страны. При этом такая передача информации в системы мониторинга, которые финансируются государством и могут государству эти данные передавать, покупателям, как правило, не анонсируется и для них оказывается сюрпризом.

Китайское наблюдение

Я уже как-то давал ссылку на статью о китайской системе наблюдения и распознавания лиц с последующим учетом поведения в некий социальный балл (t.me/alexmakus/2424). Теперь об этой системе и её вводе в строй уже в 2020 году в Пекине пишет Bloomberg (да-да, тот самый Bloomberg, который пока что продолжает отмалчиваться по поводу истории с китайскими чипами наблюдения в серверах Supermicro для Apple и Amazon).

Собственно, “Большой брат” в полный рост: наблюдение за всеми резидентами города, бонусы за хорошее поведение и усложнение жизни за плохое. Город будет покрыт системой видеонаблюдения, следящей за каждым шагом проживающих, и наказания за проступки могут быть самыми разными: от невозможности занимать госдолжности до запрета на продажи билетов на самолеты и поезда. Все системы наблюдения будут завязаны на единую базу, чтобы сформировать полную картину жизни граждан (сначала в Пекине, а потом и по всей стране).

https://www.bloomberg.com/news/articles/2018-11-21/beijing-to-judge-every-resident-based-on-behavior-by-end-of-2020

У меня только один вопрос: когда эти системы видеонаблюдения начнут устанавливать в домах жителей города и страны? Это логичный следующий шаг — для того, чтобы хорошо знать своих граждан, государство должно знать не только то, что происходит на улицах города, но и что происходит в домах. Потому что если человек отказывается от установки камеры дома, значит, ему есть что скрывать? Значит, он неблагонадежен? Может, он там в Покемонов по ночам играет?

Про китайские VPN и App Store

На выходных в СМИ появилась информация о том, что Apple удалила из китайского App Store все приложения для VPN. Сначала об этом пожаловался ExpressVPN, а потом подтянулись и другие разработчики. Затем появилось и официальное подтверждение от Apple:

Earlier this year China’s MIIT announced that all developers offering VPNs must obtain a license from the government. We have been required to remove some VPN apps in China that do not meet the new regulations. These apps remain available in all other markets where they do business.

Если по-русски, то “производители VPN должны получать лицензию у китайского правительства, а кто не получил — работать на рынке не имеет права, и мы вынуждены были, бла-бла-бла”.
Continue reading