Cybersecus дайджест #55

На 55 пятом выпуске коллекции мне пришла в голову мысль, что неплохо бы ввести для выпусков нумерацию, с чем я себя и поздравляю!

1. Кто-то из Твиттера обнаружил в мультимедия-системе Сингапурских Авиалиний встроенную камеру:
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.

Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/

2. Исследование надежности менеджеров паролей в ситуации, если компьютер попал в руки злоумышленников. Изучались 5 популярных менеджеров паролей на платформе Windows: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Из выводов:
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/

3. Австралийское правительство, активно внедряющее у себя в стране тему с бэкдорами в программном обеспечении и устройствах, оказалось жертвой компьютерного взлома. Пострадали сервера не только самого правительства, но и политических партий, а в качестве основного подозреваемого фигурирует Китай. К сожалению, дополнительных данных о взломе нет пока что.
https://www.bbc.com/news/world-australia-47274663

4. Статья для общего развития о том, зачем различные приложения, позволяющие следить за здоровьем, собирают себе вашу информацию о здоровье (спойлер-алерт: совсем необязательно, чтобы улучшать ваше здоровье). На самом деле никаких пруфов в статье нет, но говорится о том, что данные о здоровье в целом стоят больше, чем просто обычные персональные данные. Взломы и утечка, и плюс, конечно, потенциально продажа данных страховым компаниям, что может иметь неприятные последствия для уровня страховых премиумов в будущем.
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health

Cybersecus дайджест

1. Сначала была коллекция на 620 млн пользовательских записей… Потом появились еще 127 млн записей. Теперь появились еще 91 млн записей, что в сумме дает нам… (считает, загибая пальцы) почти 840 млн пользовательских записей, которые включают в себя логины и хешированные пароли.

В списке малознакомые мне Legendas.tv, OneBip, Storybird, Jobandtalent (какой-какой талант???), Gfycat, ClassPass, Pizap и StreetEasy. Не используйте повторные пароли, хотя бы в самых критичных местах типа вашей основной почты, на которую завязаны остальные аккаунты.

https://techcrunch.com/2019/02/16/classpass-gfycat-streeteasy-hacks/

2. Большая утечка данных в Швеции — записи звонков 2,7млн шведов на линию медицинской поддержки оказались доступными в интернете без какой-либо защиты и шифрования. 170 тысяч часов записей с весьма конфиденциальными данными, включая информацию для многих файлов о номере телефона, с которого осуществлялся звонок
https://computersweden.idg.se/2.2683/1.714790/117

3. Twitter сохранял переписку пользователей не только в том случае, если пользователи удаляли эту переписку, но и даже для тех пользователей, учетные записи которых были удалены.
https://techcrunch.com/2019/02/15/twitter-direct-messages/

Cybersecus дайджест

1. Совсем недавно выходил пост про набор из 620 млн паролей, в котором некоторые компании обнаружили для себя новость, что, оказывается, они стали жертвами взлома. Так вот, тот же хакер объявил, что у него “завалялось” еще 127 миллионов пользовательских записей, включая:

18 млн с сайта Ixigo
40 млн с видео-стримингового сервиса YouNow
57 с сайта Houzz
1,8млн с Ge.tt
4 млн с Roll20
5 млн с Stronghold Kingdoms
1 млн с PetFlow
450 тыс с Coinmama

Некоторые сайты использовали для хранения паролей алгоритм хеширования MD5, что чревато расшифровкой. 6 из 16 сайтов, попавших в эту утечку, использовали базу PostgreSQL, которую никто не патчил от известных уязвимостей.
https://techcrunch.com/2019/02/14/hacker-strikes-again/

2. Утилитка HashCat теперь умеет достаточно быстро взламывать восьмизначные хеши Windows NTLM

3. Статья о том, как компания Ring (принадлежит Amazon), производящая “умные” звонки с камерами для дома, предоставила доступ к порталу с видео со звонков для полиции, без всяких ордеров суда.
https://theintercept.com/2019/02/14/amazon-ring-police-surveillance/

Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

620 млн паролей

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

Cybersecus дайджест

1. По следам истории с приложениями, скрытно записывающими действия пользователей с помощью стороннего SDK Glassbox, Apple отреагировала оперативно и заявила следующее:

“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary”

Таким образом, разработчики должны прямо запросить разрешения пользователя на запись активности в приложении, а также предоставить четкий визуальный индикатор записи действий пользователя. В противном случае приложениям грозит удаление из App Store.
https://techcrunch.com/2019/02/07/apple-glassbox-apps/

2. Комментарий: Google начал цензурировать поисковую выдачу в России?
https://www.dw.com/ru/комментарий-google-начал-цензурировать-поисковую-выдачу-в-россии/a-47427466

3. Целая пачка ссылок на тему превращения рунета в суверенный чебурнет (прислали несколько читателей, и я так понимаю, в России эта тема сейчас очень актуальна)
Атака изнутри: операторы протестируют закон об устойчивости Рунета
https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927
Эксперты: Для устойчивости Рунета необходима полная карта электросвязи
https://vz.ru/news/2019/2/7/963164.html
Правительство РФ намерено поддержать законопроект о защите российского сегмента интернета и его устойчивой работы, однако авторам предложено доработать документ ко второму чтению.
http://sozd.duma.gov.ru/bill/608767-7

4. Все мобильные устройства зарегистрируют в базе данных Россвязи
Любой новый телефон или планшет при ввозе в Россию будет проходить проверку на подлинность по международному идентификатору мобильного оборудования (IMEI, включает данные о происхождении, модели и серийном номере). Аппараты, не прошедшие проверку и не включенные в специальную российскую базу данных (ее оператором может стать Россвязь), просто не смогут подключаться к сетям операторов мобильной связи.
(то ли у меня дежавю, то ли такое уже было?)
https://rg.ru/2019/02/07/vse-mobilnye-ustrojstva-zaregistriruiut-v-baze-dannyh-rossviazi.html

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.

Cybersecus дайджест

1. Facebook для показываемых вам реклам даст возможность увидеть, кто загрузил вашу пользовательскую информацию (номер телефона, адрес электронной почты) для последующего таргетинга.
https://www.facebook.com/AdvertiserHub/posts/announcing-new-custom-audience-transparency-updatesthroughout-2018-we-introduced/1895864350540354/

2. «Ведомости»: Google начал удалять из выдачи сайты по требованию Роскомнадзора
https://rtvi.com/news/vedomosti-google-nachal-udalyat-iz-vydachi-sayty-po-trebovaniyu-roskomnadzora/

“В Роскомнадзоре заявили ТАСС, что наладили с Google конструктивный диалог и довольны сотрудничеством с компанией.”

3. Я писал про скандал, который разворачивается в США, по поводу того, что местные мобильные операторы активно приторговывали информацией о местоположении пользователей. Это позволяло получить доступ к этой информации практически произвольным людям за относительно небольшую сумму, чем активно пользовались bounty hunters (охотники за людьми, обнаруживающие их за выплату гонорара). Тогда казалось, что это был какой-то экстремальный случай, а не то, чтобы устоявшаяся практика. Новый материал на Motherboard показывает, что это происходило в гораздо больших масштабах, чем представлялось ранее, с десятками тысяч запросов от разных компаний для поиска беглецов из-под залога. Вроде бы даже за операторов решили взяться в Конгрессе США по этому поводу, посмотрим, насколько небольшим штрафом они отделаются в этот раз.
https://motherboard.vice.com/en_us/article/43z3dn/hundreds-bounty-hunters-att-tmobile-sprint-customer-location-data-years

4. WeWork, компания-организатор коворкинговых пространств, приобрела компанию Euclid, которая занимается трекингом людей и их поведения в реальном мире. WeWork планирует использовать разработки Euclid для мониторинга поведения посетителей коворкинга. Это норма!
https://techcrunch.com/2019/02/07/wework-just-acquired-spatial-analytics-platform-euclid-to-bolster-its-software-offerings/

Мобильная аналитическая слежка

Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!
Continue reading