Cybersecus дайджест

1. Совсем недавно выходил пост про набор из 620 млн паролей, в котором некоторые компании обнаружили для себя новость, что, оказывается, они стали жертвами взлома. Так вот, тот же хакер объявил, что у него “завалялось” еще 127 миллионов пользовательских записей, включая:

18 млн с сайта Ixigo
40 млн с видео-стримингового сервиса YouNow
57 с сайта Houzz
1,8млн с Ge.tt
4 млн с Roll20
5 млн с Stronghold Kingdoms
1 млн с PetFlow
450 тыс с Coinmama

Некоторые сайты использовали для хранения паролей алгоритм хеширования MD5, что чревато расшифровкой. 6 из 16 сайтов, попавших в эту утечку, использовали базу PostgreSQL, которую никто не патчил от известных уязвимостей.
https://techcrunch.com/2019/02/14/hacker-strikes-again/

2. Утилитка HashCat теперь умеет достаточно быстро взламывать восьмизначные хеши Windows NTLM

3. Статья о том, как компания Ring (принадлежит Amazon), производящая “умные” звонки с камерами для дома, предоставила доступ к порталу с видео со звонков для полиции, без всяких ордеров суда.
https://theintercept.com/2019/02/14/amazon-ring-police-surveillance/

Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

620 млн паролей

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

Cybersecus дайджест

1. По следам истории с приложениями, скрытно записывающими действия пользователей с помощью стороннего SDK Glassbox, Apple отреагировала оперативно и заявила следующее:

“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary”

Таким образом, разработчики должны прямо запросить разрешения пользователя на запись активности в приложении, а также предоставить четкий визуальный индикатор записи действий пользователя. В противном случае приложениям грозит удаление из App Store.
https://techcrunch.com/2019/02/07/apple-glassbox-apps/

2. Комментарий: Google начал цензурировать поисковую выдачу в России?
https://www.dw.com/ru/комментарий-google-начал-цензурировать-поисковую-выдачу-в-россии/a-47427466

3. Целая пачка ссылок на тему превращения рунета в суверенный чебурнет (прислали несколько читателей, и я так понимаю, в России эта тема сейчас очень актуальна)
Атака изнутри: операторы протестируют закон об устойчивости Рунета
https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927
Эксперты: Для устойчивости Рунета необходима полная карта электросвязи
https://vz.ru/news/2019/2/7/963164.html
Правительство РФ намерено поддержать законопроект о защите российского сегмента интернета и его устойчивой работы, однако авторам предложено доработать документ ко второму чтению.
http://sozd.duma.gov.ru/bill/608767-7

4. Все мобильные устройства зарегистрируют в базе данных Россвязи
Любой новый телефон или планшет при ввозе в Россию будет проходить проверку на подлинность по международному идентификатору мобильного оборудования (IMEI, включает данные о происхождении, модели и серийном номере). Аппараты, не прошедшие проверку и не включенные в специальную российскую базу данных (ее оператором может стать Россвязь), просто не смогут подключаться к сетям операторов мобильной связи.
(то ли у меня дежавю, то ли такое уже было?)
https://rg.ru/2019/02/07/vse-mobilnye-ustrojstva-zaregistriruiut-v-baze-dannyh-rossviazi.html

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.

Cybersecus дайджест

1. Facebook для показываемых вам реклам даст возможность увидеть, кто загрузил вашу пользовательскую информацию (номер телефона, адрес электронной почты) для последующего таргетинга.
https://www.facebook.com/AdvertiserHub/posts/announcing-new-custom-audience-transparency-updatesthroughout-2018-we-introduced/1895864350540354/

2. «Ведомости»: Google начал удалять из выдачи сайты по требованию Роскомнадзора
https://rtvi.com/news/vedomosti-google-nachal-udalyat-iz-vydachi-sayty-po-trebovaniyu-roskomnadzora/

“В Роскомнадзоре заявили ТАСС, что наладили с Google конструктивный диалог и довольны сотрудничеством с компанией.”

3. Я писал про скандал, который разворачивается в США, по поводу того, что местные мобильные операторы активно приторговывали информацией о местоположении пользователей. Это позволяло получить доступ к этой информации практически произвольным людям за относительно небольшую сумму, чем активно пользовались bounty hunters (охотники за людьми, обнаруживающие их за выплату гонорара). Тогда казалось, что это был какой-то экстремальный случай, а не то, чтобы устоявшаяся практика. Новый материал на Motherboard показывает, что это происходило в гораздо больших масштабах, чем представлялось ранее, с десятками тысяч запросов от разных компаний для поиска беглецов из-под залога. Вроде бы даже за операторов решили взяться в Конгрессе США по этому поводу, посмотрим, насколько небольшим штрафом они отделаются в этот раз.
https://motherboard.vice.com/en_us/article/43z3dn/hundreds-bounty-hunters-att-tmobile-sprint-customer-location-data-years

4. WeWork, компания-организатор коворкинговых пространств, приобрела компанию Euclid, которая занимается трекингом людей и их поведения в реальном мире. WeWork планирует использовать разработки Euclid для мониторинга поведения посетителей коворкинга. Это норма!
https://techcrunch.com/2019/02/07/wework-just-acquired-spatial-analytics-platform-euclid-to-bolster-its-software-offerings/

Мобильная аналитическая слежка

Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!
Continue reading

Cybersecus дайджест

1. Огромный материал от Motherboard об отрасли “разблокировки” ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из “Связки Ключей” в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.
Continue reading

Cybersecus дайджест

В этот знаменательный день Более безопасного интернета у меня для вас такие новости:

1. В ЕС идет отзыв детских смартчасов ENOX Safe-KID-One, потому что слежка, никакой защиты данных (данные передаются на сервер без шифрования), да еще и компания с непонятными концами в Китае. Все очень плохо.
https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/alerts/?event=viewProduct&reference=A12/0157/19&lng=en

2. В своей борьбе за конфиденциальность Apple, кажется, выплеснула ребенка вместе с водой (хотя это может быть просто ошибка). В бете 12.2 для Safari появилась опция ограничения доступа к данным о движении и ориентации (не сексуальной). Правда, это ограничило функциональность для рекламы с использованием дополненной реальности (AR) или 360-градусных видео. Конечно, надо будет зайти в настройки и включить эту опцию, но это для многих пользователей может оказаться слишком непосильной задачей.

3. Любитель подменить чужую SIM-карту, чтобы перехватить пароль из 2FA и украсть немного криптовалюты согласился на предложенный ему срок 10 лет тюрьмы.
https://www.mercurynews.com/2019/02/04/cryptocurrency-thief-cops-to-million-dollar-hacking-scheme-as-tech-squad-builds-rep/

4. В WhatsApp для iOS добавили дополнительную защиту для входа в приложение по Touch ID/Face ID
https://9to5mac.com/2019/02/03/whatsapp-update-face-id-ios/

5. Какая-то прекрасная история про аккаунт admin@kremlin.ru в 2000 MongoDB базах
https://www.zdnet.com/article/unsecured-mongodb-databases-expose-kremlins-backdoor-into-russian-businesses/

6. Еще ссылка от читателя про магическое устройство для защиты российского интернета от киберопасносте
https://ssau.ru/news/16293-uchenye-razrabotali-ustroystvo-obespechivayushchee-kiberbezopasnost-rossiyskogo-interneta
и комментарии по этому поводу, лол
https://t.me/zatelecom/8460