Apple и шифрование бэкапов iCloud

Так получается, что январь — это какое-то обострение новостей про Apple и информационную безопасность. Тема в целом сложная и запутанная, а когда в нее примешивать еще “экспертизу” и уверенность интернет-пользователей, то разобраться в ней бывает еще сложнее.

Вот и вчера у Reuters вышел материал, что Apple якобы отказалась от шифрования iCloud после жалоб ФБР о том, что это может помешать расследованиям. (А до этого еще была новость про сканирование фотографий в iCloud на предмет содержания сцен насилия над детьми. А совсем недавно – про разблокировку iPhone). Материал изобилует цитатами источников, пожелавших остаться неизвестными, которые знакомы с темой, хотя никто прямо не связывает события (требования ФБР) и результат (отсутствие шифрования у бэкапов iCloud). По ссылке есть хороший разбор Джона Грубера именно о тексте, цитировании и выводах в статье Reuters. Чего стоит только цитата одного из источников “Можете себе представить причины”. Да, я, например, могу, и там необязательно будет фигурировать требование ФБР. Поэтому одной из ключевых цитат материала я бы назвал эту:

Reuters could not determine why exactly Apple dropped the plan.

(Reuters не смогли определить точную причину, по которой Apple отказалась от плана (шифровать бэкапы))

Таким образом Reuters не смогла на основании собранных отзывов однозначно установить причинно-следственную связь, но многим этого и не нужно, они и “так все давно знали”. Хотя мне все же хочется разобраться в этом получше, и я очень надеюсь, что в ближайшее время мы услышим официальный комментарий от Apple по этому поводу.
Continue reading

Cybersecus дайджест #75

Год блокировки Роскомнадзором мессенджера Telegram показал, что ужесточение регулирования интернета в России неизбежно, но ему можно эффективно сопротивляться, отмечает Александр Плющев
https://www.dw.com/ru/комментарий-telegram-год-цифрового-неповиновения/a-48331914

Пост от редакции этого канала о том, как пока одни операторы в РФ тестируют поддержку eSIM, другие распространяют FUD о рисках eSIM и хакерских атаках, которые обязательно возрастут, когда eSIM появится в РФ.
https://alexmak.net/2019/04/15/esim/

Директор по развитию сетевой инфраструктуры Яндекса Алексей Соколов на конференции «Обеспечение доверия и безопасности при использовании ИКТ» рассказал, как технологии из закона «о суверенном интернете» (принят сегодня госдумой) обвалили сервисы Яндекса пару недель назад.
https://roem.ru/16-04-2019/277211/zakon-deystvuet/

Если вы пользовались клиентом Origin от Electronic Arts, рекомендуется обновиться до последней версии. EA исправили критическую уязвимость, которая могла привести к исполнению вредоносного кода на компьютере. Уязвимость затрагивает версию Origin для Windows, и связана с собственным форматом URL, который использует клиентское приложение origin://
https://techcrunch.com/2019/04/16/ea-origin-bug-exposed-hackers/
Continue reading

Cybersecus дайджест #74

Накопилось очень много новостей, включая и присланные читателями, поэтому поехали!

Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com

Большая статья у Bloomberg о том, что сотрудники Amazon имеют доступ к аудио-записям, которые делают устройства Amazon Echo. Amazon говорит, что речь идет о небольшом поднаборе записей, который используется для прослушивания, аннотации и последующего улучшения алгоритма. Также в Bloomberg пишут о том, что у Apple и Google тоже есть подобные живые слушатели записей голосовых записей, сделанных через соответствующие голосовые помощники. (В данном случае у Bloomberg есть и подтверждения этих материалов со стороны компаний. А вообще Bloomberg — это то издание, которое в прошлом году опубликовало материал о китайских чипах в серверах Apple и Amazon, и с тех пор так и не предоставило доказательств этого материала).
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio
Continue reading

Cybersecus дайджест #70

1. Автомобили, как и многое другое, становятся все более компьютеризированными. Электрические автомобили так вообще, по сути, один большой компьютер с колесами, а если добавить туда весь софт и железо для автономного вождения, то тем более. А компьютеризация в данном случае означает данные — их сбор, обработку и хранение. На прошлой неделе было очень интересно почитать про то, как исследователи взяли разбитую Tesla Model 3, и изучили, какая там информация хранится. Фишка в том, что когда машина разбита, данные с нее не удаляются, и все, что машина собирала за время её использования, может храниться в ней. В случае с GreenTheOnly (никнейм исследователя), на компьютере машины обнаружилась информация о местоположении, маршрутах, информация о владельце, информация с мобильных устройств, которые были связаны с автомобилем (включая адресные книги, календари, адреса электронной почты участников встреч), а также видео самой аварии. (Интересно, что за секунду до аварии в машину позвонил родственник водителя, что, видимо, и привело к аварии).

В статье еще говорится интересное о том, Tesla в целом довольно скрытно относится к информации о том, что, как и когда записывают камеры автомобиля. При этом отказ от сбора информации автоматически приводит к отказу от получения обновлений ПО (“а если откажутся, отключим газ”). Такие дела.
https://www.cnbc.com/2019/03/29/tesla-model-3-keeps-data-like-crash-videos-location-phone-contacts.html

2. CloudFlare, разработчик безопасного DNS 1.1.1.1, также анонсировал бесплатный VPN-сервис Warp. Пока что на него можно подписаться через приложение 1.1.1.1 для Android и iOS, и ожидать официального запуска.
https://blog.cloudflare.com/1111-warp-better-vpn/
Continue reading

Cybersecus дайджест #61

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra

Кстати, Microsoft не стала сидеть, сложа руки, и тоже выпустила в открытом исходном коде один свой важнейший продукт:
https://blogs.windows.com/buildingapps/2019/03/06/announcing-the-open-sourcing-of-windows-calculator/

Cybersecus дайджест #60

В интернете обнаружили базу на 364 млн частных сообщений пользователей китайских сетей WeChat и QQ, которая также содержала в себе ИНН граждан, фотографиии, адреса, информацию о геолокации, и информацию об использованных устройствах. Похоже, что эту информацию (включая приватные сообщения, которые вообще-то не должны быть доступны третьим сторонам), собирают правоохранительные органы на граждан страны.
https://twitter.com/0xDUDE/status/1101909112131080192

Ссылка от читателя о том, как мэрия Москвы следит за перемещениями горожан с помощью данных, которые мэрии продают мобильные операторы (молодцы какие). Там, конечно, обещают обезличенность данных, и все такое, но мы-то знаем, чего стоят и эти обещания, и обезличенность при больших объемах данных.
https://www.vedomosti.ru/technology/articles/2019/03/03/795527-moskvichi

Пару недель назад я писал про исследователя, обнаружившего уязвимость в Связке Ключей в macOS, но отказывавшегося делиться информацией с Apple, потому что у компании отсутствует программа вознаграждения за уязвимости в macOS? Он решил не ждать, пока компания найдет в себе силы такую программу запустить, и отправил информацию об уязвимости в Apple
https://twitter.com/LinusHenze/status/1101223563581943808

Говоря об уязвимостях в macOS. Google Project Zero обнаружил критическую ошибку в программном обеспечении ядра macOS, позволяющую получить доступ к компьютеру пользователя без его ведома. Ошибка была обнаружена еще в ноябре прошлого года, но тогда Apple не отреагировала. По прошествии 90 дней GPZ раскрыли информацию об уязвимости, и в Купертино наконец-то зашевелились. Обещают в будущем апдейте ошибку исправить.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q=

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Cybersecus дайджест

Очередная подборка новостей на тему информационной безопасности.

1. Читатели прислали мне примерно 100500 миллионов раз ссылку на статью про “странности в алгоритмах ГОСТ Кузнечик и Стрибог”, из которой можно сделать выводы про возможное наличие бекдоров в российских алгоритмах шифрования.
https://m.habr.com/ru/company/virgilsecurity/blog/439788/

2. Криптографическая атака на зашифрованный трафик, которая актуальна даже против TLS 1.3
https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

3. Помните историю с австралийским законом, по которому технологические компании должны предоставлять помощь правоохранительным органам в доступе к зашифрованной информации? (вплоть до скрытого рекрутинга сотрудников компаний с последующим встраиваением бекдоров). В статье сообщается, что уже пошла активная эксплуатация норм закона для доступа куда потребуется.
https://www.innovationaus.com/2019/02/AA-bill-notices-already-issued

4. Статья о том, как Google и Apple размещают в своих магазинах приложение Absher, используемое мужчинами в Саудовской Аравии для контроля за перемещением своих жен (предупреждения о приближении к аэропортам, пересечении границ, и тд). Формально приложение отвечает требованиям правительства СА, но представители правоохранительных органов утверждают, что это приложение нарушает и притесняет права женщин, и поэтому приложение должно быть удалено из App Store/Google Play.
https://www.businessinsider.com/apple-google-criticised-for-saudi-government-app-activists-say-fuel-discrimination-2019-2

5. Amazon покупает компанию Eero, разработчика mesh-роутеров для домашнего WiFi, и что это может означать для конфиденциальности данных пользователей роутеров.
https://techcrunch.com/2019/02/12/amazon-eero-privacy/

6. Компания VFEmail, провайдер почты для компаний и индивидуальных лиц, подверглась атаке, в результате которой все данные (включая резервные копии) были удалены. Все, все что нажито непосильным трудом за 18 лет существования компании. Хакер просто отформатировал все сервера компании, включая те, на которых хранились бекапные данные.
https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/

Cybersecus дайджест

1. По следам истории с приложениями, скрытно записывающими действия пользователей с помощью стороннего SDK Glassbox, Apple отреагировала оперативно и заявила следующее:

“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary”

Таким образом, разработчики должны прямо запросить разрешения пользователя на запись активности в приложении, а также предоставить четкий визуальный индикатор записи действий пользователя. В противном случае приложениям грозит удаление из App Store.
https://techcrunch.com/2019/02/07/apple-glassbox-apps/

2. Комментарий: Google начал цензурировать поисковую выдачу в России?
https://www.dw.com/ru/комментарий-google-начал-цензурировать-поисковую-выдачу-в-россии/a-47427466

3. Целая пачка ссылок на тему превращения рунета в суверенный чебурнет (прислали несколько читателей, и я так понимаю, в России эта тема сейчас очень актуальна)
Атака изнутри: операторы протестируют закон об устойчивости Рунета
https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927
Эксперты: Для устойчивости Рунета необходима полная карта электросвязи
https://vz.ru/news/2019/2/7/963164.html
Правительство РФ намерено поддержать законопроект о защите российского сегмента интернета и его устойчивой работы, однако авторам предложено доработать документ ко второму чтению.
http://sozd.duma.gov.ru/bill/608767-7

4. Все мобильные устройства зарегистрируют в базе данных Россвязи
Любой новый телефон или планшет при ввозе в Россию будет проходить проверку на подлинность по международному идентификатору мобильного оборудования (IMEI, включает данные о происхождении, модели и серийном номере). Аппараты, не прошедшие проверку и не включенные в специальную российскую базу данных (ее оператором может стать Россвязь), просто не смогут подключаться к сетям операторов мобильной связи.
(то ли у меня дежавю, то ли такое уже было?)
https://rg.ru/2019/02/07/vse-mobilnye-ustrojstva-zaregistriruiut-v-baze-dannyh-rossviazi.html