Cybersecus дайджест #79

После небольшого затишья редакция возвращается в строй с коллекцией интересных ссылок из мира информационных опасностей.

Россиянам на заметку: материал от BBC о том, как продают ваши данные и доступ к ним.
“В России расцвел нелегальный рынок “онлайн-пробива”, на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.”
https://www.bbc.com/russian/features-48037582

Полезные советы от ЛК по хоть каким-то усилиям, которые могут предпринять пользователи по улучшению безопасности своих данных.
“Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.”
https://www.kaspersky.ru/blog/privacy-ten-tips-2018/

В пятницу Docker Hub объявил о взломе и утечке данных на 190 тыс пользовательских записей (менее 5% от общего количества пользователей), включая логины, хешированные пароли, и токены доступа к GitHub и Bitbucket. Пользователям рекомендуется сменить пароли в Docker Hub, и переподключить их к репозитория, так как токены были отозваны. Также стоит проверить логи в Github и Bitbucket на предмет несанционированного доступа.
https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Continue reading

Cybersecus дайджест #72

Очень ироничная новость про компанию Xiaomi. У той на телефоне предустановлено неудаляемое приложение Guard Provider, которое должно обнаруживать вредоносное ПО. Вместо этого приложение ходило на свой сервер по незащищенному подключению, что, как известно, может окончиться не очень хорошо. Например, это могло позволить злоумышленникам, находясь в той же сети WiFi, создать атаку MITM (Man-in-the-middle), отключить защиту и делать дальше что угодно с телефоном: устанавливать вредоносное ПО, инструменты слежки и тд. Компания Check Point, обнаружившая эту уязвимость, сообщила о ней в Xiaomi, и компания выпустила обновление, исправляющее эту проблему.
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/

Говоря об исправленных уязвимостях. Тут вот Huawei тоже выкатил апдейт для своих ноутбуков MateBook, где исправлен драйвер, позволяющий создавать бесправным пользователям создавать процессы с правами суперпользователей.
Информация о том, как была обнаружена проблема, от Microsoft: https://www.microsoft.com/security/blog/2019/03/25/from-alert-to-driver-vulnerability-microsoft-defender-atp-investigation-unearths-privilege-escalation-flaw/
Описание проблемы у Ars https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a-huawei-driver-that-opened-systems-up-to-attack/

Вдогонку о вчерашней новости о том, как ЛК начала определять своим ПО инструменты шпионажа:
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

А еще про полумиллиардные утечки. Исследователи обнаружили за первые три месяца этого года около 590 миллионов резюме, утекших через незащищенные базы MongDB и ElasticSearch:
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

И немного крипоты на закуску. Сюжет о компании, которая разработала бейдж сотрудника, который может мониторить разговоры сотрудников, движения и перемещение по офису. Информация, собираемая бейджем, интегрируется с календарями и почтой сотрудников. Компания, разрабатывающая эти бейджи, рассказывает, что это для “улучшения производительности сотрудников”, но наверняка какие-то работодатели захотят использовать это и для более тщательного наблюдения за сотрудниками. Где заканчиваются права работодателя, который платит зарплату за работу, и начинается прайваси сотрудника, сказать сложно.

Cybersecus дайджест #71

Я неоднократно писал тут про различные сервисы слежки за партнерами, и о том, как эти сервисы, с одной стороны, в целом нарушают приватность людей, а в добавок к этому еще и зачастую оставляют свои сервера совершенно незащищенными. Это приводит к тому, что частная информация — переписка, фотографии, и тд — оказываются полностью доступными в интернете. Лаборатория Касперского опубликовала большой и интересный материал о подобных приложениях и сервисах, и о том, какую угрозу они таят для пользователей. Так что начиная с 3 апреля, мобильные продукты «Лаборатории Касперского» для Android будут оповещать пользователей о присутствии таких программ в системе при помощи специальной функции. Это очень здорово.
https://securelist.ru/beware-of-stalkerware/93771/

Пять VPN-сервисов из десяти отказались блокировать доступ к запрещённым в России сайтам по требованию Роскомнадзора
https://vc.ru/services/62917-pyat-vpn-servisov-iz-desyati-otkazalis-blokirovat-dostup-k-zapreshchennym-v-rossii-saytam-po-trebovaniyu-roskomnadzora

Странная и подозрительная история о том, как в курортном отеле Mar-a-Lago, принадлежащем президенту США Трампу, в котором он сам часто бывает, задержали жительницу Китая. В маленькой женской сумочке (которые, как известно, гораздо больше внутри, чем выглядят снаружи), были обнаружены портсигар золотой, три штуки 4 смартфона, внешний жесткий диск, ноутбук, и флешка с вредоносным ПО. Женщина утверждала, что прилетела на несуществующее мероприятие, и настаивала, что пришла к бассейну, хотя и купальника у нее с собой не было. Кто из нас, идя к бассейну, не берет с собой несколько смартфонов, ноутбуков и жестких дисков?
https://www.nytimes.com/2019/04/02/us/mar-a-lago-zhang-chinese-secret-service.html

Не менее странная история с Facebook, который как всегда! Ладно уж все многочисленные утечки, и обнаруженные завалы из паролей 600 млн пользователей. Тут обнаружилось, что при создании новых аккаунтов Facebook требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса — “мы сделаем за вас проверку автоматической”. Отличный шаг, вполне в духе move fast and break things, как любил говорить Цукерберг.
https://www.thedailybeast.com/beyond-sketchy-facebook-demanding-some-new-users-email-passwords

С момента выхода статьи Facebook уже успели сказать, что они отменят эту порочную практику, но на этом этапе хочется только спросить WTF? (F, разумеется, означает Facebook).

Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading