20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
Вторая моя любимая история за последние несколько дней - это взлом казино через аквариум. Да-да, я не опечатался: хакеры подключились через интернет к «умным» сенсорам для мониторинга воды в аквариуме, а оттуда получили доступ к сети казино и скачали 10 ГБайт данных. Все как я люблю! https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/
Читать полностью…
Кстати, об Эстонии. Это как раз из ссылки, присланной читателем — обнаружилось, что Эстония призывает Европейский Союз к тотальной слежке за пользователями в интернете https://edri.org/leaked-document-eu-presidency-calls-for-massive-internet-filtering/
Читать полностью…
Павел Дуров рассказывает, как его склоняли к сотрудничеству агенты ФБР (много текста на английском https://thebaffler.com/salvos/the-crypto-keepers-levine, краткое содержание на русском — тут https://meduza.io/news/2017/09/05/pavel-durov-rasskazal-kak-agenty-fbr-prishli-v-ego-s-emnyy-dom-v-kalifornii-i-predlozhili-sozdat-chernyy-hod-v-telegram)
Читать полностью…
Наверняка же кто-то из Эстонии читает этот канал (как минимум, один человек, который мне уже прислал вопрос "что там с картами резидентов Эстониии — точно читает). Короче, там в национальных ID-картах, которые выдаются электронным резидентам страны (и которые, по сути, являются основным документом), обнаружена потенциальная уязвимость, которая может быть использована злоумышленниками для, как я понимаю, несанкционированного использования карт. Технических деталей о том, что за уязвимость, пока нет, но речь идет о почти 750 тыс картах, выданных с октября 2014 года. Местные политики начали призывать к тому, чтобы отложить местные выборы, назначенные на 16 октября, так как больше трети избирателей голосуют, используя эти ID-карты, но премьер-министр страны говорит о том, что, возможно, они просто запретят использование карт при голосовании. https://www.schneier.com/blog/archives/2017/09/security_flaw_i.html
Читать полностью…
а вот тоже из прекрасного, как я люблю. интернет-провайдет AT&T раздает своим пользователям модемы, логин и пароль к которым для доступа по SSH захардкожен в устройстве, что позволяет, используя известную уязвимость, получить рутовый доступ к устройству https://www.nomotion.net/blog/sharknatto/
Читать полностью…
привет! на выходных из интересного случился взлом инстаграм. правда, там в результате взлома аккаунты остались у владельцев, но информация о многих verified и даже не verified аккаунтах утекла в сеть. похоже, что в их инфраструктуре была бага, которая позволила злоумышленникам узнать телефонные номера и адреса электронной почты пользователей. Политики, спортсмены, актеры и актрисы — их контактная информация стала доступна в интернете и продается базой данных для всех желающих. Вот небольшая часть тех, чьи данные утекли:
актеры: Emma Watson, Emilia Clarke, Zac Efron, Leonardo DiCaprio, Channing Tatum.
музыканты: Harry Styles, Ellie Goulding, Victoria Beckham, Beyoncé, Lady Gaga and Rihanna, Taylor Swift, Katy Perry, Adele, Snoop Dogg, Britney Spears.
спортсмены: Floyd Mayweather, Zinedine Zidane, Neymar, David Beckham, Ronaldinho.
http://www.thedailybeast.com/hackers-make-searchable-database-to-dox-instagram-celebs
интересно, что Instagram не может сказать, сколько аккаунтов пострадало. http://blog.instagram.com/post/164871973302/170901-news
те, кто читает этот канал давно, знают, как я люблю «умные» устройства. Хотя, наверно, «люблю» тоже надо писать в кавычках - читая о постоянных проблемах безопасности с ними, я совершенно осознанно стараюсь держаться от них подальше. Последняя новость - про кардиостимуляторы компании Abbot, в которых обнаружились программные уязвимости, позволяющие злоумышленникам удаленно контролировать устройство - например, искусственно разрядить батарейку или изменить темп стимуляции, что может привести к неприятным последствиям для пользователя. (Кардиостимулятор - это устройство, вживлённое под кожу пациента и подключенное к сердцу, и если темп сердцебиения снижается, то стимулятор помогает его ускорить, грубо говорят). Короче, Управление по контролю за продуктами питания и лекарственными средствами (FDA) выпустило предписание, что 465 тыс таких кардиостимуляторов нуждаются в обновлении прошивки для исправления обнаруженных уязвимостей (производитель говорит, что есть ещё 280 тыс устройств, которые надо обновить). А поскольку это важный медицинский прибор, то накатить новую прошивку, сидя дома, не получится - нужно идти к врачу, и там этот врач сможет, контролируя процесс, уже аккуратно поставить прошивку, и убедиться, что пациент не превратился в кирпич в процессе. https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm
Читать полностью…
Немножко про VPN. Я уже писал как-то, что на популярный VPN-сервис HotSpod Shield подали жалобу за то, что они перенаправляли трафик пользователей своим партнерским рекламным компаниям. а вот, в отличие от них, другой популярный сервис — tunnelbear — хвастается тем, тем, что они прошли аудит и у них вообще все зашибись https://www.tunnelbear.com/blog/tunnelbear_public_security_audit/
не то, чтобы я говорю вам не пользоваться Hotspot Shield и рекламирую tunnelbear. Просто нужно помнить, что когда вы начинает пользоваться VPN-клиентом, то свои данные вы отдаете уже не интернет-провайдеру, а провайдеру VPN-сервиса. Поэтому вопрос доверия этому сервису — не менее важен, чем гигиена паролей, например. берегите там себя и свою информацию!
И только я хотел сегодня написать "хорошие новости — в мире инфосека особо ничего страшного не происходит", как сегодня troy hunt, автор сайта haveibeenpwned.com, на котором публикуются многие утечки пользовательских баз данных с паролями, опубликовал там базу на 711 миллионов уникальных имейлов, которые были обнаружены в базе каких-то спамеров. Так что если вы подписаны на сервис haveibeenpwned.com, и ваш имейл адрес есть в базе, то вы получите соответствующее уведомление. в принципе, можно и проверить самому тут https://haveibeenpwned.com — это всегда полезно знать, в каких базах была утечка ваших пользовательских данных (да, в этом сайте вводить имейл безопасно, Трой Хант — известный чувак). О самой базе и её содержимом можно почитать тут https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/
Читать полностью…
Мошенники рассылают письма с «билетами в США», распространяя таким образом троян Win32/PSW.Fareit для кражи паролей из браузеров и почтовых приложений.
Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон успешно оплачен и его можно скачать по ссылке.
Перейдя по ссылке, пользователь может загрузить документ Microsoft Office, содержащий вредоносный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, стартует процесс заражения трояном PSW.Fareit.
Троян PSW.Fareit предназначен для кражи логинов и паролей, сохраненных в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird. Различные версии этой вредоносной программы известны с 2012 года, но она по-прежнему активно используется кибермошенниками.
Троян отправляет украденные пароли на удаленный сервер атакующих, а затем удаляется из системы, стирая все следы активности. Далее эти пароли могут быть использованы для взлома веб-сервисов пользователя.
несколько читателей уже прислали мне ссылку про интересную дыру в сервисе trello (которая вроде бы смахивает на фичу, но приводит к неприятным последствиям) — сервис оказался доступным через поиск в Google, что позволяет найти информацию о чужих проектах, которая не является общедоступной http://telegra.ph/Publichnye-doski-Trello-indeksiruyutsya-poiskovikami-08-23
Читать полностью…
тут появились какие-то слухи об очередной утечке базы данных юзеров Playstation Network, пока без подтверждения. но если что, то лучше все-таки активировать там 2FA, если еще не https://hotforsecurity.bitdefender.com/blog/sony-social-media-accounts-hijacked-as-hackers-claims-to-have-stolen-psn-database-18783.html#new_tab
Читать полностью…
а вот ребята из Лаборатории Касперского рассказывают об интересном трояне для Android, который мало того, что записывает звонки и загружает их на сервера злоумышленников, так еще и пытается воровать данные банковских карт, рисуя свои overlays поверх популярных приложений (в частности, как я понимаю, на скриншотах в статье речь идет о Яндекс.Такси). А в оверлее — поля для данных банковских карт, и оп-оп, данные ушли "куда надо". https://www.kaspersky.com/blog/faketoken-trojan-taxi/18002/
Читать полностью…
на выходных мы продолжали в кулуарах обсуждать тему с брутфорсом паролей на iPhone. Мне написал автор статьи на click-or-die, утверждая, что он сам все пробовал и у него работает. я мониторил прессу и другие источники, и на techcrunch вышла заметка о том, что якобы да, проблема такая существует, но в финальной версии iOS 11 будет исправлена (и якобы уже исправлена после беты 4). https://techcrunch.com/2017/08/18/a-bug-that-let-a-500-password-cracking-box-open-up-iphone-7-is-patched-as-of-ios-11/ Особых комментариев в традиционных security-источниках я как-то не встречал, только осторожные комментарии, что "возможно, это работает на какой-то конкретной комбинациии устройства и версии iOS, и продавец устройств хайпит тему, чтобы побыстрее продать то, что дальше работать не будет". Фраза в статье TechCrunch "нам Apple подтвердила" звучит весьма подозрительно, обычно Apple такие вещи особо не комментирует. Но при этом внезапно, всего лишь спустя неделю после beta 6, сегодня вышла iOS 11 beta 7, в которой, например, Apple могла бы действительно срочно исправить багу (если она существовала), хотя в релиз-ноте к бете я никаких упоминаний про пароли, dfu и восстановление не нашел. Короче, правда, какая-то мутноватая история, но в любом случае лучше не использовать простой 4-значный цифровой пароль, это вообще полезное правило гигиены паролей.
Читать полностью…
Ну и вдогонку про кошелек trezor (как поправляет меня Дмитрий) - апдейт прошивки для кошелька https://blog.trezor.io/fixing-physical-memory-access-issue-in-trezor-2b9b46bb4522
Читать полностью…
Привет! Нет, не дождётесь, я всё-таки ещё живой, хотя и существенно порезанный после нескольких дней в больнице. Но вчера я всё-таки доехал домой и редакция канала в лице меня постарается возобновить регулярные трансляции из мира информационных опасностей. Самая большая новость за последние несколько дней - это взлом сайта компании Equifax, через который могли утечь данные на 143 миллиона человек в США. Вот анонс от самой компании (https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628), там в осторожных формулировках пока не подтверждается утечка данных на 143 млн человек, но все может быть. Equifax - частная компания, которая собирает данные на американских потребителей, и на основе этих данных банки принимают решение о том, давать ли кредит человеку, открывать банковскую карту, подписывать договор аренды жилья с ним и проч. В потенциально утёкшей базе - ВСЯ ЖИЗНЬ многих американских жителей, начиная от имени и адреса, и заканчивая номером социального страхования, к которому привязано вообще всё! Представьте себе, что утекла вся база Госуслуг, например, да и то оно не описывает масштабов. (Так как я недавно получал кредит на покупку дома, то и мои данные там точно есть. Более того, недавно мне пришли странные письма от банка с формулировкой «мы не можем вам сейчас выдать кредит», и я подозреваю, что эти события могут быть вполне связаны я это выясняю сейчас с банком). В любом случае, утечка очень плохая, но пока что 100% подтверждения ей нет, и всплывающие в интернете пока что оказывались фейками. Есть подозрение, что сайт был взломан с использованием уязвимости CVE-2017-9805 в Apache Struts, которую как раз исправили в начале августа. И ведь дальше будет только хуже :(
Читать полностью…
Друзья, вы когда присылаете мне ссылку, снабжайте её какой-нибудь сопровождающей информацией. а то приходится поднимать VM для того, чтобы открыть одну ссылку (да, я параноик!)
Читать полностью…
ESET предупреждает о новой волне интернет-мошенничества. Злоумышленники рассылают фишинговые письма от имени платежной системы Mastercard и используют для кражи данных пользователей взломанный сайт правительства Мексики.
Сообщение спамеров начинается с неперсонализированного приветствия. В тексте письма говорится о блокировке учетной записи в платежной системе. Чтобы восстановить доступ к сервисам Mastercard, пользователю предлагают перейти по ссылке и обновить информацию.
Если жертву не смутит отсутствие личного обращения и адрес отправителя, не имеющий отношения к Mastercard, он перейдет на поддельный сайт. Там, согласно «законам жанра», его ожидает анкета для ввода персональных и платежных данных, включая номер, срок действия и CVV банковской карты.
Заполнив анкету и нажав кнопку «Ввод», пользователь отправит все данные злоумышленникам. Информация может быть использована для списания средств с карты.
Спам-атака могла бы показаться рядовой, если не одна особенность – фишинговая страница размещена на домене .gob.mx, который принадлежит правительству Мексики. Вероятно, злоумышленники получили доступ к учетной записи администратора домена или использовали уязвимость сервера. Специалисты ESET сообщили об инциденте в Центр реагирования на компьютерные угрозы Мексики (СERT-МХ).
большая и детальная презентация о взломе "умных" дверных замков https://conference.hitb.org/hitbsecconf2017ams/materials/D2T3%20-%20Slawomir%20Jasek%20-%20Blue%20Picking%20-%20Hacking%20Bluetooth%20Smart%20Locks.pdf
Читать полностью…
и опять утечка данных через AWS — в этот раз данные различных контракторов из частных компаний, специализирующихся на работе с наемниками http://www.zdnet.com/article/thousands-of-sensitive-mercenary-resumes-exposed-after-server-security-lapse/
Читать полностью…
Вот так и разрушаются мечты о будущем, в котором у нас есть возможность быть наполовину киборгами с искусственным органами и конечностями
Читать полностью…
про Андроид все как я люблю. раз — Google удалила из Google Play 300 приложений, участвовавших в ботнете WireX, занимавшихся DDoS-аттаками https://blog.cloudflare.com/the-wirex-botnet/
и два — тысячи приложений с миллионными закачками в Google Play содержат в себе SDK, которые втихаря закачивают видео и смотрят рекламу, накручивая денежку создателям SDK (а юзерам достается сожранная батарейка и трафик) https://cdn2.hubspot.net/hubfs/2215919/Longform_Content/Anura%20Mobile%20App%20Fraud%20Final%207-10-17/anura-mobile-app-fraud-2_Final.pdf?t=1503687425079
но, кстати, инфосек — это не только утечки пользовательских данных, но и возможность заработать денег! (и вполне законным путем). Производитель дронов DJI (дроны которого, кстати, недавно запретили использовать в армии США) объявил о программе бонусов за обнаруженные уязвимости в ПО дронов. Можно заработать до 30 тыс долларов, найдя и сообщив об информационной опасносте в софте, дерзайте! https://amp.ibtimes.co.uk/dji-offers-hackers-30000-find-security-flaws-its-drones-new-bug-bounty-programme-1637005
Читать полностью…
А вот это крутой фишинг. Обратите внимание на домен, https и сертификат
Читать полностью…
И снова здравствуйте :) про вчерашнюю новость о Trello мне написали несколько человек, уточнив, что это всё-таки фича, а у досок есть опция приватности, поэтому просто надо быть внимательней при настройках. То есть как всегда виноват человеческий фактор
Читать полностью…
кстати, о собирании данных и дальнейшей перепродаже их рекламодателям. Пока я был в отпуске, в этом действии засветился популярный VPN-сервис Hotspot Shield — на них подали жалобу в Федеральную Торговую Комиссию, которая должна расследовать поведение этого сервиса. Конечно же, руководство сервиса эти обвинения опровергает. https://www.grahamcluley.com/hotspot-shield-vpn-accused-logging-user-data-selling-advertisers/
Читать полностью…
Кстати, о Касперском. Cyberscoop пишет, что ФБР в США уговаривает даже частные компании отказываться от использования продуктов ЛК (это после того, как было принято решение ограничить использование продуктов ЛК в госсекторе). Насколько я помню, у ЛК были достаточно большие планы на американский рынок, но теперь эти большие планы, видимо, накрылись большим медным тазом. Даже предложения Касперского предоставить исходный код продуктов для изучения не принесли результатов. https://www.cyberscoop.com/fbi-kaspersky-private-sector-briefings-yarovaya-laws/
Читать полностью…
Пользователям i{Phone будет полезно знать, что, хотя их любимая платформа и считается более безопасной, но зачастую какие-то данные с телефона начинают сифонить вполне легитимные приложения. Последний скандал — с популярным погодным приложением Accuweather, которое, как оказалось, даже будучи в бекграунде, отправляло на revealmobile.com информацию о местоположении пользователя, информацию о WiFi-роутере, и состояние Bluetooth на данный момент. RevealMobile, конечно же, оказались какими-то рекламщиками, которые собирают данные о пользователях, а потом пытаются продавать эту информацию рекламодателям. "все анонимизировано, блаблабла", но осадок, как говорят, остается. Проблема-то больше в том, что погодное приложение запрашивает доступ к информации о местоположении пользователя под легитимным поводом — показывать правильно погоду и присылать апдейты, а в итоге данные утекают вообще неизвестно куда и непонятно, как на самом деле они потом будут использованы. RevealMobile уже выпустила заявление, что обновленная версия их SDK не будет отправлять данные, если пользователь открыто на это не согласился, но проблема в целом-то более глобальная и многие другие SDK могут делать точно так же, просто мы об этом пока не знаем. chronic_9612/advisory-accuweather-ios-app-sends-location-information-to-data-monetization-firm-83327c6a4870" rel="nofollow">https://medium.com/@chronic_9612/advisory-accuweather-ios-app-sends-location-information-to-data-monetization-firm-83327c6a4870
Читать полностью…
Короче, про подбор паролей через DFU-восстановление iPhone — это, похоже, какое-то разводилово. нам пишут эксперты из компании Элкомсофт:
"Поменять прошивку без потери данных в DFU насколько я знаю нельзя, а только через iTunes (но для этого уже надо разлочить телефон). Похоже на грандиозный фейк, призванный собирать по $500 баксов с доверчивых покупателей :)"
так что, возможно, лажа никакая не лажа, а красиво закрафченное видео для того, чтобы лучше продавалась коробочка. Неудивительно, что больше нигде эта тема не обсуждается, только журналисты журнализдят друг у друга.
и еще интересная ссылка от читателя Александра - о взломанных кошельках trezor Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8" rel="nofollow">https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8
Читать полностью…