20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
есть такой популярный фестиваль Coachella, короче, их сайт хакнули и угнали информацию о пользовательских аккаунтах. Vice еще 22 февраля об этом писал, что в темном интернете появились данные о пользователях на продажу https://motherboard.vice.com/en_us/article/someone-is-selling-coachella-user-accounts-on-the-dark-web, а тут уже и организаторы coachella подтвердили http://www.kesq.com/news/music-festivals/goldenvoice-says-data-was-breached-for-upcoming-coachella-festival/366518418
Читать полностью…
Короче, сегодня с нами моя любимая рубрика — "факап производителя игрушек, подключенных к интернету". есть такая компания — Spiral Toys, производит мишек в серии cloudPets, которые могут "взаимодействовать" с детьми, в том числе записывать их фразы (и вроде как даже произносить какие-то фразы, полученные от сервера". У них, конечно же, была база MongoDB, без админского пароля, торчащая наружу. у них эту базу украли, вместе с логинами-паролями, и 2.2 млн голосовых записей от 800 тыс юзеров. теперь у них вымогают выкуп за возврат базы, а сама компания не реагирует на сообщения о взломе и вообще ведет себя отвратительно, игнорируя базовые правила обеспечения безопасности данных пользователей. реально деревянные игрушки — это гораздо лучше, чем вся эта новая подключенная мутотень https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/
Читать полностью…
на прошлой неделе я пропустил почти анекдотическую историю про то, как Google случайно удаленно сбросила заводские настройки некоторым из своих роутеров Google WiFi и OnHub. Вот тут юзеры жаловались https://productforums.google.com/forum/#!msg/googlewifi/38Q-v9lBDRg/kKqSt9lnAAAJ, а потом тут Google за это извинялась https://support.google.com/wifi/answer/7335595
Читать полностью…
несмотря на выходные в россии, информация по-прежнему опасносте! самое интересное за последние день — это обнаруженная дыра у облачного провайдера CloudFlare (там хостится более 6 млн сайтов). в рамках этой дыры с хостинга утекали обычным юзерам могли утекать данные из других сервисов, которые хостятся у провайдера — IP-адреса пользователей, кукисы, пароли, и прочие данные. вроде как пишут, что нет доказательств того, что эта уязвимость кем-либо из злоумышленников эксплуатировалась. уязвимость случайно обнаружил сотрудник google в рамках какого-то своего проекта и информация о ней была передана в CloudFlare https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
Читать полностью…
breaking news в прямом смысле — тут, в общем, исследователи исследовали-исследовали и в итоге поломали SHA-1 https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html и https://shattered.it
Читать полностью…
а если вы пользуетесь Chrome, то вам будет интересно узнать об этом новом методе заражения компьютера через drive-by, когда пользователю показывается предупреждение об отсутствующем шрифте, дальше скачивается .exe, ну а дальше все зависит от того, насколько невнимателен пользователь (но, я уверен, что у читателей этого канала уровень параноидальности уже достаточно повышен, чтобы не попасться на такое разводилово) https://neosmart.net/blog/2017/beware-of-this-new-chrome-font-wasnt-found-hack/
Читать полностью…
а компания ESET тут опубликовала документ о последних трендах в мире ransomware для Android. Сам PDF можно почитать по ссылке ниже, но интересно, что один из популярных методов заражения телефонов ransomware — это установка приложений, которые прикидываются приложениями для Pornhub. Только вместо порно эти приложения внезапно сообщают, что телефон заражен вирусами, и нужно срочно-срочно полечиться, ну а потом уже по накатанной дорожке…. http://www.welivesecurity.com/wp-content/uploads/2017/02/ESET_Trends_2017_in_Android_Ransomware.pdf
Читать полностью…
я тут уже неоднократно ныл по поводу того, что на границе США при въезде в страну всё как-то сильно непросто с гаджетами и информацией на них. То пишут о том, что пограничники могут отобрать устройство и скопировать с него все данные (а потом эти данные начнут циркулировать между разными правоохранительными органами), то пишут о том, что будут требовать при получении визы сдавать аккаунты социальных сетей. Короче, тут Politico добыло где-то предложение пограничной службы о том, чтобы китайские граждане (почему именно китайские — непонятно), с визами B1, B2 и B1/B2 сдавали свои аккаунты (только логины) при вылете в направлении США. типа тогда эта система сможет сразу определить, стоит ли пускать этого человека на борт, а то, может, его все равно в страну не пустят. звучит как какой-то бардак вообще http://www.politico.com/f/?id=0000015a-4d60-d693-abda-efe5d8430001 а вообще вся эта тема с контролем гаджетов при въезде в США настолько уже актуальна, что даже BBC опубликовала материал о том, стоит ли брать с собой смартфон при поездках в США (вопрос не в том, что вам есть или нечего скрывать, а в том, что ваши личные данные могут оказаться вообще непонятно у кого) http://www.bbc.com/news/technology-39003392
Читать полностью…
интересный рассказ о том, как злодеи генерят сертификаты для своих субдоменов для того, чтобы делать фишинговые сайты похожими на настоящие и при этом получать подтверждение о том, что сайт безопасный https://textslashplain.com/2017/01/16/certified-malice/
Читать полностью…
не только в России есть законодатели, желающие войти в историю излишне проактивными законопроектами. Вот и в Штатах, например, молодой конгрессмен Джим Бэнкс зарегистрировал законопроект Visa Investigation and Social Media Act (VISA), по которому любой человек, подающий заявку на визу в США (в том числе туристическую), должен указать свои никнеймы-аккаунты в социальных сетях. возникает, конечно, сразу много вопросов: как в DHS будут вести список популярных социальных сетей в тех или иных странах (например, надо требовать аккаунт ВК в России?)? Действительно ли у них хватит ресурсов просматривать всех котиков и прочую ерунду в социальных сетях? Что мешает аппликанту сказать “у меня нет аккаунта”, удалив его предварительно? Или указать чужой аккаунт (если это сеть типа твиттера, где нет такой привязки к реальному имени (ну и вообще со странными twitter-handles типа там “любитель_сисек_и_жоп” может быть стыдно подаваться на визу). Короче, все указывает на то, что такой законопроект никуда не пойдет и вряд ли будет принять в виде закона. Что, конечно, не мешает уже сейчас на границе при въезде в США требовать информацию о социальных сетях и отбирать устройства для последующего копирования данных с них. полицейское государство.
Читать полностью…
мир “умных” устройств наносит очередной удар по вере в счастливое будущее, в котором мы окружены умными и полезными устройствами. Например, в Германии регулирующие органы посоветовали родителям избавиться от кукл Cayla. Эти куклы, со встроенным Bluetooth и WiFi, умеют отвечать на вопросы детей. Оказалось, что уязвимости (в чипе Bluetooth), позволяют хакерам через куклу разговаривать с детьми (подключившись удаленно к микрофону и спикеру через этот самый Bluetooth). Родители же, по идее, не должны хотеть, чтобы с их детьми через куклу разговаривали вообще неизвестно кто. Ну и, поскольку в таком случае кукла превращается в незаконный инструмент наблюдения, то по немецкому законодательству владеть таким инструментом противозаконно. Уверен, таких “дырявых” кукл в будущем будет все больше. Покупайте детям аналоговые игрушки! http://www.bbc.com/news/world-europe-39002142
Читать полностью…
но раз уж о вредоносном ПО… Bitdefender тут рассказывают о трояне для macOS, который умеет воровать пароли, делать скриншоты на компьютере и красть бекапы iPhone, если они есть на Маке. Интересно, что троян связывают с группой APT28 (она же — Fancy Bear, Pawn Storm, Sofacy Group, Sednit and STRONTIUM), считается, что эта группа хакеров связана с российским ГРУ. Пока что информации о самом трояне мало, bitdefender продолжает изучение https://labs.bitdefender.com/2017/02/new-xagent-mac-malware-linked-with-the-apt28/
Читать полностью…
Компания F-Secure опубликовала тут отчет — “состояние кибербезопасности в 2017 году”. Сам отчет можно скачать по ссылке тут (https://business.f-secure.com/the-state-of-cyber-security-2017/) — там требуется бесплатная регистрация для этого. Там вообще много всего интересного — и про Mirai, и про IoT, и даже человек, похожий на Путина
Читать полностью…
в день всех влюбленных (кажется, так) компания ESET радует результатами исследования, в которых говорится, что “24% российских пользователей следят онлайн за своими возлюбленными” — “немало опрошенных держат чужие коммуникации под контролем – 24% ответили «Да, бывает».” наверно, это руководство принципом “доверяй, но проверяй”. Но, получается, это опять плохие новости: если допустить, что из 2969 человек у всех есть “вторая половинка”, то у 712,5 человек ваши “коммуникации” — под контролем этой самой второй половины. Вы осторожней там, что ли, да
Читать полностью…
а тут еще на Washington Post интересная статья о том, как при въезде в США чувака, работающего в NASA, не пускали в страну, пока он не предоставил свой телефон и PIN-код к нему. Интересно в статье и наличие комментариев юристов по поводу того, имеет ли право пограничная служба задерживать людей на границе, если они отказываются давать доступ к телефону. вроде как пограничная служба действительно имеет право просматривать электронные устройства при въезде, но с учетом того, как это происходит (офицер получил телефон и код, и ушел на полчаса), лучше минимизировать доступ к вашим данным: ведь что там с этим телефоном происходит эти полчаса, и, главное, что происходит с данными с него потом — неизвестно. так что, например, если вы не хотите давать о себе лишнюю информацию (а даже в штатах и бардак, и утечки, и тд), то есть смысл, например, при въезде телефон ресетить. с другой стороны, если они увидят телефон без данных, то это может вызвать дополнительные подозрения — "ага, есть что скрывать". в любом случае, и передача телефона, и задержание на границе вызывают вопросы и сомнения у юристов, комментарии можно почитать тут https://www.washingtonpost.com/news/volokh-conspiracy/wp/2017/02/13/can-federal-agents-detain-citizens-at-border-checkpoints-until-they-disclose-their-smartphone-passcodes/
Читать полностью…
вы наверняка слышали о том, что вчера были перебои в работе амазоновского AWS. и хотя количество сайтов-сервисов, которые там хостятся, не такое большое, по сравнению с тем же CloudFlare, но проблемы вчера заметили многие. особенно пользователи всякой IoT-техники: у людей наблюдались сложности с управлением лампочками, термостатами и проч “умной” лабудой. Обидно, конечно, когда где-то вдалеке в интернете падает сервак, а ты сидишь в темноте и не можешь лампочки включить. очень удобно (на самом деле нет). Ну это я так, вы же знаете, как я люблю IoT, хотя кто-то может считать меня консерватором и луддитом.
Читать полностью…
также на прошлой неделе я писал про историю с CloudFlare и дырой, в которую могли утекать данные пользователей (там забавно в целом, запросы в рамках работы одного сайта-сервиса, который хостился на Cloudfare, могли приводить к тому, что в ответах приходили данные других сервисов, которые тоже хостились на Cloudflare). Проблему уже успели обозвать cloudbleed, по аналогии с heartbleed. По ссылке — более детальное описание ситуации, и также перечисление информации, которая могла утекать в этой истории (как я уже писал выше, вроде как случаев реального применения этой утечки не было, но неизвестно что там и где в каких кэшах осталось) octal/cloudbleed-how-to-deal-with-it-150e907fd165#.f6uqpgw9y" rel="nofollow">https://medium.com/@octal/cloudbleed-how-to-deal-with-it-150e907fd165#.f6uqpgw9y
Читать полностью…
а тем временем израильская компания Cellebrite, о которой вы наверняка слышали в рамках разбирательства между Apple и ФБР (она, скорей всего, была той компанией, которая вскрыла для ФБР iPhone 5c террориста из Сан-Бернардино. а еще она фигурировала и тут на канале в новостях о том, что их взломали и украли у них 900ГБ информации), заявила, что научилась взламывать залоченные iPhone 6 и 6+. информации о том, как они это делают, нет, разумеется, сервис для “взлома” доступен для правоохранительных органов с соответствующими документами, стоимость взлома — 1500 долларов за телефон. После “взлома” компания может получить с телефона данные, которые там хранятся. Кстати, они же утверждают, что могут добыть с телефонов зашифрованные сообщения из приложений для “безопасных коммуникаций” Signal, Telegram, Threema и Surespot. Ну и чтобы пользователям iPhone не было так обидно: Cellebrite утверждает, что они без проблем могут взломать и достать данные с новейших смартфонов с Android, включая Samsung S7 Edge и Google Pixel https://twitter.com/jifa/status/834510775158976513. http://www.cellebrite.com/Mobile-Forensics/Applications/ufed-physical-analyzer
Читать полностью…
несмотря на то, что у вас там праздники-выходные, у редакции канала в далеком замкадье вовсе не праздник, поэтому вот вам интересная информация (особенно интересной она будет для Мак-пользователей). Если вы любите шариться по торрент-сайтам в поисках Мак-софта, будьте осторожны, потому что там появилось новое вредоносное ПО-вымогатель (ransomware). этот гад мало того, что написал на Swift и прикидывается патчером для Microsoft Office или Adobe Premier, а при запуске шифрует файлы, но самое обидное, что в нем вроде как нет нету механизма расшифровки файлов. Правда-правда, вы правильно прочитали — даже если вы заплатите автору требуемый выкуп, он все равно не поможет вам вернуть ваши зашифрованные файлы (сука такая). Интересно, что пока что по адресу биткойнового кошелька, на который надо заплатить выкуп, транзакций не было. Короче, берегите себя там и вообще будьте осторожней! По ссылке — больше информации о самом ransomware http://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/
Читать полностью…
ну и в качестве бонуса за вчерашнюю паузу — статья о том, как технологии помогают читерам в игре в покер и другие карточные игры. забудьте о наперстках и шариках, теперь в моде смартфоны с инфракрасными камерами. (если вкратце, а то статья достаточно большая, там автор купил у китайских товарищей за 1300 долларов смартфон со встроенной инфракрасной камерой. к смартфоны прилагается несколько колод карт — запечатанные, все очень красиво, которые промаркированы специальным образом так, чтобы камера могла распознавать эти карты. а дальше смартфон, например, уже по bluetooth сообщает игроку информацию о карте в ухо). причем там кастомный андроид, свое приложение, а управление камерой происходит в кастомном модуле ядра системы. при этом система еще и защищена от программного анализа. короче, не садитесь играть в карты с кем попало, а если при этом еще на столе будет лежать смартфон, сразу доставайте молоток и херачьте по этому смартфону https://www.elie.net/blog/security/fuller-house-exposing-high-end-poker-cheating-devices
Читать полностью…
а есть еще интересная тема с ransomware, где эти вредоносные вымогатели прикидываются приложениями от правоохранительных органов
Читать полностью…
Исправляюсь со вчерашним затишьем. начнем с забавного. Boeing тут опубликовал уведомление (очевидно, как в том числе военный контрактор, компания должна раскрывать подобную информацию) — оказывается, один сотрудник отправил своей жене Excel, чтобы она что-то там помогла ему с форматированием файла. Только вот в файле в скрытых колонках оказались данные на 36 тысяч сотрудников Boeing, что, видимо, является секретной информацией. Поэтому Boeing выслал зондер-команду, которая делала зачистку компьютера жены (и сотрудника тоже), чтобы убедиться, что данные нигде не остались и не скопировались. Интересно, они потом дрелью диски просверлили? http://agportal-s3bucket.s3.amazonaws.com/Breach%20The%20Boeing%20Company%202017-02-08.pdf
Читать полностью…
а тут один стартап, связанный с криптовалютой (в данном случае — Zerocoin) рассказывает о том, как опечатка в коде привела к тому, что злоумышленники смогли создать фальшивую транзакцию и украсть немношк денег https://zcoin.io/language/en/important-announcement-zerocoin-implementation-bug/ (у BusinessInsider есть еще немного информации по этому поводу http://www.businessinsider.com/typo-bitcoin-rival-zcoin-attacker-steals-400000-2017-2)
Читать полностью…
И снова здравствуйте! Как обычно на этом канале, у меня только хорошие новости. И под хорошими новостями на самом деле я подразумеваю не очень хорошие новости :) Например, что Android-приложения, которые используются для управления некоторыми функциями автомобилей (например, разблокировать двери, найти машину на парковке и тд), оказались источниками огромного количества уязвимостей, позволяющих злоумышленникам в том числе и получить контроль над автомобилем. Само исследование проводили сотрудники Лаборатории Касперского, по ссылке — информация о приложениях и проблемах с ними. Учитывая серьезность интеграции с таким устройством как автомобиль, вообще странно, конечно, наблюдать отсутствие даже самых базовых механизмов защиты пользовательских данных и коммуникаций между устройствами. Короче, берегите себя! (и покупайте старые автомобили без всей этой компьютеризации) https://securelist.com/analysis/publications/77576/mobile-apps-and-stealing-a-connected-car/
Читать полностью…
Интересное расширение для Chrome — показывает, сколько и какой информации о вас собирает Facebook (я сам проверить не могу, потому что заблокировал себе Facebook на компьютере, но вам может пригодиться). Штука вроде как open-source, данные себе не собирает, так что вроде как с точки зрения вашей приватности не должно быть вопросов, зато позволяет вам увидеть (и ужаснуться) тому, сколько всякой информации о вас собирает Facebook http://dataselfie.it/#/about
Читать полностью…
Дратути! Поскольку у меня накопилась коллекция интересных ссылок, чтобы не забивать ленту лишними нотификациями, будет один пост с этими ссылками и комментариями. Никакого ранжирования в последовательности ссылок нет, просто так получилось.
1. Ссылка, которую прислал читатель Александр — Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика. Группа, в которую вошли исследователи из ряда известных университетов, а также представители Mozilla, Cloudflare и Google, провела анализ распространения методов локального перехвата HTTPS-трафика и влияния такого перехвата на сетевую безопасность. Результаты превзошли ожидания исследователей, оказалось, что 4-11% HTTPS-трафика перехватывается и анализируется сторонним ПО на стороне клиента (антивирусное ПО, межсетевые экраны), при этом в большинстве случаев подобный перехват приводит к уменьшению уровня защиты соединения.
http://www.opennet.ru/opennews/art.shtml?num=45996
2. Очень интересное расследование Брайана Кребса об авторе сайта LeakedSource.com, который недавно закрылся — сайт занимался продажей доступа к информации о пользовательских данных, полученных из разных утечек.
https://krebsonsecurity.com/2017/02/who-ran-leakedsource-com/
3. Интересный отчет еще из 2014 года о семействе вредоносного ПО X-agent, о котором я писал вчера. Вчера я упоминал, что считается, что X-Agent принадлежит группе APT28, которая вроде как “записана” за ГРУ. Так вот, отчет (ссылка на PDF ниже) называется “заглядывая в Аквариум”, что, подозреваю, может являться отсылкой именно на ГРУ (была такая книга у перебежчика Суворова, где он рассказывает, что якобы “аквариумом” называли главное здание 2-го Главного управления Генерального штаба).
https://assets.documentcloud.org/documents/3461560/Google-Aquarium-Clean.pdf
4. Статья об уязвимости в ASLR — это, грубо говоря, механизм рандомизации данных приложения в памяти, чтобы хакерам было сложнее взламывать приложения. Исследователи выяснили, что с помощью хитро-написанного JavaScript можно скомпрометировать практически все современные процессоры. В статье также есть информация о том, как можно защититься от этого вектора атаки
https://www.vusec.net/projects/anc/
В качестве бонуса — не совсем по теме канала, но все равно интересная история о том, как чувак хотел нанять киллера за биткойны для своей жены в darknet, его там развели на деньги и никакого киллера он не получил, в итоге убил жену сам, но полиция раскусила его и теперь он арестован и ждет суда
https://www.deepdotweb.com/2017/02/06/man-tried-hire-hitman-darknet-kill-wife-got-scammed-arrested-instead/
Традиционное пожелание беречь себя и свою информацию (и да, жен своих тоже берегите)
но вообще мне этот отчет еще был интересен данными о вредоносном ПО для Android. По информации из отчета, для Android существует более 19 миллионов вредоносных программ разных типов — вирусы, трояны, бэкдоры, и ransomware, и они составляют 99% всех вредоносных программ для мобильных систем. график вообще не очень хороший, если смотреть на увеличение количества, хотя если посмотреть на красную часть графика, то можно сделать вывод, что основное количество — это все-таки клоны одних и тех же программ, просто в некоторых вариациях. так что, в теории, при наличии антивируса на Android должно быть относительно нестрашно. хотя все равно страшно.
Читать полностью…
Читатель Марк тут задал вопрос, ответ на который, думаю, может пригодиться многим читателям этого канала: “ а как свой мак и телефон эпловский проверить? А то паранойя мучает теперь, если комп тупит или телефон, сразу кажется что это пакистанские хакеры мне зла хотят. “ Отвечает Александр Друзь… Ой, в смысле Пацай:
Для Мака есть несколько программ, которые позволяют видеть странную активность на компьютере:
- например, BlockBlock — показывает, если какое-то приложение прописывает себя в “долгосрочные” файлы типа startup items (так часто поступают всякие зловредные приложения). Нюанс в том, что автор — бывший сотрудник NSA, и поэтому в кругах экспертов существует определенный скепсис по поводу его тулзов)
https://objective-see.com/products/blockblock.html
- LittleSnitch — утилита, которая показывает различные сетевые соединения, которые происходят в системе. Как раз поможет против “пакистанских хакеров”, сосущих информацию из компьютера.
https://www.obdev.at/products/littlesnitch/index.html
- LittleFlocker — примерно как LittleSnitch, только не для сетевых соединений, а для файлового доступа на компьютере. Показывает полезные алерты, если какое-то приложение внезапно решило получить доступ к файлам в системе, к которым оно вроде как не должно доступаться.
https://www.littleflocker.com
Для iPhone, к сожалению, подобных тулзов нет, в связи с ограничениями самой операционной системы. но там изначально система запросов на доступы к информации построена лучше.
к предыдущей записи: там, конечно, кейс усложняется тем, что а) чувак уже гражданин США, и у него прав побольше, чем у каких-то там въезжающих туристов, которых легко можно вышвырнуть нафиг и не заморачиваться их правами; б) чувак работает в NASA — в лаборатории реактивных двигателей? (jet propulsion laboratory), хрен его знает, что там за секретные материалы он может видеть); в) телефон у него вообще собственность NASA, и поэтому непонятно, имел ли он какие-то права на то, чтобы этот телефон и доступ к нему защищать перед лицом представителя другого госоргана. все сложно, в общем
Читать полностью…
оператор Verizon выпустил ПДФ, который типа как журнал о взломах (по ссылке http://www.verizonenterprise.com/resources/reports/rp_data-breach-digest-2017-sneak-peek_xg_en.pdf) там из интересного есть рассказ о некоем университете (название не указывается), администраторы которого обнаружили в определенный момент большое количество dns-запросов, настолько большое, что это стало мешать работе сети университета. стали разбираться, и выяснили, что вендинговые машины, установленные в университете, и еще около 5 тысяч различных IoT-устройств (лампочки и проч) генерили каждые 15 минут огромное количество DNS-запросов, которые почему-то имели отношение к доменам, связанным с морепродуктами (но почему???). уже, можно сказать, традиционно, ботнет распространялся с помощью брутфорса дефолтных и слабых паролей во всей этой IoT-гаджетерии. реально нас погубит не скайнет, а лампочки с термостатами
Читать полностью…