20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
а Wikileaks сегодня опубликовала несколько документов из в свое время утекших из ЦРУ, где рассказывается о нескольких проектах о доступе к данным на Маках и iPhone. Например, проект "DarkMatter" методом внедрения в EFI устанавливает софт "NightSkies" для перехвата ввода с клавиатуры. DarkSeaSkies, устанавливаемый с флешки, использует уязвимость Thunderbolt, которая была исправлена в 2015 году. Nightskies — это некий физический имплант, который внедряется в телефон жертвы. Der Starke — еще один метод заражения компьютера через EFI, живущий в EFI. Судя по документации, затрагивает машины с 2010 по 2013 год, хотя там есть и документы о том, что вплоть до 2016 года ЦРУ разрабатывала следующую версию этого ПО для внедрения. В любом случае, хорошие новости заключаются в том, что речь пока что идет не об удаленных эксплойтах, а о локальных атаках, когда у сотрудников ЦРУ уже есть доступ к технике. так что можно пока выдыхать https://wikileaks.org/vault7/darkmatter/
Читать полностью…
кстати, вдогонку к этой истории /channel/alexmakus/1032 — большое жюри присяжных на этой неделе приравняли GIF к "смертельному оружию", и чувак, пославший её журналисту, видимо, сядет надолго. Конечно, к гифкам с котиками это не относится.
Читать полностью…
Гутенморген! С утра только "хорошие" новости. Некая группа хакеров под названием Turkish Crime Family требует у Apple выкуп в 75 тысяч долларов, а иначе 200 (а то и 300, а то и 559) миллионов iPhone 7 апреля будут удаленно очищены. Хакеры предоставили СМИ переписку с командой безопасности Apple, и даже показали видео, на котором они вроде как в один из таких телефонов вламываются и могут просматривать фотографии в iCloud этого аккаунта. Вся эта история выглядит достаточно мутно, конечно, но перестраховаться и сделать локальный бекап на компьютер, наверно, не помешает https://motherboard.vice.com/en_us/article/hackers-we-will-remotely-wipe-iphones-unless-apple-pays-ransom?utm_source=vicefbus
Читать полностью…
еще пара ссылок по теме канала:
1. на прошедшей на прошлой неделе прошла Pwn2Own, где соревнуются хакеры по взлому различных устройств. самый впечатляющий взлом — это взлом браузера Edge, который работал в виртуальной машине, а затем выход из пространства виртуальной машины и захват основного хоста. приз — 105 тыс долл. https://arstechnica.com/security/2017/03/hack-that-escapes-vm-by-exploiting-edge-browser-fetches-105000-at-pwn2own/
2. уязвимость в популярном софте для форумов vBulletin позволила взломать 140 форумов и украсть данные на 942 тыс пользователей (юзернеймы, имейлы и hashed пароли) https://www.troyhunt.com/i-just-added-another-140-data-breaches-to-have-i-been-pwned/
редакция этого канала в лице меня сделает попытку восстановить регулярные трансляции ужасов из мира информационной безопасности, особенно в свете того, что нога сломана и бежать мне особо некуда. по этому поводу расскажу вам интересную историю про мудака, который где-то в конце прошлого года послал через твитер журналисту издания Newsweek моргающую гифку. Журналист страдает эпилепсией (отправляющий знал это), и от просмотра этой гифки у него случился эпилептический приступ. анонимный твиттер-аккаунт, привязаный к припейд СИМ-карте — в общем, интернет-воин думал, что он себя обезопасил. Но оказалось, что его таки нашли. Суд еще только предстоит, но вообще в документах фигурирует обвинение "с целью убийства, нанесения травмы и запугивания", так что результат суда может оказаться неприятным для анонимного бойца интернета.
интересно же то, как его нашли. Полиция запросила у твиттера информацию о владельце аккаунта и получила номер телефона (там еще IP и проч, но это не так важно). Затем полиция пробила через оператора тот факт, что пользователь использовал iPhone 6. Поэтому еще один ордер суда позволил запросить у Apple, нет ли такого номера телефона, который был бы привязан к аккаунту iCloud. Бинго! Такой номер существовал, и был привязан уже более 5 лет к iCloud, что позволило идентифицировать нападающего. Ну а дальше арест и обыск содержимого на телефоне предоставил различные доказательства его вины. В общем, даже анонимная СИМка не спасает; только burner phones, только hardcore! По ссылке — материалы обвинения https://cdn2.vox-cdn.com/uploads/chorus_asset/file/8192819/rivello-complaint.0.pdf
Тут ещё советница президента Трампа ляпнула "за нами могут следить с помощью микроволновок!". По этому поводу у Wired статья о том, возможно ли на самом деле такое https://www.wired.com/2017/03/kellyanne-conway-microwave-spying/
Читать полностью…
И ещё ссылка от читателя Владимира, о том, как производитель "умных" вибраторов собирал информацию о пользователях, за это на него подали в суд и теперь он выплатит штраф. Думаю, таких историй в будущем будет очень много http://www.ixbt.com/news/2017/03/14/proizvoditel-umnyh-vibratorov-vyplatit-375-mln-za-sbor-konfidencialnyh-dannyh.html
Читать полностью…
Вот ещё тоже ссылка по теме, присланная читателем Сергеем (вообще скоро мне не надо будет ничего делать, только ссылки репостить) о том, как заражённые флешки используются как вектор атаки. Я как-то уже об этом писал, но повторить не помешает
Читать полностью…
Привет! Вначале редакция канала в лице меня отсутствовала, потому что был отпуск. А потом отсутствовала, потому что сломала ногу, и редакцию транспортировали с горы в больницу. Теперь редакция ожидает операцию на сломанном колене, поэтому апдейты канала могут быть не очень регулярными. А вообще, похоже, что беречь надо не только информацию, но и ноги (и руки, и голову, и все остальное). Так что пока что несколько ссылок по теме канала:
1. Ссылка от читателя Дениса о том, что некоторые Android-смартфоны приходят сразу с предустановленным вредоносным ПО. Причём это могут быть и телефоны известных марок, а установка ПО (софт, ворующий информацию, показывающий рекламу), а установка происходит где-то в цепочке поставки телефонов. А что, удобно, да. https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/
Интересная статья, ссылку на которую прислал читатель Михаил, за что ему спасибо, о том, что всякие требования к тому, каким должен быть пароль, на самом деле дурацкие и вообще с паролями у юзеров все плохо https://blog.codinghorror.com/password-rules-are-bullshit/
Читать полностью…
кстати о ЦРУ. Тут читатель Лев прислал ссылочку на видео, где у амазоновской Алексы (это такой их виртуальный ассистент) спрашивают, связана ли она с ЦРУ. Ответ весьма многозначительный получился https://www.reddit.com/r/videos/comments/5yeefj/alexa_are_you_connected_to_the_cia/
Читать полностью…
Я тут по поводу опубликованных материалов на Wikileaks набросал заметку в блоге (цитируя также то, что я вчера здесь писал). Так что удачно все зациклил :) https://alexmak.net/blog/2017/03/08/wikileaks/
Читать полностью…
Наверно, новость дня (а то и месяца) — это публикация Wikileaks об инструментах ЦРУ для взлома компьютерных систем https://wikileaks.org/ciav7p1/. ВЛ где-то добыли почти 9 тысяч документов из Центра Кибер разведки ЦРУ, в которых содержится информация об инструментах для взлома, вирусах, троянах, уязвимостях и прочих инструментах, используемых для добывания информации ЦРУ. По сути, все, что ЦРУ использовало для цифрового взлома, есть у Викиликс и будет опубликовано у них. Там есть и информация об уязвимостях в iPhone, и в Android, и в Windows, и в смартТВ Samsung. Например, вот информация по взлому iPhone и других iOS-устройств https://wikileaks.org/ciav7p1/cms/space_2359301.html, а вот — по Android https://wikileaks.org/ciav7p1/cms/space_11763721.html Короче, дальше будет только хуже, поэтому берегите там себя и свою информацию.
Читать полностью…
Как только в интернете не разводят людей. Например, на картинке выше - типа "онлайн-банкомат": "введите данные своей карты, чтобы узнать баланс по карте". Понятно же, что не стоит вводить данные своей карты куда попало, но наверняка найдутся люди, которые и сюда вобьют свои данные. Берегите там себя!
Читать полностью…
а плохие новости про Yahoo все никак не прекратся. Reuters тут пишет, что Yahoo призналась, что злоумышленники научились подделывать кукисы пользователей, и таким образом данные 32 миллионов пользователей стали доступны злодеям. Конечно, после утечки данных миллиарда пользователей что там какие-то еще 32 миллиона? Но вообще Yahoo уже как Flash — всем станет легче, когда оно окончательно исчезнет где-то там в недрах Verizon http://www.reuters.com/article/us-yahoo-databreach-idUSKBN1685UY
Читать полностью…
Дратути! Вдогонку ко вчерашней новости про хакеров, шантажирующих Apple массовым удалением iCloud-аккаунтов (/channel/alexmakus/1036). Apple в заявлении СМИ заявила, что их систему никто не взламывал, а пользовательские учетки iCloud находятся в безопасности. Однако, для тех пользователей, у кого есть re-use логинов-паролей из других сервисов, где произошли утечки (LinkedIn, Yahoo, и проч), сохраняется риск того, что к их индивидуальным аккаунтам может быть получен доступ злоумышленниками. Так что уникальный пароль и двухфакторная авторизация спасут вас! http://fortune.com/2017/03/22/apple-iphone-hacker-ransom/
Читать полностью…
а вот еще интересная тема. вы думали, что джейлбрейк бывает только у телефонов? как насчет джейлбрейка у тракторов? Производитель тракторов John Deere в прошлом году ввел драконские меры, в рамках которых фермерам запрещено делать какие-либо ремонты в технике компании. Все ремонты должны производиться официальными сервисными центрами компании. Контролируются эти ограничения с помощью программного обеспечения — после любого ремонта трактор надо перепрошивать авторизованным ПО для того, чтобы, например, новая коробка передач заработала, иначе трактор просто не выедет из сервиса. Фермеры, конечно, взвыли, потому что официальный сервис - это и дорого, и зачастую долго. Украинские хакеры спешат на помощь! На форумах для фермеров можно купить взломанное ПО для тракторов JD, которое позволяет обходить защиту компании, и осуществлять ремонт техники (обновлять прошивку, снимать лимит скорости, делать сбросы ошибок и проч). На самом деле эта проблема более глобальная, чем просто украинские хакеры и JD. По мере компьютеризации техники (не только тракторов, но и автомобилей) возникает вопрос о том, являетесь ли вы на самом деле владельцем этого автомобиля, или же производитель дает вам им попользоваться (потому что одно дело — владеть просто двигателем и коробкой передач в простом автомобиле 50-летней давности, и совсем другое — это миллионы строк программного кода, который обеспечивает работу современного автомобиля, которые производитель как бы "лицензирует" вам для временного использования). Проблема пока что обсуждается и однозначного решения у нее нет. https://motherboard.vice.com/en_us/article/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware
Читать полностью…
И вдогонку еще пара ссылок:
1. от читателя Марка, хороший обзор опасностей, которые подстерегают пользователей различной "умной" электроники из мира IoT (на русском, в хорошем изложении). тут и про инструменты для взлома IoT-устройств, и про телодвижения регулирующих органов, которые пытаются взять эту отрасль под контроль, и как вам, как пользователю, можно обезопасить себя при использовании IoT-гаджетов https://apparat.cc/world/internet-of-things/
2. и еще ссылка от Дениса о том, как американская Федеральная Комиссия по Коммуникациям собирается провернуть всех пользователей на одном там органе и оставить их наедине с корпорациями в борьбе по защите своих личных данных. в статье есть хороший пример о том, что ничто не остановит, например, интернет-провайдеров делиться со своими партнерами (например, компаниями, которым нужна информация о ваших интересах) о том, что вы ходили по сайтам какой-то определенной тематики. конечно, для тех, кто живет не в америке, это не так актуально, но вообще эти тренды имеют тенденцию распространяться... https://www.engadget.com/2017/03/17/fcc-your-cybersecurity-isnt-our-problem/?sr_source=Twitter
помните публикацию материалов ЦРУ на Wikileaks пару недель назад? вот первые цветочки: Cisco пишет, что у 318 моделей свичей может быть получен полный удаленный контроль над устройством после исполнения вредоносного кода https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
Читать полностью…
Я с этой поломанной ногой сильно отстал от кучи разных интересных новостей на тематику канала:
1. Утечка 33 миллионов персональных записей о гражданах США, включая информацию о военных, которая должна быть засекречена. Конечно же, mongoDB, 52ГБ записей, включая имя, фамилию, номер телефона, адрес, работу, возможный доход, и ещё много чего. Содержит информацию только об американцах. https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/ утечка произошла из сервиса NetProspex, принадлежащего компании Dun&Bradstreet, собирающей информацию о бизнесах и физлицах в США. Молодцы они, да.
2. Вторая и не менее важная ссылка ведёт на министерство юстиции США, где прямым текстом обвиняются российские хакеры и покрывавшие их офицеры ФСБ во взломе аккаунтов Yahoo, а также в несанкционированном доступе к информации банков, СМИ, политиков и многих других организаций в США, России и других странах. Традиционно поддержим скептиков "врут они все", и патриотов "молодцы наши, а!". Но это ещё явно не конец этой истории.
https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions
3. Вчера многие твиттер-аккаунты оказались взломанными и опубликовали твиты на турецком языке, называя некоторые европейские страны нацистскими. На самом деле взломали сторонний сервис Twitter Counter, через который добрались уже и до остальных аккаунтов. Так что лучшее, что вы можете сейчас сделать - это зайти в настройки Твиттера и убедиться, что ни у каких лишних приложений нет доступа к вашему аккаунту. Это можно сделать здесь https://mobile.twitter.com/settings/applications
Накрутка юзеров и лайков - зло!Специалисты ESET обнаружили на Google Play 13 вредоносных приложений для кражи логинов и паролей Instagram. Количество загрузок превысило полтора миллиона.
Приложения использовали один и тот же способ сбора учетных данных. Они предлагали раскрутку аккаунтов в Instagram – быстрый рост числа подписчиков, лайков и комментариев.
После установки приложение запрашивает у пользователя логин и пароль от Instagram. Введенные данные отправляются на удаленный сервер мошенников в виде простого текста. При этом пользователь не сможет войти в учетную запись – приложение выводит на экран сообщение о неверном пароле.
В Instagram предусмотрено оповещение пользователей о несанкционированных попытках доступа. Чтобы авторизоваться во взломанной учетной записи, не вызывая подозрений, мошенники добавили в сообщение о неверном пароле предложение пройти верификацию аккаунта. Предполагается, что пользователь подтвердит «законность» действий злоумышленников.
В ESET отследили серверы, на которые поступали украденные логины и пароли, и связали их с сайтами, продающими услуги раскрутки аккаунтов в Instagram. Взломанные учетные записи использовались для распространения спама, а также «пакетной» продажи подписчиков, лайков и комментариев.
После предупреждения ESET вредоносное ПО было удалено из Google Play. Эксперты ESET рекомендуют пострадавшим сменить пароли от Instagram, а также от других сервисов, если пароль где-либо повторялся.
66% потерянных флешек содержат вирусы.
Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.
Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.
Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.
Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.
(Вдогонку к предыдущей ссылке - ссылка на оригинал отчета об этой прекрасной находке http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/)
Читать полностью…
а вот еще забавный комментарий от F-secure, который относится к последствиям публикации материалов ЦРУ на Wikileaks. Там, как вы помните, всплыла информация об уязвимостях в разных операционных системах, и вендоры бросились рассказывать, что "у нас уже и так большинство этих проблем зафикшены" — там и Apple выступила, и Google, и Cisco, и др. Но F-secure совершенно корректно уточняет: да, проблемы-то в последних ОС исправляются, но у Apple юзеры очень быстро переходят на новые версии операционок (куда включены всякие исправления проблем безопасности), а вот у Google с этим... скажем так, все очень плохо. О какой там безопасности вообще можно говорить, когда на Android 7.x, которая вышла в августе прошлого года, сейчас 2.8% юзеров Android? А большинство юзеров все равно сидит на Android 4.x/5.x/6.x, где нужные патчи безопасности часто даже не выходят уже? Короче, как я упоминал в блоге, ситуацию с Android эта утечка особо не ухудшит. Вывод F-secure — если вы хотите пользоваться Android, и вас беспокоят вопросы безопасности, выбирайте вендоров, которые регулярно и оперативно обновляют устройства. Я, кстати, знаю только одного такого вендора — это Google с их Nexus/Pixel. Берегите там себя! https://labsblog.f-secure.com/2017/03/09/apple-google-and-the-cia/
Читать полностью…
и об утечках (ведь изначально этот канал как-то возник на волне всяких анонсов об утечках пользовательских данных). Есть такая компания — River City Media, которая занимается рассылкой различного спама. Короче, они там налажали в каких-то своих бекапах, и вся их база пользователей — 1.4 млрд записей — утекла в интернет. На самом деле в базе, если вычесть дубликаты, оказалось “всего” 393 млн уникальных записей, что тоже, в общем-то, неплохо. Так что, видимо, в ближайшее время стоит ожидать еще увеличения количества спама, потому что эту базу теперь получили все другие рассыльщики спама в интернете. Больше информации о том, что там произошло — тут http://www.csoonline.com/article/3176433/security/spammers-expose-their-entire-operation-through-bad-backups.html
Читать полностью…
Короче, по следам изучения слива Wikileaks пока что вырисовывается следующее:
- Никаких особых откровений и невероятных открытий эти материалы не принесли. Самое интересное из них — это список эмодзи https://wikileaks.org/ciav7p1/cms/page_17760284.html и интересные названия проектов http://gizmodo.com/the-cias-leaked-hacking-code-names-are-silly-as-hell-1793044136
- Google и Apple заявили, что большая часть уязвимостей в их программном обеспечении, которые фигурируют в сливе, все равно уже исправлена
- ЦРУ знала о том, что произошла утечка, с конца прошлого года.
- В организации утечки подозревается кто-то из подрядчиков ЦРУ (то есть она не произошла в результате хакерской атаки)
(Эту теорию подтверждает тот факт, что опубликованные документы выглядят как будто взяты из одного места, а не собраны по разным сегментам сети взломанной организации)
- один из вариантов источника утечки — Harold Martin, сотрудник Booz Allen Hamilton, которого обвиняют в краже множества секретных документов и прочей информации в Пентагоне. Также есть подозрения, что он же стал источником слива инструментов NSA в конце прошлого года. Я о нем как-то писал тут в канале /channel/alexmakus/755 — у него обнаружили 50 ТЕРАБАЙТ секретной информации. /channel/alexmakus/762
- Есть версии, что главная цель слива — это информация о проекте Umbrage (в рамках которого взломы, проводимые ЦРУ, могли маскироваться под взломы хакеров из России). Таким образом ситуация со взломами политических партий и других организаций в США становится еще более запутанной.
В общем, дальше будет видно, что к чему. Не переключайтесь.
про публикацию в Wikileaks уже подтянулись журналисты. например, New York Times пишет, что “инструменты ЦРУ позволяют обойти шифрование Signal, WhatsApp, Telegram” (в статье это звучит так — “ the WikiLeaks release said that the C.I.A. and allied intelligence services had managed to bypass encryption on popular phone and messaging services such as Signal, WhatsApp and Telegram.”). Хотя на самом деле речь идет не о том, что взломан протокол этих мессенджеров, а о том, что с помощью инструментов ЦРУ можно получить доступ к данным на телефоне и, например, с помощью кейлоггера перехватывать сообщения даже в секретных чатах. но к протоколу это не имеет отношения.
Читать полностью…
моя любимая тема — голосовые помощники типа амазоновской Алексы. Я тут недавно был в гостях, сложно было удержаться не заказать что-то неожиданное владельцу, типа там 40 гробов или что-то в этом роде
Читать полностью…
Субботний выпуск новостей будет состоять из набора интересных ссылок, накопившихся за неделю, но почему-то не заслуживших упоминания ранее:
1. Я уже как-то писал об истории, где умный датчик расхода воды использовался как источник информации при расследовании убийства. А ещё была история о том, как данные с кардиостимулятора использовались при расследовании умышленного поджога. Вот вам ещё история о девушке, бегавшей марафон, но почему-то решившей обмануть всех своим рекордным результатом. Для того, чтобы раскрыть её, были использованы её же данные с трекера Гармин. Помните, все, что собирает данные о вас, может быть потом использовано против вас https://arstechnica.com/gadgets/2017/02/suspicious-fitness-tracker-data-busted-a-phony-marathon-run/
2. История о том, как в IoT устройствах китайского производителя DblTek был обнаружен бэкдор, позволяющий по Телнету получать контроль над устройствами, но производитель отказывается его исправлять. Очередные кандидаты на участие в ботнете Mirai.
https://www.trustwave.com/Resources/SpiderLabs-Blog/Undocumented-Backdoor-Account-in-DBLTek-GoIP/
3. О приложениях для Android, в которых встроен скрытый iFrame, способный загружать в том числе вредоносное ПО
https://www.grahamcluley.com/132-android-apps/
4. И в качестве бонуса - статья о том, как Uber использует свои данные для того, чтобы следить за пользователями, которые заказывают автомобили и избегать заказов от представителей госорганов и правоохранительных органов. Оригинал в NYT https://mobile.nytimes.com/2017/03/03/technology/uber-greyball-program-evade-authorities.html?referer= и рерайт на русском https://tjournal.ru/41649-nyt-uber-ispolzoval-sekretnuu-programmu-dlya-obmana-vlastei-ogranichivshih-deyatelnost-kompanii
Пользователям Chrome на Маке будет интересно узнать, что Chrome теперь умеет защищать ваш Мак от вредоносных приложений: используя технологию Safe Browsing, Chrome будет вас предупреждать, когда вы будете заходить на потенциально опасные для вашего Мака сайты http://security.googleblog.com/2017/03/expanding-protection-for-chrome-users.html
Читать полностью…