Информация опасносте
19.3K subscribers
434 photos
6 videos
37 files
3.33K links
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec
Нет, «опасносте» не опечатка
@alexmaknet
mail: alexmak@alexmak.net
Download Telegram
to view and join the conversation
Помните про Spectre и Meltdown? Наверняка многие помнят, возможно, о самой главной новости инфосека этого года. Так вот, а история-то не закончилась! Microsoft и Google совместно сообщили о новой обнаруженной уязвимости под названием Speculative Store Bypass, эксплуатирующей спекуляционные исполнения в современных процессорах. Обновления в Safari, Edge, Chrome, минимизирующие риски Meltdown, вроде как работают и для SSB, но против SSB еще отдельно будет выпущено обновление микрокода процессора, которое приводит к снижению производительности процессора на 2-8%. В обновлении защита от SSB будет выключена по умолчанию, так что админам придется делать выбор между безопасностью и производительностью.

https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
Что может пойти не так, если подавать в Facebook свои обнаженные фотографии?
Вчера в новостях активно обсуждали проект Amazon под названием Rekognition (да, это не опечатка - https://aws.amazon.com/rekognition/) - сервис компании по распознаванию лиц на фотографиях.

Сервис может распознавать до 100 человек на одном снимке и сравнивать лица против базы данных с миллионами лиц. Сервис уже используется некоторыми подразделениями полиции для сравнения лиц с базой данных преступников, а сейчас Амазон ведёт переговоры о создании проекта, который позволял распознавать лица на камерах по городу. https://www.aclunc.org/docs/20180522_ARD.pdf#page=8

https://www.youtube.com/watch?v=sUzuJc-xBEE&feature=youtu.be&t=31m16s

Сама история вроде как и не выходит за рамки чего-то экстранеобычного, но в Штатах есть организации, которые борются с идеями подобного постоянного наблюдения, так что скандал нешуточный. С учётом того, что Амазон при этом продаёт потребителям железки со встроенными камерами, вопросы к Амазоне возникают вполне конкретные. А там, глядишь, и до распознавания отпечатка голоса недалеко благодаря популярности голосового помощника Alexa, и уж совсем никуда не скроешься от постоянного наблюдения. В общем, страшно жить, вот это все.
Минкульт поручил Ростуризму изучить целесообразность ограничения работы http://Booking.com в России

https://meduza.io/news/2018/05/22/minkult-poruchil-rosturizmu-izuchit-tselesoobraznost-ogranicheniya-raboty-booking-com-v-rossii

Потому что зачем вообще это всё

АПД
Министерство культуры РФ выступает категорически против запрета использования сервиса бронирования гостиниц Booking.com. Об этом заявила директор департамента туризма и региональной политики Ольга Ярилова.

Ведомство заверило, что работе сервиса на территории России ничего не угрожает, а также выступило против каких-либо планов регулирования его деятельности.

https://meduza.io/news/2018/05/23/minkult-vystupil-protiv-zapreta-booking-com-v-rossii
Кстати, о наблюдении и распознавании лиц на видео. Вот как в Китае следят за лицами школьников - сканируют каждые 30 секунд, распознают эмоции, а также используют лицо как идентификационный документ для библиотеки или покупки обедов.

http://www.businessinsider.com/china-school-facial-recognition-technology-2018-5
Apple в рамках подготовки к GDPR в Европе запустила новый сайт по Privacy - privacy.apple.com, где можно посмотреть данные, которые есть у компании на пользователей (пока что доступно только пользователям из ЕС, международное выкатывание произойдёт позже в этом году), а также можно удалить оттуда свой аккаунт (это уже доступно всем). Налетай, аккаунт удаляй!
Привет! С вами снова рубрика «что сломали в этот раз?». Я, следя за новостями из мира информационной опасносте, уже давно стал луддитом, и всякие новости из автомобильного мира, когда я читаю, как в очередной раз в машину добавили какую-то компьютерную систему, скорее расстраиваюсь, чем радуюсь. Прогресс прогрессом, но когда я вижу, как Мерседес хвастается, что «в наших машинах 100 млн строк кода», я вижу в основном потенциал для уязвимостей в этих строках, а не доказательство прогресса. Тут вот вышли также новости и про BMW, в программном обеспечении которых исследователи нашли 14 уязвимостей. С их помощью можно получить доступ как к мультимедийной системе, так и к системе управления телематикой, и к CAN-шине. Некоторые из уязвимостей требуют физического доступа (например, подключение к USB-портам или OBD-II), но 6 уязвимостей могут быть эксплуатированы удаленно через беспроводные интерфейсы (Bluetooth и мобильное подключение). (Включая отправку NGTP сообщения по SMS, которое приводит к удаленному исполнению кода без взаимодействия с пользователем). Затронуты модели серии i, X, 3, 5, 7.

отчёт об исследовании можно почитать тут (PDF)
https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf

Исследователи работают с BMW, и полный отчёт будет опубликован в 2019 году.

А в этом твите можно почитать о том, что BMW думает об этой истории
https://twitter.com/0xcharlie/status/998982979165806592
Так себе ответ, если честно.

PS был недавно какой-то дурацкий фильм с Пирсом Броснаном, где его героя и дом, в котором он жил (устройства, автомобиль и тд), решил взломать какой-то мегахацкер. И Пирс Броснан спасался в Мустанге семидесятых. Короче, не такая уж плохая идея купить машину без всяких компьютеров. И при зомби-апокалипсисе пригодится.
Пользуетесь Quora? У них, оказывается, есть трекинг пользователей через «пиксель» - система, похожая на то, что использует Facebook для слежки за пользователями, когда они ходят по другим сайтам.

https://www.quora.com/about/pixel_privacy

Персонализация контента, вот это все. Но если вам не нравится, то можно отключить тут
https://www.quora.com/optout

АПД Учтите, что отключать это надо на каждом устройстве в каждом браузере отдельно. И в каждом контейнере Firefox.
Кстати, о Facebook. Если вы ещё пользуетесь этой рекламной сетью, которую по какому-то недоразумению ещё называют социальной сетью, они тут улучшили процесс двухфакторной авторизации - теперь её можно сделать без номера телефона, как они пишут
https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/

(Что странно, потому что я настроил 2ФА в ФБ через Google Authenticator достаточно давно, поэтому я не очень понимаю, в чем именно новость. Возможно, в том, что теперь то уж точно номер телефона не требуется)
И снова здравствуйте! Сегодня мы начнём с рубрики «все как я люблю», также известной как «умные гаджеты наносят ответный удар». Пока большинство из вас спало, в интернете разворачивалась драма по поводу умной колонки Amazon Echo и «живущего в ней» ассистента Alexa. Одна пара, у которых стояла дома такая колонка, обнаружила, что колонка записала их разговор и отправила его запись их знакомому (коллеге мужа)
https://www.kiro7.com/news/local/woman-says-her-amazon-device-recorded-private-conversation-sent-it-out-to-random-contact/755507974

Объяснение Amazon звучит так, что в процессе разговора Алекса воспринялась некоторые слова в разговоре как команды и поэтому записала сообщение и отправила человеку в адресной книге (речь идёт об этой фиче колонки https://www.amazon.com/gp/help/customer/display.html?nodeId=202136270):

Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”

Подозрительно выглядит такая череда совпадений, да ещё и утверждения, что Алекса якобы должна была громко задавать вопросы в процессе, хотя наверно владельцы бы это заметили. Хотя, конечно, исключать такую возможность не стоит. Но если вы параноик, то, конечно, это станет только дополнительным аргументом к тому, чтобы все эти умные колонки в дом не пускать.

PS я, кстати, в яблочном HomePod тоже несколько раз замечал, как Siri без очевидной команды « Hey Siri» вдруг говорила «хм?». Эти ложные срабатывания, да ещё как в случае с амазоном, когда куда-то уходит аудиозапись разговора, только ещё больше напрягают. Умные колонки особенно хороши, когда в них нет микрофона :)

Интересно, что если на амазоновском устройстве включить доступ к контактам и функцию звонков и сообщений, то для отключения надо звонить в поддержку. Удобно!
https://www.buzzfeed.com/nicolenguyen/how-to-deactivate-alexa-calling-and-messaging
Все последние теракты, произошедшие в том числе в России, координировались через мессенджер Telegram. Об этом, как передает корреспондент РБК, глава Роскомнадзора Александр Жаров заявил журналистам на Петербургском международном экономическом форуме (ПМЭФ).

«Доказательства неопровержимые: к сожалению, все последние террористические акты, которые произошли и в нашей стране, и за рубежом, координировались через Telegram», — сказал он, заметив, что «это подтверждено результатами оперативно-разыскной деятельности Федеральной службы безопасности».

Это я к чему? К тому, что лучше с Телеграмом не станет, так что осваивайте VPN и вот это все.
Сегодня день, когда в рамках европейского закона по охране частных данных (та самая аббревиатура GDPR, из-за которой в почтовые ящики вам наверняка сыпется куча апдейтов политик конфиденциальности) вступают в силу штрафные санкции за несоответствие требованиям получения, хранения и обработки данных, поэтому на примере одного сайта хочу продемонстрировать масштабы катастрофы. Есть такой известный сайт TechCrunch. Когда-то его купила компания AOL, которую в свою очередь купила компания Verizon. Ещё она купила Yahoo, и объединила все это в контентный проект Oath. Так вот, если кликнуть на политику конфиденциальности TechCrunch, попадаешь на сайт Oath.

https://policies.oath.com/us/en/oath/privacy/index.html

И там можно зайти в раздел «третьих сторон» - различных компаний, предоставляющих их всякие сервисы Oath, и таким образом тоже имеющим возможность собирать ваши данные, включая местоположение. Это аналитика, рекламные компании, провайдеры контента и тд. Oath обещает, что получаемая ими информация не позволяет им идентифицировать вас лично, но мы-то знаем, как всякий кросс-матчинг позволяет вычислить индивидуальных пользователей. Просто зайдите по этой странице и посмотрите на список. Попробуйте его поскроллить.

https://policies.oath.com/us/en/oath/privacy/topics/thirdparties/index.html
Помните, я тут как-то много писал про модное в какой-то момент приложение GetContact, в которое пользователи радостно сливали свои адресные книги с чужими номерами телефонов? Можете поискать по каналу, тут было много интересных записей об этом сервисе и о том, как там все устроено. Вот и нашёлся метод его применения (по крайней мере, так пишут). Издание The Insider опубликовало статью о поиске подозреваемых в истории со сбитым над территорией Украины Боингом.

«СБУ утверждала, что «Андрей Иванович» с позывным «Орион» является сотрудником ГРУ, но никак не обосновывала это предположение. В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).

Более того, в аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ» причем подписан он был «от Хаски» («Хаски» — название одно из военных подразделений в ДНР).»

Политота политотой, а вот и информация опасносте....

https://theins.ru/politika/103853
Как хорошо знают постоянные читатели этого канала, двухфакторная авторизация - это не только полезно, но и безопасно. Один из лучших методов двухфакторной авторизации - это хардварные ключи Yubico. Однако, до последнего времени с ними была одна проблема - ими было невозможно пользоваться на iOS-устройствах. Но теперь компания выпустила SDK для разработчиков, которые могут добавить поддержку ключей с NFC в iOS-приложения.
https://developers.yubico.com/Software_Projects/Mobile%20iOS%20SDK/1.0.0/

Из приложений, которые уже поддерживают эти ключи, есть только менеджер паролей LastPass, но, глядишь, с публичным выходом SDK таких приложений появится больше

вот, в кои-то веки хорошие новости в канале
Утечка данных сотрудников на заводе Jaguar Land Rover, из которой многие сотрудники узнали о том, что их скоро уволят. Упс.

https://www.huffingtonpost.co.uk/entry/jaguar-landrover-data-breach_uk_5b06a053e4b05f0fc84541e5
Сервис Ghostery - разработчик блокировщика рекламы и трекеров для браузеров - отпраздновал день GDPR, разослав своим пользователям письмо с адресами в поле CC. Молодцы
Привет! Закрываю гештальт с темой про VPNFilter - вредоносное ПО для роутеров, но которое писали на прошлой неделе, а у меня все никак руки не доходили написать. Короче, есть такая зараза для роутеров MicroTik, NETGEAR, Linksys и TP-Link и некоторых NAS-устройств, которая перехватывает трафик в роутерах, а также может превратить роутер в тыкву. Утверждается, что сеть зараженных устройств находится под контролем группировки Sofacy Group, также известной как A.P.T. 28и Fancy Bear (считается, что это группировка под управлением российского разведывательного управления). Всего заражено около 500 тыс устройств в 54 странах, и вроде как большинство из них - в Украине.

Детальное исследование этого зловреда можно почитать тут про методы заражения и тд

https://blog.talosintelligence.com/2018/05/VPNFilter.html

Но есть и хорошие новости! ФБР получило контроль над доменом, который якобы является ключевым компонентом системы управления инфраструктурой зараженных роутеров, что должно предотвратить повторное заражение устройств.

https://www.justice.gov/opa/press-release/file/1066036/download

Теперь ФБР советует перезапустить роутеры владельцам, что должно на время вывести вредоносное ПО из строя, и обновить прошивку на устройстве, отключить функции удаленного управления, а также установить логины и пароли покрепче.

https://www.ic3.gov/media/2018/180525.aspx

Берегите себя и свои роутеры!