Сегодня как-то накопилось несколько интересных ссылок, поэтому выпуск сегодня скорее похож на дайджест. Итак, поехали.

1. Полиция Нью-Йорка установила массу камер по городу для наблюдения и предотвращения угроз. IBM использовала изображения с этих камер для обучения системы по идентификации объектов и поиска по различным характеристикам: цвет волос, оттенки цвета кожи, и тд.
https://theintercept.com/2018/09/06/nypd-surveillance-camera-skin-tone-search/

2. Департамент юстиции США выдвинул обвинения против северокорейского хакера Park Jin Hyok (Пак Джин Хьёк), и список заслуживает практически уважения. Это и взлом Sony Pictures в 2014 году (на волне выхода фильма "Интервью" про убийство Ким Чен Ына), и участие во взломе банка Бангладеша, что привело к краже десятков миллионов долларов, и разработка вируса WannaCry. Так-то его, конечно, никто не выдаст, поэтому все, что могут делать представители департамента — надувать щеки и назначать санкции.

А вот тут интересный тред в твиттере о всякой информации, которую можно получить из материалов дела об этом корейском хакере:
https://twitter.com/razhael/status/1037757255507169280



Документ Департамента юстиции
Анонс санкций




3. Apple на своей странице о информационных запросах со стороны государств анонсировала, что компания запускает программу по поддержке правоохранительных органов, которые хотят подать запросы на получение информации от Apple. Собственно, это не значит (как уже некоторые успели предположить), что Apple начнет раздавать информацию направо и налево, это значит, что будет стандартизирован формат подачи информации. Появится специальный портал, куда полицейские со всего мира (но специальным образом авторизованные, хотя непонятно, что это значит), смогут вводить данные запроса и надеяться на ответ от специальной команды юристов и экспертов Apple.

https://www.apple.com/privacy/government-information-requests/

4. British Airways сообщила о утечке пользовательских данных со своего сайта ba.com, и о том, что "380 тысяч платежей банковскими картами было скомпрометировано". Деталей о том, что именно произошло, к сожалению, нет.

https://techcrunch.com/2018/09/06/british-airways-customer-data-stolen-in-data-breach/

АПД официальное заявление BA тут
https://www.britishairways.com/en-gb/information/incident/data-theft/latest-information

Известный эксперт по безопасности macOS Патрик Вордл обнаружил, что популярное в Mac App Store приложение Adware Doctor копировало у пользователей историю просмотров веб-страниц в браузере и отправляло его на сервер в Китае. Приложение было не просто "популярное", а четвертое в списке платных ($4.99) приложений в Mac App Store, а в своей категории — вообще первое. Приложение активно сканировало историю всех браузеров, установленных на Маке (Safari, Chrome, Firefox), архивировало её в запароленный архив и передавало её на сервер adscan.yelabapp.com.

Теоретически ограничения песочницы Mac App Store должны были такое предотвратить, но приложение запрашивало доступ к пользовательской директории (что вроде как само по себе легитимно - надо же сканировать файлы от вредоносного ПО), но явно злоупотребило этим правом на доступ. Плюс использование комбинации методов для получения списка запущенных процессов, и сбора истории браузеров — и вуаля. После получения жалобы на приложение Apple убрала его из Mac App Store, но осадок, как обычно, остался. Mac App Store, you had one job!

Кстати, в 10.14, которая выйдет осенью, Apple уже "укрепила" macOS по поводу доступа к данным браузера на уровне файловой системы (если включена System Integrity Protection), так что, по идее, даже выход из sandbox такого приложения не должен принести ему пользы, но в Mac App Store тоже должны внимательней изучать приложения, которые туда попадают.

1Password теперь поддерживает YubiKey для двухфакторной авторизации в аккаунт сервиса https://support.1password.com/yubikey/

Я вчера писал о том, что British Airway рассказала об утечке пользовательских данных со своего сайта, и речь, в частности, шла об утечке 380 тысяч данных банковских карт клиентов. Технических деталей взлома не было, но есть подозрения. Вот хороший пост о том, как многие авиакомпании (да если бы только они) напичкивают свои сайты сторонними JavaScript/CSS/HTML, которые они не контролируют, а потом происходит то, что происходит. По ссылке — большое количество примеров с сайтами популярных авиакомпаний.

https://huagati.blogspot.com/2018/05/things-you-probably-dont-want-to-do-on.html

Защитить сервер от...

вот еще пример из личной жизни. Компания по чистке водосточных желобов сделала рассылку по клиентам с напоминанием - с указанием имейлов и стоимости чистки. Рука, встречай лицо.

На прошлой неделе я писал про популярное приложение в Mac App Store, которое, как оказалось, отправляло пользовательские данные на сервер в Китае. Оказалось, что такое приложение не единственное, и есть еще несколько приложений в MAS, которые занимаются подобной активностью (не всегда это Китай, но тем не менее, утечка пользовательских данных имеет место быть). И, разумеется, пользователи ни сном, ни духом не в курсе происходящего.

Adware Doctor отправляет
- Историю браузеров
- Список запущенных процессов
- Список установленных приложений (и откуда они были установлены)

Open Any Files: RAR Support отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Dr. Antivirus отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Dr. Cleaner отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Из этого всего можно сделать вывод, что нельзя быть уверенным на 100% в надежности ПО, которое проходит проверку Apple и размещается в Mac App Store. Так что даже устанавливая приложения из этого источника, обращайте внимание на права, которые приложения запрашивают.

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах


Список приложений и компаний, занимающихся сбором такой информации, можно почитать тут. Что со всем этим делать? Как минимум, в настройках iOS можно включить опцию для минимизации рекламной слежки. Там же можно сбросить рекламный идентификатор (и делать это периодически). И, опять же, внимательно следить за тем, какие права запрашивают приложения, устанавливаемые на смартфон. В частности, если какое-то приложение просит доступ к местоположению "всегда", а не только когда это приложение работает, я бы напрягся. Кстати, также в настройках iOS можно посмотреть, какие приложения запрашивали такой доступ, и либо отключить им доступ "всегда" (если им не нужно это для функциональности - например, приложению-навигатору нужен), либо удалить такие приложения. Берегите свое местоположение!

PS И, конечно же, хотелось бы, чтобы Эпол ужесточила контроль за такими приложениями, обращая больше внимания на то, какие SDK и зачем используются в приложениях.

‌И снова с вами новости из мира, в котором информация ежесекундно подвергается опасносте!

На прошлой неделе я писал о том, что British Airways стала жертвой взлома, который привел к утечке данных 380 тысяч карт клиентов авиакомпании. Тогда компания решила не делиться информацией о том, как произошел взлом, а сейчас информация стала доступной благодаря расследованию компании RiskIQ. Та же группа злоумышленников (Magekart, которая взломала сервис по продаже билетов Ticketmaster UK, смогла вставить 22 строки кода JavaScript в страницу оплаты при покупке билетов, что позволило одновременно атаковать и покупки на вебе, и в мобильном приложении

Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript 'Safest' security level (supposed to block all JS). PoC: Set the Content-Type of your html/js page to "text/html;/json" and enjoy full JS pwnage. Newly released Tor 8.x is Not affected.— Zerodium (@Zerodium) September 10, 2018

Больше деталей на английском тут
https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/

на русском тут
https://www.securitylab.ru/news/495545.php

Уязвимость исправлена в версии 5.1.8.7

‌Я писал о приложениях Trend Micro, собирающих историю браузеров у пользователей, установивших эти приложения из Mac App Store, источника, который (чисто теоретически) должен был бы предотвращать попадание туда таких приложений.

Вчера Trend Micro опубликовали ответ, в котором они признали, что их приложения собирали историю из браузеров, но "совсем чуть-чуть", и только один раз — мол, изучить, как там пользователь пересекался с adware.

Apple долго не раздумывала, и выпилила все ранее перечисленные приложения из магазина (остались только те, в которых этой "feature", как сказала Trend Micro, не было):



Теперь компания заявила, что они:
- убрали эту функциональность
- удаляют всю собранную информацию
- и вообще обнаружили корень проблемы (общую для всех приложений библиотеку), и больше так не будут.

закреплю-ка я материал немножко сегодня

‌200 гигабайт данный на 440 миллионов записей, включая имена и адреса электронной почты — все это лежало в незащищенной базе данных MongoDB (конечно же) в открытом доступе. Компания Veeam, специализация которой — резервные копии и восстановление данных для облачных инфраструктур, оставила открытой базу своих клиентов. молодцы какие.



https://www.linkedin.com/pulse/veeam-inadvertently-exposed-marketing-info-hundreds-its-bob-diachenko/

Я давно говорил, что у канала — лучшие читатели. Один из них, например, прислал вот свой новый проект: сайт поиска по эксплойтам. Чистенько, аккуратненько, есть поиск по модулям metasploit. Если вдруг что, то может оказаться полезным
https://sploitus.com

‌Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к компьютеру, но тем не менее. Идея в том, что современные компьютеры обычно перезаписывают свою оперативную память при выключении, чтобы данные из нее нельзя было прочитать. Однако, эксперты F-Secure обнаружили способ блокировки этого процесса перезаписи, что в итоге позволяет не только прочесть содержимое в памяти, но и получить доступ к диску.


(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)


Доступ к памяти может позволить злоумышленникам получить ключи шифрования диска, и таким образом подключить защищенный диск, даже если он зашифрован BitLocker или FileVault. Microsoft говорит, что компьютеры с PIN для загрузки защищены от этой атаки, а в случае с Маками можно установить пароль на firmware для дополнительного уровня защиты. Кроме того, новые Маки, у которых есть чип T2, обеспечивающий безопасную загрузку компьютера, тоже не подвержены этой уязвимости.

FYI TWIMC — In approximately 2017, the website for Russian speakers in America known as Russian America suffered a data breach. The incident exposed 183k unique records including names, email addresses, phone numbers and passwords stored in both plain text and as MD5 hashes.

Заявление Microsoft по поводу атаки на компьютеры через cold boot attack

Я вчера писал про обнаруженную в прошивках компьютеров уязвимость, которая позволяет получить доступ не только к содержимому памяти компьютера, но и к содержимому диска компьютера. F-Secure подвезли немножко больше деталей в виде рассказа на сайте, а также опубликовали в твиттере демонстрацию получения ключа от шифрования диска:

https://twitter.com/FSecure/status/1040149572230828032/video/1



Рекомендации со вчера не изменились: если беспокоитесь за свои данные, то а) ограничение физического доступа к компьютеру, плюс б) PIN в BitLocker на компьютере с Windows и пароль в Firmware на Маке.

Если вам кажется, что в последнее время стало как-то много новостей про безопасность в Маках, то вам не кажется — их действительно почему-то поступает больше, чем обычно. В этот раз уязвимость не в самой macOS, но в приложении, которое безопасность этой самой macOS должно было бы обеспечивать — Webroot SecureAnywhere. Уязвимость CVE-2018-16962 была обнаружена экспертами Trustwave и уже какое-то время назад исправлена, но традиционно осадок остался. Саму уязвимость эксплуатировать не так-то просто, но если получилось, то она приводила к повреждению памяти на уровне ядра системы, и давало потенциальному злоумышленнику полный доступ к операционной системе. Насколько известно, реальных методов эксплуатации этой уязвимости не было, а у сторонников теории, что ПО для безопасности компьютера только увеличивает энтропию во Вселенной, появился еще один аргумент.

Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:

The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.

For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.

Но есть и хорошие новости :) Chrome 70 теперь поддерживает аутентификацию на вебе с помощью Touch ID на Маке и сканера отпечатков пальцев на Android.

https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html