Вы знаете, как я люблю всю эту IoT-хренотень за все ее проблемы с безопасностью — дырявые системы, дефолтные логины-пароли, отсутствие обновлений, и тд (что приводит к тому, что эти устройства становятся частью ботнетов, например, или подвергают данные пользователей рискам утечек). Короче, регуляционные органы США, в частности, Федеральная Комиссия по Торговле решила взяться за это, подав в суд для начала на D-Link за то, что в их устройствах (роутерах, камерах, детских мониторах) недостаточный уровень безопасности — как раз вот эти проблемы с захардкожеными паролями, которые невозможно изменить. По мнению юристов Комиссии, подобные устройства с паролями, которые невозможно сменить, и софтом, который не получает апдейтов, представляют собой риск для публики, поэтому с этим нужно бороться. Хорошо, хоть так. http://money.cnn.com/2017/01/05/technology/ftc-d-link-lawsuit/index.html

а вот ссылка от читателя о том, как воруют базы данных MongoDB и потом вымогают за это деньги. там в примерах — чья-то база данных с 853 МИЛЛИАРДАМИ записей о телефонных звонках (некисло так утекло, да) https://medium.com/@mbromileyDFIR/its-10pm-do-you-know-where-your-mongodb-is-a83b8a55ab12#.9gefqylgp

И снова здравствуйте! после непродолжительного, но насыщенного отпуска, во время которого я почти чуть не умер, возвращаемся к нашим, так сказать, баранам. начнем с весьма актуальной темы в период путешествий и отпусков — ПОЧЕМУ НЕ НАДО ВЫКЛАДЫВАТЬ В ИНТЕРНЕТ ПОСАДОЧНЫЕ ТАЛОНЫ. В принципе, об этом говорили давно и много, но повторить не помешает. вся система "защиты" посадочных базируется на 6-значном коде, зашифрованном в штрих-коде. имея этот код, злоумышленники могут зайти в вашу бронировку, получить вашу личную информацию и даже изменить запланированный рейс. при наличии желания и сноровки злоумышленники могут получить даже данные вашей кредитки, если она есть в системе авиакомпании. Видео (1 час) с демонстрацией реального кейса (скачать посадочный из интернета, войти в кабинет и получить информацию) можно посмотреть тут https://www.youtube.com/watch?v=n8WVo-YLyAg, если лень смотреть, то есть просто статья, описывающая уязвимость и проблему https://blog.kaspersky.com/33c3-insecure-flight-booking-systems/13802/. так что берегите себя и свои посадочные

А вот тут по ссылке (присланной, кстати, читателем, за что ему спасибо), есть информация о "недоработке" в сервере Telegram (там цепочка твитов, что, конечно, не очень удобно, но работаем с тем, что есть) https://twitter.com/kaepora/status/819181464369577984 Сами твиты достаточно техничны, но суть, как я понимаю, в том, что при "желании и умении" можно при соблюдении некоторых условий отрубить безопасный чат со стороны сервера, а клиент об этом даже не узнает. не смертельно, но тоже не очень хорошо, и показывает, что самопальная безопасность телеграмма может еще создать трудности его разработчикам

на прошлой неделе я писал проблемах баз MongoDB — что их воруют и вымогают за это деньги. Похоже, проблема более распространена, чем казалось раньше, и что речь идет о 27 тысячах различных БД. по ссылке — больше информации о проблеме https://www.grahamcluley.com/27000-mongodb-servers-data-wiped-receive-ransom-demand-safe-return/

ну и веселые новости из мира IoT. Амазоновский спикер Echo с ассистентом Alexa прославился на весь мир историей о том, что: а) вначале девочка, в доме которой стоял Echo, просто голосом заказала себе кукольный домик, пока родители спали (какая умная девочка, молодец) — для этого было достаточно сказать фразу "Can you play dollhouse with me and get me a dollhouse?" б) а когда по телевизору показали сюжет об этом, телеведущий в передаче сказал фразу "Alexa ordered me a dollhouse'.", и этого, очевидно, было достаточно для того, чтобы у некоторых телезрителей, у кого дома тоже есть Echo, тоже были размещены заказы на кукольные домики (ахаха. а все потому, что голосовые покупки в Echo включены по умолчанию, между прочим). такие дела. http://www.theregister.co.uk/2017/01/07/tv_anchor_says_alexa_buy_me_a_dollhouse_and_she_does/?mt=1483795705927

хороший набор ссылок про iCloud keychain в macOS/iOS, в принципе, там все, что вам может понадобиться знать о том, что такое iCloud keychain и как это работает http://www.techrepublic.com/article/apples-icloud-keychain-the-smart-persons-guide/

кстати, про Телеграм. Тут на днях в интернете всплыл очень спорный и наполненный нестыковками отчет о том, что российские спецслужбы имеют против Трампа. поскольку отчет вызывает больше вопросов, чем ответов, я предлагаю пока серьезно его не воспринимать (не буду давать на него ссылку), но там был интересный абзац о том, что якобы Телеграм взломан ФСБ и коммуникации в нем тоже прослушиваются спецслужбами. доказательств этому никаких пока нет, так что относитесь к этому с соответствующим скепсисом

надеюсь, большинство из вас все равно еще не спит. из самых больших и интересных утечек сегодня — это взлом компании Cellebrite и утечка 900ГБ данных. Cellebrite — компания из Израиля, которая предоставляет услуги правоохранительным органам в вопросах получения доступа к данным на мобильных устройствах. у них есть прям устройство, под названием Universal Forensic Extraction Device (UFED), которое они продают полиции, ФБР и многим другим. Кроме того, именно Cellebrite, как считается, была той самой компанией, которая взломала для ФБР iPhone 5c террориста из Сан-Бернардино, Калифорния. Утекшая база данных включает в себя информацию о клиентах и техническую информацию о продуктах Cellebrite. кроме того, в утекшей базе еще и присутствуют данные, полученные с мобильных устройств. Короче, это плохо на очень многих уровнях. Начиная от утечки личных данных сотрудников правоохранительных органов, которые были клиентами компании (почта, логины в VPN, и личными данными других людей, которые могут присутствовать в базе данных (например, данные о расследованиях). Но утечка информации о продуктах компании означает, что в ближайшее время у злоумышленников в интернете может оказаться и информация об уязвимостях нулевого дня для iOS и Android, которыми пользовалась Cellebrite для взлома устройств, и это тоже неприятная часть. короче, как обычно, все плохо http://thehackernews.com/2017/01/mobile-hacking-cellebrite.html

а вот с утра (моего, у меня сейчас 7 утра) привет пользователям WhatsApp. (ссылку прислал читатель, за что ему большое спасибо). Если в крации, то в WhatsApp обнаружили дыру, позволяющую перехватывать зашифрованные сообщения. Причем это именно похоже на backdoor, потому что обнаружилось, что при желании WhatsApp может перегенерить ключи шифрования для пользователей, которые находятся в оффлайне. В итоге отправленные сообщения могут быть перехвачены и прочитаны самим WhatsApp, а, значит, и правоохранительными органами, которые, например, попросили WhatsApp сделать такую перегенерацию ключей. https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages

и из забавного околополитического. Есть такой чувак, Рудольф Джулиани, был мэром Нью-Йорка когда-то. Потом перестал быть мэром, завел себе "консультационную компанию по вопросам кибер-безопасности". Ну ок, ладно. Во время президентской кампании активно поддерживал Трампа, и рассчитывал на пост руководителя Госдепа, правда, Трамп его с этим постом прокатил. Теперь вроде как Трамп назначил его своим советником по кибер-безопасности, что вызвало повышенное внимание к самой компании Джулиани. Мало того, что у него не нашли толком ни сотрудников, ни клиентов, но при изучении сайта компании обнаружилось:
- истекший SSL
- отсутствие HTTPS по умолчанию
- торчащую наружу панель управления CMS
- Flash-элементы на сайте
- использование версии PHP, поддержка которой давно уже закончилась
Короче, как раз случай сапожника без сапог.

на прошлой неделе я писал про “уязвимость” в WhatsApp https://t.me/alexmakus/919. Есть, в общем-то, и альтернативное мнение о том, что это никакая не уязвимость (и тем более не backdoor), а вполне фича продукта, а журналисты, как обычно, не совсем разобрались в вопросе https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/

малвари под Android, маскирующиеся под Super Mario Run. если вам очень хочется поиграть в Super Mario Run, пока что придется купить iPhone https://www.zscaler.com/blogs/research/super-mario-run-malware-2-droidjack-rat

есть ли в этом уютном канале читатели, которые знают японский? если есть, то сегодня ваш счастливый день — в канале дебютирует ссылка на японском языке! (для всех остальных я изложу содержимое вкратце). Короче, фишка в том, что современные камеры (даже в смартфонах) настолько хороши, что позволяют получить достаточную детализацию фотографии пальца для воссоздания отпечатка пальца. Учитывая популярность решений типа TouchID (а при желании напечатать отпечаток вполне реально), скоро придется прятать пальцы на фотографиях. (у японцев, кстати, вообще какая-то фишка с селфи, где они любят показывать символ V пальцами на фото, и с таких фото отпечатки пальцев как раз вполне реально снять) http://www.sankei.com/affairs/news/170109/afr1701090001-n1.html

между прочим, тут пишут о том, что в последнее время по сети ходит очень изощренная форма фишинга гугловых аккаунтов https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/. Так что если вы до сих пор не пользуетесь хотя бы 2FA с подтверждением по SMS (а лучше еще — хардварным ключем), то самое время этим озаботиться. берегите там себя! (хардварные ключи работают, похоже, только в PC/Mac, так что на телефоне лучше поставить Google Authenticator, если вы не доверяете SMS — и не стОит). Поэтому если вы ждали какого-нибудь знака для того, чтобы наконец-то перейти на 2FA, ТО ЭТО СООБЩЕНИЕ КАК РАЗ ЯВЛЯЕТСЯ ТАКИМ ЗНАКОМ!

кстати, тут меня читатель Владимир немношк поправляет, что есть аппаратные FIDO U2F ключи и для смартфонов, работающие по NFC, в частности, по ссылке ниже. Правда, работает только на Android, потому что эпол редиски и NFC используют только для Apple Pay https://www.yubico.com/products/yubikey-hardware/yubikey-neo/

разве только Android-пользователей пугать мальварами для их платформы? Встречайте, первая малварь 2017 года для Мака (по версии Malwarebytes). Вредоносное ПО пытается делать скриншоты и получить доступ к камере, но почему-то использует для этого какой-то аццки древний код, ну и вообще там как-то все довольно запущено. Не очень понятен вектор атаки этого зловредного ПО, но вроде как встроенный “антивирус” в macOS получил обновление с информацией об этой малвари и должен ее отлавливать https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/

Если вдруг для вас стало сюрпризом, что у macOS есть “встроенный антивирус”, то вот да :) На самом деле это часть функции File Quarantine, у которой есть рудиментарная поддержка антивирусной функциональности. в частности, это выражается в списке известных “зловредов”, которые описаны в файле XProtect.plist, который находится в System/Library/Core Services/CoreTypes.bundle/Contents/Resources/. так что если вы будете открывать файл (документ или приложение), который заражен известным вирусом для Мака, то macOS вам об этом сообщит. Обновления для файла обычно поступают через Software Update по мере необходимости. Такая защита, конечно, слабенькая, но лучше, чем ничего.

я тут недавно писал о том, что в интернете эпидемия с базами данных MongoDB, потому что многие ленивые админы ленятся конфигурировать админский аккаунт с паролем, а потом их воруют и требуют выкуп в обмен на то, чтобы получить данные обратно. В итоге, говорят, уже под 35 тыс баз стырили и вымогают деньги. а дальше, похоже, будет только хуже, потому что группа хацкеров Kraken0 продает свой код для "захвата" таких баз данных https://twitter.com/0xDUDE/status/821625934109437952