надеюсь, большинство из вас все равно еще не спит. из самых больших и интересных утечек сегодня — это взлом компании Cellebrite и утечка 900ГБ данных. Cellebrite — компания из Израиля, которая предоставляет услуги правоохранительным органам в вопросах получения доступа к данным на мобильных устройствах. у них есть прям устройство, под названием Universal Forensic Extraction Device (UFED), которое они продают полиции, ФБР и многим другим. Кроме того, именно Cellebrite, как считается, была той самой компанией, которая взломала для ФБР iPhone 5c террориста из Сан-Бернардино, Калифорния. Утекшая база данных включает в себя информацию о клиентах и техническую информацию о продуктах Cellebrite. кроме того, в утекшей базе еще и присутствуют данные, полученные с мобильных устройств. Короче, это плохо на очень многих уровнях. Начиная от утечки личных данных сотрудников правоохранительных органов, которые были клиентами компании (почта, логины в VPN, и личными данными других людей, которые могут присутствовать в базе данных (например, данные о расследованиях). Но утечка информации о продуктах компании означает, что в ближайшее время у злоумышленников в интернете может оказаться и информация об уязвимостях нулевого дня для iOS и Android, которыми пользовалась Cellebrite для взлома устройств, и это тоже неприятная часть. короче, как обычно, все плохо http://thehackernews.com/2017/01/mobile-hacking-cellebrite.html
а вот с утра (моего, у меня сейчас 7 утра) привет пользователям WhatsApp. (ссылку прислал читатель, за что ему большое спасибо). Если в крации, то в WhatsApp обнаружили дыру, позволяющую перехватывать зашифрованные сообщения. Причем это именно похоже на backdoor, потому что обнаружилось, что при желании WhatsApp может перегенерить ключи шифрования для пользователей, которые находятся в оффлайне. В итоге отправленные сообщения могут быть перехвачены и прочитаны самим WhatsApp, а, значит, и правоохранительными органами, которые, например, попросили WhatsApp сделать такую перегенерацию ключей. https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
the Guardian
WhatsApp design feature means some encrypted messages could be read by third party
Trade-off between security and usability unlikely to permit systematic surveillance, experts say
и из забавного околополитического. Есть такой чувак, Рудольф Джулиани, был мэром Нью-Йорка когда-то. Потом перестал быть мэром, завел себе "консультационную компанию по вопросам кибер-безопасности". Ну ок, ладно. Во время президентской кампании активно поддерживал Трампа, и рассчитывал на пост руководителя Госдепа, правда, Трамп его с этим постом прокатил. Теперь вроде как Трамп назначил его своим советником по кибер-безопасности, что вызвало повышенное внимание к самой компании Джулиани. Мало того, что у него не нашли толком ни сотрудников, ни клиентов, но при изучении сайта компании обнаружилось:
- истекший SSL
- отсутствие HTTPS по умолчанию
- торчащую наружу панель управления CMS
- Flash-элементы на сайте
- использование версии PHP, поддержка которой давно уже закончилась
Короче, как раз случай сапожника без сапог.
- истекший SSL
- отсутствие HTTPS по умолчанию
- торчащую наружу панель управления CMS
- Flash-элементы на сайте
- использование версии PHP, поддержка которой давно уже закончилась
Короче, как раз случай сапожника без сапог.
на прошлой неделе я писал про “уязвимость” в WhatsApp https://t.me/alexmakus/919. Есть, в общем-то, и альтернативное мнение о том, что это никакая не уязвимость (и тем более не backdoor), а вполне фича продукта, а журналисты, как обычно, не совсем разобрались в вопросе https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Telegram
Информация опасносте
а вот с утра (моего, у меня сейчас 7 утра) привет пользователям WhatsApp. (ссылку прислал читатель, за что ему большое спасибо). Если в крации, то в WhatsApp обнаружили дыру, позволяющую перехватывать зашифрованные сообщения. Причем это именно похоже на backdoor…
малвари под Android, маскирующиеся под Super Mario Run. если вам очень хочется поиграть в Super Mario Run, пока что придется купить iPhone https://www.zscaler.com/blogs/research/super-mario-run-malware-2-droidjack-rat
Zscaler
Super Mario Run Malware #2 – DroidJack RAT | Zscaler Blog
Zscaler observed that attackers are using games to spread malware. We are closely monitoring this, to ensure that our customers are protected from such threats.
есть ли в этом уютном канале читатели, которые знают японский? если есть, то сегодня ваш счастливый день — в канале дебютирует ссылка на японском языке! (для всех остальных я изложу содержимое вкратце). Короче, фишка в том, что современные камеры (даже в смартфонах) настолько хороши, что позволяют получить достаточную детализацию фотографии пальца для воссоздания отпечатка пальца. Учитывая популярность решений типа TouchID (а при желании напечатать отпечаток вполне реально), скоро придется прятать пальцы на фотографиях. (у японцев, кстати, вообще какая-то фишка с селфи, где они любят показывать символ V пальцами на фото, и с таких фото отпечатки пальцев как раз вполне реально снять) http://www.sankei.com/affairs/news/170109/afr1701090001-n1.html
産経ニュース
指紋がネットで狙われている! 手の画像は悪用恐れ… 国立情報学研が新技術の実用化目指す
スマートフォンなどの個人認証で利用が広がる指紋がインターネット上で狙われている。投稿された手の画像(写真)から指紋の模様を読み取り、個人情報として悪用することが…
между прочим, тут пишут о том, что в последнее время по сети ходит очень изощренная форма фишинга гугловых аккаунтов https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/. Так что если вы до сих пор не пользуетесь хотя бы 2FA с подтверждением по SMS (а лучше еще — хардварным ключем), то самое время этим озаботиться. берегите там себя! (хардварные ключи работают, похоже, только в PC/Mac, так что на телефоне лучше поставить Google Authenticator, если вы не доверяете SMS — и не стОит). Поэтому если вы ждали какого-нибудь знака для того, чтобы наконец-то перейти на 2FA, ТО ЭТО СООБЩЕНИЕ КАК РАЗ ЯВЛЯЕТСЯ ТАКИМ ЗНАКОМ!
Wordfence
Wide Impact: Highly Effective Gmail Phishing Technique Being Exploited
A new phishing technique that affects GMail and other services and how to protect yourself.
кстати, тут меня читатель Владимир немношк поправляет, что есть аппаратные FIDO U2F ключи и для смартфонов, работающие по NFC, в частности, по ссылке ниже. Правда, работает только на Android, потому что эпол редиски и NFC используют только для Apple Pay https://www.yubico.com/products/yubikey-hardware/yubikey-neo/
Yubico
USB-A YubiKey 5 NFC Two Factor Security Key | Yubico
Protect yourself from account takeovers with the efficient, multi-protocol YubiKey 5 NFC. Go passwordless with our NFC capable security key.
разве только Android-пользователей пугать мальварами для их платформы? Встречайте, первая малварь 2017 года для Мака (по версии Malwarebytes). Вредоносное ПО пытается делать скриншоты и получить доступ к камере, но почему-то использует для этого какой-то аццки древний код, ну и вообще там как-то все довольно запущено. Не очень понятен вектор атаки этого зловредного ПО, но вроде как встроенный “антивирус” в macOS получил обновление с информацией об этой малвари и должен ее отлавливать https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/
Malwarebytes Labs
New Mac backdoor using antiquated code - Malwarebytes Labs
The first Mac malware of 2017 was discovered by an IT admin, who spotted some strange outgoing network traffic from a particular Mac. This led to the discovery of a new piece of malware unlike anything I've seen before and the first new piece of malware for…
Если вдруг для вас стало сюрпризом, что у macOS есть “встроенный антивирус”, то вот да :) На самом деле это часть функции File Quarantine, у которой есть рудиментарная поддержка антивирусной функциональности. в частности, это выражается в списке известных “зловредов”, которые описаны в файле XProtect.plist, который находится в System/Library/Core Services/CoreTypes.bundle/Contents/Resources/. так что если вы будете открывать файл (документ или приложение), который заражен известным вирусом для Мака, то macOS вам об этом сообщит. Обновления для файла обычно поступают через Software Update по мере необходимости. Такая защита, конечно, слабенькая, но лучше, чем ничего.
я тут недавно писал о том, что в интернете эпидемия с базами данных MongoDB, потому что многие ленивые админы ленятся конфигурировать админский аккаунт с паролем, а потом их воруют и требуют выкуп в обмен на то, чтобы получить данные обратно. В итоге, говорят, уже под 35 тыс баз стырили и вымогают деньги. а дальше, похоже, будет только хуже, потому что группа хацкеров Kraken0 продает свой код для "захвата" таких баз данных https://twitter.com/0xDUDE/status/821625934109437952
Twitter
Victor Gevers
Kraken0 is actively trying to sell their ransomware kit for open MongoDBs (34.503 victims) & Elasticsearch (4,607 victims) worldwide.
и парочка статей на почитать. например, описание инфраструктуры Google и того, как обеспечивается информационная безопасность этой инфраструктуры https://cloud.google.com/security/security-design/
Google Cloud
Google infrastructure security design overview | Documentation | Google Cloud
или вот какие методы использует Google для ловли вредоносных приложений в Google Play — тоже достаточно интересный материал https://android-developers.googleblog.com/2017/01/findingmalware.html
Android Developers Blog
Silence speaks louder than words when finding malware
News and insights on the Android platform, developer tools, and events.
сегодня в ФБ несколько раз натыкался на очередную модную аппликушку для хипстеров — аппликуха Meitu, которая из селфи делает фоточку типа анимешного героя. короче, там покопались в коде этого приложения и обнаружили много всякого подозрительного, начиная от загрузки фреймворков, которые этому приложению не нужны, и заканчивая очень подозрительными библиотеками для сбора аналитики (и сразу несколько проверок на наличие джейлбрека, что для бесплатного приложения вообще странно). Короче, используйте на свой страх и риск там.
Вот ещё, кстати, Cnet озадачился темой Meitu и задается вопросом, что как для фотоаппликушки это приложение запрашивает слишком много прав себе на Android. Ну и там внутри ещё комментарии про iOS- версию. Так что смотрите сами и берегите там себя! https://www.cnet.com/news/meitu-app-privacy-issues-why/#ftag=CAD590a51e
CNET
Here's why we're not downloading Meitu, the red-hot anime photo app (update)
Why does a cute photo app need all these permissions?
Там в Meitu для iOS ещё поковырялись и сошлись на том, что хоть там и много рекламного трекинга юзеров, но ничего особо криминального нет. А вот зачем ей на андроиде информация о звонках - непонятно https://medium.com/p/technical-information-regarding-analytics-collection-in-the-meitu-app-for-ios-7f1a165aeee6
Medium
Technical Information Regarding Analytics Collection in the “Meitu” app for iOS
There has been some commotion today regading to a mobile app named Meitu. This post will only focus on the iOS version (Others have taken…
Несколько дней назад тут проходила линка на статью в Guardian о якобы бэкдоре в WhatsApp. Дальнейшее исследование показало, что это никакой не бэкдор, а WhatsApp все же достаточно безопасное приложение для чатов. Однако, по интернетам уже понеслась тема с тем, что "не пользуйтесь Воцапом, он небезопасен", что неправда. в итоге большой список экспертов по безопасности подписали открытое письмо к Guardian с требованием отозвать свою статью про WhatsApp и опубликовать опровержение с информацией, там озвученной.
1: The WhatsApp behavior described is not a backdoor, but a defensible user-interface trade-off. A debate on this trade-off is fine, but calling this a “loophole” or a “backdoor” is not productive or accurate.
2: The threat is remote, quite limited in scope, applicability (requiring a server or phone number compromise) and stealthiness (users who have the setting enabled still see a warning–even if after the fact). The fact that warnings exist means that such attacks would almost certainly be quickly detected by security-aware users. This limits this method.
3: Telling people to switch away from WhatsApp is very concretely endangering people. Signal is not an option for many people. These concerns are concrete, and my alarm is from observing what’s actually been happening since the publication of this story and years of experience in these areas.
4: You never should have reported on such a crucial issue without interviewing a wide range of experts. The vaccine metaphor is apt: you effectively ran a “vaccines can kill you” story without interviewing doctors, and your defense seems to be, “but vaccines do kill people [through extremely rare side effects].”
полная статья с требованием опровержения и списком подписавших — тут http://technosociology.org/?page_id=1687
1: The WhatsApp behavior described is not a backdoor, but a defensible user-interface trade-off. A debate on this trade-off is fine, but calling this a “loophole” or a “backdoor” is not productive or accurate.
2: The threat is remote, quite limited in scope, applicability (requiring a server or phone number compromise) and stealthiness (users who have the setting enabled still see a warning–even if after the fact). The fact that warnings exist means that such attacks would almost certainly be quickly detected by security-aware users. This limits this method.
3: Telling people to switch away from WhatsApp is very concretely endangering people. Signal is not an option for many people. These concerns are concrete, and my alarm is from observing what’s actually been happening since the publication of this story and years of experience in these areas.
4: You never should have reported on such a crucial issue without interviewing a wide range of experts. The vaccine metaphor is apt: you effectively ran a “vaccines can kill you” story without interviewing doctors, and your defense seems to be, “but vaccines do kill people [through extremely rare side effects].”
полная статья с требованием опровержения и списком подписавших — тут http://technosociology.org/?page_id=1687
technosociology
In Response to Guardian’s Irresponsible Reporting on WhatsApp: A Plea for Responsible and Contextualized Reporting on User Security
Dear Guardian Editors, You recently published a story with the alarming headline “WhatsApp backdoor allows snooping on encrypted messages.” This story included the phrasing “security loophole”. Unf…
Хорошие новости, everyone! (насколько они могут быть хорошими в наше непростое время). за последние несколько дней не обнаружено крупных утечек данных, новых малварей для macOS или Android, и вообще никого из известностей не взломали. Но если ваша внутренняя паранойя не дремлет, то вам наверняка пригодится новость о перезапуске проекта Lavabit, сервиса безопасной почты https://lavabit.com. там у них сложная история — проект был запущен в 2004 году для тех, кто не верит Gmail, потом в 2013 году закрылся (“для защиты пользователей сайта” — там владельцам сайта поступил иск с требованием раскрыть шифрование и ключи SSL). А теперь, в новой реальности с новым президентом необходимость в безопасной почте, по мнению создателей Lavabit, выросла еще больше, поэтому Lavabit возвращается. Там все за деньги, но безопасность того стоит. Если бесплатно, то есть Proton Mail (с некоторыми ограничениями по возможностям) https://protonmail.com
ну и в рамках образовательной функции этого канала — ссылка (которую прислал читатель Валентин, за что ему спасибо!) от Cisco с информацией о ransomware — что это такое и как от этого защищаться. Почитайте, это полезно (и на русском понятном языке, опять же) http://www.cisco.com/c/m/ru_ru/offers/sc05/ransomware/index.html
Cisco
Программы-вымогатели – Ransomware - Защита от вредоносного ПО
Программы-вымогатели — это вредоносное ПО, которое шифрует информацию личных компьютеров или целой сети и требует выкуп за расшифровку файлов и получение доступа к ним. Причем иногда доступ к файлам невозможно получить даже после того, как выкуп за них заплачен.…