а тем временем хакеры вовсю уже используют инструменты NSA, опубликованные группой Shadow Brokers, для взлома компьютеров с Windows. Исследователи сообщают, что количество машин, зараженных определенными вредоносными приложениями (в частности, DOUBLEPULSAR), значительно выросло за последнее время. Взламывают все — от Windows XP, которой даже не стоит ждать апдейтов, потому что она больше не поддерживается, и до Server 2008 R2. Количество зараженных хостов в интернете исчисляется уже десятками тысяч. Как сообщалось, еще в марте Microsoft выпустила обновления для Windows Vista SP2, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2008 SP2, Windows Server 2008 R2 SP1, Windows Server 2012 и Windows Server 2012 R2, Windows Server 2016, Server Core. так что если вы по какой-то причине еще не поставили этот мартовский апдейт, лучше вам поторопиться https://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/?mt=1492801795480

И снова наступают трудо выебудни, и снова новости про то, как информация опасносте (или нет). Я там у себя в бложике написал комментарий про "слежку Убера" за пользователями iPhone, потому что было в целом познавательно не только с точки зрения информационной безопасности, но и с точки зрения отношений Apple с разработчиками. Если же в крации, то суть в том, что Uber использовал приватное API в iOS для того, чтобы предотвращать мошенничество со стороны водителей сервиса в Китае. Как результат, Uber получил возможность трекать определенное устройство если переустановить приложение Убера или даже резетнуть его (по сути, они выгребали через приложение серийник устройства, что делать запрещено правилами Apple). Apple их поймала на этом, Тим Кук поругал СЕО Убера, Убер это делать перестал. К сожалению, некоторые СМИ (и даже NYTimes в первой редакции статьи) сделали из этого сенсацию типа "Убер следит за пользователями, даже если удалить приложение", что оказалось не совсем так. Более детальный комментарий и нужные ссылки по ссылке (чтобы не дублироват все тут. а вообще я хитро устроился: в блоге ссылка на канал, в канале — ссылка на блог. какой я молодец) https://alexmak.net/blog/2017/04/24/uber-und-apple/

а вот история о настоящей слежке за пользователями. Есть такая компания под названием FlexiSpy, которая разрабатывает и продает ПО для слежки за пользователями, которе могут купить как правоохранительные органы, так и, например, ревнивый муж, который хочет следить за женой (ну или ревнивая жена, которая не доверяет мужу). Короче, неким хакерам-робингудам не понравилось то, чем занимается компания, они обнаружили уязвимости в системах компании, и взломали их. В результате эти хакеры получили доступ к внутренним документам компании, бинарникам их ПО и, что самое интересное, к исходным кодам этих приложений для Android, Blackberry и iOS. По этой ссылке можно найти больше информации о самой FlexiSpy, о том, что именно утекло в сеть, а также ссылки на исходный код и бинарники их продуктов https://www.randhome.io/blog/2017/04/23/lets-talk-about-flexispy/. А по этой ссылке есть немножко анализа о том, как работает ПО FlexiSpy http://www.cybermerchantsofdeath.com/blog/2017/04/23/FlexiSpy.html.

И снова здравствуйте. У меня тут накопилось ссылок на тему канала, поэтому вот:
1. На выходных взломали сервис Hipchat компании Atlassian. Речь идет только о той части Hipchat, которая хостится у компании, другие сервисы вроде как "не задеты". Злоумышленники получили доступ к учетным записям пользователей, включая им, имейл и зашифрованный пароль. В некоторых случаях был доступ и к сообщениям, правда, компания утверждает, что этим затронуто очень небольшое количество пользователей. Всем сбросили пароль, а если вы пользовались этим сервисом, вам придет соответствующее письмо с коммуникацией https://blog.hipchat.com/2017/04/24/hipchat-security-notice/

2. у "скандала" про Uber и Apple, о котором я писал вчера, обнаружилось интересное ответвление. Еще в оригинальной статье упоминалось, что Uber пользовался услугами компании Slice Intelligence, которой принадлежит сервис unroll.me. Сервис придуман для якобы управления вашими почтовыми подписками, суть его такова: вы подключаете к сервису свой почтовый ящик, сервис сканирует почту, обнаруживает там письма, которые приходят к вам по подписке, показывает список всех этих подписок, и позволяет от них отписываться. Звучит удобно, конечно, но есть, как обычно, парочка нюансов. Во-первых, оказалось, что Unroll.me продавал Уберу информацию о поездках на Lyft (конкурент Убера), так как в рамках сканирования почты у Unroll.me была возможность обнаружить чеки за поездки, которые приходили пользователям на почту. Конечно, там все было анонимизировано, как утверждают Убер и Unroll.me, но черт его знает, что там на самом деле было. Вторая часть — это информация о самой Unroll.me, о ней рассказал сотрудник компании, которая чуть не купила unroll.me в свое время. Так вот, unroll.me, получив доступ к почтовому аккаунту почты, выгребала всю почту пользователя и сохраняла её к себе в S3. Так что в следующий раз, подписываясь на какой-нибудь сервис "умной почты" или другой сервис, требующий доступа к вашей почте, помните о том, что вы отдаете свои данные в руки неизвестно кого и с неизвестно какими целями
https://news.ycombinator.com/item?id=14180463

кстати, по этому поводу — полезнейшая ссылка https://myaccount.google.com/u/0/permissions
Это ссылка, которая показывает, какие приложения и сайты на данный момент авторизованы для доступа к вашему аккаунту Google и различным сервисам Google. Рекомендуется минимизировать этот список только теми сервисами, которые вам на самом деле нужны

3. а еще на прошлой неделе Wikileaks опубликовала документ о том, как можно шпионить за пользователями, используя Smart TV. Документ то ли от ЦРУ, то ли от МИ6, 31 страница инструкций о том, как внедрять вредоносное ПО, как настраивать WiFi для перехвата сигнала, как получать аудио с телевизора. Берегите там себя! https://wikileaks.org/vault7/document/EXTENDING_User_Guide/page-1/#pagination

Сегодня у меня есть хорошие новости для пользователей Linux (а то не так часто удается их порадовать). Есть такая тулза для Мака, называется LittleSnitch, это, по сути, серьезное улучшение firewall на Маке, показывает все исходящие сетевые запросы от приложений, включая системные сервисы и сторонние приложения. Так вот, для Linux сделали открытый порт, под названием OpenSnitch — пока что альфа-версия, с ограничениями и багами, но все равно хорошо https://github.com/evilsocket/opensnitch

Вчера я давал ссылку на то, как можно посмотреть, какие сервисы подключены к вашему аккаунту Google и какие данные они из него могут получать. По этой же ссылке можно и отрубить лишние сервисы, если, например, они вам уже не нужны. Вот эта ссылка для Google: https://myaccount.google.com/u/0/permissions

Однако, тут отметили, что подобное управление есть не только у Google, и я решил собрать такие ссылки в одном посте, чтобы было удобней. Например, вот то же самое для Twitter — https://twitter.com/settings/applications.

А вот, например, для Facebook — https://www.facebook.com/settings?tab=applications

А вот еще для Instagram — https://www.instagram.com/accounts/manage_access/

В целом полезно периодически делать набеги по этим ссылкам и смотреть, не осталось ли там чего-то такого, что вам уже не нужно, но при этом все еще имеет доступ к вашим данным. Меньше получателей ваших данных — лучше privacy, крепче сон, шелковистей волосы!

В следующий раз, когда вы будете, например, радоваться, что у вашей машины есть возможность удаленного старта с мобильного телефона, помните, что хакеров эта возможность тоже очень радует. Например, вот у Hyundai какое-то время назад в приложении обнаружили уязвимость, которая каким-то образом (не хватает технических деталей по уязвимости) позволяла злоумышленникам удаленно открыть и завести автомобиль. Вроде как Hyundai говорит, что уязвимость они исправили, но я уверен, что они с такой проблемой не первые и не последние. https://www.usnews.com/news/technology/articles/2017-04-25/hyundai-mobile-app-exposed-cars-to-high-tech-thieves-researchers

Очередной пример бесстыдного самопиара — заметка в моем блоге про камеру Amazon Look, которую, по замыслу Амазона, пользователи должны ставить в спальне или в шкафу с одеждой (если он достаточно большой — это популярная фича в американских домах), а эта камера будет анализировать ваш внешний вид и выдавать рекомендации по одежде. У камеры будет еще микрофон, а изображение будет храниться на серверах Амазон (и как-то там анализироваться). Не знаю, как вас, но меня подобные устройства очень напрягают. Паранойя, знаете ли. https://alexmak.net/blog/2017/04/27/amazon-look/

Средняя выплата выкупа за разблокировку компьютера или сети компьютеров в 2016 году выросла на 266% и составила 1077 долларов. а все почему? потому что а) хакеры становятся изобретательней, и б) жертвы вынуждены платить выкуп. Из чего мы делаем какой вывод? Правильно, дальше будет только хуже. https://www.cyberscoop.com/ransomware-demands-now-average-1077-many-people-deciding-pay/

BGPstream, сервис, мониторящий трафик в интернете, вчера опубликовал интересную заметку о том, что в какой-то момент Ростелеком на несколько минут зарулил через себя весь сетевой трафик MasterCard, Visa и других финансовых организаций. Вроде как утверждается, что это получилось случайно, но кто его знает, что там на самом деле было. Теоретически особой угрозы от этого не было, так как трафик у финансовых учреждений шифрован, но вообще в что-то интересное даже из шифрованного трафика можно наанализировать. Финансовая информация опасносте! https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/

внимание, мак-юзеры. тут появилась какая-то новая малварь для Мака, которая пока что умеет обходить встроенный в Маке GateKeeper, и не детектируется антивирусными приложениями. начинается все с фишинга с зип-файлом в аттаче, а потом оно добавляет себя в login items (под названием AppStore), и блокирует работу фейковым диалогом системного обновления, пока юзер не установит это обновление (введя админский пароль). после чего, разумеется, все становится гораздо хуже — потом весь трафик начинает роутиться через прокси злоумышленников, где они могут собрать много полезной и важной информации для дальнейших своих злых умыслов. Еще и, суки, ставят сертификат, чтобы контент в вебе выглядел "безопасным". Короче, будьте осторожны с аттачментами, которые приходят вам в почту неизвестно от кого. Как только Apple отозвет девелоперский сертификат, которым подписана эта малварь, станет лучше, но в целом вектор атаки довольно изобретательный, и лучше проявлять осторожность всегда. http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/

Хакеры взломали непонятно что, то ли какую-то инфраструктуру Нетфликс, то ли студии, которая делает сериалы для Нетфликс, но они утверждают, что украли весь пятый сезон "Orange is the new black" и выложили как доказательство первую серию этого сезона в торренты (естественно, до официальной даты выхода этого сезона). Ну и к тому же пишут, что других студий это тоже касается. Интересно будет посмотреть https://pastebin.com/ZUYWMKh8

эту относительно короткую, но обещающую быть интересной неделю начнем новостями от Роскомнадзора, который заблокировал в России несколько мессенджеров — Line, Imo и мессенджер BlackBerry. В принципе, понятно, что много пользователей в России запретом этих мессенджеров не расстроишь, но в целом прецедент нехороший, потому что сегодня это Line, а завтра внезапно таким мессенджером может стать Facebook или Whatsapp. Может, конечно, и не стать, но оптимистом нынче быть ой как нелегко. https://vc.ru/n/line-block

ну и самая АЛЯРМА! в чипсетах, выпускаемых Intel, обнаружилась уязвимость, которая позволяет злоумышленникам удаленно подключаться к компьютеру и получать над ним полный контроль. Проблема в основном касается серверных чипсетов, потому что фича Management Engine используется в корпоративном мире для удаленного управления компьютерами, но если вы, например, администратор, то, наверно, вы захотите почитать про саму уязвимость и то, как её закрыть (в конце концов, она затрагивает компьютеры, выпущенные за последние лет десять). Короче, про уязвимость можно почитать тут https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr, а заодно и скачать соответствующие обновления для различных чипсетов.

Забавная статья про планшет, выпущенный в Северной Корее. Понятно, что там древний как говно мамонта Android — 4.4.2, вышедший в 2013 году, но интересней другие моменты. например, то, что у планшета нет модулей связи, подключиться к сети можно, только используя внешний адаптер (там может быть ethernet, dial-up или WiFi!). При этом все запуски приложений сопровождаются скриншотами, чтобы можно было проверить, что там юзер запускал. Естественно, что история браузера тоже мониторится. Установить можно только разрешенные приложения (при установке они проверяются против специального списка). При этом, разумеется, никакого Google Play там нет. Все файлы, которые создаются на планшете, маркируются "водяными знаками", позволяющими идентифицировать устройство, так что даже если файл окажется на другом устройстве, его историю создания и модификации можно проследить. Там еще и своего рода система DRM для того, чтобы только разрешенные файлы (например, созданные правительством) можно было открывать. короче, все почти как у Apple и её закрытой экосистемы. http://38north.org/2017/03/mwilliams030317/

алярма-алярма! сегодня в интернете активно шарится хитрый фишинг, маскирующийся под Google Docs. изначально письмо выглядит как приглашение посмотреть документ на Google Docs, потом фальшивое приложение, которое называется "Google Docs", запрашивает доступ к вашему Google Account, и аля-улю. https://isc.sans.edu/diary/22372. если вы на что-то такое кликали, то проверить (и удалить) это приложение можно тут https://myaccount.google.com/permissions
и традиционно — берегите там себя!

Я, если мне не изменяет память, уже как-то писал про уязвимости в SS7 — протоколе взаимодействия мобильных телефонных сетей. Благодаря ему SMS из одной страны, например, могут дойти в другую страну. Или, например, когда вы едете куда-то, ваш телефонный звонк "перепрыгивает" от одной БС к другой. Так вот, злодеи в Германии наконец-то воспользовались этими уязвимостями для практических целей — перехватив SMS с разовым паролем от банка, они смогли провести транзакции по выводу денег с банковского счета жертвы. Так что двухфакторной авторизации в виде кода по SMS лучше все-таки не доверять и по возможности использовать альтернативные методы для 2FA — генераторы кодов на телефоне, или хардварные ключи вроде FIDO U2F Security Key. https://arstechnica.com/security/2017/05/thieves-drain-2fa-protected-bank-accounts-by-abusing-ss7-routing-protocol/