NBC нагнетает нервозность.
По опубликованным данным, в распоряжении американских правоохранительных органов появилась возможность разблокировать iPhone подозреваемых без их взлома.
Такая возможность появилась благодаря новому модулю Hide UI программного обеспечения GrayKey американской компании GrayShift, которое предназначено для вскрытия заблокированных iPhone и распространяется исключительно среди правоохранительных органов.
Hide UI устанавливается на заблокированный смартфон, после чего перехватывает вводимый при разблокировке пароль и сохраняет его так, что он может быть получен даже если iPhone будет вновь заблокирован. Сценарий использования Hide UI простой - iPhone с предустановленным ПО передается задержанному, чтобы тот позвонил родным/адвокату/Трампу. Потом смартфон отбирается опять и полиция получает его пароль для разблокировки.
Не исключаем, что рано или поздно GrayKey может попасть и в руки отечественных спецслужб и полицейских. Поэтому если добрый следователь дает вам ваш заблокированный iPhone, чтобы позвонить родственникам, разумнее будет не делать этого. Хотя от наших следователей стоит скорее ожидать, что после разблокировки они тупо отберут смартфон.
По опубликованным данным, в распоряжении американских правоохранительных органов появилась возможность разблокировать iPhone подозреваемых без их взлома.
Такая возможность появилась благодаря новому модулю Hide UI программного обеспечения GrayKey американской компании GrayShift, которое предназначено для вскрытия заблокированных iPhone и распространяется исключительно среди правоохранительных органов.
Hide UI устанавливается на заблокированный смартфон, после чего перехватывает вводимый при разблокировке пароль и сохраняет его так, что он может быть получен даже если iPhone будет вновь заблокирован. Сценарий использования Hide UI простой - iPhone с предустановленным ПО передается задержанному, чтобы тот позвонил родным/адвокату/Трампу. Потом смартфон отбирается опять и полиция получает его пароль для разблокировки.
Не исключаем, что рано или поздно GrayKey может попасть и в руки отечественных спецслужб и полицейских. Поэтому если добрый следователь дает вам ваш заблокированный iPhone, чтобы позвонить родственникам, разумнее будет не делать этого. Хотя от наших следователей стоит скорее ожидать, что после разблокировки они тупо отберут смартфон.
NBC News
iPhone spyware lets police log suspects’ passcodes when cracking doesn’t work
A tool, previously unknown to the public, doesn't have to crack the code that people use to unlock their phones. It just has to log the code as the user types it in.
На Украине арестовали брокера данных Sanix, которого обвиняют в причастности к торговле ворованными пользовательскими данными.
Sanix'а взяло СБУ в Ивано-Франковске, где он проживал. Злоумышленник занимался своей зловредной деятельностью, как минимум, с 2018 года. Сам украинец ничего не ломал, но собирал и перепродавал данные, полученные в ходе других взломов.
Как сообщается, Sanix был причастен к сборкам данных Collection #1, #2 и т.д., появившимся в январе 2019 года и содержавшим в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Данный арест вполне может быть связан с задержанием в начале месяца пяти польских хакеров из группы Infinity Black, также специализировавшихся на продаже данных (поляки, правда, еще и сами подламывали). В свое время Infinity Black также считали причастными к сборкам Collection.
Sanix'а взяло СБУ в Ивано-Франковске, где он проживал. Злоумышленник занимался своей зловредной деятельностью, как минимум, с 2018 года. Сам украинец ничего не ломал, но собирал и перепродавал данные, полученные в ходе других взломов.
Как сообщается, Sanix был причастен к сборкам данных Collection #1, #2 и т.д., появившимся в январе 2019 года и содержавшим в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Данный арест вполне может быть связан с задержанием в начале месяца пяти польских хакеров из группы Infinity Black, также специализировавшихся на продаже данных (поляки, правда, еще и сами подламывали). В свое время Infinity Black также считали причастными к сборкам Collection.
ZDNET
Hacker arrested in Ukraine for selling billions of stolen credentials
Hacker "Sanix" has been selling billions of hacked user credentials on hacker forums and Telegram channels.
Очередной скандальчик, связанный с нарушением приватности пользователей компанией Apple.
The Guardian сообщает, что бывший субподрядчик Apple Томас Ле Боннек, который разрабатывал ПО для прослушивания записей Siri, разослал европейским регуляторам письма о несоблюдении американской компанией прав пользователей на частную жизнь и сообщил, что решил открыть свое лицо, чтобы разоблачить Apple.
Ле Боннек перестал сотрудничать с Apple летом прошлого года "из-за этических соображений". Тогда же он дал ряд анонимных интервью, в которых утверждал, что Siri записывает все подряд и потом пересылает аудиоданные на сервера компании. Среди записей - разговоры с врачами, деловые переговоры, секс и пр. При этом все аудио сопровождаются геометкой и контактными данными пользователя.
Apple тогда принесла извинения и пообещал радикальные изменения в работе с аудиозаписями. Но Ле Боннек заявляет, что компания ничего не исправила, поэтому он решил выйти на публику.
Сейчас он говорит, что Apple записывает аудио со всех устройств - iPhone, Apple Watch и iPad, - вне активации Siri. Записывает имена, адреса, разговоры и фоновые шумы.
В заявлении в адрес европейских регуляторов Ле Боннек выразил готовность оказать полное содействие в расследовании противоправной деятельности Apple.
Кажется, шаблон об уважении частной жизни технологическими гигантами в очередной раз треснул.
The Guardian сообщает, что бывший субподрядчик Apple Томас Ле Боннек, который разрабатывал ПО для прослушивания записей Siri, разослал европейским регуляторам письма о несоблюдении американской компанией прав пользователей на частную жизнь и сообщил, что решил открыть свое лицо, чтобы разоблачить Apple.
Ле Боннек перестал сотрудничать с Apple летом прошлого года "из-за этических соображений". Тогда же он дал ряд анонимных интервью, в которых утверждал, что Siri записывает все подряд и потом пересылает аудиоданные на сервера компании. Среди записей - разговоры с врачами, деловые переговоры, секс и пр. При этом все аудио сопровождаются геометкой и контактными данными пользователя.
Apple тогда принесла извинения и пообещал радикальные изменения в работе с аудиозаписями. Но Ле Боннек заявляет, что компания ничего не исправила, поэтому он решил выйти на публику.
Сейчас он говорит, что Apple записывает аудио со всех устройств - iPhone, Apple Watch и iPad, - вне активации Siri. Записывает имена, адреса, разговоры и фоновые шумы.
В заявлении в адрес европейских регуляторов Ле Боннек выразил готовность оказать полное содействие в расследовании противоправной деятельности Apple.
Кажется, шаблон об уважении частной жизни технологическими гигантами в очередной раз треснул.
the Guardian
Apple whistleblower goes public over 'lack of action'
Thomas le Bonniec says firm violating rights and continues massive collection of data
РБК пишет занятное.
"Минкомсвязь предложила обязать владельцев элементов, входящих в критическую информационную инфраструктуру (КИИ), «преимущественно использовать» российский софт с 1 января 2021 года и российское оборудование — с 1 января 2022 года".
Похоже, через полтора года у нас кончится сотовая связь. Потому что телекоммуникационное оборудование в России не производят от слова совсем (ну, кроме СОРМа, естественно).
"Минкомсвязь предложила обязать владельцев элементов, входящих в критическую информационную инфраструктуру (КИИ), «преимущественно использовать» российский софт с 1 января 2021 года и российское оборудование — с 1 января 2022 года".
Похоже, через полтора года у нас кончится сотовая связь. Потому что телекоммуникационное оборудование в России не производят от слова совсем (ну, кроме СОРМа, естественно).
РБК
Промышленности и банкам дадут полгода для перехода на отечественное ПО
Банки и другие владельцы критической инфраструктуры будут обязаны с 2021 года перейти на отечественный софт, а с 2022-го — на российское оборудование. Эксперты называют реалистичным 10-летний срок
По сообщению Reuters, министерство обороны Японии расследует кибератаку, в ходе которой хакеры, возможно, похитили данные в отношении разработок новой сверхзвуковой ракеты.
Атака была проведена на ресурсы Mitsubishi Electric, которая является основным производителем вооружения для японских военных и участвовала в тендере на разработку ракеты. Компания, кстати, его не выиграла.
Mitsubishi Electric летом 2019 года уже была взломана, о чем официально сообщила в начале этого года. Тогда хакеры использовали 0-day уязвимость в антивирусном ПО Trend Micro и похитили около 200 Мб данных, среди которых была и закрытая информация.
В той атаке подозревалась китайская APT Tick, которая работает с 2006 года (по данным Symantec) и специализируется на проникновении в японские сети.
Атака была проведена на ресурсы Mitsubishi Electric, которая является основным производителем вооружения для японских военных и участвовала в тендере на разработку ракеты. Компания, кстати, его не выиграла.
Mitsubishi Electric летом 2019 года уже была взломана, о чем официально сообщила в начале этого года. Тогда хакеры использовали 0-day уязвимость в антивирусном ПО Trend Micro и похитили около 200 Мб данных, среди которых была и закрытая информация.
В той атаке подозревалась китайская APT Tick, которая работает с 2006 года (по данным Symantec) и специализируется на проникновении в японские сети.
Reuters
Japan defence ministry investigating potential hack of next-gen missile details: Asahi
TOKYO (Reuters) - Japan’s defence ministry is investigating a possible leak of details of a new state-of-the-art missile in a large-scale cyber attack on Mitsubishi Electric Corp, the Asahi Shimbun newspaper reported on Wednesday.
Что ни день - то новый праздник.
Издание Motherboard, журналисты которого пристально следят за судебными тяжбами между Facebook и израильской NSO Group, раскопало очередные подробности не совсем законной деятельности семитов.
В очередной раз напомним, что NSO производит ПО Pegasus, предназначенное для взлома WhatsApp, и продает его all over the world правоохранительным органам, спецслужбам и, немножечко, частным охранным компаниям. По поводу чего имеет иск от Facebook.
На этот раз Motherboard удалось получить информацию от бывшего сотрудника NSO, который на условиях анонимности передал данные в отношении инфраструктуры израильской компании, в частности IP-адрес, использовавшийся для заражения жертвы Pegasus. Оказалось, что в период в 2015-2016 годах к данному IP было привязано несколько доменов. В том числе домены, выдававшие себя за ресурс команды безопасности Facebook и сервис отслеживания посылок FedEx.
Остроты придает еще и тот факт, что этот IP-адрес принадлежит Amazon. То есть израильская NSO использовала фишинговую страницу Facebook чтобы заражать смартфоны с американского сервера.
Ребята, а вы здесь все молодцы. (с)
Издание Motherboard, журналисты которого пристально следят за судебными тяжбами между Facebook и израильской NSO Group, раскопало очередные подробности не совсем законной деятельности семитов.
В очередной раз напомним, что NSO производит ПО Pegasus, предназначенное для взлома WhatsApp, и продает его all over the world правоохранительным органам, спецслужбам и, немножечко, частным охранным компаниям. По поводу чего имеет иск от Facebook.
На этот раз Motherboard удалось получить информацию от бывшего сотрудника NSO, который на условиях анонимности передал данные в отношении инфраструктуры израильской компании, в частности IP-адрес, использовавшийся для заражения жертвы Pegasus. Оказалось, что в период в 2015-2016 годах к данному IP было привязано несколько доменов. В том числе домены, выдававшие себя за ресурс команды безопасности Facebook и сервис отслеживания посылок FedEx.
Остроты придает еще и тот факт, что этот IP-адрес принадлежит Amazon. То есть израильская NSO использовала фишинговую страницу Facebook чтобы заражать смартфоны с американского сервера.
Ребята, а вы здесь все молодцы. (с)
Vice
NSO Group Impersonated Facebook to Help Clients Hack Targets
Motherboard uncovered more evidence that NSO Group ran hacking infrastructure in the United States.
Symantec выявила большую киберкампанию, проводимую APT Greenbug на информационные ресурсы телекоммуникационных фирм Южной Азии.
Операция Greenbug проводилась с апреля 2019 года по апрель года текущего, но, возможно, продолжается и сейчас. В ходе серии атак хакеры пытались скомпрометировать внутренние сети телеком операторов и закрепиться в них для обеспечения постоянного присутствия, для чего использовали ряд приемов, в том числе туннелирование.
В качестве цели такого проникновения мы видим организацию постоянного доступа к конфиденциальным данным пользователей/абонентов - биллинги, геоданные, содержимое сообщений и трафика и прочее. Либо возможность обрушить телекоммуникационную инфраструктуру в нужный момент (но это уж совсем экстрим).
APT Greenbug активна с 2016 года. В 2017 году она уже работала по телеком операторам Ближнего Востока, а также атаковала государственные ресурсы, отрасли авиации, финансов и образования.
Ряд инфосек вендоров полагают, что группа является иранской хакерской прокси и связана с другой иранской группой Shamoon. Однако, в ходе своих операций в 2017 году Greenbug, в числе прочего, работала и по иранской инфраструктуре. А ее атаки, которые, как полагают некоторые, были подготовкой к действиям Shamoon, могли означать лишь выбор одних и тех же целей разными группами.
В любом случае, APT Greenbug, судя по направлению своей активности, работает на чьи-то спецслужбы.
#APT #Greenbug #Shamoon
Операция Greenbug проводилась с апреля 2019 года по апрель года текущего, но, возможно, продолжается и сейчас. В ходе серии атак хакеры пытались скомпрометировать внутренние сети телеком операторов и закрепиться в них для обеспечения постоянного присутствия, для чего использовали ряд приемов, в том числе туннелирование.
В качестве цели такого проникновения мы видим организацию постоянного доступа к конфиденциальным данным пользователей/абонентов - биллинги, геоданные, содержимое сообщений и трафика и прочее. Либо возможность обрушить телекоммуникационную инфраструктуру в нужный момент (но это уж совсем экстрим).
APT Greenbug активна с 2016 года. В 2017 году она уже работала по телеком операторам Ближнего Востока, а также атаковала государственные ресурсы, отрасли авиации, финансов и образования.
Ряд инфосек вендоров полагают, что группа является иранской хакерской прокси и связана с другой иранской группой Shamoon. Однако, в ходе своих операций в 2017 году Greenbug, в числе прочего, работала и по иранской инфраструктуре. А ее атаки, которые, как полагают некоторые, были подготовкой к действиям Shamoon, могли означать лишь выбор одних и тех же целей разными группами.
В любом случае, APT Greenbug, судя по направлению своей активности, работает на чьи-то спецслужбы.
#APT #Greenbug #Shamoon
Security
Sophisticated Espionage Group Turns Attention to Telecom Providers in South Asia
Greenbug is using off-the-shelf and living-off-the-land tools in an information-gathering campaign targeting multiple telecoms organizations.
Хакерская группа, называющие себя Хакеры Спасителя, отдефейсила сегодня более 1000 израильских сайтов, как сообщило сегодня Национальное киберуправление Израиля (NCD).
Подробностей мало, но NCD говорит, что под атаку попала "определенная операционная система", а ушерб был "незначительным".
Тем не менее, начальные страницы атакованных сайтов заменили слоганом "Обратный отсчет до уничтожения Израиля давно начался" и ссылкой на видео Тель-Авива и других израильских городов в огне.
Скорее всего, Хакеры Спасителя являются палестинской группой, такие забавы в их стиле. По видимости, ребята где-то накопали эксплойт и лучшего применения ему не нашли.
Подробностей мало, но NCD говорит, что под атаку попала "определенная операционная система", а ушерб был "незначительным".
Тем не менее, начальные страницы атакованных сайтов заменили слоганом "Обратный отсчет до уничтожения Израиля давно начался" и ссылкой на видео Тель-Авива и других израильских городов в огне.
Скорее всего, Хакеры Спасителя являются палестинской группой, такие забавы в их стиле. По видимости, ребята где-то накопали эксплойт и лучшего применения ему не нашли.
Securityweek
Israeli Websites Targeted in Major Cyber Attack | SecurityWeek.Com
Many Israeli websites were hit by a coordinated cyber attack, with the home pages replaced by images of the country's commercial capital Tel Aviv in flames.
Мы немного пропустили эту новость, но решили сейчас обратить на нее внимание, поскольку она весьма значимая с точки зрения вопросов приватности.
ZDNet пишет, что разработчики мессенджера Signal вводят новую функцию под названием Signal's PIN, с помощью которой можно будет переносить данные учетной записи между устройствами.
Разработчики говорят, что эта функция является шагом к отвязыванию профиля пользователя от телефонного номера.
Мы немного не согласны с журналистами, поскольку PIN в Signal присутствовал и ранее. Другое дело, что он использовался в качестве меры двухфакторной аутентификации. Сейчас же вдобавок к этому с его помощью будет производиться шифрование данных профиля для хранения на серверах Signal.
Таким образом с помощью PIN можно будет легко перенести профиль на другое устройство и, в перспективе, отказаться от привязки учетки к телефонному номеру.
Это хорошо, потому что позволит повысить приватность Signal. Правда при одном серьезном допущении - что разработчики мессенджера выполняют свои обещания по соблюдению приватности и не держат в кармане бэкдор.
Ибо свежа история со швейцарским мессенджером Threema, который как раз использует UID для идентификации пользователя без привязки к телефонному номеру. Однако код мессенджера остается закрытым, а несколько лет назад по индустрии прокатились слухи, что администрация Threema передает данные швейцарским и американским спецслужбам.
ZDNet пишет, что разработчики мессенджера Signal вводят новую функцию под названием Signal's PIN, с помощью которой можно будет переносить данные учетной записи между устройствами.
Разработчики говорят, что эта функция является шагом к отвязыванию профиля пользователя от телефонного номера.
Мы немного не согласны с журналистами, поскольку PIN в Signal присутствовал и ранее. Другое дело, что он использовался в качестве меры двухфакторной аутентификации. Сейчас же вдобавок к этому с его помощью будет производиться шифрование данных профиля для хранения на серверах Signal.
Таким образом с помощью PIN можно будет легко перенести профиль на другое устройство и, в перспективе, отказаться от привязки учетки к телефонному номеру.
Это хорошо, потому что позволит повысить приватность Signal. Правда при одном серьезном допущении - что разработчики мессенджера выполняют свои обещания по соблюдению приватности и не держат в кармане бэкдор.
Ибо свежа история со швейцарским мессенджером Threema, который как раз использует UID для идентификации пользователя без привязки к телефонному номеру. Однако код мессенджера остается закрытым, а несколько лет назад по индустрии прокатились слухи, что администрация Threema передает данные швейцарским и американским спецслужбам.
ZDNET
Signal to move away from using phone numbers as user IDs
Signal launches profile PINs, the first step in supporting Signal user accounts that are not tied to phone numbers.
Разработчики ransomware не стоят на месте.
По информации ZDNet, оператор рансомвари RagnarLocker сначала устанавливает на скомпрометированную систему Oracle VirtualBox и настраивает её полный доступ ко всем локальным и общим дискам.
Затем на виртуальную машину устанавливается MicroXP v0.82 (урезанная Windows XP SP3), а уже на нее ставится RagnarLocker.
Таким образом ransomware прячется от антивирусов, поскольку все совершенные ей действия по шифровке файлов зараженной системы производятся процессом VirtualBox.
Данный трюк выявили британские антивирусники Sophos, которые говорят, что столкнулись с таким впервые.
Мы, подумав своей коллективной головой, признали этот метод работоспособным, в первую очередь потому, что VirtualBox, по идее, подписан, а антивирусы относятся к подписанным процессам с меньшим подозрением. Но как только такая методика становится массовой - тут же появится и детект.
А в принципе, можно сгенерировать множество способов изменения файловой системы с помощью белого ПО, да вот только работать такие способы будут очень недолго.
По информации ZDNet, оператор рансомвари RagnarLocker сначала устанавливает на скомпрометированную систему Oracle VirtualBox и настраивает её полный доступ ко всем локальным и общим дискам.
Затем на виртуальную машину устанавливается MicroXP v0.82 (урезанная Windows XP SP3), а уже на нее ставится RagnarLocker.
Таким образом ransomware прячется от антивирусов, поскольку все совершенные ей действия по шифровке файлов зараженной системы производятся процессом VirtualBox.
Данный трюк выявили британские антивирусники Sophos, которые говорят, что столкнулись с таким впервые.
Мы, подумав своей коллективной головой, признали этот метод работоспособным, в первую очередь потому, что VirtualBox, по идее, подписан, а антивирусы относятся к подписанным процессам с меньшим подозрением. Но как только такая методика становится массовой - тут же появится и детект.
А в принципе, можно сгенерировать множество способов изменения файловой системы с помощью белого ПО, да вот только работать такие способы будут очень недолго.
ZDNET
Ransomware deploys virtual machines to hide itself from antivirus software
The operators of the RagnarLocker ransomware are running Oracle VirtualBox to hide their presence on infected computers inside a Windows XP virtual machine.
GitLab тренирует своих сотрудников по "бразильской системе" (если кто из ньюфагов не знает что такое "бразильская система" - гуглить в связке с "Ералаш").
Команда безопасников GitLab Red Team получила в свое распоряжение домен gitlab[.]company (официальный домен компании - gitlab[.]com) и разослала 50 сотрудникам фишинговую рассылку, содержащую ссылку на фейковую страницу логина GitLab на этом домене.
34% процента получивших фишинговое сообщение перешли по ссылке, а 20% ввели свои учетные данные. В противоположность этому только 12% сотрудников заметили подмену домена и сообщили о фишинге в службу безопасности.
По нашему мнению, это замечательная новация. Обязательная к включению во все аудиты и пентесты.
Команда безопасников GitLab Red Team получила в свое распоряжение домен gitlab[.]company (официальный домен компании - gitlab[.]com) и разослала 50 сотрудникам фишинговую рассылку, содержащую ссылку на фейковую страницу логина GitLab на этом домене.
34% процента получивших фишинговое сообщение перешли по ссылке, а 20% ввели свои учетные данные. В противоположность этому только 12% сотрудников заметили подмену домена и сообщили о фишинге в службу безопасности.
По нашему мнению, это замечательная новация. Обязательная к включению во все аудиты и пентесты.
www.theregister.co.uk
To test its security mid-pandemic, GitLab tried phishing its own work-from-home staff. 1 in 5 fell for it
Welp, at least that's better than industry averages, says code-hosting biz
Китайцы на передовом крае использования новых технологий в повседневной жизни.
Автоматический контроль приходящих на работу сотрудников не только распознает лицо и измеряет температуру, но и заставляет надеть медицинскую маску.
https://twitter.com/mbrennanchina/status/1263781753283440640
Автоматический контроль приходящих на работу сотрудников не только распознает лицо и измеряет температуру, но и заставляет надеть медицинскую маску.
https://twitter.com/mbrennanchina/status/1263781753283440640
Twitter
Matthew Brennan
China clocking in for work. Facial recognition with auto temperature check. Warning sounds if no mask or worn incorrectly https://t.co/VPc4KNJt13
Motherboard узнала, что с февраля этого года несколько человек, включая исследователей безопасности и хакеров, имеют доступ к ранней версии новой iOS 14, выход которой планируется в сентябре.
По слухам, кто-то приобрел за большие деньги у китайских поставщиков iPhone 11 с установленной не нем тестовой iOS 14, который был предназначен для разработчиков. Затем новую операционку извлекли и распространили среди взломщиков iOS.
Похоже также, что некоторые из техноблогеров получили копию новой iOS. Так, блогер 9to5Mac пишет о новых фичах iOS 14 с марта этого года. Кроме того, копия попала к нескольким исследователям безопасности.
Понятно, что релизная версия новой операционки будет сильно отличаться от ранней iOS 14. Тем не менее, и хакеры и инфосек ресерчеры теперь имеют достаточно времени для поиска уязвимостей в iOS. Первые для того, чтобы наделать новых джейлбрейков и эксплойтов, вторые - чтобы разобрать дыры и придумать как их залатать.
Motherboard получила подтверждение утечки из нескольких источников и даже сумела добыть копию iOS 14.
Apple в очередной раз пробивает дно в вопросах безопасности. У нас руки уже чешутся, такое большое желание выкинуть редакционный iPhone 11 Pro Max в окно. Жалко, что у нас его нет...
По слухам, кто-то приобрел за большие деньги у китайских поставщиков iPhone 11 с установленной не нем тестовой iOS 14, который был предназначен для разработчиков. Затем новую операционку извлекли и распространили среди взломщиков iOS.
Похоже также, что некоторые из техноблогеров получили копию новой iOS. Так, блогер 9to5Mac пишет о новых фичах iOS 14 с марта этого года. Кроме того, копия попала к нескольким исследователям безопасности.
Понятно, что релизная версия новой операционки будет сильно отличаться от ранней iOS 14. Тем не менее, и хакеры и инфосек ресерчеры теперь имеют достаточно времени для поиска уязвимостей в iOS. Первые для того, чтобы наделать новых джейлбрейков и эксплойтов, вторые - чтобы разобрать дыры и придумать как их залатать.
Motherboard получила подтверждение утечки из нескольких источников и даже сумела добыть копию iOS 14.
Apple в очередной раз пробивает дно в вопросах безопасности. У нас руки уже чешутся, такое большое желание выкинуть редакционный iPhone 11 Pro Max в окно. Жалко, что у нас его нет...
Vice
How iPhone Hackers Got Their Hands on the New iOS Months Before Its Release
Several people, including security researchers, hackers, and bloggers, have had access to an early version of the new iOS 14 for months.
Microsoft не были бы сами собой, если бы их очередное месячное обновление что-нибудь не сломало бы. Так оно и сломало.
Как сообщают сами Microsoft, выпущенный 12 мая месячный апдейт Windows 10 KB4556799 может привести к тому, что LTE-модемы (встроенные или внешние) перестанут работать. При этом Windows будет показывать, что сеть есть. А ее, на самом деле, нет.
Решить проблему Microsoft обещает в ближайшем исправлении. Которое опять что-то поломает.
Как сообщают сами Microsoft, выпущенный 12 мая месячный апдейт Windows 10 KB4556799 может привести к тому, что LTE-модемы (встроенные или внешние) перестанут работать. При этом Windows будет показывать, что сеть есть. А ее, на самом деле, нет.
Решить проблему Microsoft обещает в ближайшем исправлении. Которое опять что-то поломает.
BleepingComputer
Windows 10 KB4556799 Update Breaks Wireless LTE Connectivity
Microsoft says that computers with a wireless wide area network (WWAN) LTE modem may lose connectivity after installing the Windows 10 KB4556799 cumulative update.
Тем временем на горизонте появилась утечка пользовательских данных, которая может стать королевой всех утечек.
По сообщению Bleeping Computer, на форуме Raidforums появилась выборка данных о 2,3 млн. избирателях из Индонезии. Информация 2014 года украдена из индонезийской Центральной избирательной комиссии (KPU). Автор слива обещает вскоре выложить на форум полную базу данных избирателей Индонезии, которая составляет больше 200 млн. человек.
Инфосек компания Under the Breach, которая выявила утечку, заявляет, что информация разбита по папкам в соответствии с городами Индонезии. В папках находятся PDF файлы, содержащие ID, имена, места и даты рождения, а также адреса граждан.
Индонезийский же ЦИК выдал такую отмазку, которой позавидует даже властелин PR с человеческим лицом г-н Греф. Индонезийские чиновники заявили, что данные об избирателях не украдены, а были размещены публично. И что хоть это и было нарушение, но взлома не было. Виртуозы, одно слово.
По сообщению Bleeping Computer, на форуме Raidforums появилась выборка данных о 2,3 млн. избирателях из Индонезии. Информация 2014 года украдена из индонезийской Центральной избирательной комиссии (KPU). Автор слива обещает вскоре выложить на форум полную базу данных избирателей Индонезии, которая составляет больше 200 млн. человек.
Инфосек компания Under the Breach, которая выявила утечку, заявляет, что информация разбита по папкам в соответствии с городами Индонезии. В папках находятся PDF файлы, содержащие ID, имена, места и даты рождения, а также адреса граждан.
Индонезийский же ЦИК выдал такую отмазку, которой позавидует даже властелин PR с человеческим лицом г-н Греф. Индонезийские чиновники заявили, что данные об избирателях не украдены, а были размещены публично. И что хоть это и было нарушение, но взлома не было. Виртуозы, одно слово.
BleepingComputer
Voter info for millions of Indonesians shared on hacker forum
A threat actor has shared the 2014 voter information for close to 2 million Indonesians on a well-known hacker forum and claims they will release a total of 200 million at a later date.
Infosec style. Это лучшее, что мы когда-либо видели.
Да, в наших реалиях информационная безопасность работает именно так. Только на крайнем балконе еще и трахаются.
https://twitter.com/threathuntergrl/status/1263960906905423872
Да, в наших реалиях информационная безопасность работает именно так. Только на крайнем балконе еще и трахаются.
https://twitter.com/threathuntergrl/status/1263960906905423872
Twitter
Nicole is studying for Sec +📚
#infosec Twitter Caption this. Infosec style.
Не смогли пройти мимо этой новости.
Вчера в своем блоге на Хабре компания AnalogBytes сообщила, что нашла интересное Согласие на обработку персданных на одном из ресурсов Правительства Москвы.
При попытке проверки причины блокировки цифрового пропуска на сайте i[.]moscow предлагается поставить галку под скрытым Соглашением, согласно которому пользователь на 10 лет (!) передает право на обработку и все прочее всех своих данных следующим организациям:
- Департамент предпринимательства и инновационного развития Москвы;
- Департамент информационных технологий Москвы;
- ГКУ "Информационный город";
- Фонд "Московский инновационный кластер".
Данные, на которые запрашивается согласие включают:
- ФИО, дата и место рождения, место жительства, место работы;
- данные документов;
- номера телефонов, адреса электронной почты;
- ID устройства, с которого осуществляется доступ к сайту, IP-адрес, куки и прочее.
Ну и, естественно, запрашивается согласие на передачу всех сведений третьим лицам, а также (самое главное) на получение всех видов рекламы от третьих лиц. Такой незатейливый способ монетизации всего чего только можно.
Сам сайт i[.]moscow зарегистрирован на ГКУ "Мосгортелеком", а управляется Фондом "Московский инновационный кластер". То есть это не шарашкина контра, а официальный ресурс Правительства Москвы, который широко рекламировался руководством города.
Мы задаемся лишь одним единственным вопросом - вы-таки немного покушали рыбный суп?
Вчера в своем блоге на Хабре компания AnalogBytes сообщила, что нашла интересное Согласие на обработку персданных на одном из ресурсов Правительства Москвы.
При попытке проверки причины блокировки цифрового пропуска на сайте i[.]moscow предлагается поставить галку под скрытым Соглашением, согласно которому пользователь на 10 лет (!) передает право на обработку и все прочее всех своих данных следующим организациям:
- Департамент предпринимательства и инновационного развития Москвы;
- Департамент информационных технологий Москвы;
- ГКУ "Информационный город";
- Фонд "Московский инновационный кластер".
Данные, на которые запрашивается согласие включают:
- ФИО, дата и место рождения, место жительства, место работы;
- данные документов;
- номера телефонов, адреса электронной почты;
- ID устройства, с которого осуществляется доступ к сайту, IP-адрес, куки и прочее.
Ну и, естественно, запрашивается согласие на передачу всех сведений третьим лицам, а также (самое главное) на получение всех видов рекламы от третьих лиц. Такой незатейливый способ монетизации всего чего только можно.
Сам сайт i[.]moscow зарегистрирован на ГКУ "Мосгортелеком", а управляется Фондом "Московский инновационный кластер". То есть это не шарашкина контра, а официальный ресурс Правительства Москвы, который широко рекламировался руководством города.
Мы задаемся лишь одним единственным вопросом - вы-таки немного покушали рыбный суп?
Хабр
ДИТ Москвы при проверке пропуска получает разрешение на отправку рекламы на следующие 10 лет
Одна из вещей, которые никогда не делают пользователи — это чтение до конца лицензионных соглашений. Тем временем, читать их стоит, даже если, казалось бы, в кон...
В декабре 2019 года в Тайланде по запросу США задержали гражданина Украины Дениса Ярмака, который обвинялся в компьютерном мошенничестве. Ярмак был четвертым членом хакерской группы FIN7 aka Carabanak, который был арестован по просьбе американцев. Ранее украинцев Федорова, Хладыра и Колпакова хлопнули в Германии, Польше и Испании соответственно.
FIN7 известна масштабными атаками на американские компании, а также на банковский сектор с использованием malware Carabanak. По данным инфосек вендоров всего жертвами хакеров с 2015 по 2018 годы могли стать более 130 организаций.
А вчера нам скинули ссылку на документы Суда штата Вашингтон в отношении Ярмака. Если вкратце - там много доказухи по 10 эпизодам, судя по которым Ярмаку, как очевидно и другим членам FIN7, вырисовывается дорога дальняя и казенный дом. Лет на 40.
Работали, кстати, FIN7 под прикрытием инфосек компании Combi Security со штаб-квартирой в Москве и филиалом в Хайфе, от имени которой нанимали пен-тестеров, реверс-инженеров и пр. На некоторых российских сайтах до сих пор висят объявления о найме специалистов.
Что еще интересного - судя по документам, для американского правосудия не составляет труда вытащить переписки и активность из Jabber, JIRA и почившего ныне HipChat. Ну если только не один из хакеров все это хранил и слил в рамках сделки со следствием, что маловероятно.
Что же, sic transit gloria mundi.
Но оставшаяся часть FIN7, похоже, все же не сдается - нужен специалист Metasploit или Cobalt strike. Для срочных проектов. Зарплата хорошая, только за рубеж потом лучше не выезжать.
FIN7 известна масштабными атаками на американские компании, а также на банковский сектор с использованием malware Carabanak. По данным инфосек вендоров всего жертвами хакеров с 2015 по 2018 годы могли стать более 130 организаций.
А вчера нам скинули ссылку на документы Суда штата Вашингтон в отношении Ярмака. Если вкратце - там много доказухи по 10 эпизодам, судя по которым Ярмаку, как очевидно и другим членам FIN7, вырисовывается дорога дальняя и казенный дом. Лет на 40.
Работали, кстати, FIN7 под прикрытием инфосек компании Combi Security со штаб-квартирой в Москве и филиалом в Хайфе, от имени которой нанимали пен-тестеров, реверс-инженеров и пр. На некоторых российских сайтах до сих пор висят объявления о найме специалистов.
Что еще интересного - судя по документам, для американского правосудия не составляет труда вытащить переписки и активность из Jabber, JIRA и почившего ныне HipChat. Ну если только не один из хакеров все это хранил и слил в рамках сделки со следствием, что маловероятно.
Что же, sic transit gloria mundi.
Но оставшаяся часть FIN7, похоже, все же не сдается - нужен специалист Metasploit или Cobalt strike. Для срочных проектов. Зарплата хорошая, только за рубеж потом лучше не выезжать.
CourtListener
Indictment – #5 in United States v. Iarmak (W.D. Wash., 2:19-cr-00257) – CourtListener.com
INDICTMENT as to Denys Iarmak (1) count(s) 1, 2-15, 16, 17-19, 20-22, 23, 24-26. (Attachments: # 1 Status Sheet) (SNP) (Entered: 12/13/2019)
Южнокорейская команда IssueMakersLab, следящая за киберактивностью хакерских групп Северной Кореи, сообщает, что APT Kimsuky, работающая на Департамент №5 Главного разведывательного бюро Армии КНДР, взломала Web-сервер Вашингтонского Университета.
Сервер работал под WordPress. После взлома хакеры использовали его в качестве управляющего центра для своих вредоносов.
Подтверждений пока нет. Но комментаторы уже пишут, что началась очередная холодная война.
Сервер работал под WordPress. После взлома хакеры использовали его в качестве управляющего центра для своих вредоносов.
Подтверждений пока нет. Но комментаторы уже пишут, что началась очередная холодная война.
Twitter
IssueMakersLab
North Korea🇰🇵's RGB-D5 hacked the Web server of the University of Washington in the U.S.🇺🇸 and used it as a C2 to control malware. The Web site is using WordPress.
Команда Unc0ver выпустила джейлбрейк Unc0ver 5.0.0 для устройств под управлением iOS, в том числе для последней версии операционной системы 13.5.
Джейлбрейк работает на основе неизвестной Apple 0-day уязвимости, которую нашел хакер Pwn20wnd, член Unc0ver. Это первый джейлбрейк для текущей версии iOS за последние 5 лет. При этом разработчики утверждают, что Unc0ver 5.0.0 поддерживает все функции безопасности iOS без изменений.
Ждем оперативного апдейта от Apple, который закроет найденную 0-day уязвимость.
Джейлбрейк лежит здесь. Использовать на свой страх и риск.
Джейлбрейк работает на основе неизвестной Apple 0-day уязвимости, которую нашел хакер Pwn20wnd, член Unc0ver. Это первый джейлбрейк для текущей версии iOS за последние 5 лет. При этом разработчики утверждают, что Unc0ver 5.0.0 поддерживает все функции безопасности iOS без изменений.
Ждем оперативного апдейта от Apple, который закроет найденную 0-day уязвимость.
Джейлбрейк лежит здесь. Использовать на свой страх и риск.
ZDNet
New Unc0ver jailbreak released, works on all recent iOS versions
New "Unc0ver" jailbreak unlocks devices, even those running the current iOS 13.5 release.
Исследователь Джек Райсайдер обнаружил, что при заходе на eBay посредством новомодного браузера Edge от Microsoft торговая площадка начинает сканировать 14 портов компьютера. При этом сканирование происходит в обход файрвола, поскольку осуществляется из браузера. Результаты, естественно, передаются в eBay.
Дискуссия по этому поводу развернулась нешуточная. Кто-то говорит, что античит приложения для игр делают то же самое. Кто-то вспоминает, что подобные вопросы уже поднимались Давидом Якоби пять лет назад. Кто-то комментирует, что один из сканируемых портов используется TeamViewer и недоумевает зачем такая информация потребовалась eBay.
Коллективными усилиями выяснилось, что сканирование портов проходит в Edge и Chrome. В то же время Tor, Opera и uBlock его блокируют. Firefox и Brave под вопросом. Плюс оказалось, что подобное сканирование также выполняет Spotify.
Естественно, что никаких дисклеймеров и предупреждений eBay не показывает. Новость разошлась по отрасли, пресса стала задавать вопросы eBay, поэтому подождем ответов.
Дискуссия по этому поводу развернулась нешуточная. Кто-то говорит, что античит приложения для игр делают то же самое. Кто-то вспоминает, что подобные вопросы уже поднимались Давидом Якоби пять лет назад. Кто-то комментирует, что один из сканируемых портов используется TeamViewer и недоумевает зачем такая информация потребовалась eBay.
Коллективными усилиями выяснилось, что сканирование портов проходит в Edge и Chrome. В то же время Tor, Opera и uBlock его блокируют. Firefox и Brave под вопросом. Плюс оказалось, что подобное сканирование также выполняет Spotify.
Естественно, что никаких дисклеймеров и предупреждений eBay не показывает. Новость разошлась по отрасли, пресса стала задавать вопросы eBay, поэтому подождем ответов.