20475
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
Расскажу историю из личного опыта, в кои-то веки — как на меня лично повлияло то, о чем я пишу в этом канале. Помните же историю про Equifax, у которого украли данные на 145 млн американских пользователей, включая адреса, номера социального страхования, и много чего другого. (/channel/alexmakus/1352). Доступ этой информации кому не надо чреват тем, что, имея её, можно открыть на себя кредитные карты, взять ипотеку, открыть фирму и тд, а должен останется тот, чьи данные для этого использовали. Так вот, какое-то время назад я начал получать странные письма от банка, из серии "мы не можем вам дать ипотеку, так как у вас уже есть одна". WTF, подумал я, и даже спросил это у банка, но они только развели руками. А получение кредитов в США работает следующим образом:
- человек подает заявку на кредит в какую-нибудь кредитную организацию (банк и тд)
- кредитная организация подает запрос на получение информации о кредитной истории этого человека — в одно из трех агентств, которые такую информацию предоставляют. То есть все тот же Equifax, TransUnion, или Experian.
- Агенство дает ответ — можно дать человеку кредит или нет.
Каждый такой запрос снижает кредитный рейтинг человека, поскольку алгоритмы решают "ага, он нищеброд и ему нужны кредиты, значит, повышены риски!"
Так что, похоже, что в моем случае кто-то действительно получил мои данные и пробовал получить ипотеку с моими данными. Хорошо, что банк прислал мне письма с ответом на мой адрес.
Защититься от всей этой истории с утечкой данных и возможностью взять кредит за другого человека можно единственным методом — "заморозить кредитные запросы". То есть надо пойти в эти кредитные агентства и попросить их на все запросы о кредите отвечать "нельзя" — естественно, заплатив им за это денег.
Я после этих подозрительных писем из банка это сделал, конечно, но сегодня обнаружил, что мой кредитный рейтинг существенно просел, и одна из причин — это "большое количество запросов на кредит в последние 12 месяцев". Вот таким образом я лично пострадал от утечки данных Equifax, и, похоже, это теперь на всю жизнь.
вообще злодеи, распространяющие вредоносное ПО, начинают переключаться с возможности вымогать деньги у пользователя за выкуп доступа к данным на майнинг криптовалюты, что, видимо, выгодней
https://threatpost.com/crooks-switch-from-ransomware-to-cryptocurrency-mining/129229/
В рамках пятницы хорошая шутка с игрой слов (на английском)
"My password is "Snow White and the Seven Dwarfs"
This is to ensure its 8 characters."
Подписчик канала (а также по совместительству автор канала по схожей тематике /channel/vulns) прислал интересную авторскую статью об уязвимостях в различных сервисах, связанных с криптовалютой. Это должно помочь принять решение о том, где лучше хранить свои криптосбережения https://habrahabr.ru/post/343152/
Читать полностью…
Или разъём USB с gsm-трекингом. Никому нельзя верить, никому
Читать полностью…
У драмы с ФБР и айфоном техасского стрелка внезапно появилось продолжение. Хотя, впрочем, вполне ожидаемо. Американское министерство юстиции заявило, что шифрование данных - это плохо, и оно стоит людям жизней, а правоохранительные органы должны иметь возможность получить доступ к данным на телефоне преступника. Как бы опять не началось все то же самое, как было с ФБР полтора года назад, где ФБР требовала от Apple написать кастомную iOS для телефона стрелка из Сан Бернардино. Тогда, к счастью, обошлось. Сейчас времена немного другие, неизвестно, как оно повернётся ещё. http://www.washingtonexaminer.com/rod-rosenstein-criticizes-tech-companies-for-phone-encryption/article/2640147
Читать полностью…
В новостях всплыла новость про дешёвую клавиатуру на Алибабе, в которую якобы разу встроен кейлоггер. Такие сенсационные новости расходятся гораздо лучше, чем их опровержения, но вот я постараюсь исправить - в апдейте к статье оказалось, что отправляются не нажатые кнопки, а количество нажатий.
Updated, 11/7/2017, 8:40am PT: An earlier version of the article stated that the keyboard's software was sending key presses. However, in a closer look, it seems that the Cloud Driver software doesn't send the key presses to the Alibaba server but only how many times each key has been pressed.
Такая вот сенсация, что, впрочем, не мешает завтра появиться и клавиатуре с кейлоггером, так что вы там осторожно покупайте что попало
http://www.tomshardware.com/news/mantistek-gk2-collects-typed-keys,35850.html
Если немного глубже копнуть... в App Store такого нет. И в этом айфон отстаёт от андроида
Читать полностью…
уязвимость в Tor браузере позволяла утекать реальным IP-адресам юзеров на Маке и на Linux (удивительно, но в этот раз юзеров Windows проблема не затронула). Патч вышел в пятницу, если что. https://threatpost.com/tor-browser-users-urged-to-patch-critical-tormoil-vulnerability/128769/
Читать полностью…
Там в рамках программы Zero Day Initiative проходит конференция pwn2own, где народ активно взламывает айфоны, самсунги и прочие хуавеи. Отчёт о первом дне https://www.thezdi.com/blog/2017/11/1/the-results-mobile-pwn2own-day-one, отчёт о втором дне https://www.thezdi.com/blog/2017/11/2/the-results-mobile-pwn2own-2017-day-two
Читать полностью…
В публикации ЦРУ нескольких тысяч документов, изъятых в доме, где прятался Осама бин Ладен, самое интересное — это предупреждение о вредоносном ПО:
Prior to accessing this file collection, please understand that this material was seized from a terrorist organization. While the files underwent interagency review, there is no absolute guarantee that all malware has been removed.
https://www.cia.gov/library/abbottabad-compound/index_converted_documents.html
А админам Oracle будет интересно узнать о бэкдорной учётной записи в Oracle Identity Manager.
username: OIMINTERNAL
pwd: (один пробел)
Очень удобно
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html
Если у вас есть бложик на WordPress, то лучше его проапдейтить вышедшим 4.8.3 апдейтом как можно скорее
Вот информация об уязвимости
https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html
Вот релиз WP https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
Как чувак хакнул внутренний багтрекер Google alex.birsan/messing-with-the-google-buganizer-system-for-15-600-in-bounties-58f86cc9f9a5" rel="nofollow">https://medium.com/@alex.birsan/messing-with-the-google-buganizer-system-for-15-600-in-bounties-58f86cc9f9a5
Читать полностью…
Интересный отчёт у ЛК об исследовании информационной безопасности в приложениях для дейтинга - всевозможные Тиндеры, Мамбы и проч. От перехвата сообщений до де-анонимизации пользователей https://securelist.com/dangerous-liaisons/82803/
Читать полностью…
вот и Симантек пишет о том же
https://www.symantec.com/blogs/threat-intelligence/browser-mining-cryptocurrency
Атака на сайты WordPress с целью подбора брутфорсом админских логина-пароля, чтобы установить майнер криптовалют на сайте. Так что проверьте там, чтобы у вас был пароль посложней
https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/
Рубрика "никогда такого не было, и вот опять". В очередном бакете AWS обнаружили данные на 123 миллиона домохозяйств США, включая адрес, контактную информацию, наличие ипотеки, и проч. финансовую информацию. Информация была доступна любому пользователю с аккаунтом AWS
https://www.scmagazine.com/open-aws-s3-bucket-exposes-sensitive-experian-and-census-info-on-123-million-us-households/article/720067/
И об опасностях, которые вас подстерегают. Например, Ethernet кабель со скрытым микрофоном
Читать полностью…
Тут разворачивается очередная история с ФБР и зашифрованным айфоном. Террорист, расстрелявший 26 человек в церкви в Техасе, оказался владельцем айфона, защищённого Touch ID, и ФБР тут же обвинила шифрование данных в препятствии расследованию (https://www.theverge.com/2017/11/7/16618992/fbi-texas-church-shooting-encryption). А Reuters сегодня опубликовала статью о том, что ФБР не запросила вовремя помощь у Apple, и там упоминается, что якобы в течение 48 часов можно было попробовать разблокировать телефон пальцем убитого террориста. Там, похоже, зависит от того, как давно и как человек умер или погиб, но в некоторых ситуациях приложенный палец трупа может разблокировать телефон с Touch ID (https://www.cnbc.com/2017/11/08/the-fbi-may-have-lost-critical-time-unlocking-texas-shooters-iphone.html) а Apple в свою очередь подтвердила (https://twitter.com/JohnPaczkowski/status/928404789578293248), что компания вызвалась сразу помочь ФБР, но ФБР не воспользовалась предложением, так как рассчитывала воспользоваться навыками своих специалистов. Короче, тот ещё бардак, и как бы сейчас не началось опять «сделайте нам бэкдор»
Читать полностью…
кстати, нам тут пишут из Эстонии, поправляют про то, что у них там с картами происходит:
Привет. С одной стороны, перевыпуск карт не планируется — для существующих надо только поменять сертификат удалённо или в полиции (при генерации нового сертификата не будет использоваться проблемный блок). То есть, сами карты не заблокированы, а только существующие сертификаты на них. Для новых же карт налаживается этот самый перезапуск.
Вот фрагмент письма от полиции, например:
Уважаемый владелец ID-карты, digi-ID или карты вида на жительство!
Решением генерального директора Департамента полиции и погранохраны от 2 ноября 2017 года за номером 15.2-9/277-1 необновленные сертификаты вашего документа приостановлены начиная с 3 ноября 2017 года.
С приостановленными сертификатами у вас нет возможности пользоваться э-услугами или ставить цифровую подпись до того, как вы обновите сертификаты. Начиная с 6 ноября 2017 года до 31 марта 2018 года вы можете обновить сертификаты в своем компьютере дистанционно либо на месте в бюро обслуживания Департамента полиции и погранохраны.
Начиная с 1 апреля необновленные сертификаты будут аннулированы, для дигитального использования надо будет ходатайствовать в Департаменте полиции и погранохраны новую ID-карту.
Фейковый апдейт WhatsApp в Google Play, с юникодным пробелом в имени разработчика. Миллион закачек https://www.reddit.com/r/Android/comments/7ahujw/psa_two_different_developers_under_the_same_name/
Читать полностью…
я в сентябре еще писал о том, как в системе национальных электронных удостоверений Эстонии обнаружилась уязвимость, делающая использование этих национальных карточек, по большому счету, бессмысленной /channel/alexmakus/1347
так что с полуночи пятницы Эстония заблокировала использование этих карт для 760 тыс человек, и планирует полный перезапуск системы. электронное правительство — это хорошо, но опасно https://www.reuters.com/article/us-estonia-cyber/estonia-orders-online-id-lock-down-to-fix-security-flaw-idUSKBN1D312Q
ЦРУ убрали в оффлайн архив документов из дома бин Ладена. Видимо, до них дошло, что выкладывать несколько сотен гигабайт террористических документов - не очень хорошая идея
Читать полностью…
Кстати, про VPN. Читатель прислал вот - небольшой список сервисов, которые сказали, что будут (или не будут) сотрудничать с РКН: https://vc.ru/28288-novye-pravila-kak-vpn-servisy-otnosyatsya-k-zapretu-na-obhod-blokirovok
Читать полностью…
С 1 ноября вступил в силу закон о запрете использования VPN-сервисов и анонимайзеров для доступа к запрещенной в России информации. Владельцам таких сервисов и поисковых систем закон предписывает ограничивать доступ к такой информации. Им дается три дня для ограничения доступа через предлагаемые технические средства и программы к запрещенным сайтам. Список запрещенных ресурсов будет вести Роскомнадзор.
Закон разрешает блокировать сервисы, которые откажутся закрывать доступ к запрещенным сайтам. У анонимайзеров есть три дня на то, что выполнить требования властей. После этого ФСБ и МВД начинают поиск сервисов, нарушающих закон. Роскомнадзор будет проверять, подключался ли анонимайзер к заблокированным сайтам. Если информация подтверждается, что в течение двух дней Роскомнадзор принимает решение о блокировке сервиса.
Для избежания блокировок анонимайзеры должны подключиться к специальной системе Роскомнадзора. Сервисы обязаны предоставить всю информацию о владельце, дать логин, пароли и сетевой адрес для доступа к системе. Новый закон запрещает поисковикам выдавать ссылки на заблокированные страницы.
В законе есть исключения. Документ не распространяется на сервисы, которые используются для шифрования в корпоративных целях, а также на те программы, которые применяются в работе госслужб.
В будушем ответственность владельцев анонимайзеров за нарушения закона могут ужесточить. В Госдуме уже прошел первое чтение законопроект, по которому нарушителям будет грозить штраф до 700 тысяч рублей.
Роскомнадзор говорит, что все популярные VPN-сервисы согласились заблокировать запрещенные сайты. Глава ведомства сказал, что в контакт с властями вступили около 30 анонимайзеров. Александр Жаров упомянул, что в Россию работают «еще сотни тысяч мелких и кустарно написанных VPN». Проверить его слова на практике довольно трудно, потому что какие именно анонимайзеры можно считать популярными, точно не знает никто.
Тут у Републики интересное расследование о том, почему ФСБ прицепилась к Телеграму. Мне кажется, просто так от них не отстанут и может закончиться плохо https://goo.gl/jf5wMK
Читать полностью…
Для любителей паранойи - тут возникло подозрение, что Фейсбук записывает голос пользователя с микрофона устройства, для того, чтобы более лучше показывать этому пользователю рекламу в ФБ. Технических доказательств нет, но совпадения странные, так что верит или не верить этому - на ваше усмотрение. (Написал и поправил шапочку из фольги)
https://www.reddit.com/r/videos/comments/79i4cj/youtube_user_demonstrating_how_facebook_listens/?sort=top
https://goo.gl/NYwnej
Хотел написать, что история из жизни пресмыкающихся и земноводных, но там непонятно кто есть кто. Хакер взломал базу данных хакерского форума, получил данные о пользователях форума, и теперь шантажирует администрацию форума, требуя 50 тыс долларов, иначе он передаст данные о пользователях в правоохранительные органы https://www.bleepingcomputer.com/news/security/hacker-wants-50k-from-hacker-forum-or-hell-share-stolen-database-with-the-feds/
Читать полностью…