20533
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
Oh no, компания, которая заявила, что может активно слушать разговоры пользователей вокруг различных устройств, спиздела, вот это неожиданность:
The company added that it does not "listen to any conversations or have access to anything beyond a third-party aggregated, anonymized and fully encrypted data set that can be used for ad placement" and "regret[s] any confusion."
Но любителей теорий заговоров разве это остановит? «А может это рептилоиды заставили теперь их опровергнуть это утверждение??? ТЫ ПОДУМАЛ ОБ ЭТОМ???»
https://arstechnica.com/gadgets/2023/12/no-a-marketing-firm-isnt-tapping-your-device-to-hear-private-conversations/
Psychedelic cryptography is a way of concealing messages (normally in videos) so that only people who’ve taken LSD can receive the messages.
Такая криптография нам нравится
https://qri.org/blog/psycrypto-contest
ну и чтобы два раза не вставать — декабрьский патч-вторник у Microsoft, 36 уязвимостей, 4 из которых — критические
https://msrc.microsoft.com/update-guide/en-us/releaseNote/2023-Dec
прикольную фичу по безопасности выкатила Apple в новой бете iOS. Она призвана бороться с кражей айфонов, когда вор по какой-то причине знает пароль к устройству (подсмотрел, например). Активировав эту фичу, пользователь получит более защищенное устройство: айфон потребует отпечаток пальца или скан лица при попытке просмотреть пароли или сбросить к заводским настройкам, выключить режим потерянного устройства, просмотреть платежные средства. И можно сделать так, что смена пароля Apple ID будет возможна только в часто посещаемых локациях: дом, офис, тд.
https://www.theverge.com/2023/12/12/23998665/apple-stolen-device-protection-face-touch-id-icloud-account-vulnerability-ios-17-3-beta
у Apple сегодня вышли апдейты iOS/iPadOS/macOS и тд, и как обычно, там есть и улучшения безопасности
например, iOS 17.2 исправляет 10 различных уязвимостей. Но хорошие новости, например, что ни одна из них, похоже, не была zero day с активной эксплуатацией.
https://support.apple.com/en-us/HT214035
"Департамент СМИ и рекламы Москвы запретил владельцам билбордов размещать рекламу с QR-кодами
Это произошло после того, как вчера ФБК разместил в столице, а также Петербурге и Новосибирске билборды, на которых QR-код, изначально отсылавший на нейтральный сайт, в итоге путем редиректа перенаправлял на сайт антипутинской кампании."
это очень смешно, а также нет :)
Atlassian молодцы, на 9 из 10 (в смысле, по критичности уязвимостей)
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).
Вот это сюрприз так сюрприз, никто этого не мог предсказать
https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/
Если у вас Хром на Маке, то не задерживайте с апдейтом
Google is aware that an exploit for CVE-2023-6345 exists in the wild.
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
Эксплуатация уязвимости в ownCloud с получением полного контроля над сервером
https://www.greynoise.io/blog/cve-2023-49103-owncloud-critical-vulnerability-quickly-exploited-in-the-wild
Сама уязвимость
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился
https://arstechnica.com/gadgets/2023/11/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours/
да что вы знаете о кибербезопасности. ФБ нашел пост 10-летней давности про шутку о совпадении чисел 11 декабря 2013 года — в определенное время могла получиться длинная последовательность последовательных чисел. причем это даже был репост из твиттера с комментарием. И решил, что это имеет какоето отношение к кибербезопасности.
И так у них все.
SysAid предупреждает, что хакеры, которые связаны со взломом MoveIT, похоже, эксплуатируют zero day уязвимость в их ПО для автоматизации
https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification
Через взлом службы поддержки Okta были украдены токены доступа клиентов компании
https://sec.okta.com/harfiles
теперь вместо секретной госпрограммы о передаче информации о пуш-уведомлениях Apple будет требовать судебный ордер или ордер об обыске — которые требуют подписи судьи.
https://www.documentcloud.org/documents/24219266-apple-law-enforcement-guidelines-updated-december-2023#document/p19/a2415172
прекрасная история про польский поезд, в котором есть компания производитель, установившая, по сути, некий DRM на ПО для поезда, чтобы предотвратить ремонт третьими сторонами, и польские хакеры, которые взломали этот самый ДРМ после того, как их наняли "починить" ПО. если я правильно понял цепочку, то компания-оператор поездов чинила их силами своих подрядчиков, после чего поезда переставали ездить (брикались). Из последних сил компания наняла хакеров, которые заглянули в софт и нашли закладки, блокирующие работу поездов при стороннем ремонте. Теперь компания-производитель поездов хочет подать в суд на этих хакеров.
https://gizmodo.com/hackers-hit-with-legal-threats-after-they-fixed-a-brick-1851097424
еще утром читатель присылал новость, что в Украине после кибератаки прилёг оператор Киевстар
https://www.veon.com/newsroom/press-releases/veon-backs-uzbekistan-bid-to-become-central-asia-it-hub-1
https://www.bleepingcomputer.com/news/security/ukraines-largest-mobile-carrier-kyivstar-down-following-cyberattack/
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.
https://asset-group.github.io/disclosures/5ghoul/
Читатель прислал письмо, которое получил. Взломали Bangkok Airways, унесли данные участников программы по накоплению миль, включая имена, адреса, телефоны, явки…
Читать полностью…
I dug into the terms of Binance's settlement with feds. The world's biggest crypto exchange is about to open its database of transaction records to US regulators/law enforcement for a "24/7, 365-days-a-year financial colonoscopy."
https://bsky.app/profile/agreenberg.bsky.social/post/3kfvkdgf2bi24
очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
https://www.documentcloud.org/documents/24191267-wyden_smartphone_push_notification_surveillance_letter_to_doj_-_signed
и как это часто бывает в случае минорных апдейтов iOS/iPadOS/macOS:
Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1.
https://support.apple.com/en-us/HT214031
https://support.apple.com/en-us/HT214032
BLUFFS — новый набор атак на Bluetooth, позволяющий расшифровывать данные в сессии обмена данными. Включает в себя парочку новых уязвимостей, затрагивает Bluetooth версий от 4.2 до 5.4
https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
https://francozappa.github.io/post/2023/bluffs-ccs23/
кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.
https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/
Злоумышленники активно используют две новые уязвимости нулевого дня для объединения маршрутизаторов и видеорегистраторов во враждебную бот-сеть, используемую для распределенных атак типа "отказ в обслуживании", сообщили в четверг исследователи из компании Akamai.
https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days
Берегите свои ssh ключи смолоду
Впервые исследователи продемонстрировали, что значительная часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютерами и серверами, уязвима для полной компрометации при возникновении естественных вычислительных ошибок в процессе установления соединения.
Уязвимость проявляется в ошибках при генерации подписи, возникающих при установлении соединения между клиентом и сервером. Она затрагивает только ключи, использующие криптографический алгоритм RSA, который исследователи обнаружили примерно в трети изученных ими подписей SSH.
https://eprint.iacr.org/2023/1711.pdf
Пошла активная эксплуатация уязвимости в Atlassian Confluence Server
ntkramer/111358137312740939" rel="nofollow">https://infosec.exchange/@ntkramer/111358137312740939
https://viz.greynoise.io/tag/atlassian-confluence-server-authentication-bypass-attempt?days=3
bitwarded добавляет поддержку passkeys
https://bitwarden.com/help/releasenotes/#:~:text=Save%20passkeys%20to%20your%20vault%3A