20475
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
редакция канала в лице меня выходит из комы, чтобы сообщить вам последние новости из мира информационной опасносте! например, если у вас был аккаунт на сайтах Xbox360ISO.com или PSPISO.com, которые известны распространением пиратских игр для игровых приставок, то у меня для вас плохие новости — форумы взломали, 2,5 млн учеток, включая имейлы, IP-адреса, имена и пароли, утекли в интернет. пароли были зашифрованы методом MD5, и, как показывает опыт, в этом случае этот фарш вполне можно провернуть назад.
Читать полностью…
если у вас дома роутер Netgear, то есть настоятельная рекомендация обновить прошивку в нем. Еще в 2014 году был обнаружен баг (https://www.exploit-db.com/exploits/32883/), который затем перерос в уязвимость (https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/), позволявшую злоумышленникам получить админский пароль в роутере. Так что Netgear выпустила обновление для своих роутеров (пока что не для всех, разумеется). список моделей, для которых уже есть обновление, можно почитать здесь, ну и заодно скачать сам апдейт http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability, для остальных по ссылке есть описание процедуры, как можно временно защиться от этой атаки
Читать полностью…
на прошлой неделе в мак-новостях писали о том, что Apple убрала страницу, на которой можно было проверить по серийному номеру или IMEI, заблокирован ли iPhone/iPad через iCloud. http://www.macrumors.com/2017/01/29/apple-removes-activation-lock-status-checker/ Интересно другое: вот есть видео https://www.youtube.com/watch?v=AYETzuYlEjE&feature=share, на котором явно китайский товарищ вынимает из заблокированного через iCloud iPad “жесткий диск” — то есть чип с памятью, на специальном устройстве прошивает в него другой серийный номер, и после этого iPad становится как новый. процедура там явно нетривиальная, требует специального железа и софта, поэтому насколько она вообще массовая — не очень понятно. я, конечно, вообще гуманитарий, поэтому допускаю, что я что-то не понимаю, но на видео все выглядит убедительно. так вот, как раз на этом видео чувак пользовался вот той страничкой для проверки серийного номера (которую убрала Apple) для того, чтобы проверить, что серийный номер, который он прошивал в чип памяти, точно не считается заблокированным. Так что, допускаю, что то, что Apple убрала эту страницу, как-то может быть связано в том числе и с технологией, продемонстрированной на видео
Читать полностью…
чтобы вам было нескучно в выходные, можно почитать, как от ransomware пострадали посетители отеля в австрийских альпах. там хакеры получили доступ ко всем компьютерным системам отеля, включая систему управления замками в номера, и в итоге многие гости люкс-отеля не могли выйти из комнтаы или же попасть в комнату обратно. кроме этого, заблокирована была система бронировок номеров, что тоже мешало отелю работать. отель заплатил выкуп (1500 евро), но бэкдор в системе остался, поэтому хакеры атаковали отель еще несколько раз. потом уже отель заменил компьютеры и что-то там улучшил в системе компьютерной безопасности, и хакеры уже не могли ничего сделать, но осадочек, как известно, остался. такая вот компьютеризация всего, IoT, все дела. станешь тут луддитом с этими хакерами http://www.thelocal.at/20170128/hotel-ransomed-by-hackers-as-guests-locked-in-rooms
Читать полностью…
а также интернет в россии по-прежнему опасносте. забавно, что призывает к ограничениям интернета человек, который вроде как должен отвечать за развитие этого самого интернета http://telegra.ph/Sovetnik-prezidenta-predlozhil-ogranichit-internet-v-Rossii-01-26
Читать полностью…
ну и завершает сегодняшний выпуск новостей привет пользователям Android. все мы знаем про технологию VPN и многие ею активно пользуются. Тут провели исследование 238 VPN-приложений под Android и обнаружили, что 38% их них содержат в себе шпионское и прочее зловредное ПО — воруя пользовательские данные, оставляя дыры в безопасности и даже перенаправляя трафик к внешним партнерам. Часть из таких приложений уже удалены из Google Play, но часть еще остается. Полностью отчет — по ссылке (PDF). Если вы пользуетесь VPN на Android, я настойчиво рекомендую вам изучить этот отчет и убедиться, что используемое вами приложение не находится в "черном списке". Берегите там себя! https://research.csiro.au/ng/wp-content/uploads/sites/106/2016/08/paper-1.pdf
Читать полностью…
а вот в марте на конференции Black hat Asia 2017 разработчики из Tencent собираются продемонстрировать целую цепочку уязвимостей в iOS, которые позволяют получить доступ к iOS-устройству, подключившемуся к WiFi, причем это не потребует никаких действий со стороны пользователя. Подозреваю, что информация об уязвимостях в Apple отправлена и к моменту анонса уже будет исправлена, но все равно будет интересно посмотреть https://www.blackhat.com/asia-17/briefings/schedule/#remotely-compromising-ios-via-wi-fi-and-escaping-the-sandbox-5284
Читать полностью…
IoT — это не только камеры наблюдения, термостаты, лампочки и дверные замки. производители всякую “подключаемость” начали пихать и в детские игрушки, что приводит к интересным результатам. вот, например, видео, как исследователи развлекались с игрушкой Furby, взломав протокол обмена информацией между мобильным приложением и игрушкой. там еще обнаружилось, что на старте игрушка коннектится к сайту производителя (который хостится на amazon aws), и качает оттуда контент — игрушки, музыку, звуки, и первоначальное подключение делает по обычному http. короче, берешь такое приложение, приходишь в магазин, загружаешь на Furby в магазине всякий треш и пусть потом дети страдают. https://youtu.be/FkblA_CxHgU. вот страничка проекта на гитхабе https://github.com/Jeija/bluefluff
Читать полностью…
а тут еще Forbes пытается выяснить, какую информацию WhatsApp передает правоохранительным органам. Хорошие новости в том, что содержимое сообщений вроде как не передает. Но всевозможные метаданные, включая кто с кем когда и сколько контактировал, IP-адреса, информацию о местоположении и прочие мелочи вполне может выдавать органам по запросу. не забывайте также, что если вы осознанно не поставили галку в настройках WhatsApp, то информация об использовании WA попадает в FB, который тоже отдельно может сотрудничать с органами. http://www.forbes.com/sites/thomasbrewster/2017/01/22/whatsapp-facebook-backdoor-government-data-request/
Читать полностью…
Хорошие новости, everyone! (насколько они могут быть хорошими в наше непростое время). за последние несколько дней не обнаружено крупных утечек данных, новых малварей для macOS или Android, и вообще никого из известностей не взломали. Но если ваша внутренняя паранойя не дремлет, то вам наверняка пригодится новость о перезапуске проекта Lavabit, сервиса безопасной почты https://lavabit.com. там у них сложная история — проект был запущен в 2004 году для тех, кто не верит Gmail, потом в 2013 году закрылся (“для защиты пользователей сайта” — там владельцам сайта поступил иск с требованием раскрыть шифрование и ключи SSL). А теперь, в новой реальности с новым президентом необходимость в безопасной почте, по мнению создателей Lavabit, выросла еще больше, поэтому Lavabit возвращается. Там все за деньги, но безопасность того стоит. Если бесплатно, то есть Proton Mail (с некоторыми ограничениями по возможностям) https://protonmail.com
Читать полностью…
Там в Meitu для iOS ещё поковырялись и сошлись на том, что хоть там и много рекламного трекинга юзеров, но ничего особо криминального нет. А вот зачем ей на андроиде информация о звонках - непонятно https://medium.com/p/technical-information-regarding-analytics-collection-in-the-meitu-app-for-ios-7f1a165aeee6
Читать полностью…
сегодня в ФБ несколько раз натыкался на очередную модную аппликушку для хипстеров — аппликуха Meitu, которая из селфи делает фоточку типа анимешного героя. короче, там покопались в коде этого приложения и обнаружили много всякого подозрительного, начиная от загрузки фреймворков, которые этому приложению не нужны, и заканчивая очень подозрительными библиотеками для сбора аналитики (и сразу несколько проверок на наличие джейлбрека, что для бесплатного приложения вообще странно). Короче, используйте на свой страх и риск там.
Читать полностью…
и парочка статей на почитать. например, описание инфраструктуры Google и того, как обеспечивается информационная безопасность этой инфраструктуры https://cloud.google.com/security/security-design/
Читать полностью…
Если вдруг для вас стало сюрпризом, что у macOS есть “встроенный антивирус”, то вот да :) На самом деле это часть функции File Quarantine, у которой есть рудиментарная поддержка антивирусной функциональности. в частности, это выражается в списке известных “зловредов”, которые описаны в файле XProtect.plist, который находится в System/Library/Core Services/CoreTypes.bundle/Contents/Resources/. так что если вы будете открывать файл (документ или приложение), который заражен известным вирусом для Мака, то macOS вам об этом сообщит. Обновления для файла обычно поступают через Software Update по мере необходимости. Такая защита, конечно, слабенькая, но лучше, чем ничего.
Читать полностью…
кстати, тут меня читатель Владимир немношк поправляет, что есть аппаратные FIDO U2F ключи и для смартфонов, работающие по NFC, в частности, по ссылке ниже. Правда, работает только на Android, потому что эпол редиски и NFC используют только для Apple Pay https://www.yubico.com/products/yubikey-hardware/yubikey-neo/
Читать полностью…
небольшой follow-up к истории про отель, который взломали и требовали выкуп за разблокировку электронных систем (/channel/alexmakus/949). то, что их взломали — похоже на правду, а вот про гостей, которые не могли попасть в комнату или, что даже хуже — выйти из комнаты — похоже, неправда (я еще когда писал это в выходные, думал “хм, обычно же механические ручки для выхода из комнаты используются”). Короче, судя по интервью менеджера отеля тут (https://www.bleepingcomputer.com/news/security/ransomware-infects-electronic-door-locking-system-at-austrian-hotel/), они не могли 1 день выдавать новые магнитные карты, потому что данные на компьютерах были зашифрованы, но гости могли попадать в комнаты и выходить из них. Но все равно отель планирует заменить “умные” замки обратно на “классические” — интересно, что именно это значит? прям реально аппаратные ключи будут, как в старину? я в прошлом году останавливался в таком отеле в Вермонте, отелю под 200 лет и многое, включая замки и ключи, примерно из той же эпохи. это было даже забавно.
Читать полностью…
а вот тут еще шикарная история http://fortune.com/2017/01/25/dropbox-bug-delete-files-restore/, присланная читателем, о том, как Дропбокс спалился с “удаленными” файлами. ТО есть, когда вы удаляете файл в Дропбоксе, вы думаете, что вы удалили их навсегда, но это не так — похоже, что даже удаленные файлы все равно хранятся в Дропбоксе, хрен знает сколько (хотя обещали не более 60 дней), и хрен его знает, какие там органы имеют доступ к этим файлам. (а спалились они просто — внезапно у некоторых пользователей Дропбокса в их папках всплыли файлы, которые были удалены чуть ли не 8 лет назад). Дропбокс, конечно, обещает, что такое больше не повторится и файлы будут удаляться “как надо”, но доверять им по этому вопросу или не доверять — на ваше усмотрение. я бы лично избегал хранить в дропбоксе что-либо важное и потенциально проблематичное.
Читать полностью…
как бы мне не хотелось избегать около-политических новостей в этом канале, но, к сожалению, получается плохо. Вы, наверно, слышали о том, что на прошлой неделе в США ввели запрет на въезд в страну граждан семи стран (Сирия, Ирак, Иран, Ливия, Йемен, Судан и Сомали). ну, в общем, это еще не все. Говорят, что рассматривается также предложение, по которому у всех въезжающих в страну (возможно, что все-таки не у всех, но деталей пока нет), будут при въезде досматривать на телефоне и/или компьютере следующее: историю посещенных веб-сайтов, содержимое профайлов социальных сетей, а также контакты в адресной книге. сама по себе идея звучит несколько сложнореализуемой, учитывая количество въезжающих в страну людей, но, с другой стороны, запрет на въезд мусульман еще недавно тоже выглядел нереальной ситуацией, а тут вот как оно повернулось. так что мало ли что
Читать полностью…
Сегодня, в эту пятницу, не очень хорошие новости. был такой сайт — Leakedsource.com, одной из функций которого была фишка узнать, не попал ли твой имейл в какие-то базы утечек. Проблема с этим сайтом заключалась в том, что они, скупая и собирая утекшие базы, не просто давали возможность проверить наличие себя, но и увидеть все утекшие credentials — то есть логины, пароли и проч (в отличие от гораздо более приличного сайта https://haveibeenpwned.com, который дает возможность только проверить наличие имейла в утечках). Короче, похоже, что федеральные правоохранительные органы добрались до leakedsource.com, изъяли все диски, и вообще сайт находится "под следствием". детали расследования неизвестны, но сайт больше недоступен и вроде как маловероятно, что он вернется. Поэтому https://haveibeenpwned.com — наш выбор (если вам нужно узнать, откуда утекли ваши данные).
Читать полностью…
Сегодня развлекалочка. Твит пресс-секретаря Белого Дома (уже удален). Есть подозрение, что это был его пароль от твиттера :) Осторожней там с тем, куда и чего пишете :)
Читать полностью…
периодически в новостях циркулируют ссылки на то, как очередной хитрожопый месседж крешит iPhone или хотя бы приложение Messages. Тут вот исследователи накопали багу в Samsung, которая при получении специфического сообщения приводила к сбросу телефона на заводские настройки. багу зарепортили в Samsung, и еще в ноябре в апдейте ее исправили (она затрагивала Samsung Galaxy S4 и S5). тут по ссылке больше информации об уязвимостях, которые давали такой прекрасный результат https://www.contextis.com/resources/blog/wap-just-happened-my-samsung-galaxy/
Читать полностью…
и снова дратути! если вдруг у вас был аккаунт Hello Kitty (ну мало ли), то вам будет интересно узнать, что в интернете всплыла база пользователей (3.3 млн записей), включая аккаунты, даты рождения, имейлы, секретные вопросы к паролям и их ответы, и “unsalted SHA-1 hash passwords”. Сайт хакнули еще в декабре 2015 года, компания тогда отрицала возможную утечку данных, но вот база всплыла и ага. Конечно же, это было MOngoDB без настроенного админского пароля. больше информации по ссылке (прислал читатель) https://threatpost.com/hello-kitty-database-of-3-3-million-breached-credentials-surfaces/122932/
Читать полностью…
а у Apple сегодня день апдейтов. Там вышли обновления для всех ОС, которые на сегодня актуальны, и, как обычно, в обновлениях — куча исправлений и в сфере безопасности: в macOS 10.12.3 https://support.apple.com/en-us/HT207483, в iOS 10.2.1 https://support.apple.com/en-us/HT207482, в tvOS 10.1.1 https://support.apple.com/en-us/HT207485 и даже в watchOS 3.1.3 https://support.apple.com/en-us/HT207487
Читать полностью…
ну и в рамках образовательной функции этого канала — ссылка (которую прислал читатель Валентин, за что ему спасибо!) от Cisco с информацией о ransomware — что это такое и как от этого защищаться. Почитайте, это полезно (и на русском понятном языке, опять же) http://www.cisco.com/c/m/ru_ru/offers/sc05/ransomware/index.html
Читать полностью…
Несколько дней назад тут проходила линка на статью в Guardian о якобы бэкдоре в WhatsApp. Дальнейшее исследование показало, что это никакой не бэкдор, а WhatsApp все же достаточно безопасное приложение для чатов. Однако, по интернетам уже понеслась тема с тем, что "не пользуйтесь Воцапом, он небезопасен", что неправда. в итоге большой список экспертов по безопасности подписали открытое письмо к Guardian с требованием отозвать свою статью про WhatsApp и опубликовать опровержение с информацией, там озвученной.
1: The WhatsApp behavior described is not a backdoor, but a defensible user-interface trade-off. A debate on this trade-off is fine, but calling this a “loophole” or a “backdoor” is not productive or accurate.
2: The threat is remote, quite limited in scope, applicability (requiring a server or phone number compromise) and stealthiness (users who have the setting enabled still see a warning–even if after the fact). The fact that warnings exist means that such attacks would almost certainly be quickly detected by security-aware users. This limits this method.
3: Telling people to switch away from WhatsApp is very concretely endangering people. Signal is not an option for many people. These concerns are concrete, and my alarm is from observing what’s actually been happening since the publication of this story and years of experience in these areas.
4: You never should have reported on such a crucial issue without interviewing a wide range of experts. The vaccine metaphor is apt: you effectively ran a “vaccines can kill you” story without interviewing doctors, and your defense seems to be, “but vaccines do kill people [through extremely rare side effects].”
полная статья с требованием опровержения и списком подписавших — тут http://technosociology.org/?page_id=1687
Вот ещё, кстати, Cnet озадачился темой Meitu и задается вопросом, что как для фотоаппликушки это приложение запрашивает слишком много прав себе на Android. Ну и там внутри ещё комментарии про iOS- версию. Так что смотрите сами и берегите там себя! https://www.cnet.com/news/meitu-app-privacy-issues-why/#ftag=CAD590a51e
Читать полностью…
или вот какие методы использует Google для ловли вредоносных приложений в Google Play — тоже достаточно интересный материал https://android-developers.googleblog.com/2017/01/findingmalware.html
Читать полностью…
я тут недавно писал о том, что в интернете эпидемия с базами данных MongoDB, потому что многие ленивые админы ленятся конфигурировать админский аккаунт с паролем, а потом их воруют и требуют выкуп в обмен на то, чтобы получить данные обратно. В итоге, говорят, уже под 35 тыс баз стырили и вымогают деньги. а дальше, похоже, будет только хуже, потому что группа хацкеров Kraken0 продает свой код для "захвата" таких баз данных https://twitter.com/0xDUDE/status/821625934109437952
Читать полностью…
разве только Android-пользователей пугать мальварами для их платформы? Встречайте, первая малварь 2017 года для Мака (по версии Malwarebytes). Вредоносное ПО пытается делать скриншоты и получить доступ к камере, но почему-то использует для этого какой-то аццки древний код, ну и вообще там как-то все довольно запущено. Не очень понятен вектор атаки этого зловредного ПО, но вроде как встроенный “антивирус” в macOS получил обновление с информацией об этой малвари и должен ее отлавливать https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/
Читать полностью…
между прочим, тут пишут о том, что в последнее время по сети ходит очень изощренная форма фишинга гугловых аккаунтов https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/. Так что если вы до сих пор не пользуетесь хотя бы 2FA с подтверждением по SMS (а лучше еще — хардварным ключем), то самое время этим озаботиться. берегите там себя! (хардварные ключи работают, похоже, только в PC/Mac, так что на телефоне лучше поставить Google Authenticator, если вы не доверяете SMS — и не стОит). Поэтому если вы ждали какого-нибудь знака для того, чтобы наконец-то перейти на 2FA, ТО ЭТО СООБЩЕНИЕ КАК РАЗ ЯВЛЯЕТСЯ ТАКИМ ЗНАКОМ!
Читать полностью…