20613
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
В интернете сейчас циркулирует якобы ещё одна лажа в macOS, в рамках которой вроде как неадминский юзер может установить расширение ядра, нажав кнопку в системных настройках, не вводя админские логин и пароль.
https://twitter.com/wdormann/status/953651214532726789
Похоже, что это та проблема, которая выглядит хуже, чем на самом деле, потому что в данном случае пользователь уже авторизовался в установщике, введя там админский пароль, поэтому в настройках используется информация об этой авторизации. Так что вроде как работает все как и должно, но панику в интернете развести это никогда не мешало
интересно, когда стоимость биткойна упадёт, прекратятся ли эти попытки майнить криптовалюты браузерами пользователей?
https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/
Кстати, если вам надоело читать про Meltdown и Spectre, то теперь об этих уязвимостях можно еще послушать! Я поучаствовал в подкасте BeardyCast, где ответил на разные вопросы на эту тему
/channel/beardycast/3219
а у Лаборатории Касперского тем временем большая статья об интересном зловреде для Android — Skygofree. Штуковина умеет интересные вещи — например, записывать аудио с микрофона, когда телефон попадает в определенное место, или воровать сообщения WhatsApp. Более того, оно еще и для Windows существует. Забавно, они еще и код из других проектов с Гитхаба заюзали. Распространяется посредством загрузки с веба. По словам экспертов ЛК, Skygofree — один из самых мощных шпионов для Android.
https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/
какое самое распространенное вредоносное ПО в декабре прошлого года? Конечно, майнер криптовалют в JavaScript на сайтах https://blog.checkpoint.com/2018/01/15/decembers-wanted-malware-crypto-miners-affect-55-businesses-worldwide/
Читать полностью…
Многие из вас слышали в новостях, что в субботу жителям штата Гавайи прилетело уведомление (на смартфоны, по телевизору и радио) о том, что на остров летит межконтинентальная ракета, спасайся кто может. Опровержение, кстати, пришло в виде сообщения только через 38 минут. Уже было много обсуждений, что в системе две команды - о проверке системы и отправке сообщения - были расположены рядом и сотрудник ошибся при пересменке. С кем не бывает, да? А вот тут раскопали интервью ещё одного сотрудника этой же службы штата Гавайи, которое он давал в июле прошлого года, где у него на мониторе приклеен стикер с паролем. В общем, безопасность там у них на уровне!
http://www.thegatewaypundit.com/2018/01/hawaiian-emergency-management-officials-hold-interview-post-notes-passwords-computer-screens/
Сервера Stack Overflow после патча Meltdown
Читать полностью…
и пятничный бонус #2 — апдейт документа iOS Security, который выложила Apple вчера. 78 страниц информации, касающейся всего, что делает Apple для обеспечения информационной безопасности на iPhone и iPad, включая Face ID, Apple Pay Cash и Password AutoFill for Apps. Есть что почитать на выходных
https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Пользователям браузера Chrome может оказаться интересным это расширение для браузера, показывающее, кто и как следит за вами на любом вебсайте
https://chrome.google.com/webstore/detail/kimetrak/calbcnenngoldabnjpmjionopmijimpa
страница этого проекта тут https://github.com/david-legrand/kimetrak
И снова здравствуйте! В окончание этой короткой рабочей недели (для большинства из вас) еще парочка новостей про Meltdown/Spectre и потом кое-что интересное.
1. Тут Google рассказывает, что их исправления уязвимостей M/S не приводит к потере производительности их облачных сервисов
https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/
2. Вчера AMD созрело на новое заявление касательно того, как M/S влияет на продукты, использующие процессоры AMD. Там они подтвердили, что оба варианта Spectre затрагивают процессоры AMD, а вот Meltdown все-таки не затрагивает
http://www.amd.com/en/corporate/speculative-execution
Тут продолжает развиваться история с вредоносным ПО для Маков под названием FruitFly (его обнаружили в прошлом году https://www.cyberscoop.com/fruit-fly-mac-malware-synack-patrick-wardle/).
История такая, что некий хрен на протяжении 13 лет заражал Маки приложунькой, которая должна была подслушивать микрофон, записывать камерой видео, а также воровать персональные данные жертв (скриншоты, кейлоггинг, и тд). Также обвиняемый занимался созданием детской порнографии. Количество жертв якобы измеряется в тысячах, хотя при обнаружении речь шла о 400 случаях заражения). Самое странное, что механизм распространения этого вредоносного ПО не раскрывается. Короче, автору этого всего вчера выдвинули обвинение, дальше будет суд, и, возможно, во время суда выяснятся какие-то детали этой мутной истории
https://www.justice.gov/usao-ndoh/pr/north-royalton-man-charged-16-count-indictment-creating-and-installing-malware
Реалии современного веба:
- Open website
- Click Cancel on "Allow notifications"
- Close mailing list overlay
- Close cookies banner
- Pause autoplaying video with sound
😠
- Close "Disable adblock" overlay
- Pause adblock
- 80% of screen is ads
- JS crypto miner trashes CPU
😡
- Article was crap
😤
Мне тут ребята из хостинга Inferno Solutions (отличное название, кстати) подогнали картинку с показателями на хостах после накатывания апдейта против Meltdown/Spectre. Процитирую автора: "Этот сервер был почти пустой и тестировали патчи на нем, на боевых машинах даже страшно патчить.." Характеристики хоста — CentOS 7, виртуализация KVM, 2x Xeon E5 2650v4 в качестве CPU.
Если тут есть еще представители хостингов, присылайте мне вашу статистику, будем её тут собирать понемножку
умный сейф, говорили они... https://twitter.com/BBCClick/status/951057832060780544/video/1
Читать полностью…
Очередной привет от Apple своим пользователям в плане безопасности. Если зайти в системные настройки macOS, раздел App Store, то на 10.13.2 разблокировать доступ к настройкам можно любым паролем. Я у себя на бете 10.13.3 воспроизвести не смог, так что, похоже, что в бете это уже исправили. В статье пишут, что на 10.12.6 тоже не воспроизводится, так что проблема характерна только для High Sierra. Знаете, как шутят, что жизнь как зебра, где белая полоса, черная полоса, белая полоса, черная полоса... Так вот, что-то в последнее время у Apple с темой безопасности мало того, что какая-то черная зебра попалась, так, чувствую, мы еще и к жопе подбираемся.
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
Пользователям Virtual Box будет полезно узнать, что там вышел апдейт, исправляющий дыру, позволявшую выходить из виртуальной машины в хост. А это означает, что информация об уязвимости теперь доступна публично, так что кто не проапдейтился - сам виноват
https://twitter.com/_niklasb/status/953604276726718465
Если вы думали, что на Meltdown/Spectre все закончится, то у меня для вас плохие новости - не закончится. Судя по тизеру, дальше будет хуже (впрочем, это давно девиз этого канала) https://skyfallattack.com/
АПД. Важно отметить, что пока что эксперты склоняются к тому, что это может оказаться фейком, так что выжигать процессоры паяльником пока что ещё рано
и снова здравствуйте! Канал плохих новостей продолжает свою трансляцию. Если вы пользуетесь Твиттером, то вам будет интересно узнать о мутной истории, в которой фигурирует Твиттер, его сотрудники и их возможности по чтению приватных сообщений (Direct Messages) в сервисе. Все началось со скрытого видео, снятого сотрудниками Project Veritas, на котором бывший сотрудник Твиттера рассказывает о том, что "сотни сотрудников Твиттера читают вашу переписку каждый день". (надо отметить, что Project Veritas — та еще помойка, периодически засылающая в СМИ поддельных свидетелей, чтобы подставить неугодные ей СМИ). Твиттер утверждает, что действительно к ДМ есть доступ у некоторых сотрудников, но не у всех подряд, а только у специально отобранных и для рабочих нужд — например, если кто-то жалуется, что его чморят через ДМ. Так что:
а) надо со скептицизмом воспринимать заявления у project veritas
б) подозревать, что дыма без огня не бывает
в) никому не верить
г) быть начеку и свои обнаженные фоточки через ДМ-ы в Твиттере не слать
Кстати, я в Твиттере — @alexmak, если что. Туда точно не стоит слать обнаженные фото в ДМ!
Тут предупреждают о новой фишинговой атаке, нацеленной на пользователей Apple. Для кражи персональных данных злоумышленники используют «двойную» рассылку.
В первом письме от мошенников пользователю сообщают о несуществующей покупке приложения в App Store. В сообщении указаны детали заказа, включая сумму сделки. На подделку указывает адрес отправителя, не имеющий отношения к Apple, неперсонализированное обращение («Дорогой клиент») и подозрительный документ во вложении.
Если пользователь не обратит внимания на эти признаки и откроет вложенный файл, он обнаружит «квитанцию об оплате». В квитанции есть ссылка, которую предлагается использовать в случае проблем с заказом, – конечно, она ведет на фишинговый сайт. Там пользователю нужно ввести Apple ID и пароль, а далее «подтвердить личные данные», в том числе, данные банковской карты.
Особенность этой фишинговой кампании в том, что далее потенциальная жертва получит еще одно сообщение со ссылкой на тот же сайт. Второе письмо (от лица «Службы технической поддержки Apple») предупреждает, что часть информации об учетной записи пользователя не подтверждена. Чтобы продолжить использование сервисов Apple, пользователю предлагается подтвердить данные, заполнив форму на фишинговом сайте.
у меня для вас опять накопилось много интересной информации (впрочем, как почти каждый день, что только подтверждает мою мантру про то, что "дальше будет хуже". Кстати, может, это сделать девизом канала?)
например, обнаружен новый зловред для macOS — OSX/MaMi. На зараженных компьютерах вирус подменяет адрес DNS-сервера, и отправляет трафик через вредоносные сервера, перехватывая данные в процессе. Более того, софтинка устанавливает корневой сертификат для перехвата зашифрованных коммуникаций. Приложение умеет снимать скриншоты, закачивать и аплоадить файлы, выполнять команды и тд. Метод распространения неизвестен.
Чтобы проверить, не заражены ли вы этой гадостью, достаточно посмотреть в системных настройках, не прописаны ли там адреса 82.163.143.135 и 82.163.142.137 в качестве DNS
Детали и архив для скачивания (осторожно, не заразите себя!) по ссылке
https://objective-see.com/blog/blog_0x26.html
У Huawei явно не задался выход на американский рынок. Теперь тут законодательно хотят запретить госорганам пользоваться телефонами Huawei и ZTE — из соображений информационной безопасности, конечно же! https://www.congress.gov/115/bills/hr4747/BILLS-115hr4747ih.pdf
Читать полностью…
гугол удалила лучшие игры из google play — такие, в которых показывалась порно-реклама! https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/
(правда, это были детские игры, так что и хорошо)
А вот пятничный бонус #1. История-триллер о том, как данные, полученные с iPhone, позволили получить подтверждение виновности в убийстве. Там, в частности, с iPhone подозреваемого добыли данные Health, которые регистрируют количество пройденных лестничных пролетов, и сравнили эти данные с информацией с телефона жертвы (когда убийца по ступенькам отнес тело жертвы вниз к реке, а потом вернулся обратно). Во время следственного эксперимента данные совпали, так что это послужило достаточным доказательством.
Там есть не очень понятный момент с тем, как эти данные с телефона были получены — якобы некая компания добыла данные с телефона, так как владелец отказался предоставить пароль к телефону, так что это мог быть какой-то взлом в обход TouchID, о котором мы пока не знаем. Но сам факт использования данных Health - интересен.
https://motherboard.vice.com/en_us/article/43q7qq/apple-health-data-is-being-used-as-evidence-in-a-rape-and-murder-investigation-germany
А тем временем F-Secure обнаружили новую уязвимость в процессорах Intel, точнее, в AMT (Active Management Technology) процессоров, позволяющей получить управление над устройством (при наличии физического доступа к устройству). Проблема митигируется заменой дефолтного пароля у AMT. Этот год у Intel пока не задался
https://business.f-secure.com/intel-amt-security-issue
И еще о потере производительности после установки апдейтов против Meltdown и Spectre — теперь официальные результаты Intel
https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/
В зависимости от процессоров, задач и тестов, падение от 1% до 21%. Чтобы не пересказывать все результаты — вот прямая ссылка на ПДФ с табличкой
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf
кажется, возвращаются времена, когда ФБР опять будет требовать бэкдор в iPhone и других устройствах. Директор ФБР пожаловался, что в прошлом году они не смогли получить доступ к 7775 устройствам, и назвал это существенной проблемой для общественной безопасности
https://www.washingtonpost.com/world/national-security/fbi-chief-calls-encryption-a-major-public-safety-issue/2018/01/09/29a04166-f555-11e7-b34a-b85626af34ef_story.html?utm_term=.6538ab0012a7
а эксперт ФБР назвал Apple "козлами" и "гениями зла" за то, что компания усложняет работу ему и его коллегам
https://motherboard.vice.com/en_us/article/59wkkk/fbi-hacker-says-apple-are-jerks-and-evil-geniuses-for-encrypting-iphones
Safari Technology Preview Release 47 is now available for download for macOS Sierra and macOS High Sierra. If you already have Safari Technology Preview installed, you can update from the Mac App Store’s Updates tab. This release covers WebKit revisions 225841-226459.
This release contains the Spectre mitigations released in iOS 11.2.2, the High Sierra 10.13.2 supplemental update, and Safari 11.0.2 reissue released on Monday, January 8. For more information about Spectre, see What Spectre and Meltdown Mean For WebKit.
https://webkit.org/blog/8060/release-notes-for-safari-technology-preview-47/
Подъехали результаты тестирования macOS с апдейтом против Meltdown. Есть хорошие новости и плохие. В частности, в среднем потерей производительности после апдейтов можно пренебречь, если смотреть на результаты тестирования с помощью Geekbench, особенно если учесть существенный прирост производительности между 10.13.0 и 10.13.2 в некоторых тестах. На задачах типа компилирования потеря производительности составила от 2 до 9%. На задаче типа разархивирования большого файла падение производительности от 6 до 12%, если сравнивать 10.13.0 против 10.13.2, и более 40%, если сравнивать машину 10.12.6 против 10.13.2 (там, похоже, накладываются проблемы производительности APFS против HFS+).
Также замеряли производительность на системных функциях — getpid, read, write, lseek, gettimeofday — и там начинается самая жопа, с потерей производительности до 300% в некоторых случаях. В реальных условиях, конечно, большинство пользователей этого не заметит, но когда это останавливало журналистов от статей вроде "ЭПОЛ ЗАМЕДЛИЛА СВОИ КОМПЬЮТЕРЫ ПРОЦЕНТОВ НА ТРИСТА" (хаха, шутки про тракториста)
много деталей по ссылке https://reverse.put.as/2018/01/07/measuring-osx-meltdown-patches-performance/
так, пользователей Windows с глюками апдейтов для Spectre/Meltdown я сегодня уже обрадовал. Пользователей Маков с дырой в системных настройках — тоже. Кто там у нас остался? Пользователи Linux! Ну, у них-то все должно быть в порядке, правда? А вот и нет! патчи против Meltdown/Spectre "кирпичат" Ubuntu 16.04. Ой!
https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-bricking-ubuntu-16-04-computers/
Эпичная история про чувака, который сделал пакет, включенный в зависмости многих других пакетов для веба, и распространялся через nmp. На первый взгляд пакет обладал полезной функциональностью, но также умел воровать пользовательские данные из форм на страницах — в частности, юзернеймы, пароли, данные банковских карточек. Демонстрирует, насколько легко взять и распространить свой код на тысячи вебсайтов.
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5