=== РЕКЛАМА ===                                                    
Как научиться применять реверс-инжиниринг в своей разработке?

Начните с демо-урока «Анализ шелкода» 16 декабря. Вместе с Артуром Пакуловым вы разберете образец вредоноса, который из себя представляет сдампленный кусок шелкода.
Демо-занятие — возможность попробовать онлайн-курс «Reverse-Engineering. Basic» и познакомиться с преподавателем. Базовый уровень программы познакомит вас с ключевыми возможностями реверс-инжиниринга.

Для регистрации на занятие пройдите вступительный тест: https://otus.pw/oP4a/

список инструментов Fireeye
https://docs.google.com/spreadsheets/d/1uRAT-khTdp7fp15XwkiDXo8bD0FzbdkevJ2CeyXeORs/edit#gid=36102663

пару недель назад я писал про СДК X-Mode для мобильных приложений, которое засветилось в передаче данных о геолокации пользователей министерству обороны США (вкуснота была в том, что парочкой приложений активно пользовались мусульмане). Теперь Google и Apple выпиливают из своих аппсторов приложения с этими СДК

https://www.wsj.com/articles/apple-and-google-to-stop-x-mode-from-collecting-location-data-from-users-phones-11607549061

Не очень представляю себе, как кто-то в здравом уме себе это вообще купит

https://www.washingtonpost.com/technology/2020/12/10/amazon-halo-band-review/

АПД. Устройство Amazon Halo Band должно следить за здоровьем и настроением пользователя. Для этого надо сделать 3Д-модель тела, сфотографировавшись в раздетом виде, а также носить браслет с микрофоном, который постоянно анализирует тональность голоса. Как указано в статье, «этот гаджет гораздо лучше справляется со сбором Амазона информации о вас, чем со своей функциональностью, чтобы делать вас здоровым и счастливым».

всем нужна информация о геолокации. Компании из Израиля, будучи аффилированными с разведкой, внедряются в рекламные экосистемы и собирают информацию оттуда
https://www.forbes.com/sites/thomasbrewster/2020/12/11/exclusive-israeli-surveillance-companies-are-siphoning-masses-of-location-data-from-smartphone-apps/

А вот сейчас важные новости, которые активно обсуждались все воскресенье в соответствующих кругах. злоумышленники (утверждается, что это хакеры, работающие по заказу российского правительства) мониторили внутреннюю почту министерства финансов и министерства торговли США. Предполагают, что был взломан сервер подрядчика, и один из апдейтов ПО мог содержать вредоносный пейлоад. Возможно, допускают источники, что почта - это только верхушка айсберга. Среди клиентов подрядчика - компании SolarWinds - огромное количество крупных корпораций и государственных заказчиков.

Оригинальная новость
https://www.reuters.com/article/us-usa-cyber-treasury-exclsuive-idUSKBN28N0PG

Комментарий SolarWind
https://www.reuters.com/article/us-usa-solarwinds-cyber-idUSKBN28N0Y7
А также их рекомендация об обновлении
https://www.solarwinds.com/securityadvisory

Интересный тред с комментариями Microsoft в Твиттере
https://twitter.com/KimZetter/status/1338305089597964290

Похоже, что сигнатуру для Defender для детекции проблемы Microsoft выпустила вчера (кстати, они называют атаку Solorigate)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Solorigate.C!dha&ThreatID=2147771132

Большой отчёт FireEye об уязвимости и взломе (они называют атаку через бэкдор SUNBURST, и утверждают прямым текстом, что жертвами стали большое количество государственных и частных компаний). Судя по тексту, взлом действительно был весьма высококвалифицированный.
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

IT’S FINE.JPG

Мощное расследование Bellingcat о покушении на Навального. Независимо от самой темы с покушением хотел просто обратить ваше внимание на факт «информации опасносте»: то, насколько просто сторонним людям, не имеющим отношения к власти или правоохранительным органам получить доступ к информации о геолокации, к биллингу операторов, к информации о перелетах других людей. Практически все покупается без особых ограничений, и это, конечно, очень сильно удручает.

https://www.bellingcat.com/news/uk-and-europe/2020/12/14/fsb-team-of-chemical-weapon-experts-implicated-in-alexey-navalny-novichok-poisoning/

https://navalny.com/p/6446/

хороший абзац, даже если в комментариях рассказывают о том, что "так было испокон веков, горбушка наше все, и тд". статус кво такой статус кво.

И продолжение истории со взломом SolarWinds, что привело к уже известным взломам министерства финансов и министерства торговли США.

ТАСС уполномочен заявить, что «ето не мы»
https://tass.com/politics/1234589

Инструкции от Агенства кибербезопасности США по уменьшению последствий взлома SolarWinds Orion
https://cyber.dhs.gov/ed/21-01/

Рекомендации Microsoft о том же
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/

Материал в Forbes о клиентах SolarWinds, покупавших решение Orion (инструмент для IT по упрощению администрирования сетей организации). В списке Пентагон, армия и флот США, ФБР, министерство национальной безопасности, министерство по делам ветеранов, и тд.
https://www.forbes.com/sites/thomasbrewster/2020/12/14/dhs-doj-and-dod-are-all-customers-of-solarwinds-orion-the-source-of-the-huge-us-government-hack/

так, пишут, что через SolarWinds было также взломано министерство национальной безопасности США (Department of Homeland Security), просто официально они пока что этого не подтвердили. кажется, назревает взлом года, а то, и, может, десятилетия.

OK, почти что официальное подтверждение про взлом министерства национальной безопасности США через SolarWinds

https://www.reuters.com/article/us-global-cyber-usa-dhs-idUSKBN28O2LY

Вчера вышли апдейты macOS/iOS и других систем для устройств Apple, и набор фиксов для различных обнаруженных уязвимостей должен вызывать автоматическое желание поставить обновления как можно скорее

macOS 11.1 https://support.apple.com/en-us/HT212011
iOS 14.3 https://support.apple.com/en-us/HT212003

Сразу две интересные новости про американские школы:

Рейтинг популярности вредоносных приложений в школах, из которого можно узнать, что самым популярным вирусом для Маков является Shlayer. А вообще, в образовательном секторе, как и везде, самыми популярными атаками являются вымогатели, кража данных и нарушение функционирования сервисов удаленного обучения.

https://www.zdnet.com/article/cisa-and-fbi-warn-of-rise-in-ransomware-attacks-targeting-k-12-schools/

В то же время школы «вооружаются» против учеников теми же инструментами, что и покупают полиция и прочие правоохранительные органы: устройства и приложения компании Cellebrite для получения данных с устройств:
https://gizmodo.com/u-s-schools-are-buying-phone-hacking-tech-that-the-fbi-1845862393

вчера в рамках нового обновления всех своих операционных систем Apple включила в своих магазинах показ так называемой «этикетки конфденциальности» — уж не знаю, как это лучше по-русски сказать (privacy label). Разработчикам надо указать, какую информацию о пользователях собирает их приложение в процессе работы, и потом это в простом и понятном виде показывается в App Store. Ну, конечно, в приложении ФБ все красиво

Интересная информация о том, как хакеры, стоящие за взлома SolarWinds, обходили требования двухфакторной аутентификации (речь идёт о файле akey с авторизационного сервера OWA)

https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/