мне сегодня уже примерно 100500 раз прислали почемуто опять попавшую в новости эту цитату, поэтому будет нелишне повторить

оригинал тут https://rus.lb.ua/tech/2019/11/29/443542_rol_kiberbezopasnosti_nemnogo.html

Понабирают, блядь, по объявлениям.

Что может пойти не так, если поставить дома камеры с трансляцией потока в интернет? Конечно, многое: например, сотрудник компании по установке и обслуживанию систем безопасности смотрел в камеры на раздевающихся женщин, или как они занимались сексом. Камера дома, которая отдаёт видео кому-то в интернет -это очень не очень

https://www.buzzfeednews.com/article/salvadorhernandez/home-security-camera-hacked-adt

Данные в (относительной) безопасносте

Если вы вдруг были зарегистрированы на сайте MeetMindful (сеть для поиска партнера для свидания), то у меня для вас плохие новости: база пользователей со всем барахлом утекла в интернет и свободно в нем доступна

https://www.zdnet.com/article/hacker-leaks-data-of-2-28-million-dating-site-users/

Вчера видел много обсуждения вот этой темы - о том, как хакеры Северной Кореи организовали блог о кибербезопасности и уязвимостях, наполнили его смесью фейкового и настоящего контента, а при заходе на блог устанавливали бэкдоры на полностью пропатченные компьютеры с Windows 10. Целью этих атак были исследователи, занимающиеся поиском уязвимостей в системах

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

Вот даже жертва нашлась

https://twitter.com/richinseattle/status/1353864756109578241

Бот в ТГ, который якобы продаёт по 20 долларов номера телефонов пользователей Фейсбука (новость о боте, конечно, а не ссылка на него)

https://www.vice.com/en/article/xgz7bd/facebook-phone-numbers-bot-telegram

iOS 14.4 and iPadOS 14.4
Released January 26, 2021
Kernel
Available for: iPhone 6s and later, iPad Air 2 and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: A malicious application may be able to elevate privileges. Apple is aware of a report that this issue may have been actively exploited.
Description: A race condition was addressed with improved locking.
CVE-2021-1782: an anonymous researcher

Apple is aware of a report that this issue may have been actively exploited.


this issue may have been actively exploited.

https://support.apple.com/en-us/HT212146

Какая прекрасная уязвимость в sudo

https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

День ботнетов, или же день конца ботнетов?

Вот, например, Emotet - совместная операция ФБР и Европол по захвату инфраструктуры одной из самых больших сетей по распространению вредоносного ПО. Власти планируют выпустить 25 марта апдейт, который автоматически удалил установленное на компьютерах жертв ПО ботсети

https://www.zdnet.com/article/emotet-worlds-most-dangerous-malware-botnet-disrupted-by-international-police-operation/

Конфиденциальность данных важна, даже если вам «нечего скрывать»

В рамках сегодняшнего “профессионального праздника” — Дня защиты данных — захотелось немного выговориться. Когда я запускал канал «Информация опасносте», я не очень представлял себе, во что же именно это выльется, и даже не очень понимал, зачем я это делал. Когда меня зовут, например, для какого-то комментария в СМИ, в описание про меня часто пишут «эксперт по кибербезопасности». Да какой я эксперт, людям сложно объяснить, что это просто хобби такое, и к экспертизе мало имеет отношения. На самом деле я считаю себя гораздо больше «активистом за защиту данных», просто в современном мире информационная безопасность очень часто приводит к раскрытию этих самых данных, нарушения конфиденциальности информации. Такое пересечение плоскостей.

Короче, в рамках тематики канала мне захотелось озвучить свою личную позицию по отношению к персональным данным, к сохранению личной тайны и проч. Надеюсь, что для кого-то этот небольшой пост может стать отправной точкой, чтобы уделять этому больше внимания.

Организация Объединённых Наций определяет, что конфиденциальность — это право человека, точно такое же, как право на образование. Зачем же от него добровольно отказываться? Вообще, мне очень нравится наличие четкого термина Privacy в английском языке, и некая размытость этого термина в русском. Вот словарь определяет термин Privacy как “the state or condition of being free from being observed or disturbed by other people”. А Google, Apple и другие компании используют для этого термин «Конфиденциальность», который, как мне кажется, больше ассоциируется с «секретными материалами», чем с сохранением и ограничением доступа к личной информации, о которой идёт речь в первую очередь, когда говорят о privacy.

Меня задевает, что многие люди почему-то не беспокоятся о конфиденциальности своей личной информации, хотя я понимаю, что у них и так много других поводов для волнения. Но часто такие люди спрашивают, почему их это должно волновать, если им «нечего скрывать». Видимо, это только преступники должны беспокоиться о своей конфиденциальности, им есть что скрывать, а честным людям — нет. Я обычно в таком случае прошу выложить фотографии двух сторон кредитки, и фото паспорта. Почему-то еще никто не выложил. Но самое важное — то, что концепция «сокрытия» личной информации фундаментально неправильна по сути.

Вот что когда-то сказал Сноуден:

Утверждение, что вас не волнует ваше право на конфиденциальность вашей информации, потому что вам нечего скрывать, ничем не отличается от утверждения, что вас не волнует право на свободу слова, потому что вам нечего сказать.

Так вот, концептуально надо подходить к вопросу конфиденциальности с другой стороны. Речь идет не о том, что “у меня нет информации, которую надо скрывать”, а о доступе к вашей информации неизвестно кем, неизвестно когда и как . Мы же закрываем дома окна шторами, потому что мы не хотим в первую очередь, чтобы соседи в эти окна заглядывали — то есть предотвращаем несанкционированный доступ к информации о том, что происходит за шторами. Цукерберг, Facebook которого так активно сейчас пытается очернить Apple за попытки предотвратить слежку за пользователями через приложения Facebook, скупил кучу домов вокруг своего дома, чтобы соседи не могли нарушать его конфиденциальность. Неважно, есть мне что скрывать или нечего, но я не хочу делиться своей информацией, и в частности — не зная об этом. А тем временем Facebook собирает о нас гигабайты информации в онлайне и оффлайне, и мы даже не знаем, что именно и как это все может быть использовано. Хотите, чтобы я отдавал вам свою информацию? Хотя бы честно расскажите о том, как она собирается, как она хранится, как обрабатывается и передается ли она еще кому-то.

К сожалению, это огромное скопление информации в руках технологических компаний — это власть, власть над людьми. Да, это может быть что-то почти невинное, типа таргетированной рекламы: “пусть лучше показывают ту рекламу, которая мне интересна, чем что попало”. Может быть что-то похуже: благодаря применению алгоритмов машинного обучения, большое количество информации о человеке может позволить предугадывать его решения и поведение. А завтра, прокрутив такие алгоритмы, компании будут передавать/продавать ваши данные правительству в виде программы Minority Report для предотвращения преступлений. Или инакомыслия. Ну ладно, может быть, Minority Report — это я сильно забежал вперед, но мне лично кажется, что это все вполне реалистично в будущем. Да уже сейчас арестовывают людей за посты или лайки в Фейсбуке или ВК, чего уж там, и алгоритмы не нужны.

Хуже всего — это нормализация этого процесса, в том числе людьми, которые считают, что “им нечего скрывать”. Из-за этого отношение компаний к данным пользователей начинает распространяться и на тех, кому не все равно, что происходит с их данными. Мы приходим к тому, что сама концепция конфиденциальности пользовательских данных начинает разрушаться: “ведь им все равно”. Мне кажется, это очень опасная тенденция, и расслабляться нельзя. Именно поэтому я продолжаю поддерживать этот канал, который показывает, что наша информация действительно “опасносте”. Конфиденциальность данных — это очень важно, и все мы должны защищать её.

PS получилось как-то слишком пафосно, но пусть уже так останется.

А помните историю про пояс целомудрия, в которых была обнаружена уязвимость, и потом кулхацкеры даже начали удаленно их блокировать, требуя выкуп? Motherboard вроде как даже нашла чувака, который «попал в западню», так сказать. Результат — буквально леденящая кровь история про вызволение из этого устройства. И, кстати, как это часто бывает, вымогатели, получив деньги, ПОТРЕБОВАЛИ ЕЩЕ. Какое прекрасное устройство, подключенное к интернету, что может пойти не так.

https://www.vice.com/en/article/4ad5xp/we-spoke-to-a-guy-who-got-his-dick-locked-in-a-cage-by-a-hacker

Приватность государственных мобильных приложений в России [1] - свежее исследование от команды @infoculture. Мы проверили 44 государственных мобильных приложения в которых 39 из них содержат код сторонних трекеров и 38 из них содержат код сторонних трекеров с юрисдикциями в США и Японии. Почитайте подробнее там, много интересного.

Об этом я сегодня буду говорить на Privacy Day, презентацию можно посмотреть по ссылке [2], а также вышла статья в РБК с комментариями представителей Минцифры и ДИТ Москвы [3]

И здесь мне тоже есть что добавить:
1. Конечно же речь идёт не только о "технических сервисах" вроде Google Firebase и Firebase Crashlytics. Многие трекеры являются совершенно необязательными и более похоже что их включили не по злому умыслу, а для удобства разработки и аналитики. Не подумав, в общем, что, впрочем, ответственных за них не оправдывает. Это такие сервисы как HockeyApp, Estimote, Flurry, AltBeacon и другие.
2. Если верить коллегам что без сервисов Google в экосистеме Android работать невозможно, то мы же понимаем что импортозамещение в этой области это просто профанация? Получается что есть экосистемные требования и у Правительства РФ нет другого пути кроме как с Google договариваться в будущем.
3. Все кто делают коммерческие мобильные приложения которые передают данные в зарубежные сервисы теперь знают что и госорганы поступают аналогично
4. Есть как минимум 5 госприложений в которых нет ни одного встроенного трекера, например, "Госуслуги.Дороги". То есть если очень хочется то можно создавать приложения и без слежки. Так почему же не всем и не всегда хочется?;)
5. Конечно, прежде чем публиковать материалы онлайн, очень хотелось бы вести профессиональный дискурс о вопросах приватности, безопасности, свободы и ограничений использования цифровых сервисов. Но вот не работает механизм дискуссий вокруг смысловых документов в России. Их приходится адаптировать под формат который был бы понятен и удобен СМИ, иначе обратной реакции от органов власти просто не возникает.
6. При этом всё очень конструктивно. У нас очень понятные рекомендации для регуляторов, контролёров, разработчиков и пользователей.
7. Это не последний обзор по этой теме, если есть какие-то приложения которые мы упустили, а они наверняка есть, то пишите, все подвергнем тщательной вивисекции.

P.S. Конечно результаты доступны и как открытые данные.
- Приложения и трекеры иностранных юрисдикций [3]
- Выборка исследуемых госприложений [4]
- Данные о трекерах госприложений [5]
- Сводные собранные данные по всем госприложениям [6] (трекеры, разрешения и т.д.)

Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://www.beautiful.ai/player/-MS6JaKYDpr8q1UCAjmA
[3] https://ngodata.ru/dataset/apps-trackers-jurisdiction
[4] https://ngodata.ru/dataset/gos-mobile-apps
[5] http://ngodata.ru/dataset/gos-apps-trackers
[6] https://ngodata.ru/dataset/gos-full-csv

#privacy #infoculture #mobileapps

совсем недавно в декабре я писал об эксплуатации цепочки уязвимостей в iOS, которая начиналась с iMessage, и не требовала никаких действий со стороны пользователя. Там я упомянул, что все это прекращало работать на iOS 14, потому что в этой версии iOS приложение iMessage существенно «закалили». Это действительно так, и Project Zero опубликовали результаты исследования, которые подтверждают эту информацию, а также раскрывают некоторые детали улучшений. они произошли на всех четырех сегментах: уязвимости в разрушении памяти, возможности удаленно сломать ASLR, возможности превратить уязвимость в исполнение кода, и возможность выхода из песочницы. Внутри самого iMessage появилась новая песочница BlastDoor, которая в изолированной среде анализирует содержимое сообщения, отделив таким образом вредоносный код от операционной системы и пользовательских данных.

"Overall, these changes are probably very close to the best that could've been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole,"


https://googleprojectzero.blogspot.com/2021/01/a-look-at-imessage-in-ios-14.html?m=1

Данные пациентов с Ковид19 в Нидерландах ... да, вы угадали, утекли и доступны к покупке. Правда, вроде как кого-то уже арестовали по этому поводу, но осадочек останется

https://www.zdnet.com/article/dutch-covid-19-patient-data-sold-on-the-criminal-underground/

Так, тут вышла вчера новая версия macOS 11.2, и тоже с исправлениями уязвимостей
Вот содержимое этого апдейта
https://support.apple.com/en-us/HT212147

Но что даже более интересно - пару дней назад я уже писал про эксплуатируемые уязвимости в iOS 14, к которой вышел апдейт 14.4, всячески рекомендуемый к установке как модно скорее. Так вот, с выходом апдейта macOS, Apple обновила страничку исправлений iOS, добавив туда информацию о ещё несколько десятках фиксов для безопасности. Если вы ждали сигнала для того, чтобы поставить этот апдейт - вот он, этот сигнал.
https://support.apple.com/en-us/HT212146

Интересно было бы узнать позицию или комментарий Яндекса по этому поводу

Ещё вчера по запросу "приватность госприложений" [1] или "Инфокультура" Яндекс выдавал ссылки на десятки новостей в СМИ, начиная со статьи в РБК, а теперь ни одной новости, ни одного события.
Если это сбой, то он очень похож на цензуру, а если это цензура то она совсем не похожа на сбой.
А я то всё ждал когда цензоры придут по нашу душу.  

Или всё таки сбой? Что-то странное в общем, просветите кто знает.

P.S. Те кто мониторят Яндекс говорят мне что это не сбой, по другим запросам всё нормально, то есть цензура?

Ссылки:
[1] https://newssearch.yandex.ru/yandsearch?text=%D0%BF%D1%80%D0%B8%D0%B2%D0%B0%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C+%D0%B3%D0%BE%D1%81%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&rpt=nnews2&grhow=clutop
[2] https://www.rbc.ru/politics/27/01/2021/60115c209a79476980008933

#media

Sonicwall, производитель сетевых устройств для безопасности, пишет об уязвимости нулевого дня, которую эксплуатируют злоумышленники. Апдейт с исправлением ожидается сегодня или завтра

https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/


https://twitter.com/nccgroupinfosec/status/1355850304596680705?s=21