Информация опасносте

@alexmakus Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec
@alexmaknet
mail: alexmak@alexmak.net
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
09.05.2017 23:31
реклама
Мужской блог "Каменный лес"
Личности, оружие, мода.
Как не дать мошенникам угнать канал?
Новая схема развода админов. Читай прямо сейчас
Изготовление мягкой мебели.
Производство мягкой мебели. По фото не стандарт.
14 849
подписчиков
~7.7k
охват 1 публикации
~17.1k
дневной охват
~3
постов / день
51.5%
ERR %
45.92
индекс цитирования
Репосты и упоминания канала
43 упоминаний канала
266 упоминаний публикаций
1739 репостов
ANTICHAT Channel
global_chan
global_chan
ANTICHAT Channel
InfoSec NEWS
яПрофи
ANTICHAT Channel
ANTICHAT Channel
Интересное в IT
ANTICHAT Channel
Railgun
ANTICHAT Channel
ANTICHAT Channel
Гумконвой
Ortega
Всратоскоп
Культурный
ANTICHAT Channel
DARKNEWS
ANTICHAT Channel
Post.Scriptum
яПрофи
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
global_chan
ANTICHAT Channel
ANTICHAT Channel
FSCP
ANTICHAT Channel
яПрофи
Каналы, которые цитирует @alexmakus
Gazprom
Товарищ майор
CyberYozh
Ivan Begtin
ЗаТелеком
Facebook
apple
Эшер II
ЗаТелеком
ITpro News & Reviews
Digital October
BeardyCast
BeardyCast
Команды (Shortcuts)
Durov's Channel
FSCP
Павел Дуров
Transparency Reports
Кавычка
Google Таблицы
Телеграм-маркетинг
Новости Телеграм
WebAnalytics
apple
RKNAPOCALYPSETIME
Эшер II
PLUSHEV
Durov's Channel
Попячечная 🌚
Roem.ru
ЗаТелеком
PLUSHEV
Sports.Ru - Канал о Спорте
Flame?Shit?R.A.D.I.O.
RKNSHOWTIME
Telegram News
ISIS Watch
Золото Бородача
Вастрик.Пынь
Telegram Live
PLUSHEV
PLUSHEV
linkmeup
Zavtracast
Последние публикации
Удалённые
С упоминаниями
Репосты
тем временем Google, Mozilla и Apple решили блокировать сертификат Казахстана для перехвата трафика
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
Motherboard сообщает о том, что подрядчики Microsoft прослушивали не только записи Cortana, но и аудиозаписи игроков Xbox, у которой тоже есть команды голосовой активации
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
Читать полностью
а эта новость пригодится юзерам техники Apple — айфонов, айпадов и Маков. Yubico наконец-то начали поставки ключа YubiKey 5Ci, который содержит в себе одновременно разъемы Lightning и USB-C, и поддерживает все платформы компании. https://www.yubico.com/product/yubikey-5ci

Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Читать полностью
MoviePass, кластерфак прошлого года (модный стартап, пытавшийся очень агрессивно продвигать тему подписки для подходов в кино и неоднократно обосравшийся на этой теме), снова в новостях. В этот раз — по теме канала. Так как компания оставила открытой базу данных доменных адресов компании, среди которых обнаружилась коллекция пользовательской информации. в частности, номера дебетных карт клиентов компании (они же - карты участников программы), баланс карт, дату окончания срока действия, а также записи с персональными картами пользователей, адресами и именами. рубрика "никогда такого не было, и вот опять"
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/
Читать полностью
Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком iOS для публичной актуальной версии системы за последние несколько лет


https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years

https://github.com/pwn20wndstuff/Undecimus/releases

Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.
Читать полностью
Поскольку канал читают не только те, кому эта тема интересна, но и профессионалы «этого дела», то вам может быть полезно почитать про вакансии, доступные специалистам по информационной безопасности. Вакансии - штука полезная, поэтому публикуются бесплатно.
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!

Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:

https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
 
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .
Читать полностью
странная история о "недосмотре" в антивирусе Лаборатории Касперского, который присваивал пользователям уникальный UUID при проверке УРЛов в браузере на безопасность. УРЛы должны были показывать зеленый значок безопасности в браузере, но это достигалось инъекцией скрипта в загружаемые странички. Проблема была в том, что UUID был уникальным для компьютера и не менялся, что привело, по сути, к созданию механизма слежения за пользователями на разных сайтах. проблема появилась в 2015 году, и была исправлена только в 2019 году, после того, как журналисты, обнаружившие проблему, сообщили о ней разработчику.

статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html

информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286

Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.

на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.

https://alexmak.net/2019/08/08/lk-fas-apple/
Читать полностью
Эти новости из категории "никогда такого не было, и вот опять". 85 приложений в Google Play, притворяющихся фото-приложениями, 8 млн установок, а все для того, чтобы показывать рекламу на весь экран
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/
хаха, там с Хуавеем еще и Замбия отметилась, кстати. Замбия твитит, что все это неправда
https://twitter.com/Mwebantu/status/1162406643679813632
тут какаято совершенно сумасшедшая история про Уганду и то, как правительство Уганды следило за оппозиционером и его смартфоном, включая перехват шифрованной переписки. (а что тут нового, скажете вы?) а суть тут такая, что органы выяснили модель смартфона, которым пользовался "угандийский навальный", и обратилась к производителю смартфона для того, чтобы помочь со слежкой за оппозиционером и получением доступа к данным на телефоне. Два сотрудника производителя смартфона использовали израильское ПО (видимо, что-то от NSO Group, которая уже неоднократно фигурировала в этом канале) для взлома и получения данных. Производитель (который отрицает свое участие в этом празднике безопасности) — Huawei. Слоган компании — Make it possible — начинает играть новыми красками.

пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1

рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/

PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV
Читать полностью
Но ладно Capital One. Британская компания Suprema, которая предоставляет услуги банкам, полиции и другим организациям по аутентификации сотрудников для доступа в защищенные здания, оставила базу с информацией доступной в интернете всем желающим. 1 миллион человек, биометрическая информация о распознавании лиц и отпечатков пальцев, незашифрованные пароли и другая личная информация пользователей системы Biostar 2 (логи доступа, фотографии, уровни доступа к информации, и тд). При этом в базе хранились не хеши отпечатков, которые нельзя отреверсить (как это сделано, например, при хранении биометрии в айфонах и андроид-смартфонах), а прямо сканы отпечатков, которые при желании можно и воспроизвести.

Базу данных нашли исследователи безопасности, и информации о том, был ли доступ к базе у злоумышленников, нет. При этом исследователи говорят, что они могли даже добавлять новых пользователей в базу. более того, разработчик системы еще к тому же не очень-то шел на сотрудничество.

https://www.vpnmentor.com/blog/report-biostar2-leak/
Читать полностью
историю про банк Capital One и утечку сотни миллионов пользовательских записей помните, да? (https://t.me/alexmakus/2958) Похоже, что Пейдж Томпсон, обвиняемая в этой утечке, получила доступ к данным еще 30 компаний. Говорят, что среди потенциальных жертв могут оказаться Unicredit, Vodafone, Ford. Основное подозрение, что Томпсон, как бывший сотрудник Amazon, знала о какой-то уязвимости в AWS (ну, или забыли у нее права отобрать при уходе), и таким образом получила доступ к информации. Доказательств, что она данные успела куда-то слить или продать, нет. А вообще там яркая личность: преследование других людей, угрозы устроить стрельбу в офисе, угрозы сделать "самоубийство полицией".

Вот документы, поданные прокуром в суд по этому делу
https://www.scribd.com/document/421860692/Thompson-New-Memorandum
Информация опасносте
Воу, воу, мегаутечка у банка Сaptial One в США. 19 июля банк обнаружил, что была взломана база заявок на открытие кредитных карт банка. Сам несанкционированный взлом произошёл 22 и 23 марта 2019 года. Были украдены заявки людей, которые подавались на открытие карт в период между 2005 и 2019 годом. Это около примерно 100 млн человек в США и еще около 6 млн человек в Канаде. Среди украденных данных: - персональная информация: имена, адреса, номера телефонов, адреса электронной почты, даты рождения и самостоятельно указанный доход - финансовая информация: кредитный рейтинг, текущий баланс, история платежей - около 140 тысяч номеров социального страхования в США, около 1 млн канадских номеров социального страхования - данные о транзакциях за примерно 23 дня, которые «размазаны» между 2016 и 2018 годами. http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043 Что отличает этот взлом от многих других — злоумышленник, осуществивший взлом, уже арестован. Ею оказалась женщина из Сиэтла…
Читать полностью
у меня когда-то давно, когда я был молодой и глупый, был такой номер. вообще штрафов не приходило 🙂
еще одна смешная история. Я все склонялся к тому, что статья не очень по теме канала, но мне её столько раз прислали уже, что, видимо, я все-таки ошибаюсь (никогда такого не было, и вот опять!). Короче, статья о том, как чувак в Калифорнии зарегистрировал себе автомобильный номер NULL, возможно, надеясь, что это уменьшит количество штрафов, которые он будет получать. (ну и номер прикольный, да). Но оказалось, что штрафы в Калифорнии для их местного ГАИ выписывает коммерческий подрядчик, у которого в системе все было гораздо проще: если номер не распознался или отсутствует, в базу записывается NULL. Поэтому чуваку пришли все такие штрафы, на 12 тыс долларов. Хорошо.
https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/
Читать полностью
смешная история про то, как подросток нашел уязвимости в информационной системе школы (а также района), позволявшей получить доступ ко всем записям о студентах и проч. Говорит, разработчик системы игнорировал его информацию об уязвимостях, поэтому он отправил сообщение всем пользователям, зарегистрированным в системе. Так его заметили и на два дня отстранили от занятий (можно это, конечно, назвать наказанием).
https://techcrunch.com/2019/08/09/school-data-student-security-def-con/
Читать полностью
по наводке читателя: уязвимость в Windows, аналогичная нашумевшей BlueKeep (CVE-2019-0708), только этот раз не надо выпускать патч для Windows XP. Затронуты версии от Windows 7 SP1 до Windows 10, включая различные серверные версии. Уязвимости, как пишет Microsoft, "wormable", то есть имеют свойство размножаться между компьютерами без помощи пользователей.

https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/

апдейты брать тут
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Кто не проапдейтился, тот сам себе Кевин Митник.
Читать полностью
Бойтесь друзей, кабели для айфона приносящие (удаленный доступ к компьютеру, к которому подключен кабель — бесплатный бонус с помощью импланта в кабеле)

https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer