Информационная безопасность *

Письмо от HackerOne с уведомлением, что Valve отстранила Василия Кравца от участия в программе bug bounty

Независимый исследователь в области информационной безопасности Василий Кравец из Москвы (xi-tauw) попал в центр большой истории, которая в неприглядном свете выставила компанию Valve. Та отказалась выплачивать Василию вознаграждение за первую уязвимость по программе HackerOne, но он её всё-таки разгласил. А после публикации второй 0day для Steam компания признала свою ошибку — и вчера внесла изменения в правила программы bug bounty.

Это большая победа здравого смысла над бюрократией. Осталось только заплатить Василию и разблокировать его аккаунт.

На этой неделе в Microsoft выпустили первую бета-версию (beta preview) новой сборки браузера Edge, основанного на движке Chromium и объявили о запуске новой программы вознаграждения «Microsoft Edge Insider Bounty Program» для специалистов в области кибербезопасности, серьезно мотивируя их искать новые уязвимости.

Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).

Согласно данным исследователей портала «iPhoneHacks», некоторые пользователи Apple Card уже столкнулись с тем, что этот сервис полноценно функционирует на устройствах Apple с джейлбрейком на iOS 12.4, хотя это нештатная и запретная ситуация для такого финансового продукта.

Тем не менее, если в компании Apple узнают, что Apple Card используется на iPhone с джейлбрейком, то, согласно клиентскому соглашению, Apple может не только заблокировать Apple ID пользователя-нарушителя, но и аннулировать Apple Card.

Apple по ошибке упростила процесс взлома iPhone, вернув уязвимость, которую она уже исправила. Хакеры быстро воспользовались этим и выпустили джейлбрейк для iOS — первый бесплатный публичный джейлбрейк для iPhone за последние годы.

Специалисты по безопасности выяснили, что обновление для iOS 12.4 вернуло ошибку, обнаруженную ранее Недом Уильямсоном из Google Project Zero и исправленную ​​в iOS 12.3. Почти сразу был опубликован джейлбрейк для iOS 12.4.

Разработчик утилиты для взлома под ником Pwn20wnd заявляет, что программа успешно использует уязвимость SockPuppet на iOS 12.4 и может разблокировать устройство, что позволяет устанавливать и запускать любое стороннее программное обеспечение.

Исследование Джорджтаунского университета и Военно-морской исследовательской лаборатории США показало, что снизить производительность сети Tor можно всего за 17 тысяч долларов в месяц.

Исследование было проведено, чтобы проанализировать затраты на замедление работы сети Tor с помощью разных методов. По мнению его авторов, осуществление атаки на всю сеть — дело сложное и крайне затратное. Оно потребовало бы $7,2 миллиона в месяц и огромных ресурсов DDoS (512,73 Гбит/с).

Тем не менее, существуют три типа атак DoS, которые могут засорить сеть Tor и таким образом заставить пользователей отказаться от её использования из-за низкой производительности. Вместо того, чтобы атаковать отдельные серверы Tor, злоумышленники могут атаковать мосты Tor — то есть альтернативные точки входа в сеть.

Три года назад инженер по программному обеспечению Google Али Джума предложил внести изменения в работу браузера Chrome, которые бы позволили защитить пользователей от кликджекинга.

Кликджекинг представляет собой форму онлайн-атаки, при которой злоумышленник может получить доступ к конфиденциальной информации пользователя или даже к его компьютеру, заманив его на нужную страницу. Принцип действия атаки включает в себя изменение элементов веб-страницы: поверх видимого элемента располагается невидимый слой, в который загружается страница, нужная злоумышленнику. Как правило, целью кликджекинга является запуск рекламных страниц или установка вредоносного кода.

Apple Wireless Direct Link (AWDL) — ключевой протокол в экосистеме Apple, его использует более миллиарда устройств iOS и macOS для связи между собой. Это запатентованное расширение стандарта IEEE 802.11 (Wi-Fi), которое интегрируется с Bluetooth Low Energy (BLE) и обеспечивает работу таких сервисов, как Apple AirDrop (технология передачи файлов по Wi-Fi и Bluetooth).

14 августа 2019 года на конференции USENIX Security 2019 раскрыт ряд серьёзных уязвимостей в этом протоколе, которые допускают атаки MiTM с незаметным изменением передаваемых файлов, атаки типа «отказ в обслуживании» с прерыванием связи, а также утечки конфиденциальных данных, которые подрывают рандомизацию MAC-адресов, позволяя идентифицировать пользователей и осуществлять долгосрочное отслеживание (см. ниже).

В связи с этим немецкие разработчики Милан Стют и Александр Хейнрих разработали OpenDrop — свободную и более безопасную альтернативу проприетарной технологии от Apple.

Исследователи Даниэле Антониоли, Нильс Оле Типпенхауэр и Каспер Расмуссен обнаружили уязвимость в Bluetooth-протоколе. Они выяснили, что спецификации Bluetooth BR/EDR (Basic Rate/Enhanced Data Rate) позволяют взломать зашифрованные сообщения по Bluetooth. Для этого злоумышленнику нужно просто зайти в зону покрытия устройств.

Уязвимость, по информации исследователей, содержится в возможности Bluetooth-устройств самостоятельно назначать длину ключа для шифрования информации. Максимальная длина ключа — 16 байт. Чем меньше его разрядность, тем выше вероятность его взлома путём перебора символов. Злоумышленник может перехватить и отправить жертве ключ с разрядностью всего в 1 байт.

«Таким образом, атака позволяет третьей стороне, не обладая никакими конфиденциальными сведениями, легко перебирать согласованные ключи шифрования и дешифровать перехваченный текст», — объяснили исследователи в недавно выпущенной статье для симпозиума USENIX Security.

iPhone X и его виртуальная копия в программной среде Corellium

Корпорация Apple обвинила стартап Corellium в «незаконной продаже виртуальных копий операционных систем iPhone и iPad под видом помощи в обнаружении уязвимостей безопасности».

Apple подала иск о нарушении интеллектуальных прав в суд округа Уэст-Палм-Бич, штат Флорида. В нём сказано, что Corellium «без разрешения скопировала операционную систему, графический интерфейс пользователя и другие аспекты устройств iPhone и iPad».

Apple требует запретить деятельность компании, удалить все копии программного обеспечения, уведомить всех покупателей о том, что они нарушают закон, и выплатить ей компенсацию.

Google опубликовала сообщение об утечке сотен тысяч паролей пользователей. При этом, как утверждают в компании, пользователи получали уведомления о нарушении безопасности данных, однако только часть из них озаботилась сменой пароля.

В феврале Google создала службу уведомления о нарушении конфиденциальности и связанное с ней расширение браузера Chrome Password Checkup. Расширение собирает анонимные данные пользователей и хэширует логины. Когда пользователь, установивший расширение, заходит на сайт, данные для входа отправляются обратно в Google. Компания проверяет, совпадают ли данные с информацией, которая ранее попадала в открытый доступ. Если совпадение найдено, пользователь получит уведомление с предложением сменить пароль.

Используя статистику, собранную с 5 февраля по 4 марта 2019 года, в Google обнаружили, что 1,5% из более 21 миллиона логинов и паролей были обнаружены в списках скомпрометированных данных — это более 316,5 тысяч. Всего расширение Password Checkup установили 670 тысяч пользователей.

Редактор немецкого журнала о технологиях «c't» Рональд Айкенберг рассказал, как он обнаружил серьезную уязвимость в антивирусной программе «Лаборатории Касперского», из-за которой злоумышленники могли получить доступ к некоторым данные о пользователях.

Один из самых известных в мире специалистов по криптографии Пьеррик Годри, директор по исследованиям Национального центра научных исследований Франции, опубликовал доклад с анализом криптографической защиты системы онлайн-голосования на выборах в Московскую городскую думу (“Breaking the encryption scheme of the Moscow internet voting system” на сайте препринтов arXiv). Согласно выводам специалиста, шифрование в российской системе электронного голосования является «совершенно небезопасным» и может быть взломано примерно за 20 минут.

А именно, на четырёхъядерном компьютере Core i5-4590 3,3 ГГц с 16 ГБ RAM на стандартном дистрибутиве Debian подбор первого ключа в трёхуровневой схеме шифрования занял 425 секунд, второго — 507 секунд, третьего — 314 секунд, итого 1246 секунд, то есть 20 мин 46 сек.

Пьеррик Годри отметил, что ему не известны причины, почему российские коллеги используют именно трёхуровневую схему Эль-Гамаля с маленькими размерами ключей.

Компания vpnMentor опубликовала сообщение об обнаружении в открытом доступе базы данных, которая содержала почти 28 миллионов записей, включая пароли, фото, данные мобильных устройств и личную информацию пользователей биометрической системы Biostar 2. Кроме того, в базе данных находились отсканированные отпечатки пальцев около миллиона человек.

Biostar 2 на сегодня насчитывает около полутора миллионов установок. Система интегрирована в платформу AEOS, с которой работает более 5,7 тысяч предприятий в 83 странах, среди которых США, Великобритания, Индонезия, ОАЭ, Индия и Шри-Ланка. Список организаций включает в себя как коммерческие предприятия, так и государственные учреждения, например, полицейские участки и даже Скотланд-Ярд.

Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Кто же теперь будет незаконно подслушивать пользователей это вопрос, так как после раскрытия о таких деяниях в Amazon, Google и Facebook, и представители Microsoft (по данным издания Reuters) признались, что в компании хранили записи разговоров пользователей с голосовым ассистентом Cortana и переводчиком Skype Translator, а ее сотрудники и подрядчики изучали эти записи для улучшения сервисов.

Об этой проблеме сообщает издание Bloomberg со ссылкой на свои источники, знакомые с соответствующей работой подрядчиков.

В Facebook признали, что расшифровывали (транскрибировали) сообщения пользователей, но уточнили, что на данный момент больше этого не делают в связи с ситуацией, в которую попали Apple и Amazon.

По заверению Facebook, пользователи, чьи сообщения подвергались расшифровке, соглашались на это, выбирая специальную опцию в приложении Messenger для Facebook, предусматривающую расшифровку их голосовых сообщений.

«Подрядчики проверяли правильность расшифровки (голосовых) сообщений искусственным интеллектом Facebook», — объяснили в компании Facebook.

На конференцию DEF CON 2019 в Лас-Вегасе (штат Невада, США) эксперт по безопасности Майкл Гровер, известный в Twitter под ником_MG_ пришел во все оружии — он принес с собой и разбросал на территории конференции несколько десятков упаковок со своим «хакерским» кабелем Lightning, который ничем не отличается от официального кабеля для гаджетов Apple и исправно выполняет все необходимые функции, правда в беспроводном режиме одаряя самого _MG_ контролем над Макбуками и другими ноутбуками на расстоянии до 90 метров.

Хотим предоставить вам публикацию аналитики о состоянии Казнета (Казахстанского сегмента интернета) на основе результатов нашего продукта.

Посмотрим, что изменилось за последний год по состоянию на 13.08.2019.
Мониторинг идет только по доменам в зоне .kz

В Google реализовали возможность осуществления процедуры пользовательского входа в аккаунт и некоторые свои сервисы при помощи отпечатка пальца, это работает на всех мобильных устройствах с ОС Android версии 7.0 и выше, которые поддерживают такой функционал.