Cybersecus дайджест #61

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra

Кстати, Microsoft не стала сидеть, сложа руки, и тоже выпустила в открытом исходном коде один свой важнейший продукт:
https://blogs.windows.com/buildingapps/2019/03/06/announcing-the-open-sourcing-of-windows-calculator/

Cybersecus дайджест #59

Начинаем весну ударно, большой коллекцией ссылок (потому что за два дня накопилось).

1. Устройства UFED компании Cellebrite, которая выпускает гаджеты для взлома iPhone и Android, которые та продает различным правоохранительным органам, оказались доступными на eBay. Полиция, распродавая невостребованные устройства (часто за 100 долларов), часто содержат в себе информацию об мобильных устройствах, исследуемых в рамках различных расследований. (Сейчас, правда, eBay вычистил устройства из продажи).
https://www.forbes.com/sites/thomasbrewster/2019/02/27/the-feds-favorite-iphone-hacking-tool-is-selling-on-ebay-for-100and-its-leaking-data/

2. Уязвимость в спецификации передачи данных по протоколу Thunderbolt, которую назвали Thunderclap. При наличии таких устройств, подключенных к компьютерам Win/Mac/Linux, информацию можно выгружать прямо из памяти компьютера. Проблема затрагивает ноутбуки и настольные компьютеры Apple, выпущенные после 2011 года (кроме 12-дюймовых MacBook), а также ноутбуки и настольные компьютеры ПК, выпущенных после 2016 года и работающих под управлением Windows и Linux (если там есть поддержка интерфейса Thunderbolt, разумеется). Уязвимы Thunderbolt всех версий, то есть Thunderbolt 1, 2 и 3. По сути, речь идет о доступе на уровне ОС, который получают внешние устройства вроде сетевых карт или графических ускорителей.
Уязвимость была обнаружена еще в 2016 году, и с тех пор работали с производителями над фиксом. Apple выпустила апдейт для Маков в рамках 10.12.4 в том же году, а Windows 10, начиная с версии 1803, тоже защищает против уязвимости на уровне прошивки для новых устройств.
Не то, чтобы такая проблема грозит обычным пользователям, но в целом всегда нужно помнить, что не стоит втыкать в свой компьютер неизвестные устройства.

https://thunderclap.io/#faq
Пояснения исследователя https://www.lightbluetouchpaper.org/2019/02/26/struck-by-a-thunderbolt/

3. Facepalm дня — компания Comcast, один из крупнейших провайдеров связи в США, для телефонного сервиса Xfinity Mobile устанавливал в учетных записях пользователя PIN по умолчанию “0000”. Кто-то воспользовался этим, перехватив номер телефона жертвы, привязал номер к новому аккаунту в другой сети, привязал Samsung Pay к телефону, к номеру которого была прикреплена кредитная карта жертвы, и купил компьютер в Apple Store. Comcast подтвердил, что подобная история имела место быть.
https://www.washingtonpost.com/technology/2019/02/28/help-desk-digital-life-after-death-passwords-post-its-new-comcast-nightmare/

4. У звонков компании Ring (принадлежит Amazon), была уязвимость, позволяющая вставлять в поток видео со звонка фейковые фотографии, а также подслушивать аудио, транслируемое с устройства.
https://dojo.bullguard.com/dojo-by-bullguard/blog/ring/

5. Уязвимость нулевого дня в Chrome, эксплуатируемая с помощью специально подготовленных PDF. При загрузке файла позволяет собирать информацию с компьютера пользователя (IP адрес, версии ОС и Chrome, путь к файлу PD) и отправлять её на удаленный сервер.
https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html

6. О свежих взломах и утечках:
– У Dow Jones обнаружилась захощенная на AWS база Elasticsearch с 2,4 млн записей высокорискованных физлиц и юрлиц.
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly

– Компания Intuit, разработчик ПО для подачи налоговых деклараций, объявила, что некое количество аккаунтов пользователей подверглось несанкционированному доступу, используя комбинации логинов и паролей из других утечек. Тем, кому не повезло, пришлось поделиться со злоумышленниками различной конфиденциальной информацией, включая данными из налоговых форм, адресами, датами рождения, ИНН, номерами водительских удостоверений и прочей финансовой информацией.
https://ago.vermont.gov/wp-content/uploads/2019/02/2019-02-22-Intuit-Notice-of-Data-Breach-to-Consumers.pdf

7. Кстати, о подобных атаках. Эта тема называется “credentials stuffing”, и, с учетом объема утекшей информации о логинах и паролях, будет становиться только популярней. Akamai в своем отчете говорит, что с мая по декабрь 2018 года было зарегистрировано примерно 28 млрд попыток таких атак. Вы знаете что делать (завести менеджер паролей!) и что не делать (не использовать одинаковые пароли в разных местах).
https://www.bleepingcomputer.com/news/security/28-billion-credential-stuffing-attempts-during-second-half-of-2018/

8. Полезная статья от правоохранительной организации EFF о камерах наблюдения, как их идентифицировать и что нужно о них знать
https://www.eff.org/pages/surveillance-cameras

Sign-in в Google Chrome

Эта информация будет актуальна для пользователей браузера Google Chrome. Начиная с версии 69, если вы логинитесь в какой-то сайт Google со своим аккаунтом, то этот аккаунт также будет автоматически использован для логина в сам браузер Google Chrome. До этой версии подобный вход давал пользователю опцию отказаться от логина в сам браузер, отказываясь от функциональности по синхронизации закладок, истории и прочей, которая требует аккаунта пользователя. То есть можно было не логинясь в браузер, по-прежнему использовать, например, сервис GMail.

С 69 версии это поведение изменилось, так что однажды войдя своей учетной записью в какой-то сайт Google, вы будете автоматически залогинены этой учеткой и в браузер (автокорректировка исправила “залогинены” на “запоганены”, и что-то в этом есть). Это позволило некоторым пользователям в интернете тут же заявить, что таким скрытым образом Google сразу начинает получать закладки и историю пользователя, но это не так, синхронизация этих данных по-прежнему требует отдельного подтверждения со стороны пользователя. Правда, теперь, залогинившись в браузер, ваш логин будет использован не только для Gmail, но и для поиска в Google, так что что-то Google о вас все равно узнает. Объяснение, которое дает Google этому изменению, что это упрощает ситуацию с общими компьютерами, когда пользователь А мог быть залогинен в Gmail, а пользователь Б – в браузер. Звучит так себе.

Правда, это изменение вызывает другие вопросы. До этого браузер и контент в браузере были отдельными сущностями, что позволяло браузеру быть как бы нейтральным по отношению к сервисам Google. Теперь же это разделение уходит, и теперь Chrome становится неотделимой частью сервисов Google. Мириться или не мириться с этим — на ваше усмотрение.

Еще по ссылке много интересных мыслей по этому поводу:
https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/

Google I/O 2016: провал в инновациях Android развязывает Apple руки на WWDC

На прошлой неделе известный разработчик приложений для iOS Марко Армент опубликовал статью, в которой допустил, что если (и этих “если” в статье очень много) Apple прохлопает направление искусственного интеллекта, в котором так хорошо, казалось бы, выступает Google, то компанию может ждать судьба Blackberry.
Как я и предсказывал, эту статью бросились направо-налево цитировать любители дешевых кликов, а за ними потянулись всевозможные “последователи”, решившие сравнить Apple вместо Blackberry с, например, Microsoft. Не обошлось, конечно, и без “рерайтеров” и прочего интернет-мусора – любителей писать статьи “по материалам blah-blah”, стеснительно не ставя ссылку на оригинал. Я за более чем 20 лет в сфере Apple подобных статей и сравнений начитался достаточно, чтобы не придавать им слишком большого значения, но меня все еще немного расстраивает тот факт, что публика в интернете так до сих пор и не научилась отфильтровывать шелуху от информации.
alexmak_2016-May-20
Так или иначе, почти что ответом на статью Марко Армента стала статья другого известного автора в Apple-сфере — Дэниеля Эрана Дилджера, который многобуквенными опусами заполняет сайт Appleinsider.com (тот, который настоящий, в отличие от). Дэниель, однако, пошел даже дальше и сравнил Google с Apple, хотя и не с той, что вы думаете. Он, конечно большой любитель передергивать факты и манипулировать ими, поэтому статью нужно читать с соответствующим подходом, но вообще получилось довольно интересно и занимательно. Рекомендую налить себе кофе или чай, а фанатам Google или Android можно еще налить чего-то успокоительного. Не забудьте потом отправить эту статью любителям рассказывать “ваш эпол уже не торт”. (это не самый мой лучший перевод, но, наверно, самый длинный. надо сказать, что длинные, сложноподчиненные предложения — это фирменный стиль автора оригинала, так что я заранее прошу прощения за сложные конструкции в переводе)
Continue reading

Мысли о Chromebook Pixel

Пока что у меня не было возможности вживую пощупать Chromebook Pixel, анонсированный на прошлой неделе, поэтому я буду теоретизировать, хотя мои мысли мало касаются аппаратных возможностей устройства, так что для этой заметки это не так уж и важно. (Если Google решит меня порадовать устройством для теста, я не откажусь). Когда-то я уже писал обзор Chromebook — то был Chromebook от Samsung, а это, кажется, первое устройство Google, которое выпущено не в партнерстве с каким-нибудь OEM, а именно “от Google”, что, кстати, вызывает дополнительные вопросы. В частности, если у компании есть купленная за 13 млрд Motorola, разве не имело бы смысл начать, например, со смартфона?
chromebook-pixel1
Но я хотел поговорить о другом. Мне нравится идея концепции Chromebook — дешевый ноутбук для доступа к своим данным в облаке, что может быть лучше? В странах, где подключение к интернету не заставляет каждый раз использовать в одном предложении обсценную лексику и название оператора, это просто таки отличный вариант. Я знаю целые огромные организации, использующие тот же Google Apps для своих сотрудников, такой SAAS в итоге получается гораздо выгодней, чем лицензирование кучи софта от Microsoft и Ко. Google, в общем-то, казалось, всеми силами поддерживала эту идею — сначала дешевые ноутбуки с Chrome OS, потом недорогой планшет с Android (зачем они параллельно развивают Chrome OS и Android — это выше моего понимания в любом случае), недорогие смартфоны Nexus… Все так хорошо начиналось…
Continue reading

Почему Safari не взлетела как Chrome?

Я использую в качестве основного браузера Safari, запуская Chrome, когда нужно просмотреть какой-то контент в Flash: я удалил Adobe Flash со своего компьютера, а у Chrome есть встроенная прямо в браузер версия модуля Flash. Производительность Chrome и единое поле для адреса/поиска — привлекательные возможности браузера (хотя я и жаловался на неочевидный алгоритм работы этого единого поля), и я несколько раз пытался перейти на него для работы. Но каждый раз через 2-3 недели я возвращался на Safari и для меня нативность отрисовки контента и интерфейса приложения были как глоток свежего воздуха.
Но, судя по долям рынка Safari и Chrome, люди предпочитают другие вещи. Вот и MG Siegler на TechCrunch задает интересный и правильный вопрос о том, почему доли рынка Safari и Chrome так существенно отличаются друг от друга? Перевод его рассуждений по этому поводу — ниже.
Continue reading

Обзор Samsung Chromebook

Из последней поездки я привез неожиданный (для меня) гаджет — беленький Samsung Chromebook. Честно скажу, что когда Google только анонсировала их, я даже подписался на программу, чтобы мне такой дали поиспользовать, но Google, видимо, сочла меня недостойным и тогда это чудо вражеской техники мне не досталось. Теперь же он у меня есть и я могу честно сказать все, что я об этом думаю.

Начнем с характеристик. Размер экрана ноутбука 12.1″, процессор Intel Atom 1.66ГГц, 2ГБ оперативной памяти и 16ГБ SSD-памяти для всего остального. У компьютера встроена камера на 1МП, есть WiFi с поддержкой abgn стандартов, есть поддержка работы в сетях 3G, а весит он около 1.5кг. В целом, такая даже приятная симпатяшка. У экрана, кстати, разрешение 1280х800, что в целом весьма неплохо для 12″ дисплея.
Continue reading

Фальшивый Стив Джобс о ХромОС

Поскольку сегодня пятница, то можно постить несерьезные штуки. А что может быть несерьезней, чем выступление “Фальшивого Стива Джобса” (Fake Steve Jobs) о новом продукте Google — Google Chrome OS? И по теме блога, и весело, да и, надо сказать, не без здравого зерна. Правда, с нецензурной лексикой, но дети тут, наверно, и не ходят, ну и я смазал немного самые острые углы.
—————–
chrome+OS
Все всполошились по поводу этой новой браузерной операционной системы от Google. Drudge, видимо, забыл опять принять таблеточки, и обозвал ее “дуновением смерти” для Мелкософта. Не то, чтобы прям безумие, но крайность точно. Я подозреваю, что она должна уничтожить и нас — типа мы их соучастники. Ну и дела. С чего бы начать?

Во-первых, никто, похоже, не способен оценить, насколько сложно создать операционную систему. Это не то, чтобы ты проснулся однажды, упал с кровати и сделал ее. Даже умники из Google не могут такое провернуть. Эти штуки занимают годы. Десятки лет даже. Наша началась 20 лет назад, в NeXT. Можно даже сказать, что в 1977 году, у ребят с BSD. Вообще, даже наверно заглянуть в 1969 год с Деннисом Томпсоном и Лайонелом Ритчи. Даже Windows уже сколько? Двадцать? Что-то в этом роде. Можно даже на Linux глянуть. Поправьте меня, если я не прав — и я уверен, что вы, долбанные любители свободного ПО, найдете в чем меня поправить — но мне кажется, что Линус Торвальдс начал работать над Linux в 1991 году, когда он был студентом в своей Финляндии (Поправка из следующего поста FSJ — Linux начался с проекта Ричарда Столлмана в 1977 году). Это почти 20 лет назад, и это говно до сих пор толком не работает. Короче, смысл такой, что что бы там Google не выпустила во второй половине следующего года, это будет только начало. Оно и близко не подойдет к тому, что есть у нас.
Continue reading

Лечим паранойю Хромом!

На прошлой неделе только совсем далекий от информационных технологий человек не слышал про Google Chrome — новый браузер компании Google. Поскольку все о нем слышали, то еще раз рассказывать о нем смысла нет, зато вполне есть смысл поговорить о том, какие пользовательские данные и когда Google Chrome отсылает в Google.
А то к Google было много вопросов, когда в пользовательском соглашении обнаружилась информация о том, что Google владеет копирайтами на всю информацию, пересылаемую браузером. С того времени копирайты уже поправили, но осадок-то остался.
Continue reading