ANTICHAT - Новостной дайджест по ИБ/IT за 11.01-18.01

Здравия всем, дамы и господа. Если вы тут, значит вас интересует, что же всё-таки произошло за прошедшую неделю. А я не знаю. Нет, правда, я пишу это во вторник, я не знаю, что произошло, например, в среду потому, что среда ещё не произошла. Вы узнаете об этом совсем скоро, а я – завтра.

https://forum.antichat.xyz/attachmen...c600ac3598.png

Ключ небезопасности

“Лаборатория ниндзя” (NinjaLab) опубликовали исследование, гласящее… Нет, кричащее об уязвимости в, так называемых, “ключах безопасности”, которые, как оказалось, лёгким мановением руки и покупкой спец. устройства за $12 000 можно клонировать, а, значит, безопасность такого устройства начинает слегка пошатываться. Уязвимость CVE-2021-3031 реализуется следующим образом:

вскрытие ключа (Google Titan, YubiKey или подобный);
покупка оборудования на 12 тысяч долларов;
изучение операций, производимых на микроконтроллере NXP A7005. (именно его использует Google Titan);
клонирование.

Просто, как два байта переслать, не так ли?
A Side Journey to Titan - NinjaLab

У стен есть уши

Как и у контроллеров. Испугался? Занервничал? Да - да, ты, с закрытой камерой. Ты лишил “врага” глаз, но забыл, что у него есть ещё и уши. А вот Хейкки Юва не забыл. Ему не понравилось, что в контроллере Google Stadia есть встроенный микрофон, который, как несложно догадаться, не выключается аппаратно. Зато прекрасно высверливается, это подтвердил господин Юва, удалив микрофон дрелью прямо через корпус. Казалось бы, зачем, если можно было разобрать? А вот не можно было. И сейчас не можно . Google сделали контроллер таким, чтобы разборка оного в домашних условиях была невозможна. Все прочие функции продолжали работать, как и должны были, кроме, разумеется, голосового ассистента.

Careful Drilling Keeps Stadia From Listening In

Статистика утечек гласит

По итогам 2020 утекло около 100 миллионов записей с персональными данными и платёжной информации россиян. Я мог бы кинуть эту новость в “Блиц”, но тогда бы нарушилось соседство. Какое? Смотрите дальше.

Эксперты оценили объем «утечек» персональных данных россиян в 2020 году

Москва окончательно накрывается колпаком

Мэрия Москвы планирует создание базы данных, содержащих данные москвичей, включающие даже данные о детях и животных. Ну хотя вряд ли это лишь планы, так как уже размещён тендер стоимостью 185 млн рублей. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В БД занесут номера паспортов москвичей, СНИЛС, ИНН, полиса ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка». Также заявлена проверка реальных доходов. По задумке властей, это позволит ускорить и упростить получение госуслуг и льгот через личный кабинет на портале mos.ru. Так, система сможет запросить данные Федеральной налоговой службы и других ведомств. А когда-нибудь по недодумке какого-нибудь нехорошего человека произойдёт утечка. Я не говорю “если”, я говорю “когда”. Это не моя спонтанная идея, об этом подумали некие “эксперты”, но даже без экспертного мнения можно понять опасность сего действа. Московская мэрия не оставила этот вопрос безответным и заявила, что будет применена “защита высшей категории”. Сомнения терзают меня, когда слышу подобные заявления. Но я не москвич и не планирую становится таковым, посему могу не волноваться.

С москвичами перейдут на личности

Не желаете сливу?

Крупная и быстрорастущая китайская компания по управлению социальными сетями Socialarks пострадала от огромной утечки данных, в результате которой было раскрыто более 400 ГБ личных данных, включая информацию нескольких влиятельных людей. Уязвимая база данных содержала «огромный клад» конфиденциальной личной информации объемом 408 ГБ и в общей сложности более 318 миллионов записей. Как же так вышло? А всё очень просто, кто-то снова облажался, оставив сервер с доступом в интернет без какой бы то ни было защиты. 318 млн пользователей пострадало в результате этой утечки. Это невероятно большое число, по факту, как две России. Интересно, как себя чувствуют люди, понимающие, что это произошло по их вине?

Chinese start-up leaked 400GB of scraped data exposing 200+ million Facebook, Instagram and LinkedIn users

За предоставленную информацию благодарю специалистов Группы компаний «Анлим»

https://unlim.group

22 вкладки… 22 чёртовых вкладки, именно столько у меня открыто в браузере прямо сейчас, а сегодня лишь среда. Ох, и насыщенная же неделя.

Бедный Parler

Господин Матце сейчас находится под огромным давлением, как, в прочем, и его компания. То, что их отключили от хостинга — ни для кого не секрет, но это ещё не всё. Позже с ними отказался работать сервис двухфакторной аутентификации, после чего данные весело уплыли. Кроме того, с Parler не стало работать большинство хостинговых сервисов. Видимо, кому-то придётся ставить сервер у себя дома. Джон Матце подал на Amazon в суд. В иске заявлено, что действия Amazon «эквивалентны отключению пациента больницы от системы жизнеобеспечения». Матце просит суд обязать AWS вернуть сервис в онлайн. Вдобавок Parler обвиняет облачный сервис в нарушении антимонопольного законодательства и участии в скоординированной атаке технологических гигантов с целью уничтожить конкуренцию на рынке. Представитель Amazon заявил, что они ничего не нарушали, а вот Parler отказались блокировать нежелательный контент, тем самым нарушив правила обслуживания, и, видимо, подписав себе смертный приговор.

Parler CEO says even his lawyers are abandoning him

Complaint – #1 in Parler LLC v. Amazon Web Services Inc (W.D. Wash., 2:21-cv-00031) – CourtListener.com

За предоставленную информацию благодарю специалистов Группы компаний «Анлим»

https://unlim.group

Опять корпоративные разборки

Турция начала антимонопольное расследование против мессенджера Whatsapp и компании Facebook. Антимонопольный орган Турции увидел в недавней деятельности Facebook угрозу безопасности и конфиденциальности турецких граждан. Представитель Whatsapp отверг все претензии, заявив, что это делается как раз для усиления [S]контроля[/S] безопасности пользователей. Выглядит так, будто какой-то торговец из абстрактной деревни вышел на собрание и сказал

Цитата:

Давайте все драгоценности сложим посреди деревни. Так будет безопаснее для всех, разумеется, их никто не увидит и не сможет забрать, так как я накрою всё простынёй.

Много неточностей и допущений в моём сравнении, однако примерно так я вижу эту ситуацию.

Bloomberg - Are you a robot?

Квантовая телефония? Что?

А вот так, в МГУ теперь здания университета соединены между собой защищённой квантовой телефонной линией. Число «телефонных будок» составляет 20 штук. Между некоторыми объектами расстояние достигает 50 километров. Сейчас сеть тестируется, однако, к концу 2021 года её обещают полностью ввести в эксплуатацию. Что самое интересное — линия зашифрована. И не каким-нибудь SSL, а физикой. При появлении стороннего наблюдателя квант из суперпозиции переходит в одно из возможных состояний, то есть перехват сделает квантовый ключ непригодным для работы. Проект призван протестировать и изучить. Подумать только, такими темпами через десяток лет мне придётся переучиваться на «Системное и сетевое администрирование для квантовых сетей». Ежели кто очень разбирается в квантовых сетях или, быть может, вам самим довелось ими попользоваться, исправляйте, дополняйте.

Центр квантовых технологий МГУ запустил линию защищённой квантовой телефонии

Опять «Единая система хранения ...»?

Вам не кажется, что всё призванное хранить какие-то данные в одном месте — это плохая идея? Но сейчас не о мнениях, а о фактах. А факты следующие. Центральный научно-исследовательский институт связи предлагает создать единую платформу для хранения информации о профилях сим-карт (eSIM). Сейчас операторы пользуются услугами разных поставщиков. В ЦНИИС считают, что единый поставщик обеспечит лучший контроль и защиту информации. Инициатива звучит не так плохо, однако «единый поставщик» - это отсутствие конкуренции, а в системе без конкуренции качество «контроля и защиты информации» ориентируется лишь на самого себя, что, в лучшем случае, замедляет развитие, в худшем — останавливает его. Опять же, не у меня одного подобное мнение. Вот что по этому поводу говорит представитель «Вымпелком»:

Цитата:

создание централизованной базы может негативно отразиться на развитии технологии, несет риски безопасности и приведет к монополизации рынка решений для eSIM.

МТС также не одобряет подобную централизацию.

Цитата:

распределенная система хранения данных наиболее безопасна, операторы могли бы самостоятельно создавать такие платформы и обеспечивать их работу

Виртуаль власти

РЖД прокомментировала ситуацию

Какую? Ах, если вы задали этот вопрос, значит по какой-то причине вы каким-то образом пребывали в неведении о том, что пользователь хабра влез в сеть РЖД и ужаснулся. Если казалось вам, что не так всё плохо — мне вас жаль, потому что сейчас мне придётся открыть вам глаза.

Цитата:

В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов, по большому счету, два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?»

Далее было проведено сканирование на предмет порта 8080, и обнаружен роутер с прокси и доступом во внутреннюю сеть.

«А вот сканирование vpn выдало более 20 000 устройств…

Причём более 1 000 штук — микротики. Огромное количество устройств с заводскими паролями.»

«Это здец. Сеть просто в решето. Причём это устройства по всей РФ.

Развёрнута профессиональная система видеонаблюдения.»

Вот, я ввёл вас в курс дела, теперь можно и посмотреть, что по этому поводу думают сами РЖД.

Цитата:

РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.

Тут есть несколько вариантов. Либо они слишком уж медленно «совершенствуют», либо просто обманывают.

Честно, я очень надеюсь, что этот случай — исключение. Потому как если подобная ситуация аналогичная и на других гос.предприятиях, то всё крайне плачевно.

Разбор

Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

Отзыв РЖД

В РЖД заявили об отсутствии утечки данных клиентов после возможного проникновения в сеть

https://forum.antichat.xyz/attachmen...9bea4123cb.png

В недавнем обновлении Windows исправлены следующие уязвимости

CVE-2021-1647 0day в Windows defender. Выполнение произвольного кода.
CVE-2021-1648 Последствия неудачного исправления 0day в июне 2020. Повышение привилегий.
CVE-2021-1658 Эта и несколько последующих без описания — дыры в RPC. Выполнение произвольного кода.
CVE-2021-1160
CVE-2021-1666
CVE-2021-1667
CVE-2021-1673

Как пишет Павел Зыков, имеется также и уязвимость в PsExec в версиях от 1.72 до 2.2, то есть во всех существующих версиях. Есть лишь одно исправление, но применимо оно лишь к последней версии. Официально ни единого слова о ней в последних обновлениях не было.

Обновляемся: Microsoft закрыла ряд критических уязвимостей

Со стула встал — с работы ушёл

Я мог бы использовать оригинальную формулировку данного выражения, но счёл её слишком уж грубой. Так вот, новость. Компания Health Boost IoT Technology создала подушки, с помощью которых будет отслеживать не только присутствие работников на месте, но и осанку и пульс. Некоторым записавшимся на тестирование не понравилось, что работодатель узнал об их отлыниваниях, хотя не должен был, ведь, как заявлялось, данные конфиденциальны и обезличены, но люди, следящие за правильностью данных, видели их в полностью открытом виде.

Slouch or Slack Off, This ‘Smart’ Office Chair Cushion Will Record It

Solarleaks

Всё слитое во время взлома solarwinds теперь продаётся, в том числе утилиты, используемые FireEYE. Вряд ли их покупка законна, поэтому на всякий случай скажу, не покупайте. И исключительно в целях введения в ситуацию скажу, что создан сторонний фейковый сайт.

Оригинальный

https://solarleaks.net

Фейковый

https://solarleak.net

«[S]Бабе цветы, детям мороженное,[/S] смотри, не перепутай».

Дополняю. Тулзы FireEye слили бесплатно.За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
https://unlim.group

У вас тут хард умер

Никто не знает почему, но это факт. Команда C:\:$i30:$bitmap повреждает файловую систему Windows. ОС, замечая это, предлагает перезагрузиться, после чего уже не оживает. Я настоятельно не рекомендую вам проверять это на своём основном устройстве. [S]На чужом — можно.[/S] Кроме того, оно, по-видимому, работает и гиперссылкой, и, что уже точно известно, ярлыком. Мало того, не придётся даже открывать ярлык, чтобы сломать NTFS, так как Windows в фоновом режиме проверяет расположение ярлыков (читать: в фоновом режиме уничтожает сама себя). Работает на всех версия Win10, на момент написания не устранено.

Windows 10 bug corrupts your hard drive on seeing this file's icon

За предоставленную информацию благодарю специалистов Группы компаний «Анлим»

https://unlim.group

https://forum.antichat.xyz/attachmen...0de6ba3f77.png

Я не мог такое не вставить

На днях @Strife мне скинул этот снимок. Ну я не мог это пропустить, ведь все остальные новости меркнут по сравнению с этой. А почему не в «Блиц»? Потому что туда я фотки не вставляю, однажды как-то ткнул фото в «Блиц», выглядит не очень, да и разрывает единообразие раздела.

https://forum.antichat.xyz/attachmen...000eb0e746.png

Можно ли закрыть закрытое?

Запросто, отвечает Apple, потихоньку вводя новую систему «защиты». Если сейчас любой пользователь может запросто установить стороннее приложение на свой Mac, то вскоре лафа может закончиться. Это, конечно, ещё не факт, но, как пишет издание 9to5Mac, в недавнем обновлении MacOs Big Sur найдены зачатки системы, которая помешает пользователям устанавливать сторонние приложения. Этот запрет не коснётся приложений из Mac App Store, однако установка через файлы IPA может стать невозможной. Как считает издание: «возможен сценарий, когда Apple включит блокировку удаленно, как только обновление станет доступным для пользователей».

Ну что же, маководы, держитесь за поручни, вагон свободного ПО уезжает в небытие.

macOS beta code suggests Apple will block users from sideloading unsupported iOS apps on M1 Macs [U] - 9to5Mac

Iphone’ы убивают?

Так ли правдив этот заголовок? Hearth Rhythm Journal говорит, что да. Не напрямую, разумеется, а лишь через своё исследование, но это ничуть не умаляет серьёзности всей ситуации. А что, собственно, произошло. А произошла статья, гласящая об опасности магнитов Iphone 12 и MagSafe. Угроза существует лишь для людей с кардиостимуляторами и дефибриляторами. Apple знает об опасности и предупреждает пользователей с вышеупомянутыми мед. девайсами. Однако компания утверждает, что, даже учитывая магниты, новые устройства ничуть не опаснее предыдущих. Если в этом высказывании довериться яблочным, то встаёт вопрос, либо сейчас опасность переоценили, либо всё время до этого недооценивали? Издание Medical Xpress придерживается первого варианта, однако не отрицают, что магниты угрожают чутким устройствам (как раз таким, как кардиостимуляторы и дефибриляторы) перебоями. Итого, если у вас проблемы кардиологическего характера, не принимайте ничего близко к сердцу, особенно новые Iphone 12.https://www.heartrhythmjournal.com/article/S1547-5271(20)31227-3/fulltext
IPhone12 will stop your implantable defibrillator

Блиц

Adata начала производство модулей оперативной памяти DDR5 со скоростью 8400 МТ/с.

Adata начала производство модулей памяти DDR5 со скоростью работы 8400 МТ/с
Википедии 20 лет.

«Википедии» — 20 лет
Гознак переходит на Postgres Pro.

«Гознак» переходит на российскую СУБД Postgres Pro
В Firefox 86 добавят поддержку формата AVIF.

1682995 - Enable AVIF support by default
В сеть Ubiquiti проникли, но ничего не сделали? Или сделали? Всё-равно смените пароль.

Account Notification
В колумбийском университете в робота встроили основы эмпатии [S]и маленький пластиковый пакет.[/S]

Исследователи Колумбийского университета встроили в робота основы эмпатии
Что? Данные о кредитах? Зачем? А, окей. Китайские регуляторы хотят получать от ИТ-гигантов данные о потребительских кредитах
Один из провайдеров заблокровал Twitter и Facebook за цензуру. В США провайдер заблокировал Twitter и Facebook за цензуру
Не носите одежду с символикой Facebook, это небезопасно.

Following Trump Ban, Facebook Tells Employees to Avoid Wearing Company-Branded Apparel
Signal взлетел, Telegram подрос, а Whatsapp плачет в углу.

После изменения политики WhatsApp популярность Signal взлетела на 4200%, а Telegram вышел на второе место в США
В Индии и Китае растёт популярность ipv6.

IPv6 – Google
Разработка Linux для старых процессоров закончится?

Разработчики Linux рассматривают отказ от поддержки старых процессоров
Две попытки, Томас, две! А иначе плакали твои 7002 биткоина.

Lost Passwords Lock Millionaires Out of Their Bitcoin Fortunes
Боб Свон уходит с поста ген. директора, его место займёт Патрик Гелсингер.

Intel Appoints Tech Industry Leader Pat Gelsinger as New CEO | Intel Newsroom
А здесь вы можете почитать оправдания Whatsapp.

Q&R WhatsApp - Réponses à vos questions concernant la Politique de confidentialité de WhatsApp
Теперь застройщики будут обязаны предусматривать инфраструктуру для размещения сетей связи.

Застройщиков обяжут предусматривать сети связи
Обновление Windows 21H2 выйдет в июне, обещают редизайн.

Leak reveals when Windows 10 redesign could begin rolling out
Помните Сферум? Так вот, его запустили. Он использует многие технологии Вконтакте, но форком не является.

На базе ВКонтакте создают «Цифровую образовательную среду»

Вот и всё на эту неделю. Не устали читать? Надеюсь, что нет. А я устал писать, ибо таких объёмов информации в единицу времени я ещё не получал. Дабы не затягивать, я откланяюсь, до следующей недели.