#security
Каждый из Вас сталкивался с банкоматами, но знаете ли Вы их начинку?

telegra.ph/CHto-vnutri-bankomata-08-18

#security
Если Вы интересуетесь информационной безопасностью или просто хотите стать более продвинутым пользователем, обязательно прочитайте эту статью. Имейте ввиду какие-то браузеры могут блокировать переход на некоторые сервисы. Так что добавляйте во «временно разрешенные»

telegra.ph/Sajty-gde-mozhno-skachat-virusy-08-23

#security #Darklife
Эта статья предназначена для тех, кто либо вовсе не слышал о Shodan, либо слышал, но так и не понял, как им пользоваться. Подобных материалов на русском языке я не нашел.

telegra.ph/Shodan-08-28

В Эстонии маленькая-большая криптокатастрофа

Из за выявленной уязвимости в генераторе случайных чисел библиотеки RSA огромное число систем требуют обновления, а ведь некоторые используются, например, для идентификации граждан. Обо всем этом пишет Arstechnica в статье "Millions of high-security crypto keys crippled by newly discovered flaw" [1] где упоминается и необходимость перевыпуска 750 тысяч идентификационных карточек в Эстонии и другие последствия.

Ссылки:
[1] https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/

#privacy #security

​​#security #iot #tech

Исследователи из Массачусетского технологического института разработали чип для интернета вещей, который снижает энергопотребление на шифрование с открытым ключом на 99,75%.
🔎 подробнее

XMR Wallet прошел аудит и добавил новые функции
https://forklog.com/xmr-wallet-proshel-audit-i-dobavil-novye-funktsii/

У Минкомсвязи (официальное сокращённое наименование - Министерства цифрового развития и т.д.) не открывается нормальным образом сайт под https потому чтор работает он с сертификатом Symantec который постепенно Google выводит из поддержки в Google Chrome.

Если открыть сайт https://minsvyaz.ru в Google Chrome то можно увидеть предупреждение безопасности.

Ситуация смешная сапожника без сапог.
#security

и снова с вами рубрика «никогда такого не было, и вот опять». Тут выяснилось, что facebook втихаря активирует камеру (если приложению дать права на доступ к камере) при прокрутке новостной ленты. похоже, там какой-то микс бага то ли в самом приложении FB, то ли в iOS.

https://twitter.com/joshuamaddux/status/1193434937824702464?s=21

Но в целом то, что приложения могут втихаря записывать контент с камеры,если приложению выдать пермишины на это, уже даже и не новость.
https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running

Наверно, было бы круто добавить в систему уведомления о том, что камера активна в какой-то момент (по типу того, как это показывается, когда записывается экран смартфона)

Еще с прошлой недели тянется новость про то, что хакерам удалось разработать и выпустить джейлбрейк для процессоров Т2. Процессоры Т2, кто не знает, это специальные чипы, обеспечивающие безопасность в компьютерах Мак. Там есть своя операционная система SepOS, в которой еще летом была обнаружена уязвимость.

Комбинируя два эксплойта — checkra1n и blackbird — вместе с физическим доступом к устройству, можно провести джейлбрейк процессора, потому что «Apple оставила интерфейс дебаггинга в процессорах, что позволяет любому войти в режим DFU без аутентификации». Короче, используя эту информацию, потенциально можно создать USB-C кабель, который будет «взламывать» Мак при загрузке. Потенциально это может обеспечить злоумышленникам доступ к данным, которые хранятся на устройствах зашифрованными, но не сразу. Автоматически доступа к зашифрованным файлам получать нельзя, но можно воткнуть кейлоггер в прошивку Мака, и собрать пароль к расшифровке файлов.

Еще большая часть проблемы — в том, что уязвимость на процессоре Т2 неисправима, поскольку она аппаратная. Короче, если все так ужасно (а обещают, что это еще не все новости), то владельцам текущих Маков теперь можно посоветовать не оставлять свои компьютеры без присмотра в обозримом будущем. Apple пока что не комментирует эту проблему, и интересно, смогут ли каким-то софтверным апдейтом хотя бы уменьшить вероятность успешной атаки с использованием этих уязвимостей.

Детали всего этого безобразия по ссылке

https://ironpeak.be/blog/crouching-t2-hidden-danger/

https://www.zdnet.com/article/hackers-claim-they-can-now-jailbreak-apples-t2-security-chip/
_______
Источник: https://t.iss.one/alexmakus/3668

#Важно

Только что наткнулся, как говорится breaking news:

Взломанную осенью базу Леджера с номерами телефонов, имейлами и даже адресами закер вывалил в публичный доступ - https://twitter.com/JimmyMcShill/status/1340733120610447365

Готовьтесь к нереальному потоку фишинга на ваши имейлы, если вы владелец Леджера. А если вы по жизни невезучий (но при этом биткоин миллионер) то еще стоит подготовиться к визитам гостей на дом 😀
_______
Source: https://t.iss.one/lemon_crypto/526

Новый отечественный госсервис, похоже что, информационная система, аналог Национальный Мультисканер virustest.gov.ru в виде системы проверки на вирусы [1] и это такой импортозамещённый VirusTotal [2], но, если VirusTotal поддерживает 60 антивирусов, то здесь их только 3, все отечественные и нет таких важнейших возможностей как проверка через API и ещё многое другое. VirusTotal выдает кратно больше информации о проверяемом файле. Если единственной особой характеристикой Национального Мультисканера является импортозамещённость то всё довольно печально. Вопрос как всегда один и тот же - зачем на это вообще потратили бюджетные средства?

Ссылки:
[1] virustest.gov.ru
[2] www.virustotal.com

#security #budget
_______
Source: https://t.iss.one/begtin/2695

Я не сильно люблю писать по теме информационной безопасности, но похоже что вся эта отрасль теперь стремительно политизируется (также как и ИТ). Это касается и недавних новостей НКЦКИ и Ростелеком-Солар об обнаружении "зловредов" в сетях органов власти в РФ [1] и совсем свежей новости с обвинением русских хакеров во взломе USAID и связанных с USAID организациями [2].

К сожалению, что в США, что в России сейчас всё идёт по пути поиска "внешнего врага" и, будем уж честными, активная "продажа угроз" взлома сетей, утечки данных и так далее и характерно что всё это началось как в период начала формирования бюджета на следующий год.

Проблема в том что, конечно, все публичные расследования политического толка важно делить в 2-3 раза. Потому что это та среда где на публику выносят только то в чём:
- или феерически облажались так что совсем не скрыть
- или то что собираются продавать как внешнюю угрозу

Ключевой вопрос - что нам продают? И насколько продаваемое близко к реальным проблемам, которые, безусловно есть и о которых на пресс-конференциях не говорят или, что ещё хуже, просто даже не знают.

Ссылки:
[1] safe-surf.ru
[2] www.nytimes.com

#privacy #security
_______
Источник | #begtin

Я хотел сегодня написать про очередное решение Роскомнадзора по блокировке VPN сервисов, но тут мне позвонили из Росбалта и в итоге я им наговорил на небольшую заметку [1].

Если вкратце, то чем больше Роскомнадзор будет блокировать платные коммерческие сервисы, тем большее число людей будут разворачивать себе личные VPN сервера и использовать что-то вроде Outline [2].

Я повторю одну и ту же мысль, в ситуации большого числа технически грамотных граждан все блокировки и ограничения бессмысленны без контроля конечных устройств пользователей. А такой контроль даже в Китае не обеспечивают.

При этом, я не хочу подсказывать Роскомнадзору как можно эффективно ограничивать VPN сервисы, а наоборот надо им спасибо сказать за то что они не могут эту работу сделать хорошо.

Ссылки:
[1] www.rosbalt.ru
[2] getoutline.org

#privacy #vpn #security
_______
Источник | #begtin

SecurityLab пишут [1] о том как несколько дней назад Христо Грозев, основатель Belligcat, выступал с предсказанием что года через 2 в России введут аккредитацию хостинг провайдеров и, соответственно, снижение скорости подключения к тем кто не аккредитуется.

Я не буду говорить о том что это поубивает весь ИТ/интернет бизнес в России который работал и работает на международную аудиторию, отъезд команд разработчиков резко ускорится, впрочем он и так набирает обороты. Я хочу сказать что это предсказание вполне реалистично и я добавлю свои пункты. При этом оговорюсь что не надо полагать что что-то из того о чём я пишу и так не знают. Уже давно регуляторам никто ничего не подсказывает, там всё знают.

1. Расширение полномочий Росфинмониторинга и ведение "списка блокировок финансовых транзакций" через Росфинмониторинг и ЦБ РФ. Фактически, неаккредитованным хостинг провайдерами и не только будут отрубать возможность получения платежей из России.
2. Запрет любой криптовалюты вне мониторинга ЦБ РФ и Росфинмониторинга. Цифровой рубль, если он таки будет, будет совершенно точно создаваться по критерию наблюдаемости и неанонимности транзакций. И это будет не только про входящие деньги на политическую активность, но и исходящие на платежи зарубежным сервисам.
3. Криминализация использования любой не аккредитованной ЦБ криптовалюты. Именно по причине неотслеживаемости и анонимности транзакций. Под это будут "публичные казни", мощные медиавбросы про ловлю криминальных банд легализующих через криптовалюту большие объёмы криминальных денег.
4. Ужесточение регулирования CDN провайдеров используемых для анонимизации хостинга контента. Модель будет всё та же - "Или сообщаете информацию о клиентах, или получаете блок на трафик и на финансовые транзакции". CDN сервисы разделяться на те которые на это согласятся и те которые нет
5. Создание специального реестра компаний ведущих интернет торговлю и получающих платежи из России. Скорее всего постепенно, начиная с каких-то критичных товаров и далее расширяя. Наиболее вероятный сценарий через принятие регулирования аналогичного GDPR с его экстерриториальностью, но с большим акцентом именно на экстерриториальность. То есть российские компании могут временно не регулировать, а вот зарубежные собирающие данные россиян вполне могут.


Ссылки:
[1] www.securitylab.ru

#privacy #security
_______
Источник | #begtin

Объясните мне, знающие люди, зачем часть сайтов и, может быть, инфраструктуры Мэрии Москвы находится за пределами РФ? Например, хостится на серверах Hetzner, Германия. Это такой хостер-дискаунтер, хороший в своём классе, но далёкий от России.

Вот примеры:
- inno.mos.ru - IP: 78.46.71.197 (открывается пустая страница)
- cgrt.mos.ru - IP: 176.9.230.170 (не открывается)
- gk.tech.mos.ru - IP: 138.201.197.43 (заглушка на немецком языке)
- aupd-test.mos.ru - IP: 95.216.13.234 (тестовая страница Московской электронной школы)
- new.dit.mos.ru - IP: 176.9.230.170 (не открывается)

Я, конечно, всё понимаю, немецкое качество и всё такое, но как так можно случайно сделать?

Это не единственный зарубежный хостер на который указывают домены в зане mos.ru и этот список не финальный. Читающим меня сотрудникам ДИТ Москвы я бы посоветовал проверить тщательно, потому что нельзя так делать.

#privacy #security #internet #moscow
_______
Источник | #begtin

Почему в прошлой публикации я написал что МИД мог бы свалить всю вину на разработчиков приложения?

Во-первых потому что в большинстве госприложений запрашивается меньше небезопасных разрешений. Так приложение МИДа запрашивает их 8 штук, аналогичные запросы делают только несколько приложений Московского Пр-ва, мы делали исследование год назад где писали об этом [1], но там это было, как бы, хотя бы частично обосновано.

А во вторых, и в главных, важно знать как устроено приложение МИДа. Это не специализированное мобильное приложение вроде Госуслуг, Госключа или Активного гражданина или ещё много чего. Это контентное приложение построенное на материалах сайта МИДа РФ. А если конкретнее - это оболочка над браузером который обращается к сайту m.mid.ru скорее всего сделанное на движке 1С Битрикс мобильное приложение [2].

Так вот совершенно непонятно зачем мобильному приложению которое, по сути, просто надстройка над сайтом и без дополнительных функций нужны разрешения на доступ к камере или записи аудио. В приложении просто не предусмотрены задачи для которых эти разрешения применимы.

После углублённого анализа выяснилось следующее.

Это сложное xapk приложение с набором вложенных apk файлов под разные языки и базовым приложением ru.mid.app.apk внутри этого xapk. В AndroidManifest.xml общего приложения затребуются максимум разрешений, а внутри ru.mid.app.apk их нет вообще. Поэтому при проверке по приложению указано то что при установке не затребуются. В итоге всё сводится к тому что:
1) Разработчики ошиблись в структуре манифеста затребующего разрешения, но именно разрешения из этого манифеста указываются в Google Apps и они используются всеми сервисами и инструментами анализа Android приложений.
2) МИД РФ не в курсе что по факту разрешения приложению не нужны, и начал оправдывать их запрос. Реакция МИДа была не вполне нормальной.
3) По факту приложение не может собирать аудио, подключаться к камере и тд. поскольку это приложение надстройка над мобильным сайтом МИДа, см. выше

В который раз, не масонская ложа, а великая лажа (с). Ну, ошибки разработчиков - это лучше чем заговор, но выглядит всё это вопиюще глупо.

Ссылки:
[1] privacygosmobapps.infoculture.ru
[2] www.1c-bitrix.ru

#privacy #security #android
_______
Источник | #begtin

Крайне любопытное новое устройство - втыкающийся в USB-разъем магнитный размыкатель, который вызывает заранее придуманное действие на компьютере. Типовое применение: стереть все данные с компьютера бухгалтера, если в помещение ворвались злоумышленники. Ну или просто блокировка экрана, если вы не настолько параноик.

Решение действительно неплохое, посмотрите видео - одно короткое действие, причем можно даже не касаться клавиатуры - и все готово. У меня есть точно такое же решение на базе Yubikey, но оно сильно сложнее и дороже. Но я и данные на диске всегда зашифрованными держу 🙂 www.buskill.in
_______
Источник | #addmeto

Если вам кажется что только в Вашей стране, где бы Вы ни были, всё делают через одно место и это не голова, то это не так. Например, Chaos Computer Club (CCC), старейшая хакерская команда в Германии, пишут о том что германская компания Gematik отвечающая за информатизацию здравоохранения плохо понимают в информационной безопасности того что они делают [1].

Текст на немецком языке, но легко переводится и смысл его в том что по номеру медицинской страховки сотрудник аптеки может получить о человеке всю информацию о его рецептах, без дополнительной авторизации и подтверждения самого человека. Учитывая что в Германии идёт цифровизация здравоохранения с переходом на электронные рецепты - то это становится актуально.

Я бы ещё обратил внимание на модель угроз которую они описывают. Сотрудник аптеки может продать таблоидам номера страховок знаменитостей и те могут узнать из рецептов от чего знаменитости лечатся.

Это не единственный "косяк" от Gematik, но достаточно яркий.

А если вернуться к российским реалиям, то для авторизации на российском портале ЕМИАС [2] достаточно номера карточки медицинского страхования и даты рождения. После этого доступны данные о записях к врачам, рецептам и направлениям (хорошо хоть не самой медкарты).

Это означает что любой врач в системе ОМС имеющий доступ к Вашему анамнезу может увидеть всю эту информацию на сайте ЕМИАС и Вы никогда об этом не узнаете. Но, всё интереснее. В медицинских полисах последние 6 цифр - это и есть дата рождения. Если у кого-то есть номер вашего мед полиса и даже если этот кто-то не знает даты Вашего рождения он/она может получить доступ к этому же личному кабинету.

Страны разные, проблемы похожие.

Ссылки:
[1] www.ccc.de
[2] emias.info

#security #privacy #germany #russia
__
Источник | #begtin
#хроникицифровизации