Сегодня снова хочу дать несколько практических советов для таких же параноиков, как я сам. Вряд ли кто-то из читателей этого канала допускает, что современные гаджеты не собирают информацию о своих владельцах. Наоборот, мы живём в мире, в котором этот факт является очевидным.этой лаконичной статьи
Если ты не готов мириться с таким раскладом вещей, поговорим немного о том, как отучить твой смартфон шпионить за тобой.
Авторы
дают 15 советов и рекомендаций, которые я бы разделил на три основные группы.VirusTotal
Первая -- это защита на человеческом уровне. Иными словами, эти меры безопасности можно свести к одному важному правилу - "не давай другим пользоваться твоим смартфоном". Телефон, попавший в чужие руки, может намеренно или непредумышленно оказаться скомпрометированным. Неконтроллируемая установка приложений или доступ к личной информации в такой ситуации явление весьма распространённое.
Вторая группа - это механизмы, которые рекомендуется настроить в смартфоне. Здесь спектр мер несколько интереснее.
Во-первых, сюда относится бдительное отношение к тем приложениям, которые ты используешь. Даже установленное из доверенных магазинов приложение может нехило тащить твою личную информацию в маркетинговых или более тёмных целях. Однако, все хотелки каждой приблуды обязательно описываются в «Terms & Conditions», с которым стоит ознакомиться, преодолевая бескрайнюю лень. Фонарик, которому нужен доступ к микрофону, наверняка вызовет подозрение. И не зря! К работе с приложениями относится и совет по регулярному обновлению, поскольку сознательные разработчики стараются следить за безопасностью своего продукта.
Во-вторых, имеет смысл озаботиться именно вопросами защиты от непосредственно злоумышленников. Поставь на смартфон антивирус, выбери браузер, который хотя бы пытается не собирать информацию о тебе (что-то типа Brave, DuckDuckGo и Firefox Focus). И ещё, не забудь освоить и настроить механизмы защиты, которым заботливо научили твой смартфон его создатели. Пин-код, отпечаток пальца, Face ID - все средства хороши. Главное, не забудь ключ, не работай на пилораме и не делай пластику.
Ну а третья группа советов для параноиков - это список ограничений, к которым нужно приучить свой телефон и самого себя. Спектр запретов весьма широк, но не безынтересен.
Например, не подключай телефон к публичным сетям без особой надобности. Злоумышленник может как минимум прикинуться точкой доступа и ждать, когда невнимательные пользователи подключатся к нему.
И вообще, старайся не держать дополнительные модули беспроводной связи смартфона постоянно включенными. Мало того, что в каком-нибудь торговом центре к тебе по Bluetooth может прилететь раздражающая реклама акций, так ещё и сам смартфон не замедлит приконнектиться к открытой общедоступной сети по Wi-Fi.
IT-маркетинг и IT-шпионаж - это две стороны одной IT-медали. Так что, будучи озабоченным сбором информации о себе, старайся отключать в соцсетях услужливые опции по поиску наиболее подходящего для тебя контента. Эта информация ведь тоже куда-то передаётся. Поисковики и приложения, кстати, тоже завязаны на персонализацию, которую можно отключить.
Надо ли говорить, что все странные файлы, обнаруженные на телефоне, тебе следует удалять? И что ходить по ссылкам, которые тебе присылают в соцсетях, нужно с максимальной осторожностью, по возможности, проверяя их на
.
Ну и, если уж ты понял, что подставился по крупному, то остаётся только одно - самое тяжёлое решение. Да да, мой параноидальный друг. В таком случае, ты обязан откатить свой смартфон до заводских настроек и начать его жизнь с нуля. Конфиденциальность в наше время - это роскошь, за которую тяжело платить!
Telegraph
В этой статье были перечислены основные способы, о которых нужно знать для защиты телефона от шпионажа.
1. Никогда не оставляйте свой телефон без присмотра Первое и самое главное: постоянно следите и никогда не оставляйте телефон на столике в кафе, на скамейке в парке и других общедоступных местах, поскольку некоторые злоумышленники специализируются на кражах…
Пиу-пиу, не знаешь, чем занять себя на ночь глядя?
Приложи свои руки к правильному делу — открывай новую статью на хабре от моих коллег
Приложи свои руки к правильному делу — открывай новую статью на хабре от моих коллег
Хабр
Maltego Часть 7. DarkNet matter
DarkNet. О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dar...
Forwarded from Код Дурова
⚡ Мошенники украли доступ у крупного русскоязычного Telegram-канала. При этом, аккаунт основателя канала взлому не подвергался, ибо защищён 2FA.
Рассказываем всю историю произошедшей ситуации:
https://kod.ru/ukrali-telegram-channel-reddit-nov-2020/
Рассказываем всю историю произошедшей ситуации:
https://kod.ru/ukrali-telegram-channel-reddit-nov-2020/
Если ты самоизолируешься в свое удовольствие на удаленке с корпоративной рабочей машинкой, то наверняка проходишь утренние обеденные предработные ритуалы логина в корпоративный домен. А значит, тебе будет интересен один из способов, как могут увести твою учетку во время этого нехитрого процесса.
Если ты сидишь за своим собственным армом, все равно прочитай пост, но можешь сделать это без уважения.
Начнём с того, что учётная запись, под которой ты заходишь на свой компьютер, может быть двух типов. Если это твое локальное устройство, то скорее всего, и учётка у тебя локальная — заведённая прямо на твоей машинке. Если же логин и пароль выданы тебе в большой компании, в которой ты работаешь, то такая учётка будет являться доменной, то есть заведённой в рамках некоторой рабочей группы.
Доменные учётные записи удобно создавать именно для больших сетей, в которых выделяются целые группы пользователей (привет, безмолвные корпоративные ноунеймы) с различными правами доступа. Придуман такой механизм для упрощения управления большим количеством пользователей. Добавил нового админа в группу "Admins", и все необходимые доступы и права на всех машинках у него уже есть.
Только что я попытался на пальцах и очень кратко описать принцип работы службы MS Active Directory. В самой службе за разделение компьютеров по группам-доменам отвечают контроллеры доменов (domain controller) и они же следят за аутентификацией и последующим выделением прав пользователям, подключающимся к этой группе.
Но как контроллер домена узнает, что ты пытаешься авторизоваться на одном из компьютеров его группы? Для этих целей в MS WIndows есть служба Netlogon, которая забирает учётные данные, введённые на конкретной машинке, доносит их по шифрованному каналу до контроллера домена, а после проверки возвращает по тому же каналу права доступа, выданные пользователю.
А тут нас поджидает опасность! И собственно инфоповод вспомнить про AD. В августе Microsoft выкатили заплатку для новой уязвимости, известной как Zerologon (CVE-2020-1472). Уровень кошмарности у этой дыры был оценён на все 10 ужасов параноика из 10.
Сама идея уязвимости кроется в её названии — спасибо всем ценителям каламбуров. Дело в том, что злоумышленник может инициировать соединение по Netlogon`у с помощью определённой последовательности символов, начинающейся с нулей. Эта неочевидная хитрость собъёт с толку контроллер домена, который наделит атакующего правами привелигированного аккаунта SYSTEM и разрешит сбивать пароли на админских учётках.
Наивно ожидалось, что заплатку от мелкомягких быстро-решительно поставят все и сразу. Но оказалось, что это не так. Microsoft бъёт тревогу. Заплатки поставили далеко не все. Невероятно, но факт!
Кстати, нынешняя заплатка от CVE-2020-1472 — это именно костыль, который блокирует использование конкретной реализации атаки. При этом, он допускает подключение к контроллеру домена машинок со старыми (legacy) системами. Однако в журналах аудита подключений на контроллерах эти небезопасные соединения фиксируются и учитываются.
К 9 февраля 2021 года Microsoftпроведет разъяснительно-карательную беседу о необходимости устанавливать обновления и патчи выпустит полную версию патча для защиты от Zerologon, в котором, кроме всего прочего, будет вообще запрещено использование старых версий службы. Раунд!
И к этому тоже надо быть готовыми.
Кстати, если ты пользуешься исключительно локальными учётками, то эта уязвимость тебе не страшна. Можешь воспринимать эту статью, как исключительно просветительскую.
Если ты сидишь за своим собственным армом, все равно прочитай пост, но можешь сделать это без уважения.
Начнём с того, что учётная запись, под которой ты заходишь на свой компьютер, может быть двух типов. Если это твое локальное устройство, то скорее всего, и учётка у тебя локальная — заведённая прямо на твоей машинке. Если же логин и пароль выданы тебе в большой компании, в которой ты работаешь, то такая учётка будет являться доменной, то есть заведённой в рамках некоторой рабочей группы.
Доменные учётные записи удобно создавать именно для больших сетей, в которых выделяются целые группы пользователей (привет, безмолвные корпоративные ноунеймы) с различными правами доступа. Придуман такой механизм для упрощения управления большим количеством пользователей. Добавил нового админа в группу "Admins", и все необходимые доступы и права на всех машинках у него уже есть.
Только что я попытался на пальцах и очень кратко описать принцип работы службы MS Active Directory. В самой службе за разделение компьютеров по группам-доменам отвечают контроллеры доменов (domain controller) и они же следят за аутентификацией и последующим выделением прав пользователям, подключающимся к этой группе.
Но как контроллер домена узнает, что ты пытаешься авторизоваться на одном из компьютеров его группы? Для этих целей в MS WIndows есть служба Netlogon, которая забирает учётные данные, введённые на конкретной машинке, доносит их по шифрованному каналу до контроллера домена, а после проверки возвращает по тому же каналу права доступа, выданные пользователю.
А тут нас поджидает опасность! И собственно инфоповод вспомнить про AD. В августе Microsoft выкатили заплатку для новой уязвимости, известной как Zerologon (CVE-2020-1472). Уровень кошмарности у этой дыры был оценён на все 10 ужасов параноика из 10.
Сама идея уязвимости кроется в её названии — спасибо всем ценителям каламбуров. Дело в том, что злоумышленник может инициировать соединение по Netlogon`у с помощью определённой последовательности символов, начинающейся с нулей. Эта неочевидная хитрость собъёт с толку контроллер домена, который наделит атакующего правами привелигированного аккаунта SYSTEM и разрешит сбивать пароли на админских учётках.
Наивно ожидалось, что заплатку от мелкомягких быстро-решительно поставят все и сразу. Но оказалось, что это не так. Microsoft бъёт тревогу. Заплатки поставили далеко не все. Невероятно, но факт!
Кстати, нынешняя заплатка от CVE-2020-1472 — это именно костыль, который блокирует использование конкретной реализации атаки. При этом, он допускает подключение к контроллеру домена машинок со старыми (legacy) системами. Однако в журналах аудита подключений на контроллерах эти небезопасные соединения фиксируются и учитываются.
К 9 февраля 2021 года Microsoft
И к этому тоже надо быть готовыми.
Кстати, если ты пользуешься исключительно локальными учётками, то эта уязвимость тебе не страшна. Можешь воспринимать эту статью, как исключительно просветительскую.
Threat Post
Microsoft Warns Threat Actors Continue to Exploit Zerologon Bug
Tech giant and feds this week renewed their urge to organizations to update Active Directory domain controllers.
Я бы мог сказать, что делаю рекламу этому новому каналу в телеге, потому что всем новоприбывшим привет. Но нет. Есть такие паблики, которые в рекламе не нуждаются. Просто роскомнадзор в тг. 2020-й грозит сдвинуть Землю с оси.
Forwarded from Листок бюрократической защиты информации
РКН и Telegram
У Роскомнадзора появился официальный канал в Telegram, подписаться на который можно здесь.
У Роскомнадзора появился официальный канал в Telegram, подписаться на который можно здесь.
Сегодняшний пост я хотел бы посвятить прошедшей Чёрной пятнице и всем грядущим массовым онлайн-мероприятиям. А какие же они сейчас ещё могут быть. Только онлайн.
В условиях прошедшей недели распродаж как-то с опозданием вышла прогностическая статья, в которой давалась оценка возможных ловушек для покупателей. А поскольку впереди новогодние праздники, да и эпидемиологическая ситуация не сильно улучшается, актуальность темы сохраняется и дальше. Поэтому, давай немного обсудим её.
Как ты знаешь, в историях с разнообразными злодеями обязательно наступает момент, когда все они объединяются против хороших парней. И в этом смысле Чёрная пятница полностью оправдывает своё название. Дело в том, что именно в дни массовых или даже глобальных распродаж, атаки, связанные с человеческим фактором, поджидают нас на каждом шагу.
Риск заражения во время пандемии привёл к тому, что толпы любителей скидок в этом году штурмуют не супермаркеты, а интернет-магазины. Да и даже розничные торговцы вынужденно уходят в онлайн и стараются привлечь внимание к своим площадкам. Такая ситуация порождает массовые рассылки с информацией об акциях и скидках. И в этих условиях отличить настоящее приглашение от фишинговой атаки довольно непросто.
По части фишинга традиционно частыми и в прошлые годы были атаки с подделкой доменных имён (а ты думал, adidas и abibas — это не про хакеров?!) и аккаунтов в социальных сетях. Здесь незадачливого покупателя ждёт целый букет опасностей — от кражи персональных и банковских данных до загрузки вредоносного ПО самого разного профиля.
Появляются на этом поле и такие откровенные негодяи, как рефандеры (fake refund), обычно терроризирующие как раз онлайн-магазины. В обычное время их активность сводится к умышленному повреждению онлайн-покупок и получении компенсации от магазинов. Но сейчас они действуют в обе стороны, связываясь с покупателями от имени онлайн-площадок якобы из-за отсутствия заказанного товара на складе и предлагая возместить оплату, если жертва назовёт свои банковские данные.
Другим видом фишинга опасны площадки, на которых разные магазины могут вывешивать информацию об акциях или прямые ссылки на конкретные товары. В таком случае, покупатели могут довериться самой площадке и не забыв о мерах предосторожности пройти по никем не проверенным ссылкам.
В общем, такая активность мошенников легко объяснима тремя вещами: особенно массовым уходом торговли в онлайн, жаждой мгновенной халявы у покупателей и слепым доверием к брендам.
Но не так страшен злоумышленник, как кажется! По сути, чтобы не попасться в ловушку, достаточно просто каждый раз перед переходом по ссылке давать себе некоторое время на размышление, ведь именно спешка заставляет нас совершать поступки (и, кстати, покупки), о которых мы потом жалеем. Стоит приглядеться к ссылке и убедиться, что в ней нет подозрительных ошибок. Если подозрение осталось, ты всегда можешь сам связаться с интересующим тебя магазином и проверить, верна ли информация. Какие-то пять минут на обдумывание надёжно защитят тебя от неприятных последствий.
В условиях прошедшей недели распродаж как-то с опозданием вышла прогностическая статья, в которой давалась оценка возможных ловушек для покупателей. А поскольку впереди новогодние праздники, да и эпидемиологическая ситуация не сильно улучшается, актуальность темы сохраняется и дальше. Поэтому, давай немного обсудим её.
Как ты знаешь, в историях с разнообразными злодеями обязательно наступает момент, когда все они объединяются против хороших парней. И в этом смысле Чёрная пятница полностью оправдывает своё название. Дело в том, что именно в дни массовых или даже глобальных распродаж, атаки, связанные с человеческим фактором, поджидают нас на каждом шагу.
Риск заражения во время пандемии привёл к тому, что толпы любителей скидок в этом году штурмуют не супермаркеты, а интернет-магазины. Да и даже розничные торговцы вынужденно уходят в онлайн и стараются привлечь внимание к своим площадкам. Такая ситуация порождает массовые рассылки с информацией об акциях и скидках. И в этих условиях отличить настоящее приглашение от фишинговой атаки довольно непросто.
По части фишинга традиционно частыми и в прошлые годы были атаки с подделкой доменных имён (а ты думал, adidas и abibas — это не про хакеров?!) и аккаунтов в социальных сетях. Здесь незадачливого покупателя ждёт целый букет опасностей — от кражи персональных и банковских данных до загрузки вредоносного ПО самого разного профиля.
Появляются на этом поле и такие откровенные негодяи, как рефандеры (fake refund), обычно терроризирующие как раз онлайн-магазины. В обычное время их активность сводится к умышленному повреждению онлайн-покупок и получении компенсации от магазинов. Но сейчас они действуют в обе стороны, связываясь с покупателями от имени онлайн-площадок якобы из-за отсутствия заказанного товара на складе и предлагая возместить оплату, если жертва назовёт свои банковские данные.
Другим видом фишинга опасны площадки, на которых разные магазины могут вывешивать информацию об акциях или прямые ссылки на конкретные товары. В таком случае, покупатели могут довериться самой площадке и не забыв о мерах предосторожности пройти по никем не проверенным ссылкам.
В общем, такая активность мошенников легко объяснима тремя вещами: особенно массовым уходом торговли в онлайн, жаждой мгновенной халявы у покупателей и слепым доверием к брендам.
Но не так страшен злоумышленник, как кажется! По сути, чтобы не попасться в ловушку, достаточно просто каждый раз перед переходом по ссылке давать себе некоторое время на размышление, ведь именно спешка заставляет нас совершать поступки (и, кстати, покупки), о которых мы потом жалеем. Стоит приглядеться к ссылке и убедиться, что в ней нет подозрительных ошибок. Если подозрение осталось, ты всегда можешь сам связаться с интересующим тебя магазином и проверить, верна ли информация. Какие-то пять минут на обдумывание надёжно защитят тебя от неприятных последствий.
Threat Post
Scams Ramp Up Ahead of Black Friday Cybercriminal Craze
With more online shoppers this year due to COVID-19, cybercriminals are pulling the trigger on new scams ahead of Black Friday and Cyber Monday.
Forwarded from Хакер — Xakep.RU
Zoom будет предупреждать пользователей о возможных атаках троллей
Невзирая на то, что разработчики Zoom давно ввели обязательные пароли для всех конференций, а также добавили возможность жаловаться на пользователей, на платформе по-прежнему процветает так называемый Zoom-Bombing, с которым компания продолжает бороться.
https://xakep.ru/2020/11/17/antizoombombing/
Невзирая на то, что разработчики Zoom давно ввели обязательные пароли для всех конференций, а также добавили возможность жаловаться на пользователей, на платформе по-прежнему процветает так называемый Zoom-Bombing, с которым компания продолжает бороться.
https://xakep.ru/2020/11/17/antizoombombing/
Если бы я предлагал формат наказания для пойманных хакеров, это бы точно были исправительные работы. Похоже, в Твиттере решили так же. Никто его не ловил, он сам пришёл, хотя, как говорится, who knows.
Ты должен был бороться со злом, а не примкнуть к нему. И ты это сделал.
Ты должен был бороться со злом, а не примкнуть к нему. И ты это сделал.
Decrypt
Twitter Hires Hacker Pieter 'Mudge' Zatko as Head of Security
After the summer’s large-scale hack, the social network recruits a famed hacker with DARPA and Google experience to run security.
Недавно мы с тобой уже говорили об уязвимостях в Active Directory. Сегодня я хочу, некоторым образом, продолжить этот разговор.
Дело в том, что в основе работы механизма аутентификации в AD используется протокол Kerberos, устройству и работе которого, пожалуй, нужно будет посвятить отдельную статью. А может быть, и не одну!
Но эта статья посвящена новости о том, как Microsoft выпустила ноябрьские обновления с порцией заплаток от различных уязвимостей. В частности, обновления содержали патч от уязвимости CVE-2020-17049, которая, как и большинство уязвимостей Kerberos, позволяет злоумышленнику удалённо обзавестись правами, которые ему не положены.
И на этом новость могла бы закончиться. Если бы не оказалось, что новая заплатка становится причиной новых ошибок аутентификации на контроллерах домена.
Общий смысл этих проблем сводится к нестыковкам в работе контроллеров домена с установленным обновлением и без него или же попросту с очень старыми версиями операционной системы. Среди нестыковок — невозможность выполнения задач по расписанию и бизнес-приложений, отказ в авторизации невиндовых машин и отказ в продлении для тех учётных записей, которые были созданы в ещё не обновлённой системе и многие другиt радости жизни.
Сейчас Microsoft усиленно работает над ошибками, но многие сознательные пользователи уже накатили ноябрьский пакет обновлений и получили проблемы на свою голову.
На самом деле, эта история парадоксальным образом увязывается с недавней новостью про Zerologon и нежеланием пользователей сразу применять все новые патчи от Microsoft. Если так подумать, может и не надо сразу бросаться обновляться, а немного подождать?
Дело в том, что в основе работы механизма аутентификации в AD используется протокол Kerberos, устройству и работе которого, пожалуй, нужно будет посвятить отдельную статью. А может быть, и не одну!
Но эта статья посвящена новости о том, как Microsoft выпустила ноябрьские обновления с порцией заплаток от различных уязвимостей. В частности, обновления содержали патч от уязвимости CVE-2020-17049, которая, как и большинство уязвимостей Kerberos, позволяет злоумышленнику удалённо обзавестись правами, которые ему не положены.
И на этом новость могла бы закончиться. Если бы не оказалось, что новая заплатка становится причиной новых ошибок аутентификации на контроллерах домена.
Общий смысл этих проблем сводится к нестыковкам в работе контроллеров домена с установленным обновлением и без него или же попросту с очень старыми версиями операционной системы. Среди нестыковок — невозможность выполнения задач по расписанию и бизнес-приложений, отказ в авторизации невиндовых машин и отказ в продлении для тех учётных записей, которые были созданы в ещё не обновлённой системе и многие другиt радости жизни.
Сейчас Microsoft усиленно работает над ошибками, но многие сознательные пользователи уже накатили ноябрьский пакет обновлений и получили проблемы на свою голову.
На самом деле, эта история парадоксальным образом увязывается с недавней новостью про Zerologon и нежеланием пользователей сразу применять все новые патчи от Microsoft. Если так подумать, может и не надо сразу бросаться обновляться, а немного подождать?
Docs
Windows release health
Quickly find official information on Windows updates and servicing milestones. Access resources, tools, and news about known issues and safeguards to help you plan your next update. Want the latest Windows release health updates? Follow @WindowsUpdate on…
Купила баба порося...
Сегодня я хочу поговорить с тобой про суровые будни пользователя интернета вещей. Причём, говорить буду о собственном опыте, которые приобрёл буквально на днях.
Сама история довольно проста. Сначала, у меня была умная колонка от Яндекса, которая отзывается на "Алису". Не спрашивайте, зачем, так надо. Благодаря ей я совершенно обленился и решил, что хочу не только слушать музыку и переключать каналы, не делая вообще никаких движений, но и пылесосить хочу точно так же.
Так у меня появился пылесос от Xiaomi, с которым, как говорят, Алиса прекрасно дружит. Кстати, и правда хорошо. Но кто знал, что начало этих отношений даётся с таким трудом!
После покупки пылесоса, я выяснил, что для управления им нужно поставить на смартфон приложение Mi Home, которое у китайцев должно отвечать за управление умным домом. Не знаю, как у китайцев, а я бы всю эту технологию умной никак не назвал! Сразу после установки приложения я попытался добавить туда свой пылесос. Включил на нём режим подключения и нажал в Mi Home на кнопочку "Добавить устройство", а после стал ждать. На экране крутился индикатор состояния поиска, пылесос терпеливо ждал сигналов. Но ничего не происходило. Я ждал. Но всё оставалось по-прежнему. Вообще-то, я терпеливый — мало ли, сколько времени надо двум железкам, чтобы подружиться. Но ничего не происходило слишком долго, и я полез гуглить.
Оказалось, что в отличие от самих железок, приложения у Xiaomi получаются не слишком здорово. И главная их проблема — это адский пинг, который не позволяет подключать новые устройства к новому дому. А причина здесь очень простая — подавляющее большинство серверов компании находится непосредственно в Китае. Китайская политика закрытого интернета известна ещё с 2003 года и, спойлер, с того времени она никуда не делась. Поэтому пакетики из других стран, не всегда долетают внутрь "периметра" КНР. Мой вот, например, подобно варварам полторы тысячи лет назад, явно бились о Великий китайский фаервол и дальше не шли.
Но было одно "но", вселяющее надежду на успех. Якобы из Германии или Сингапура сигнал проходит лучше. Не долго думая, я запустил на смартфоне VPN через Германию, и вот тогда случилось чудо.
Практически сразу Mi Home на смартфоне увидел полный перечень устройств, к которым он умеет подключаться. Был в этом списке и мой гаджет. Сам процесс знакомства приложения и пылесоса состоял из подключения к его точке доступа (да-да! пылесос тоже раздаёт Wi-Fi, правда, без доступа в интернет), прописывания пароля от домашней сети, знакомство с третьим участником — домашним роутером. На самом деле, вся эта процедура получилась у меня не с первого раза. Пылесос периодически отваливался и приходилось начинать по-новой. И вот, когда все, наконец, стали друзьями, а пылесос даже выполнил тестовый круг почёта по периметру комнаты и записал свою первую карту местности, пришло время подключать Алису.
Но как только я зашёл в приложение Яндекса, оно начало вести себя ровно так же, как до этого Mi Home. Приложение просто отказалось "узнавать" меня и давать доступ к меню, в котором надо указывать Mi-аккаунт с привязанными к нему устройствами.
Но здесь я уже не растерялся! Было очевидно, что отечественная Алиса не собирается иметь никаких отношений с иностранными агентами. Я отключил VPN и сменил регион с Германии на Россию. После чего, Яндекс сразу же признал во мне своего пользователя и дал доступ к настройкам колонки.
Так я научился дружить между собой колонку и пылесос простым переключением региона. Но самый ужас ждал меня впереди.
Обрадованный успехом, я скомандовал: "Алиса, уберись!". В ответ на мои слова, пылесос послушно зашумел и поехал по комнате. Продолжая проверку, я сказал: "Алиса, выключи пылесос!". На что умная колонка ответила мне: "Не вижу в этом смысла".
Логично завершая 2020-й год, начиналось восстание машин...
Сегодня я хочу поговорить с тобой про суровые будни пользователя интернета вещей. Причём, говорить буду о собственном опыте, которые приобрёл буквально на днях.
Сама история довольно проста. Сначала, у меня была умная колонка от Яндекса, которая отзывается на "Алису". Не спрашивайте, зачем, так надо. Благодаря ей я совершенно обленился и решил, что хочу не только слушать музыку и переключать каналы, не делая вообще никаких движений, но и пылесосить хочу точно так же.
Так у меня появился пылесос от Xiaomi, с которым, как говорят, Алиса прекрасно дружит. Кстати, и правда хорошо. Но кто знал, что начало этих отношений даётся с таким трудом!
После покупки пылесоса, я выяснил, что для управления им нужно поставить на смартфон приложение Mi Home, которое у китайцев должно отвечать за управление умным домом. Не знаю, как у китайцев, а я бы всю эту технологию умной никак не назвал! Сразу после установки приложения я попытался добавить туда свой пылесос. Включил на нём режим подключения и нажал в Mi Home на кнопочку "Добавить устройство", а после стал ждать. На экране крутился индикатор состояния поиска, пылесос терпеливо ждал сигналов. Но ничего не происходило. Я ждал. Но всё оставалось по-прежнему. Вообще-то, я терпеливый — мало ли, сколько времени надо двум железкам, чтобы подружиться. Но ничего не происходило слишком долго, и я полез гуглить.
Оказалось, что в отличие от самих железок, приложения у Xiaomi получаются не слишком здорово. И главная их проблема — это адский пинг, который не позволяет подключать новые устройства к новому дому. А причина здесь очень простая — подавляющее большинство серверов компании находится непосредственно в Китае. Китайская политика закрытого интернета известна ещё с 2003 года и, спойлер, с того времени она никуда не делась. Поэтому пакетики из других стран, не всегда долетают внутрь "периметра" КНР. Мой вот, например, подобно варварам полторы тысячи лет назад, явно бились о Великий китайский фаервол и дальше не шли.
Но было одно "но", вселяющее надежду на успех. Якобы из Германии или Сингапура сигнал проходит лучше. Не долго думая, я запустил на смартфоне VPN через Германию, и вот тогда случилось чудо.
Практически сразу Mi Home на смартфоне увидел полный перечень устройств, к которым он умеет подключаться. Был в этом списке и мой гаджет. Сам процесс знакомства приложения и пылесоса состоял из подключения к его точке доступа (да-да! пылесос тоже раздаёт Wi-Fi, правда, без доступа в интернет), прописывания пароля от домашней сети, знакомство с третьим участником — домашним роутером. На самом деле, вся эта процедура получилась у меня не с первого раза. Пылесос периодически отваливался и приходилось начинать по-новой. И вот, когда все, наконец, стали друзьями, а пылесос даже выполнил тестовый круг почёта по периметру комнаты и записал свою первую карту местности, пришло время подключать Алису.
Но как только я зашёл в приложение Яндекса, оно начало вести себя ровно так же, как до этого Mi Home. Приложение просто отказалось "узнавать" меня и давать доступ к меню, в котором надо указывать Mi-аккаунт с привязанными к нему устройствами.
Но здесь я уже не растерялся! Было очевидно, что отечественная Алиса не собирается иметь никаких отношений с иностранными агентами. Я отключил VPN и сменил регион с Германии на Россию. После чего, Яндекс сразу же признал во мне своего пользователя и дал доступ к настройкам колонки.
Так я научился дружить между собой колонку и пылесос простым переключением региона. Но самый ужас ждал меня впереди.
Обрадованный успехом, я скомандовал: "Алиса, уберись!". В ответ на мои слова, пылесос послушно зашумел и поехал по комнате. Продолжая проверку, я сказал: "Алиса, выключи пылесос!". На что умная колонка ответила мне: "Не вижу в этом смысла".
Логично завершая 2020-й год, начиналось восстание машин...
Кстати, на Хабре пишут, что у VPN-сервисов все чаще запрашивают пользовательские данные.
На часах воскресенье, а значит время уборки. А значит, тема восстания машин.
Любой безопасник, запустивший кататься по своей квартире робота-пылесоса, обязательно задумывался о том, что вот сейчас этот недо-r2d2 с выходом на внешние серверы считывает периметр каждой комнаты, а хуже того — вращает "башкой" по сторонам и разглядывает своим "глазом" объекты от ножек стульев и кошек до вполне человеческих ног, техники и всего другого. Неужели где-то там, по ту сторону этого лазерного глаза-лидара не притаился мошенник, который преспокойно следит за тобой и, зараза, ухмыляется?
На самом деле, после появления роботов-пылесосов техническая реализация такой атаки оставалась исключительно вопросом времени. И это время пришло.
На днях ИБ-сегмент интернет облетела статья с описанием атаки LidarPhone. Суть этой атаки как раз и заключается в том, что лидар, этот самый лазерный дальномер, с помощью которого пылесос сканирует пространство вокруг себя, может быть переоборудован, например, в лазерный микрофон. Устройство лидара позволяет наводить небольшие колебания в предметах, которые пылесос встречает на своём пути. Отражённый от предметов сигнал возвращает в пылесос информацию о характеристиках предмета, в которые входят и иные колебания, одним из которых является звук.
Получается, что в данном случае пылесос, главным образом, подслушивает за своими владельцами. По характеру акустических колебаний его "мозг" может не только различать голоса, но и разбирать содержание речи с точностью около 90%. Кроме того, пылесос может слить информацию о гендерной принадлежности своего владельца по тембру голоса и даже узнать, за кого голосует объект на выборах, услышав информацию из включённой передачи.
Однако, у этой атаки есть и затрудняющие её моменты. Во-первых, чтобы подчинить пылесос себе, злоумышленнику нужно вмешаться в процесс обновления ПО на нём, а здесь единого решения не существует. Во-вторых, владельцам пылесосов с лидарами известно, что этот самый лидар отчаянно вращается для считывания окружающей среды со всех сторон. Поэтому, чтобы сфокусироваться на конкретном объекте, "глаз" робота должен остановиться, что как минимум вызовет некоторые подозрения.
В любом случае, мирно стоящий на базе пылесос можно отлично собирать информацию обо всём, что происходит вокруг него, и оставаться при этом абсолютно незамеченным.
И тут я подумал — а ведь вот оно, роботы только вошли в нашу повседневную жизнь, а первый закон робототехники уже не работает. И своими действиями роботы приносят вредкожаным мешкам человекам.
Любой безопасник, запустивший кататься по своей квартире робота-пылесоса, обязательно задумывался о том, что вот сейчас этот недо-r2d2 с выходом на внешние серверы считывает периметр каждой комнаты, а хуже того — вращает "башкой" по сторонам и разглядывает своим "глазом" объекты от ножек стульев и кошек до вполне человеческих ног, техники и всего другого. Неужели где-то там, по ту сторону этого лазерного глаза-лидара не притаился мошенник, который преспокойно следит за тобой и, зараза, ухмыляется?
На самом деле, после появления роботов-пылесосов техническая реализация такой атаки оставалась исключительно вопросом времени. И это время пришло.
На днях ИБ-сегмент интернет облетела статья с описанием атаки LidarPhone. Суть этой атаки как раз и заключается в том, что лидар, этот самый лазерный дальномер, с помощью которого пылесос сканирует пространство вокруг себя, может быть переоборудован, например, в лазерный микрофон. Устройство лидара позволяет наводить небольшие колебания в предметах, которые пылесос встречает на своём пути. Отражённый от предметов сигнал возвращает в пылесос информацию о характеристиках предмета, в которые входят и иные колебания, одним из которых является звук.
Получается, что в данном случае пылесос, главным образом, подслушивает за своими владельцами. По характеру акустических колебаний его "мозг" может не только различать голоса, но и разбирать содержание речи с точностью около 90%. Кроме того, пылесос может слить информацию о гендерной принадлежности своего владельца по тембру голоса и даже узнать, за кого голосует объект на выборах, услышав информацию из включённой передачи.
Однако, у этой атаки есть и затрудняющие её моменты. Во-первых, чтобы подчинить пылесос себе, злоумышленнику нужно вмешаться в процесс обновления ПО на нём, а здесь единого решения не существует. Во-вторых, владельцам пылесосов с лидарами известно, что этот самый лидар отчаянно вращается для считывания окружающей среды со всех сторон. Поэтому, чтобы сфокусироваться на конкретном объекте, "глаз" робота должен остановиться, что как минимум вызовет некоторые подозрения.
В любом случае, мирно стоящий на базе пылесос можно отлично собирать информацию обо всём, что происходит вокруг него, и оставаться при этом абсолютно незамеченным.
И тут я подумал — а ведь вот оно, роботы только вошли в нашу повседневную жизнь, а первый закон робототехники уже не работает. И своими действиями роботы приносят вред
Forwarded from Тупой татарский пиарщик
Журналистская тусовка сейчас гудит после вчерашнего наблюдательного совета в Иннополисе, где, оказывается, произошел инцидент. Там во время презентации робота для дезинфекции помещений как-то лишнего распылили специальной жижи и пожгли корреспондентам глаза. Говорят, что уже несколько человек обратились в больницу за помощью из-за проблем с сетчаткой.
Судя по официальным данным, в медицинском центре Иннополиса презентовали робота MedBot М-304, куда и позвали СМИ. Плохо некоторым стало уже вчера, начались рези в глазах, а сегодня кто-то поехал в больничку за помощью.
Похоже, как-то плохо настроили своего робота-деструктора, что он решил уничтожать людей. На самом деле, это совсем не смешно. Интересно, кто будет отвечать за произошедшее. Надеюсь, что никаких серьезных последствий для здоровья у журналистов не будет.
Но объясниться за это явно кому-то придется. Может что-то внятное по этому поводу есть у Минцифры Татарстана, которое было ответственно за мероприятие.
Судя по официальным данным, в медицинском центре Иннополиса презентовали робота MedBot М-304, куда и позвали СМИ. Плохо некоторым стало уже вчера, начались рези в глазах, а сегодня кто-то поехал в больничку за помощью.
Похоже, как-то плохо настроили своего робота-деструктора, что он решил уничтожать людей. На самом деле, это совсем не смешно. Интересно, кто будет отвечать за произошедшее. Надеюсь, что никаких серьезных последствий для здоровья у журналистов не будет.
Но объясниться за это явно кому-то придется. Может что-то внятное по этому поводу есть у Минцифры Татарстана, которое было ответственно за мероприятие.
Ты все еще тешишь себя надеждой сохранить приватность в социальных сетях? Не то чтобы тебе это удастся, но тут мои коллеги опубликовали интересный материал про то, как настройки приватности могут повлиять на OSINT подручными средствами. Энджой.
Хабр
Настройки приватности Facebook VS OSINT
Уже достаточно много статей я разбирал OSINT и поиск в соцсетях с помощью Maltego. Сегодня же давайте поговорим о настройках приватности в их аккаунтах. Когда...
Заканчивая неделю паранойи и косых взглядов в сторону представителей интернета вещей, не могу не обратить внимание на те предметы, которые в прямом смысле затрагивают ту часть жизни своих хозяев, которая нуждается в особенной защите. Да, я хочу немного поговорить о безопасности секс-игрушек. Информационной, конечно же.
Я уже писал о поясе верности и прочих забавных историях, связанных, как с самими гаджетами, так и с приложениями для них. Но, если копнуть, так сказать, глубже, получается, что ничего забавного тут нет. И вот почему.
Во-первых, как я неоднократно подчёркивал — чем дороже информация, тем желаннее она для злоумышленников. А возможность прямого шантажа жертвы его интимными предпочтениями — занятие, хоть и гадкое, но весьма перспективное. В связке со смартфоном, любая приблуда может насобирать целую гору информации — от персональных данных до видео и аудио с таким содержанием, которому позавидует фонотека Brazzers.
Во-вторых, создатели подобных гаджетов, в первую очередь заботятся о безопасности медицинской, уделяя гораздо меньшее внимание защите репутации пользователей. Известны случаи, правда относительно давние, когда аналитиками создавались программки, способные отследить подобные гаджеты поблизости и запустить их на полную мощность. В самый неподходящий момент, а не когда тебе хочется.
В-третьих, что самое парадоксальное, декларируемая забота производителей умных секс-игрушек о своих клиентах приводит к созданию анонимных приложений и даже социальных сетей. Такие технологии допускают не только общение, но и удалённый запуск гаджетов, сам понимаешь, зачем. Но, если вдуматься, такая история создаёт отличный канал общения для преступников. Это же практически готовая площадка для сходок мафиози, как например, в сериале "Сопрано".
(Никогда еще мэнинземиддл не было так двусмысленно).
Я не сторонник нагнетания ужаса и запретов по поводу и без. Но, давай подумаем. Если у нас есть анонимный канал для запуска какого-нибудь вибратора, значит, теоретически, с помощью этой технологии мы можем привести в действие, например, взрывной механизм. Какая обидная получится смерть.
Да, конечно, такой инцидент по реализации и по сложности раскрытия будет полностью идентичен обычному звонку на телефон с анонимной сим-карты. Но я привожу это как пример, а не как готовый план к преступлению.
В общем, дивный мир умных секс-игрушек скрывает в себе такое количество потенциальных неприятностей, что, как минимум, задуматься о последствиях стоит.
Я уже писал о поясе верности и прочих забавных историях, связанных, как с самими гаджетами, так и с приложениями для них. Но, если копнуть, так сказать, глубже, получается, что ничего забавного тут нет. И вот почему.
Во-первых, как я неоднократно подчёркивал — чем дороже информация, тем желаннее она для злоумышленников. А возможность прямого шантажа жертвы его интимными предпочтениями — занятие, хоть и гадкое, но весьма перспективное. В связке со смартфоном, любая приблуда может насобирать целую гору информации — от персональных данных до видео и аудио с таким содержанием, которому позавидует фонотека Brazzers.
Во-вторых, создатели подобных гаджетов, в первую очередь заботятся о безопасности медицинской, уделяя гораздо меньшее внимание защите репутации пользователей. Известны случаи, правда относительно давние, когда аналитиками создавались программки, способные отследить подобные гаджеты поблизости и запустить их на полную мощность. В самый неподходящий момент, а не когда тебе хочется.
В-третьих, что самое парадоксальное, декларируемая забота производителей умных секс-игрушек о своих клиентах приводит к созданию анонимных приложений и даже социальных сетей. Такие технологии допускают не только общение, но и удалённый запуск гаджетов, сам понимаешь, зачем. Но, если вдуматься, такая история создаёт отличный канал общения для преступников. Это же практически готовая площадка для сходок мафиози, как например, в сериале "Сопрано".
(Никогда еще мэнинземиддл не было так двусмысленно).
Я не сторонник нагнетания ужаса и запретов по поводу и без. Но, давай подумаем. Если у нас есть анонимный канал для запуска какого-нибудь вибратора, значит, теоретически, с помощью этой технологии мы можем привести в действие, например, взрывной механизм. Какая обидная получится смерть.
Да, конечно, такой инцидент по реализации и по сложности раскрытия будет полностью идентичен обычному звонку на телефон с анонимной сим-карты. Но я привожу это как пример, а не как готовый план к преступлению.
В общем, дивный мир умных секс-игрушек скрывает в себе такое количество потенциальных неприятностей, что, как минимум, задуматься о последствиях стоит.
Telegram
T.Hunter
Давненько не было действительно стоящих новостей про интернет вещей. С видео, туториалом.
А речь идет про уязвимость в электронном поясе верности для мужчин. Что?! Да!
Pen test Partners выложили достаточно развернутый материал про девайс, который можно…
А речь идет про уязвимость в электронном поясе верности для мужчин. Что?! Да!
Pen test Partners выложили достаточно развернутый материал про девайс, который можно…
Тут на днях появилась новость от CheckPoint`а, из которой следует, что ряд широко используемых приложений для Android до самого недавнего времени содержал, а некоторые и до сих пор содержат серьёзную угрозу для пользователей.
Штука в том, что ещё в марте 2020 года компания Google устранила серьёзную уязвимость в одной из своих библиотек Play Core. Эта библиотека используется, в частности, для загрузки обновлений приложений из Google Play.
Для понимания принципа работы уязвимости CVE-2020-8913, которая получила 8,8 балла из 10 по шкале суровости, нужно кратко пояснить за то, как Android фильтрует приложения. Дело в том, что для программок, загружаемых с Google Play, существует специальная папка “verified”, куда, как видно из названия, ложатся доверенные файлы, которые система считает легитимными и проверенными на наличие вредоносов. Такие приложения могут смело обращаться в Google Play и подгружать обновления. Для файлов из сторонних репозиториев используется папка “non-verified” - своеобразное чистилище, где приложения остаются ждать проверки.
Уязвимость кроется в том, что прямое указание директории (например, ../verified_splits/my_evil_payload.apk) при загрузке, скажем, обновления для уже установленного приложения, позволит обойти папку для недоверенных файлов и запихнуть зловред прямо внутрь ранее проверенной программы.
В Google смогли устранить уязвимость. Но исправить приложения сторонних вендоров компания самостоятельно не могла и обратилась с этой просьбой к разработчикам, среди которых были: Facebook, Instagram, WhatsApp, SnapChat, Booking и Edge.
Многие компании отозвались сразу и выпустили обновления. Но, вот уже прошло больше половины года, а судя по отчёту CheckPoint, браузер от Microsoft под Android до сих пор содержит данную уязвимость.
К слову, в докладе приводится любопытный список приложений с пометками, кто и когда выпустил обновления. Оттуда видно, например, что Booking и Viber подошли к вопросу ответственнее всех.
Штука в том, что ещё в марте 2020 года компания Google устранила серьёзную уязвимость в одной из своих библиотек Play Core. Эта библиотека используется, в частности, для загрузки обновлений приложений из Google Play.
Для понимания принципа работы уязвимости CVE-2020-8913, которая получила 8,8 балла из 10 по шкале суровости, нужно кратко пояснить за то, как Android фильтрует приложения. Дело в том, что для программок, загружаемых с Google Play, существует специальная папка “verified”, куда, как видно из названия, ложатся доверенные файлы, которые система считает легитимными и проверенными на наличие вредоносов. Такие приложения могут смело обращаться в Google Play и подгружать обновления. Для файлов из сторонних репозиториев используется папка “non-verified” - своеобразное чистилище, где приложения остаются ждать проверки.
Уязвимость кроется в том, что прямое указание директории (например, ../verified_splits/my_evil_payload.apk) при загрузке, скажем, обновления для уже установленного приложения, позволит обойти папку для недоверенных файлов и запихнуть зловред прямо внутрь ранее проверенной программы.
В Google смогли устранить уязвимость. Но исправить приложения сторонних вендоров компания самостоятельно не могла и обратилась с этой просьбой к разработчикам, среди которых были: Facebook, Instagram, WhatsApp, SnapChat, Booking и Edge.
Многие компании отозвались сразу и выпустили обновления. Но, вот уже прошло больше половины года, а судя по отчёту CheckPoint, браузер от Microsoft под Android до сих пор содержит данную уязвимость.
К слову, в докладе приводится любопытный список приложений с пометками, кто и когда выпустил обновления. Оттуда видно, например, что Booking и Viber подошли к вопросу ответственнее всех.
Check Point Research
Vulnerability in Google Play Core Library Remains Unpatched in Google Play Applications - Check Point Research
Research by: Aviran Hazum, Jonathan Shimonovich Overview: A new vulnerability for the Google Play Core Library was published in late August, which allows Local-Code-Execution (LCE) within the scope of any application that has the vulnerable version of the…