Информация опасносте. Страница 38

Вот даже BBC уже пишет про то, что использование шпионских «пикселей» в почте стало очень массовым. Это обычно картинка 1х1 пиксель, с помощью которой можно узнать, открывалось ли письмо, сколько раз, характеристики машины и примерное местоположение пользователя по IP-адресу. Отключение загрузки изображений в почте по умолчанию позволяет снизить этот риск, но вообще разработчикам почтовых решений было бы полезно подумать о более глобальном подходе к борьбе с этой проблемой

https://www.bbc.com/news/technology-56071437

Большой список ресурсов для тех, кто хочет начать анализ вредоносных программ для macOS!

https://theevilbit.github.io/posts/getting_started_in_macos_security/

В заголовке скромно указано «5 минут на прочтение», но чёрта с два там 5 минут… Если не знали, чем занять себя в выходные — теперь знаете. 😂😉

Спасибо Thomas Reed за наводку.

Но для разнообразия немного не о клабхаусе. Тут есть какойто странный зловред для Маков с процессором М1, я упоминал его на прошлой неделе. Его название — Silver Sparrow, серебристый воробей (симпатичная птичка). Но фишка такая, что это вредоносное ПО не совсем-то вредоносное, по крайней мере, пока что: оно было обнаружено на более чем 30 тысячах Маков, но у него не хватает одной важной штуки. Эта штука — как раз вредоносная нагрузка, то есть то, что оно должно делать, чтобы быть вредоносным. Исследователи из Red Canary (еще одна красивая птичка) выложили документ с деталями Silver Sparrow, о том, как оно распространяется, и что делает на данный момент. Ну и как можно узнать, установлено ли это ПО у вас уже.

https://redcanary.com/blog/clipping-silver-sparrows-wings/

Самое интересное, что Apple уже отозвала сертификат разработчика, которым был подписан код вредоносного ПО, что предотвращает его работу.

https://www.macrumors.com/2021/02/22/apple-revokes-silver-sparrow-certificates/

сэмпл тут:
Direct Download: https://objective-see.com/downloads/malware/SilverSparrow.zip (pw: infect3d)
https://twitter.com/patrickwardle/status/1363984976182583296/photo/1

с КлабХаусом вообще весело, начиная от API, разобранного сторонними клиентами, до сайтов, которые начали выкладывать уже разговоры из сервиса. Впрочем, если вся предыдущая история нам о чем-то говорит, то это о том, что пользователям все равно

https://techcrunch.com/2021/02/22/clubhouse-security/?tpcc=ECTW2020

https://www.vice.com/en/article/y3gj5j/android-version-clubhouse

https://www.vice.com/en/article/k7a9nx/this-website-made-clubhouse-conversations-public

https://www.bloomberg.com/news/articles/2021-02-22/clubhouse-chats-are-breached-raising-concerns-over-security

Проблема
https://xakep.ru/2021/02/20/brave-onion-leak/

И решение проблемы
https://brave.com/latest/

но чтобы немножко улучшить пятницу

обычно по пятницам контент повеселее, конечно, но тут какая-то и правда жопа. чувак, потерявший какието контракты на разработку, пишет с угрозами автору curl, потому что считает его виноватым в потере, так как curl используется практически везде
при том, что как раз вроде бы curl ни в каких из последних атак не был замечен как источник уязвимости для этих взломов, по крайней мере, из тех, что перечислены. люди не в себе, конечно

Даниэль Стейнберг, автор curl/libcurl, программного обеспечения, использующегося, вероятно, в 99 из 100 подключенных к интернету устройств, иногда постит смешные емейлы, которые получает от случайных людей — что-то вроде жалоб пользователей на NFS World, стучащуюся на давно закрытые сервера, и возвращающую "ошибку curl".

Так вот, сегодняшний образец совсем не смешной.

https://daniel.haxx.se/blog/2021/02/19/i-will-slaughter-you/

=== РАБОТА ===

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:


⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту [email protected]!

Там вчера Apple опубликовала обновленную версию своего документа Platform Security Guide, в котором есть очень много разных и интересных деталей про то, как работает в устройствах и сервисах компании обеспечение безопасности и самих устройств, и информации пользователей.

https://support.apple.com/guide/security/welcome/web

Вот ПДФ https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

Из того, что обновилось, рассказы про изменения в новых версиях операционных систем для смартфонов, планшетов (iOS/iPadOS 14) и Маков (macOS Big Sur). Изменения в Маках с процессорами Arm (отказ от kernel extensions в будущем, изменения в процессе загрузки, бинарная трансляция приложений в Rosetta, и тд.
Про фичу мониторинга паролей, где система проверяет хеши паролей на предмет их утечки (https://support.apple.com/guide/security/password-monitoring-sec78e79fc3b/web), или же про изменения процесса загрузки айфонов (https://support.apple.com/guide/security/memory-safe-iboot-implementation-sec30d8d9ec1/web). Я неоднократно говорил, что это один из самых интересных документов, который публикует Apple, и он даёт возможность посмотреть на то, как компания обеспечивает многослойный уровень защиты, от комплилятора до операционных систем, и до железа.

Если вы в прошлом году бывали на Ямайке, то у меня для вас плохие новости. База данных сайта, который подрядчик разрабатывал для правительства Ямайки, и на котором хранились записи о посетителях острова, оказалась незащищенной паролем и доступной в интернете, и все эти данные, скорей всего, утекли. Там еще и данные с тестами на Ковид19 тех, кто на остров прилетал, были, и все это, что нажито непосильным трудом, все было в интернете. Правительство пока организовало расследование, чтобы выяснить, был ли доступ к данным, собственно. Никогда такого не было, и вот опять

https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/

Действительно смешно https://twitter.com/0xw2w/status/1362078365835014146?s=21

=== Реклама ===
DevSecOps Wine

В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.

В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.

В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.

В 2021 уязвимость Dependency Confusion позволила внедрить вредоносный пакет в цепочки поставок Microsoft, Apple и сотни других компаний.

Все это является следствием упущений в обеспечении DevSecOps.

DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.

=== Реклама ===

Тут вот уже пишут, что современные вирусописатели вирусов для Мак осознали, что надо идти в ногу со временем, и начали компилировать свои вирусы под новую Arm-архитектуру процессоров М1. Само приложение - рекламное, показывает в браузере всякую рекламу и купоны, но сам факт, что оно уже нативно на М1 Маке, забавен

https://objective-see.com/blog/blog_0x62.html

красиво (как полиция Нидерландов и Украины получила контроль над инфраструктурой ботнета Emotet)
https://www.youtube.com/watch?v=vXEUUZ1tWjs

как мне напоминают читатели, надо обратить внимание на то, что менеджер паролей LastPass вводит новую политику монетизации, по которой бесплатная версия может работать только на одном типа устройства пользователя — компьютере или смартфоне. Что в современном мире несколько неудобно и, соответственно, потребует либо заплатить денег, либо искать другой менеджер паролей. удачи!

https://blog.lastpass.com/2021/02/changes-to-lastpass-free/

кстати, вот пару дней назад пропустил еще тему. Эпол, похоже, решила поругаться со всеми соседями по долине. В браузерах Safari есть тема, что там показываются предупреждения о потенциально вредоносных сайтах (фишинг там, вот это все), а эта система использует данные Google Safe Browsing. Формально там Safari отправляет Google не весь УРЛ, а только хешированную часть, и технически Google не получает от браузера информации о том, какой именно УРЛ запрашивает пользователь. Тем не менее, Google могла получать IP-адрес пользователя, и вот в новой версии iOS Apple выкатила изменение, в котором Google Safe Browsing работает через прокси-сервер Apple, и таким образом Google вообще никакой информации о пользователе не получает.


https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/

https://www.reddit.com/r/iOSBeta/comments/lg10f3/ios_145_beta_1_apple_proxies_google_safebrowsing/