Сообщество - Информационная безопасность
Добавить пост

Информационная безопасность

1 229 постов 22 642 подписчика
94

Будущее независимого Интернета

Будущее независимого Интернета Будущее, Интернет, Безопасность

Остановка одного из серверов Tor для разрыва неохраняеммой части подводного data кабеля.

Показать полностью 1
44

Размышления на тему ковида и безопасности

У нас в городе ввели посещение точек общепита только по предъявлению QR кода вакцинированного.
Так вот по поводу QR кодов. Чисто гипотетический сценарий.

Для начала небольшой ликбез.
В коде зашита ссылка на сайт Госуслуги с уникальным номером человека, на входе телефоном код считывают, ссылка открывается в браузере и смотрят результат проверки.

Что мешает злоумышленнику сгенерировать свой код, который ведёт на сайт с вредоносным эксплоитом, который заражает телефон проверяющего. И обойти так.. сколько сил хватит?

Размышления на тему ковида и безопасности QR-код, Информационная безопасность, Коронавирус, Текст
538

Россия стала лидером по количеству запросов в Google с требованием удалить контент

На данные статистики на сайте компании обратила внимание Русская служба BBC. Из них следует, что пик запросов от госорганов России пришелся на 2018 и 2020 годы (за 2021 год статистики пока нет).

Россия стала лидером по количеству запросов в Google с требованием удалить контент Интернет, Google, YouTube, Telegram, Цензура, Коррупция, Повтор

Большая часть обращений касалась удаления информации из поисковика и видео на YouTube по темам национальной безопасности и авторских прав.


В отчетах компании, по данным телеграм-канала @сибирьмедиа, говорится, что последние запросы, к примеру, касались видео об участии властей в отравлении Навального, элементах экстремизма, недоверии к статистике по коронавирусу и коррупции в судебной системе Дагестана.


75% запросов были удовлетворены

Источник

https://www.bbc.com/russian/features-58836108

Показать полностью 1
5833

Делайте правильные намеки

Делайте правильные намеки
1556

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост
D/I/ Как подметили в комментах: "Грамотная эскалация на высшие уровни менеджмента должна эту проблему решать." lamkaant.

В конце февраля 2021 года выходит обновленный релиз клиента Telegram с заголовком: ‘Автоудаление, виджеты и временные ссылки для приглашений’.

На красивой, художественной обложке к пресс-релизу новой верси Tg-мессенджера пользователи видят корзину с таймером и уничтоженными данными, а также лицезреют главных героев из культового хакерского сериала Мистер Робот. Но действительно ли все так круто с зачисткой следов как и в сериале?

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Мистер Робот. Зачистка.


Telegram подготовил для пользователей что-то из security-области, а эти дотошные исследователи тут же навострили ручки.

Подробная вербализация одной щекотливой ‘bug bounty’ описана по тексту ниже...


Цитата из пресс-релиза:

Автоматическое удаление сообщений

Уже несколько лет пользователи Telegram могут бесследно удалять сообщения для всех участников беседы. В секретных чатах с 2013 года также есть таймер самоуничтожения, который позволяет не удалять сообщения вручную.


С сегодняшнего дня автоматическое удаление сообщений для всех участников доступно в любом чате. В этом режиме сообщения исчезают через 24 часа или 7 дней после отправки.

Так же информация о sec-функции упомянута тремя пунктами в официальном changelog-e Tg.

* Установите автоматическое удаление сообщений для всех через 24 часа или 7 дней после отправки.

* Управляйте настройками автоудаления в любом из ваших чатов, а также в группах и каналах, в которых вы являетесь администратором.

* Чтобы включить автоматическое удаление, щелкните правой кнопкой мыши чат в списке чатов> Очистить историю> Включить автоматическое удаление.


Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток (минимальный, честный срок автоудаления сообщений - 24ч.), проявив усердие, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image.


Сам тест на проверку очень прост: устанавливаем таймер автоудаления на 24ч. (в личке или групповых чатах); обмениваемся картинками. Ждем сутки. Проверяем путь /Storage/Emulated/0/Telegram/Telegram Image, картинки автоудалились. Отменяем автоудаление и снова ставим таймер на 24ч и повторяем первоначальные действия. Обычно автоудаление не срабатывает на 2..4 раз. Как только картинки остались в кэше (вышел баг с автоудалением сообщений), можно таймер на чате оставить в покое, все последующие дни будет очищаться только окно сообщений в мессенджере, а картинки будут оставаться в кэше (зачастую у получателей и отправителя, а не только у от отправителя сообщений).

Протестированный на разных гаджетах Android 7-10 (Xiaomi; Samsung; Asus), найденный баг обесценивал функционал: автоудаление сообщений для пользователей, позволяя в будущем эксплуатировать уязвимость в своих личных и безобидных интересах.


Зная о негативном отношении компании Telegram к исследователям (в т.ч. на своем предыдущем опыте), а также найдя интересную информацию в СМИ, что за аналогичный баг Telegram выплатил исследователю 2,5к зеленых шуршунчиков, и в последствии: уязвимости был присвоен CVE-2019-16248 с высоким базовым рейтингом опасности 7.5 пунктов:

The "delete for" feature in Telegram before 5.11 on Android does not delete shared media files from the Telegram Images directory. In other words, there is a potentially misleading UI indication that a sender can remove a recipient's copy of a previously sent image (analogous to supported functionality in which a sender can remove a recipient's copy of a previously sent message),

я принял решение снова поработать с Telegram. Согласно программе bug bounty на Hackerone

5.03.21 я отправил отчет по уязвимости на security@telegram.org. К моему удивлению

7.03.21 я получил ответ (далее по тексту пунктуация и орфография сообщений полностью сохранены):

Hello,

Thank you for your email. We will send you an update soon.

All the best, Telegram Support

По истечению ~месяца тишины (вышло очередное обновление мессенджера, в котором уязвимость “автоудаление сообщений” все еще не была исправлена), и я снова напомнил Telegram о своем письме.

3.04.21 получил следующий ответ:

Hello,

Thank you for your email and sorry for the long wait. We will reply soon.

All the best, Telegram Support

Никакого в ближайшее время обновления я не получал (увидел, что Tg мессенджер снова обновился и проблема всё еще сохраняется) и спустя месяц снова напомнил Tg о своем релевантном отчете 2-х месячной давности.

9.05.21 получил ответ, примерно-который я уже получал:

Hello,

We are sorry for the long wait. We will send you an update soon.

All the best, Telegram Support

Подумав, что переписку ведет бот и до разработчиков мессенджера мне не удастся дописаться, отправил в ответном письме, что если они не против, то я выйду со статьей об уязвимости в СМИ. Такое письмо возымело эффект и через несколько часов

14.05.21 получил ответ:

Hello,

We don't have automatic responses here. Please wait, we will send you an update soon.

All the best, Telegram Support

Я согласился подождать, обычное дело. Через полтора месяца Tg снова обновился до новой версии и снова уязвимость не была исправлена. Я написал в Tg, что уязвимость в новой версии мессенджера все еще не исправлена и

29.06.21 получил ответ:

Hello,

I'm sorry for the delay. Thanks for the details.

Re: logs.

You can send the logs to Saved Messages, open the file and make sure that it does not contain any sensitive information.

All the best, Alex Telegram Support

7.07.21 Я создаю приватный, групповой чат и приглашаю для тестирования бага и наглядности представителя Tg присоединиться к нему.

8.07.21 получаю ответ:

Thanks for the details. There are two different files on your screenshots: they have different names and sizes, and they have been sent in two separate chats.

All the best, Telegram Support

В этот же день в чат заходит представитель Tg (в будущем изменив свое имя с ‘support’ на ‘Николай’) и предлагает в дальнейшем решать вопрос с багом на русском языке.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Тесты


Тестируем мессенджер по моему плану, по его плану. Наглядно показываю, что проблема не выдуманная, когда сообщения-картинки не автоудаляются у 2/3 участников группового чата в рандомном порядке и не автоудаляются в личных чатах. Спустя ~месяц тестирования мессенджера на разных клиентах/версий Android-Telegram (официальных и сторонних: Tg FOSS, Tg GP) Николай признает существование проблемы, и казалось бы развязка уже близка и косвенно затронута тема награды.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Тестирование разных клиентов Tg под Android (FOSS; GP) в групповом чате и личке.


Обещанную в течение недели beta-версию Tg с исправлением так и не прислали, но позже

23.08.21 попросили еще немного подождать. Цитирую:

(Задерживаемся, но про вас помним.)

К началу сентября мне предоставили ссылку на beta-версию Telegram. Поработав с ней я снова сообщил о том, что проблема автоудаления сообщений все еще сохраняется. Ко всему прочему в ней было сломано: “ручное удаление сообщений”, после такой иллюзорной зачистки данных в чате (очистка окна сообщений клиента) все файлы не удалялись с гаджета пользователя и были доступны в кэше там же: /Storage/Emulated/0/Telegram/*. Также наблюдалась проблема с отправкой аудио-сообщений в форматах .wma/.aac. Забраковал. Прогнав следующую build beta-версию Tg, я согласился, что проблема автоудаления сообщений картинок наконец-то исправлена.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Билды beta-версий Tg выходят каждый день.


«Упс! Что-то пошло не так»


Оставалось решить вопрос с наградой и поставить галочку в своем послужном списке.

5.09.21 с security@telegram.org приходит письмо:

Hello,


Thank you for vert long wait. We would like to award you with a bounty of EUR 1,000 for your findings. Could you share the following info for the agreement please?

1. Your bank account details:

* your full name

* bank name

* account number or IBAN for payments in Euro

* SWIFT code

2. Your full address including the postal code.

3. Date of birth.

Much appreciated!


All the best,

Alex

Telegram Support

В ответном письме уточняю: могу ли я получить оплату на PayPal например? Получил ответ, что нет, нужен банковский мой счет в евро и персональные данные.

В ответном письме предоставил Telegram свои персональные данные и свой банковский счет в евро для зачисления награждения в 1к евро.

17.09.21 я получил письмо с security@telegram.org на русском языке:

Спасибо! Подпишите, пожалуйста, договор на двух последних страницах и пришлите, пожалуйста, весь документ как PDF. Можно использовать DocuSign, если неудобно печатать.

С уважением,

Alex

Обычно при обнаружении уязвимостей исследователи и разработчики руководствуются в программах подобных bug bounty пунктом о разумных сроках по ответственному раскрытию информации, чтобы у разработчиков было время на исправление, а у исследователя его слава. Например, когда я репортил уязвимость в Яндекс, срок молчания составлял 90 дней. А после окончания срока я всё равно уточнял у Яндекса о том, могу ли я раскрыть тех.детали в СМИ? И тогда сотрудники транснациональной корпорации мягко свели мою просьбу на ‘нет’. И в СМИ (тогда 2020 году) я не опубликовался, сохранив общение с командой Яндекса на позитивной ноте. В течении следующего 2021 года зарепортил еще одну уязвимость по Яндексу и без проблем получил вознаграждение, а также оставил за собой моральное право на публикацию материалов согласно положению об охоте за ошибками.


Но вот иногда компании с хорошей репутацией пытаются вести свои игры.


Изучив присланный на email договор представителем Telegram, обратил внимание на то, что Telegram требует не раскрывать никаких деталей сотрудничества/тех.подробностей по умолчанию без своего письменного одобрения, в т.ч. чеки, банковские выписки и публикации в СМИ с упоминанием имени компании и тд. Договор у Telegram (в моем случае) оказался расписан аж на 8 страницах (приложен в конце статьи), а сама публичная программа мягко говоря сокращена.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Описание всей программы bug bounty (правила, что можно, и как нужно...).


Договор я не подписал, а в ответном письме отправил вопросы по нему (цитата):

Здравствуйте представители и разработчики Telegram!


Некоторые вопросы по договору:

в договоре п1.2. “Confidential Information” сообщается, что к конфиденциальной информации относятся (в том числе и):: техническая информация; и даже уровни сборов и комиссий. И согласно п9.1::. "Консультант не должен ни в течение срока действия настоящего Соглашения, ни в любое другое время после его расторжения: 9.1.1. разглашать или передавать любую Конфиденциальную информацию любому лицу, компании, юридическому лицу или другой организации 9.3. Консультант не должен ссылаться на Компанию или любую Компанию Группы в каком-либо пресс-релизе, реклама или материалы без предварительного письменного согласия Компании."

По умолчанию получается, что Telegram "против" практически любого раскрытия информации без специального письменного запроса. Кроме того при получении гонорара я обязан отчитаться в налоговый орган и предоставить чек, в котором будет отражено получении гонорара (и этот чек также попадает под конфиденциальные данные, что является странным). Можем ли мы в договоре изменить сроки в п9.1 на разумные сроки о неразглашении каких-либо деталей?

Если все же об оказанных услугах/исследованиях не стоит нигде и никогда публично распространяться в СМИ и тд., (в любом случае) можете ли вы пересмотреть добросовестный, финансовый гонорар относительно аналогичной уязвимости, за которую исследователь получил вознаграждение в разы выше, чем предлагается в мою пользу по договору и учитывая мои настойчивые старания по усилению конфиденциальности мессенджера?


Спасибо вам! И на связи.

Выше был последний ping с представителями компании Telegram, после которого те перестали выходить на связь, оборвав общение.


27.09.21 и 28.09.21 Я написал на почту Telegram напоминание о письме без ответа и попросил в Tg Николая напомнить коллегам о переписке. Кроме того я добавил, что баги, которые я обнаружил в beta-версии Telegram (в т.ч. сломанное ‘ручное удаление сообщений’, тот баг за который исследователь в прошлом получил 2,5к $) перешли в официальный релиз (при переходе с beta на версию FOSS и далее на версию Tg с оф.сайта). Он прочитал, но промолчал. И (пару недель молчания) я принял решение обнародовать имеющиеся материалы в СМИ.


Выводы


Конфиденциальность пользователей Telegram снова осталась под угрозой. Пользователи надеются/надеялись на заявленный security-функционал: автоудаление сообщений (картинок), который не работал, как задумано на Android устройствах до версии v8+ (на других платформах баг не проверял) и который вводил их в заблуждение.


Помог разработчикам устранить уязвимость с автоудалением сообщений в мессенджере в период полугода: с 5 марта по 5 сентября 2021 года. Для тех, кто хочет прогнать bug, могут скачать Tg FOSS v7.7 или v7.8.


В официальных пресс-релизах новых версий Telegram не упоминалось ни разу о существовании и решении проблемы с автоудалением сообщений. https://desktop.telegram.org/changelog https://telegram.org/blog


Так как все мои чаты настроены на автоудаление сообщений, иногда эксплуатировал баг, чтобы восстановить данные, которые пользователи считали уничтоженными имея веру в Telegram и даже не знали о проблемах, и в будущем не могли повлиять на их ликвидацию, например, с помощью ручной очистки чата.


Обещанную награду от Telegram ни в 1000 евро ни какую другую я не получил.


Неизвестно: сколько уязвимостей остается/останется ‘замятых’ из-за требований Telegram:: не распространяться и косвенно о проблемах мессенджера публично без письменного одобрения со стороны Telegram. Но при этом П. Дуров в СМИ призывает своих пользователей не верить на слово исследователям, а доверять только оф.информации компании, которая иногда чувствительная и скрывается/контролируется юридическими договорами заключенными с исследователями.

Мы рекомендуем пользователям не полагаться на СМИ и дожидаться официальных объявлений Telegram.

П.Дуров


Мы не хотим платить журналистам и исследователям, чтобы они рассказывали о Telegram.

П.Дуров

Прилагаю договор, который мог бы быть заключен между мной и Telegram, но был отвергнут (в нем изменены только мои персональные данные: ФИО и адрес).


Прилагаю, самое первое (от 5.03.21 года) и последнее (от 28.09.21 года) видео с воспроизведением проблемы в Tg: автоудалением/ручной очисткой чатов.

Перепечатка своей статьи.

Показать полностью 5 2
257

По данным Downdetector, в Германии сбой в работе не только у Facebook, WhatsApp и Instagram, но и у ведущих провайдеров связи

По данным Downdetector, в Германии сбой в работе не только у Facebook, WhatsApp и Instagram, но и у ведущих провайдеров связи Facebook, Сбой, Интернет

https://downdetector.ru/obzor/

https://t.me/apnewsua/13214


UPD:

Не только в Германии

#comment_213632333

Причина:

#comment_213642942

Показать полностью 1
180

Обыски в Group-IB, задержан гендиректор Илья Сачков

Задержан гендиректор одной из крупнейших российских компаний в сфере кибербезопасности, в самой компании производятся обыски.


В московском офисе Group-IB идут обыски, рассказал RTVI источник близкий к правоохранительным органам. Другой источник добавил, что в офисе идут следственные действия по уголовному делу, в рамках которого задержан основатель и гендиректор компании Group-IB Илья Сачков. Бизнесмена задержали утром во вторник, 28 сентября, отметил собеседник RTVI.


По словам источника RTVI в другой крупной IT-компании, совладельцы Group-IB Сачков и Дмитрий Волков «пропали» и были недоступны даже для своих сотрудников. Во вторник вечером корреспондент RTVI не смог дозвониться по телефонам Сачкова и Волкова. Сообщения с вопросами о возможном уголовном деле также остались без ответа. Не отреагировали на сообщения и представители Group-IB.


Корреспонденты RTVI отправились к офису Group IB на Шарикоподшипниковой улице в Москве в ночь на среду. У входа в здание стояли пассажирский автобус и минивен с тонированными стеклами и включенными габаритами. Человек в штатском перетаскивал вещи из офиса в автобус, а на проходной в самом здании корреспондентов встретили двое вооруженных мужчин в тактической одежде расцветки мультикам и масках на лице. Они сказали корреспондентам, что не пустят внутрь и не будут комментировать происходящее в офисе.


«Журналисты? Извините, но внутрь мы вас не пустим», — вежливо объяснил один из них. На вопрос, идут ли в здании обыски, мужчина в маске отшутился: «Кино снимают. Утром приходите».


Group-IB — одна из ведущих российскими и мировых компаний в сфере кибербезопасности. В 2018 году компания открыла штаб-квартиру в Сингапуре, хотя большинство ее продуктов по-прежнему разрабатывается в России. По словам собеседника RTVI, большую часть времени Сачков проводит в Сингапуре.


Сачков участвует в экспертных комитетах при Госдуме, МИДе, Совете Европы и ОБСЕ в области киберпреступности. В последние годы бизнесмен активно участвовал в обсуждении мер по поддержке отечественного экспорта. Сачков трижды встречался с президентом Владимиром Путиным и участвовал во встречах премьер-министра Михаила Мишустина с представителями IT.


Сачков также известен тем, что в 2012 году его задерживали в центре Москвы за применение травматического оружия. В 2019 году Сачков подрался с таксистом и применил газовый баллончик.


Весной 2020 года власти США опубликовали обвинения в адрес сотрудника Group-IB Никиты Кислицина. Ему вменяли заговор с целью продажи данных, украденных его сообщником у соцсети Formspring в 2012 году. Уголовное дело в отношении Никиты Кислицина было возбуждено в марте 2014 года. В Group-IB назвали обвинения бездоказательными и добавили, что предполагаемые преступления Кислицина произошли до его работы в компании. В Group-IB также сообщили, что в 2013 году ее представители, в том числе и Кислицин, по своей инициативе встретились с сотрудниками Минюста, чтобы сообщить им об исследовательской работе, которую Кислицин проводил в 2012 году.


В дальнейшем правоохранительные органы США обнародовали новые документы, внимание на которые обратила журналист «Медузы» (издание признано иностранным агентом) Мария Коломыченко. В них утверждается, что в 2014 году Кислицин дал показания ФБР в посольстве США в Москве. Кислицин рассказал о своих связях с российскими хакерами и добавил, что «хочет уладить ситуацию», чтобы получить возможность без боязни ездить в Америку. Кислицын уточнил, что давал показания с согласия Сачкова.


RTVI направил запрос в центр общественных связей ФСБ России.


Авторы: Максим Солопов, Владимир Дергачев


https://rtvi.com/news/gendirektor-group-ib-zaderzhan-po-podo...

Показать полностью
865

Ролик об информационной безопасности от МВД

Здесь прекрасно всё. Сюжет, спецэффекты, актерская игра. Не портят впечатление даже некоторые мелочи по типу обрезанного скриншота и орфографических ошибок.

Напоминаю - не вводите в интернете данные своей карты!

https://twitter.com/mvd_official/status/1440963766049546242

1231

Взлом госуслуг и невозможность отвязать "чужое" приложение

Уже было достаточно много постов про взлом госуслуг, вкратце - проверьте чтобы тут и тут, чтобы не было лишних подключений. Иначе - отключайте, запрашивайте кредитную историю, читайте (тык_1, тык_2).
Люди делятся на два типа: кто ещё не использует двухфакторную аутентификацию и те, кого уже взломали. Я из второй группы.
Но речь не об этом, у госуслуг есть уязвимость - вечный токен. То есть даже после изменения пароля и включения двухфакторки мошенник может заходить через своё приложение.
Чтобы такого не происходило - необходимо "отвязать" чужие приложения. И вот тут вся загвоздка - госуслуги мне не позволяют выйти из приложения мошенника.

Взлом госуслуг и невозможность отвязать "чужое" приложение Госуслуги, Взлом, Гифка, Длиннопост

Эта "загрузка" идёт вечно, после обновления страницы спустя 10-15 минут приложение мошенника всё ещё на месте.

Так же можно попробовать убрать лишние подключения тут. Вот только там та же история.

Получается, злоумышленник по прежнему имеет доступ к моему кабинету и я никак не могу его ограничить. Саппорт молчит.

Взлом госуслуг и невозможность отвязать "чужое" приложение Госуслуги, Взлом, Гифка, Длиннопост

Прошу помочь советом - вдруг, кто-то сталкивался с таким. И предостерегаю тех, кто ещё не проверял госуслуги на предмет взлома - судя по постам и комментариям это явление массовое.

Показать полностью 1
53

Авария интернетов

А еще во Франкфурте авария по температуре, в немеции лежит полный набор - вацап, инстаграм, и иже с ними. Телега пока держится.

Авария интернетов Интернет, Мессенджер, Авария, Facebook
Показать полностью 1
Мои подписки
Подписывайтесь на интересные вам теги, сообщества,
пользователей — и читайте свои любимые темы в этой ленте.
Чтобы добавить подписку, нужно авторизоваться.
Отличная работа, все прочитано!