Предварительно: DerStarke можно удалить с Mac с помощью перезаписи EFI. Скачать прошивку EFI можно на сайте Apple: https://support.apple.com/ru-ru/HT201518

Основная проблема DerStarke — нельзя понять, есть ли он в системе или нет.

В связи с этим, публикую фото самого защищенного ноутбука по моему мнению.

Ух, WikiLeaks выкинул в паблик очень много интересного материала по уязвимостям. Требуется тщательный анализ информации. На неделе будет большой пост обо всём этом.

Интересно, зачем CIA собрались список японских ASCII смайликов? https://wikileaks.org/ciav7p1/cms/page_17760284.html

Тем временем я направил письмо Крейгу Федериги — вице-президенту Apple по разработке программного обеспечения для получения комментариев по последним новостям. Как получу ответ — обязательно опубликую здесь.

Только что обнаружил серьезную уязвимость в iOS. До момента исправления ошибки подробностей не будет, но рекомендую полностью отключить Siri.

Для всех маководов — потрясающая инструкция по усилению защиты вашего Mac. Убираем ключи расшифровки FileVault из оперативной памяти компьютера при сне, настраиваем фаерволл, отключаем системные сервисы, настраиваем недоверие к выпущенным государством SSL-сертификатам, отключаем SSH, устанавливаем usbkill (штука для противодействия экспертизам) и многое другое. Пользуйтесь!
https://github.com/drduh/macOS-Security-and-Privacy-Guide

UPD: Apple сообщила, что уязвимость, связанная с Siri будет закрыта в ближайшем обновлении ОС.

Проблема заключалась в следующем:
Пользователь iOS в настройках уведомлений может запретить показ превью сообщений на заблокированном iPhone, дабы избежать получения кодов, например, для оплаты в интернете (3DSecure) третьим лицом, в руках которого оказался ваш смартфон. Siri позволяла обойти это ограничение, и, фактически, делала эту функцию бесполезной. Достаточно произнести фразу "Read My Message" и Siri прочитает все недавние сообщения не смотря на запрет, установленный в настройках системы.

Уязвимости присвоен приоритет "высокий", проблема уже исправлена в последней Beta-версии iOS, которая станет доступна в ближайшее время.

Также в Apple прокомментировали последние утечки на WikiLeaks и заявили, что большинство уязвимостей уже были закрыты и не актуальны. Некоторые открытые уязвимости будут исправлены в ближайшей новой версии iOS.

При отправке фотографий всегда очищайте EXIF-метаданные. Из данных можно извлечь вашу геолокацию, модель камеры и ещё некоторую инфу. Телеграм, например, делает это автоматически. А феминистки нет :(
https://twitter.com/alexlitreev/status/839770659219779584

Открываю в канале рубрику #трибуна — если вы эксперт в информационной безопасности или вам просто есть, чем поделиться, то присылайте свои разборы полётов на ящичек alexander@litreev.com с темой письма "Сайберсекьюрити:  Трибуна". Лучшие материалы будем проверять, править и публиковать здесь!

Рубрика #трибуна

Интересная история происходит сейчас на приставочной хакерской сцене.
Как вы возможно слышали 3 марта 2017 вышла новая игровая приставка Nintendo Switch. Выход приставки привлек внимание множества хакеров.
Мне, как человеку связанному с ИБ, очень интересно наблюдать как шаг за шагом происходит взлом абсолютно новой системы, о внутреннем строении которой хакерам практически ничего не известно.

Всё началось с того что хакеры научились выполнять свой JavaScript код на приставке чуть ли не в первый день её выхода. Если вы не знаете, то на приставке Nintendo Switch нет официального приложения браузер, хотя в самой операционной системе, конечно же, есть браузер. Для того чтобы выполнять свой JavaScript код внутри браузера, хакеры создают captive-порталы, которые перенаправляют пользователя на уже на нужную веб-страницу. Captive-портал это портал для дополнительный веб-авторизации при подключении к WiFi точке, очень часто такие порталы используются в гостиницах.
На Nintendo Switch выглядит это примерно так: https://www.youtube.com/watch?v=pTN0lZU_ktM

Таким образом хакеры выяснили что браузер работает на движке WebKit.

Буквально сегодня, известный iOS хакер Luca Todesco опубликовал у себя в твиттере подтверждение взлома движка браузере: https://twitter.com/qwertyoruiopz/status/840406087568392192
О полном джейлбреке говорить еще рано, но однозначно первый шаг уже сделан - хакеру удалось получить полный доступ к usermode части операционной системы, если говорить более конкретно, то хакер может запускать любой нативный ARM-код внутри браузера.

Очень интересна техническая сторона взлома. Все дело в том, что Nintendo не запатчила знаменитую Memory Corruption уязвимость CVE-2016-4657 для WebKit.

Напомню, что именно эта уязвимость, в связке с другими уязвимостями, использовались во вредоносном программном обеспечении Pegasus для iOS 9.3.3.
На тот момент вся цепочка уязвимостей была самым настоящим 0day, и чтобы заразить свой iPhone или другое iOS устройство жертве было достаточно перейти по вредоносной ссылке.
Такие ссылки и рассылали гражданским активистам в Арабских Эмиратах, о чем написала организация CitizenLabs:
https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

Саму уязвимость и вредонос Pegasus препарировали и разобрали по кусочкам во многих местах:
https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf
https://speakerdeck.com/mbazaliy/pegasus-internals
https://sektioneins.de/en/blog/16-09-02-pegasus-ios-kernel-vulnerability-explained.html
https://sektioneins.de/en/blog/16-09-05-pegasus-ios-kernel-vulnerability-explained-part-2.html

Так вот та же самая уязвимость WebKit, с небольшими изменениями позволила Switch-хакерам получить полный доступ к коду внутри браузера.
Пока не понятно насколько изолированы процессы внутри самой операционной системы, нужно ли будет хакерам искать уязвимость в ядре ОС, чтобы получить полный доступ ко всему.

Но как я уже сказал, наблюдать за всем этим крайне интересно. В особенности, интересно видеть как все вещи в ИБ достаточно взаимосвязаны между собой и уязвимость в WebKit для iOS может быть переделана и использована для игровой приставки.

Материал прислал Антон Черепанов.

[СРОЧНО]
Знаю, что, скорее всего, все мои подписчики уже настроили двухэтапную аутентификацию везде, где только можно. Но попытки взлома среди моих друзей участились и, на всякий случай, я напоминаю: если кто-то узнает ваш пароль от Google или перехватит SMS от Telegram (а сделать это довольно просто), то защитить вас сможет _только_ двухэтапное подтверждение входа.

Короткие инструкции для Google, Telegram и Facebook вот здесь: http://telegra.ph/Kak-nastroit-dvuhehtapnuyu-autentifikaciyu-03-12

Информационная безопасность ничего не стоит, если невозможно обеспечить свою собственную физическую безопасность. Я создаю приложение #КраснаяКнопка для политических активистов и просто для любых людей, кто может незаслуженно оказаться в отделении полиции, кто может попасть под руку произвола  представителей власти. В одно нажатие #КраснаяКнопка оповестит ваших друзей, родных и правозащитников о том, в каком отделении полиции вы оказались и обеспечит их всей необходимой информацией. Поддержать проект можно на сайте https://red.litreev.com/

Завтра почти в ста городах России пройдут митинги и шествия против коррупции. Без лишних комментариев публикую краткую инструкцию «Как обеспечить информационную безопасность в условиях проведения митингов и при задержании».
Проверяйте, всё ли вы сделали:
https://goo.gl/RzwbYt

Всем пользователям Apple посвящается: новая iOS 10.3 и macOS 10.12.4 — и там и там серьезные улучшения безопасности, всем-с ставить.

В iOS теперь новомодная файловая система APFS — гораздо более безопасная и защищенная, нежели предыдущая HFS+, которой уже, на минуточку, примерно 20 лет.

Apple залатала кучу дыр безопасности, в том числе те, что были найдены в раскрытом WikiLeaks материале. Подробнее об улучшениях безопасности в iOS можно прочитать здесь:
https://support.apple.com/en-us/HT207617


Тем временем, на правах рекламы сообщаю, что после того, что сделали конченные власти на митинге в Москве и СПб (задержанных больше 1000) идея с приложением #КраснаяКнопка точно имеет место быть, почитать, поддержать и рассказать друзьям можно здесь: red.litreev.com