Утечка

Вот он. Наступил. Не заметили?

Речь, конечно, идет о мире, предсказанном Ричардом Столлманом в 1997 году. О мире, о котором нас предупреждал Кори Доктороу.

В современных версиях macOS вы не можете просто включить компьютер, запустить текстовый редактор или просмотрщик электронных книг и писать или читать, не передавая и не журналируя ваши действия.

Оказывается, текущая версия macOS отправляет в Apple хэш (уникальный идентификатор) при запуске каждой программы. Многие люди не были в курсе этого, так как хэш передается незаметно и только при наличии выхода в интернет. А сегодня серверы работали очень медленно и не успевали проверять хэши. Как результат, все приложения не открывались, если имелся выход в интернет.

Поскольку хэши передавались через интернет, серверы, конечно же, видят ваш IP-адрес и знают, в какое время пришел запрос. А IP-адрес в свою очередь позволяет установить ваш город, интернет-провайдера, а также составить таблицу со следующими заголовками

Дата, Время, ПК, Провайдер, Город, Штат, Хэш приложения

Apple (или кто-то еще), безусловно, может вычислить эти хэши для обычных программ: для всех программ из App Store, Creative Cloud, браузера Tor, инструментов для взлома или, например, реверс-инжиниринга да для чего угодно!

Это означает, что Apple знает, когда вы дома, а когда на работе. Какие приложения вы открываете и как часто. Они знают, когда вы открыли Premiere в гостях у друга, используя его сеть Wi-Fi, или когда вы сидите в браузере Tor в отеле во время поездки в другой город.

Я часто слышу: Кого это волнует?.

Что ж, волнует не только Apple. Эта информация не задерживается у них:

1. Эти OCSP-запросы передаются в незашифрованном виде. Их могут перехватывать все, кто в сети, включая вашего интернет-провайдера, а также, кто прослушивает интернет-трафик.

2. Эти запросы проходят через стороннюю CDN, управляемой другой компанией, Akamai.

3. С октября 2012 года Apple является партнером Разведывательного сообщества США в рамках государственной программы по шпионажу PRISM, которая предоставляет федеральной полиции и вооруженным силам США беспрепятственный доступ к данным без ордера. В первой половине 2019 года они воспользовались этим правом более 18 000 раз, а во второй половине 2019 года еще более 17 500.

Эти данные представляют собой огромный массив данных о вашей жизни и привычках, позволяя кому-то, кто владеет им, идентифицировать вас по вашим передвижениям и модели активности. Для некоторых людей это может даже представлять физическую опасность.

До сегодняшнего дня была возможность заблокировать подобное поведение на вашем Mac с помощью программы Little Snitch (на самом деле это единственное, что заставляет меня использовать macOS на данный момент). По умолчанию программа разрешает передачу между компьютером и серверами Apple, но вы можете вручную разрешать или блокировать то или иное соединение. А ваш компьютер продолжит работать нормально, не стуча на вас в Apple.

macOS 11.0 Big Sur получила новые API, которые ломают работу Little Snitch. Они не позволяют программе проверять или блокировать какие-либо процессы на уровне ОС. Кроме того, новые правила в macOS 11 затрудняют работу даже VPN, так что приложения Apple просто обходят их.

Патрик Уордл (Patrick Wardle) сообщил нам, что демон trustd, отвечающий за эти запросы, находится в новом списке исключений ContentFilterExclusionList, что означает, что он не может быть заблокирован никаким пользовательским брандмауэром или VPN. На его скриншоте также показано, что CommCenter (используется для совершения телефонных звонков с вашего Mac) и Карты также будут игнорировать ваши брандмауэр и VPN, ставя потенциально под угрозу ваш голосовой трафик и информацию о будущем или планируемом местоположении.

Помните только что анонсированные красивые Mac на новом процессоре Apple? В три раза быстрее и на 50 % больше времени автономной работы. Они не будут поддерживать ни одну ОС, кроме Big Sur!

Это первые компьютеры общего назначения, когда вам придется сделать выбор: или у вас быстрый и мощный компьютер, или личный. Мобильные устройства Apple работают таким образом уже как пару лет. За исключением использования устройств для фильтрация внешнего сетевого трафика (например, VPN-маршрутизатора), которые контролируете именно вы, на Mac с новым процессором не будет больше возможности загрузиться с какой-либо ОС, чтобы она не "звонила" в Apple. Иначе ОС может вообще не загрузиться из-за аппаратной криптозащиты.

Обновление. 13.11.2020 07:20 UTC

Мне стало известно, что у Mac на процессорах Apple с помощью утилиты bputil можно отключить защиту при загрузке и изменить Signed System Volume (SSV). Один я уже заказал и, как только со всем разберусь, напишу у себя об этом в блоге. Насколько я понимаю, даже после внесения таких изменений по-прежнему можно будет загружать только версии macOS, подписанные Apple. Хотя, возможно, и с некоторыми удаленными или отключенными нежелательными системными процессами. Дополнительные данные появятся, когда система будет у меня в руках.

Теперь ваш компьютер служит удаленному хозяину, который решил, что имеет право шпионить за вами. Даже имея самый производительный ноутбук с высоким разрешением в мире, вы не можете этому помешать.

Давайте не будем сейчас особо задумываться о том факте, что Apple может с помощью этих онлайн-проверок сертификатов предотвратить запуск любого приложения, которое они (или их правительство) потребуют подвергнуть цензуре.

Лягушка в кипятке

На этой неделе настал день, о котором нас предупреждали Столлман и Доктороу. Это был постепенный и последовательный процесс, но вот мы наконец-то и приплыли. Вы больше не будете получать оповещений о передаче данных на серверы Apple.

Смотрите также

21 января 2020 г. Apple отказалась от плана по шифрованию резервных копий после жалобы ФБР.

Возможно, не в тему

К другим новостям: Apple незаметно отказалась от сквозной криптографии в iMessage. В настоящее время актуальная iOS будет запрашивать ваш Apple ID во время установки и автоматически включать iCloud и iCloud Backup.

В iCloud Backup не используется сквозное шифрование: резервная копия вашего устройства шифруется с помощью ключей Apple. Каждое устройство с включенным резервным копированием iCloud (а оно включено по умолчанию) загружает резервную копию всей истории iMessage на серверы Apple вместе с секретными ключами iMessage каждую ночь при подключении к сети. Apple может расшифровать и прочитать все данные, даже не притрагиваясь к устройству. Даже если вы отключили резервное копирование в iCloud, вполне вероятно, что тот, с кем вы переписываетесь с помощью iMessage, этого не сделал. Как следствие, ваша переписка загружается на серверы Apple. Еще и через PRISM со свободным доступом для Разведывательного сообщества США, ФБР и др. без ордера или веской на то причины.

Используйте Signal.

FAQ

В.: Это часть собираемой аналитической информации macOS? Будут ли собираться данные, если у меня отключена отправка аналитической информации?

О.: Это не имеет отношения к аналитической информации. Похоже, что это часть кампании Apple по борьбе с вредоносным ПО (и, возможно, по борьбе с пиратством). Это происходит на всех компьютерах Mac с уязвимыми версиями ОС, независимо от каких-либо настроек по сбору аналитической информации. В ОС отсутствует пользовательская настройка для отключения.

В.: Когда это началось?

О.: Это происходит по крайней мере с момента выхода macOS Catalina (10.15.x, выпущена 7 октября 2019 г.). То есть это началось не со вчерашнего выпуска Big Sur, а происходило незаметно как минимум год. По словам Джеффа Джонсона (Jeff Johnson) из Lap Cat Software, все началось с macOS Mojave, выпущенной 24 сентября 2018 года.

Каждую новую версию macOS я устанавливаю начисто, выключаю сбор аналитической информации, не вхожу ни в какие сервисы (как iCloud, App Store, FaceTime или iMessage) и включаю внешнее устройство для мониторинга всего исходящего сетевого трафика. У последних версий macOS наблюдался довольно активный сетевой трафик, даже если вы не используете никакие сервисы Apple. В Mojave (10.14.x) были некоторые проблемы с конфиденциальностью и отслеживанием, но я не помню, существовала ли тогда конкретная проблема с OCSP или нет. Я еще не тестировал Big Sur (следите за обновлениями), но, согласно отчетам тех, кто тестировал, возникают опасения по поводу пользовательских брандмауэров вроде Little Snitch, приложений Apple, которые обходят эти брандмауэры, и VPN-соединений. Догадываюсь, что у меня будет большой список вопросов, когда я установлю Big Sur на тестовую машину на этой неделе.

В.: Как мне защитить свою конфиденциальность?

О.: По-разному. Ваш Mac отправляет тонну трафика на серверы Apple. Если вы беспокоитесь о своей конфиденциальности, можете начать с отключения функций, у которых имеются кнопки: отключите и выйдите из iCloud, отключите и выйдите из iMessage, отключите и выйдите из FaceTime. Убедитесь, что службы геолокации отключены на ваших компьютере, iPhone и iPad. То были значительные слабые места, по которым вас могли отследить и на которые вы уже согласились, но есть простой выход: выключите все.

Что до проблемы с OCSP, я считаю (но еще не тестировал!), что сработает эта команда

echo 127.0.0.1 ocsp.apple.com | sudo tee -a /etc/hosts

Такой трафик я блокирую программой Little Snitch, которая еще работает на версии 10.15.x (Catalina) и ниже. Отключите в Little Snitch все разрешающие правила для служб macOS и службы iCloud, чтобы получать предупреждения, когда ОС пытается связаться с Apple.

Если у вас Mac на Intel (а такой почти у всех сейчас), не беспокойтесь о грядущих изменениях. Если вы хотите изменить пару настроек в ОС, то скорее всего всегда настраивали все предыдущие macOS под себя. Это особенно актуально для немного более старых Mac на Intel, в которых нет чипа безопасности T2. Но вполне вероятно, что даже на таких компьютерах можно будет отключать безопасную загрузку (тем самым позволяя настраивать ОС), как это можно делать сейчас.

Новые Mac на ARM64 (Apple Silicon), которые были выпущены на этой неделе, стали причиной моего беспокойства: еще неизвестно, дадут ли пользователям возможность вообще модифицировать ОС на этих чипах. На других ARM-системах от Apple (iPad, iPhone, Apple TV, Watch) криптографически запрещено отключать такой функционал ОС. Для новых Mac на ARM по умолчанию скорее всего тоже будет запрещено, хотя, надеюсь, продвинутые пользователи смогут отключить некоторые средства защиты и настраивать систему. Я надеюсь, что утилита bputil(1) даст возможность отключить проверку целостности системного тома на новых Mac, что позволит нам удалить определенные системные службы из автозагрузки, не отключая все функции безопасности платформы. Больше информации узнаем в ближайшее время, когда ко мне приедет новый Mac на M1 в этом месяце.

В.: Если тебе не нравится Apple и ты не доверяешь их ОС, то почему ей пользуешься? Почему сказал, что покупаешь новый Mac на ARM?

О.: Простой ответ заключается в том, что без оборудования и программного обеспечения я не могу с уверенностью говорить о том, что они делают или не делают, или о шагах, которые можно предпринять для нивелирования проблем с конфиденциальностью. Длинный ответ заключается в том, что у меня есть более 20 компьютеров с примерно 6 различными архитектурами процессоров. У меня в коллекции имеются все операционные системы, о которых вы слышали, и некоторые из тех, о которых вы, вероятно, и не знали. Например, в моей лаборатории есть 68k Mac (16-битный, почти 32-битный (привет, мой IIcx) и чисто 32-битный), Mac на PowerPC, 32-битный Mac на Intel, 64-битный Mac на Intel (с чипом безопасности T2 и без). Да я бы прослыл последним бездельником, если не много не поковырялся в Mac на ARM64.

В.: Зачем Apple шпионит за нами?

О.: Я не верю, что это было специально разработано как часть телеметрии, но это прекрасно подходит для этой цели. Простое (без злого умысла) объяснение состоит в том, что это часть кампании Apple по борьбе c вредоносным ПО и обеспечению безопасности платформы в macOS. Кроме того, OCSP-трафик, генерируемый macOS, не зашифрован, что делает его идеальным объектом для использования в военных операциях по наблюдению (которые пассивно контролируют всех основных интернет-провайдеров и сетевые магистрали) с целью сбора диагностических данных. И неважно, намеренно ли Apple закладывала такой функционал или нет.

Еще что интересно: недавно Apple с обновлением iOS представила iCloud Backup, добавив закладку в iMessage, чтобы ФБР могло продолжить чтение всех данных на вашем телефоне.

Как говорил Голдфингер: "Один раз случай, два совпадение, три заговор врага". Было всего пару раз, когда Apple (которая, кстати, нанимает крутейших специалистов по криптографии) признавала, что допускала передачу открытого текста или ключей шифрования в открытом виде с устройства в сеть/Apple, и извинилась: Ой, это была случайность. И ей поверили.

Последний раз я сообщал Apple в 2005 году о проблеме, связанной с передачей открытого текста по сети. Тогда они быстро все исправили, но это касалось только поиска слов в словаре. Вскоре после того, как была представлена технология App Transport Security, которая помогает сторонним разработчикам приложений не забивать на сетевое шифрование, Apple усложнила отправку незашифрованных запросов в приложениях из App Store. Поэтому для меня не понятно, почему Apple до сих пор отправляет OCSP-запросы в незашифрованном виде, несмотря на то, что это стандартная практика в отрасли.

Если Apple действительно заботится о конфиденциальности пользователей, прежде, чем выпускать новую ОС, им следует тщательнее следить за передачей данных даже на ненастроенном Mac. Мы вот заботимся. Чем дольше они закрывают на это глаза, тем менее убедительными становятся их заявления о соблюдении конфиденциальности пользователей.

В.: Зачем ты поднимаешь ложную тревогу? Разве ты не знаешь, что OCSP предназначен только для предотвращения запуска вредоносных программ и обеспечения безопасности ОС, а не для сбора телеметрии?

О.: Побочный эффект в том, что он функционирует как телеметрия независимо от первоначального замысла. Кроме того, даже, несмотря на то, что OCSP-ответы подписаны, OCSP-запросы не зашифрованы, что позволяет любому пользователю сети (включая Разведывательное сообщество США) видеть, какие приложения вы запускаете и когда. А это можно считать крайней степенью халатности.

Многие вещи функционируют как телеметрия, даже если изначально это и не было задумано. Спецслужбы, которые шпионят за каждым, могут воспользоваться этим независимо от намерений разработчиков.

Не стоит организовывать тотальный контроль на каждым, чтобы, например, победить, терроризм, или пересаживать всех на платформу с тотальной слежкой для борьбы с вредоносным ПО. В погоне за созданием безопасной платформы, вы отказывайтесь от того светлого, что уже имеете. Вы создаете платформу, которая по своей сути небезопасна из-за низкого уровня конфиденциальности.

В.: Они поместили закладку в сквозное шифрование iMessage? Охренели вообще?!

О: Ага. Технический разбор в моих комментариях тут и тут.

TL;DR: Об этом даже говорится на их сайте: https://support.apple.com/en-us/HT202303.

Сообщения в iCloud также используют сквозное шифрование. Если у вас включено резервное копирование в iCloud, ваша резервная копия содержит копию ключа, защищающего ваши сообщения. Этот подход гарантирует, что вы сможете восстановить свои Сообщения, если потеряете доступ к связке ключей iCloud и своим доверенным устройствам. При отключении резервного копирования iCloud на вашем устройстве создается новый ключ для защиты будущих сообщений, который не хранится у Apple.

(курсив автора)

Обратите внимание, что само резервное копирование iCloud не имеет сквозного шифрования, что приводит к проблеме условного депонирования ключа iMessage, которая препятствует сквозному шифрованию последнего. На этой веб-странице есть раздел, в котором перечислены материалы, которые используют сквозное шифрование, и вот резервного копирования iCloud там нет.

Как и ваши фотографии в iCloud. Системные администраторы в Apple (а также военные и федералы США) могут спокойно видеть все ваши интимные фотографии в iCloud или iMessage.

Дальнейшее чтение

• https://developer.apple.com/videos/play/wwdc2020/10686/

• https://lapcatsoftware.com/articles/ocsp.html

P. S. Перевел статью целиком только из-за того, что текущий перевод вообще не соответствует уровню статей Хабра.

Поднимается в СМИ волна по поводу утечки данных москвичей, переболевших короной. Некоторые СМИсообщают, что утекла информация о 300 тысяч человек. В публичном доступе оказалось чуть меньше гигабайта различных документов (941 МБ в распакованном виде). Попал этот архив и мне в руки. Предлагаю посмотреть его и дать ответы на главный вопрос: "и чо?".

Что утекло.Различная солянка: приказы, скриншоты, снимки экранов, софт, инструкции по настройке софта и, конечно же, персональные данные (суммарно 2493 файла). В основном информация относится к периоду март-май 2020. Но точечно встречались данные и от 30.10.2020.

Чем опасна данная утечка?Для обычных людей опасна тем, что данных по больным вносилось очень много. Если взять один из самых "толстых" файлов, то увидим, что в нём содержатся данные о 105+ тысяч человек. Как правило, заполнены столбцы:

• Фамилия;

• Имя;

• Отчество;

• Дата рождения;

• Адрес места проживания (и прописка, и уточнённый фактический);

• Телефон(ы);

• Когда и по какому адресу приезжала скорая;

• Степень тяжести состояния на момент приезда;

• Решение (госпитализация, обсервация, домашний карантин и т.д.);

• Если госпитализация, то в какой стационар.

И ещё куча столбцов, по которым можно восстановить хронологию событий по конкретному человеку. Много номеров полисов ОМС. Иногда в комментариях есть чуть ли не диагнозы. Все столбцы перечислять долго можно. В сводном отчёте, к примеру, их аж 104.

Главная угроза здесь - мошенники. Данные, которые теперь стали доступны всем без регистрации и смс:

1. Будут использоваться для обогащения профайлов пользователей. Это когда из разных утечек собирается информация о человеке. Чем больше аспектов жизни о человеке собрано, тем дороже потом можно такой профиль продать.

2. Будут использоваться мошенниками в атаках, чтобы втереться в доверие. Сами подумайте. Звонит вам человек и знает о вашей болячке чуть ли не больше вас. Вываливает всю информацию, а потом говорит, что вымиллионный посетительдолжны... Тут сценарии ограничены лишь фантазией атакующего. Например, вы должны поставить новое приложение от властей Москвы, которое специально было создано для переболевших.

Не думаю, что пострадавших власти будут оповещать персонально. Поэтому по-капитански призываю васбыть бдительными. Особенно если вы или те, кого вы знаете, болели весной.

Но есть и более страшная угроза.Информация из утечки может быть использована для целевой атаки на систему учёта в целом. То есть могут слить\поломать вообще всё, а не 105+ тысяч человек. Поясню, почему напрашивается такой вывод.

1. В утёкших данных есть лог сессии одного из пользователей системы. Оттуда можно надёргать информации о софте.

Там же есть все данные пользователя (кроме пароля). Можно в дальнейшем устроить целевую атаку на неё.

Во время сессии пользователь что-то искал. Поэтому в выдачу попали 30 пациентов (с кучей данных по ним). Пациенты актуальны на октябрь 2020.

2. Также можно найти тонкий клиент и инструкцию по его установке. Возможно внутри клиента удастся что-то интересное найти при реверсе. Не знаю, не умею. А вот читать инструкции могу. И там виден адрес для работы через веб, пройдя по которому можно увидеть вот такую ошибку:

Как говорится, отрицательный результат - тоже результат. И в данном случае это название папки "inetpub". Что свидетельствует об использовании Internet Information Server.

Покопавшись ещё, можно отыскать в документах ссылку на обучающий вебинар, где показывали работу с системой.

Что-то подсказывает мне, что проводили учения, всё-таки, не совсем на тестовой среде и синтетических данных. По крайней мере адрес в браузере реальный и сходив на один из них, удалось добыть адрес какого-то внутреннего ресурса.

Стоит понимать, что всё это прямо сейчас ни к чему серьёзному не приведёт. Но эта информация весьма полезна для тех, кто будет проводить целевую атаку. Как минимум, она серьёзно снижает стоимость, т.к. понятно, в каком софте (и в каких его версиях) нужно эксплуатировать уязвимости.

Выводов и морали не будет.

За ссылки и первую часть текста спасибо SecAtor.

Европейское медицинское агентство (ЕМА) признало на прошлой неделе факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети. При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено. Призывают уголовно наказать виновных если поймают. "Если" как лаконично высказались когда-то жители Лаконии.

twitter.com/CryptoInsane/status/1349835605027516417
twitter.com/CryptoInsane/status/1350006585641340929
Хакеры слили украденные данные в отношении вакцины Pfizer в паблик. Перуанский исследователь CryptoInsane разметил сегодня в Twitter два сообщения, в которых сообщил об утечках данных, вероятно через специализированные сайты. По первой части в комментариях поминается ransomware Conti, во второй solarleaks.net

И, наконец, завершающая часть - французские журналисты из Le Monde изучили утечку данных в отношении вакцины Pfizer и выяснили, что на EMA оказывалось давление со стороны руководства Евросоюза с целью оформить скорейшее одобрение файзеровской вакцины для применения в ЕС. При этом нарушения EMA выявило серьезные, вплоть до того, что применяемые в ходе клинических испытаний образцы вакцины не соответствовали тем, которые поставлялись для самой вакцинации.

Знаю, что многие на Хабре хотели привиться именно этой вакциной, ну потому что понятно, Европе как-то побольше доверия. Если вы уже кинули минус в карму автору, можете заглянуть под кат за подробностями
<cut text="что накопали французские журналисты"/>

Я перевожу тут не всю статью, а только те часть, которые мне показались интересными. За подробностями люди на французском не читающие легко могут обратиться к переводчику, 21-ый век всё ж таки.

EMA в пятницу, 15 января, всвоем заявлении сказало, что некоторые из писем должностных лиц, былиобработаныхакерами, однако в переписке с Le Monde вынуждены были признаться, что "просочившиеся электронные письма отражают проблемы и обсуждения, которые имели место". Короче отмазывались юридически безупречно.

Давление на ЕМА по меркам России было не таким уж откровенным. Один чиновник ЕМА высказал удивление тем что что Урсула фон дер Лейен, президент Европейской комиссии, четко определила две вакцины, которые могут быть одобрены до конца года[Pfizer-BioNTech и Moderna].Есть еще проблемы и с тем , и с другим, за день до этого регуляторный орган в ходе телефонной конференции в довольно напряженной, иногда даже немного неприятной атмосфере, дали представление о том, чего можно ожидать EMA, если ожидания политиков не оправдаются, вне зависимости от того являются ли эти ожидания реалистичными или нет.

Ещё один чиновник ЕМА жалуется что поговорил с Еврокомиссаром по здравоохранению Стеллой Кириакидес (министр здравоохранения по нашему), которая обязалась вакцину "одновременно предоставить всем государствам членам" и подчеркнула, что для этого важно "не заставлять" государства ЕС использовать свои собственные процедуры одобрения.

Формулировка классная, обязательно запомню для каких-нибудь переговоров, но, кажется, имелось в виду не избавление государств членов от их собственных минздравов, а всего лишь то, что если EMA затянет сертификацию, то государства вынуждены будут сами принять у себя локально решение о применении на основе специальной чрезвычайной директивы EC. Короче верховенство общепризнанных процедур и правил во всей красе, если регулятор откажется сотрудничать и подгонять решения под политическую необходимость к нужной дате его просто выкинут из цепочки принятия решения. К чести чиновников EMA даже в таких прекрасных условиях они старались что-то сделать

В той части документов, которые EMA не пыталась оспаривать подробно расписано что пошло не так с одобрением вакцины.В ноябре Европейское агентство сформулировало три"основных возражения"касающихся вакцины: некоторые производственные объекты в ноябре еще не были проверены; данные о коммерческих партиях вакцин отсутствовали; но, что более важно, коммерческая вакцина качественно отличается от той, которую испытывали.

Блокирующий пункт

Чтобы перейти от клинической стадии к массовому производству, а также при покупке новых производственных площадок, производители вынуждены были изменить свои производственные процессы.

Звучит немного внезапно, но всё встаёт на свои места если отвлечься от французской статьи и заглянуть за некоторыми нюансами и ссылочками в англоязычную википедию, Вакцина Pfizer-BioNTech очень экзотична, на столько, что до пандемииCOVID-19 ни один мРНК-препарат или вакцина не были лицензированы для использования на людях, а многие компании забросили попытки развивать вакцины на таком принципе из-за жестоких побочек. Проблемы полезли потому что такие препараты никогда в истории человечества массово не производились, и скоро мы станем свидетелями самых масштабных в истории человечества испытаний абсолютно новой технологии на людях. Зато производство очень дёшево.

Вакцина представляет из себя не продукт какой-нибудь лютой генной инженерии, как векторные вакцины, а является масляным наноспреем - взвесью нанокапель в которых прямо напрямую без всяких дополнительных средств транспорта плавают синтезированные фрагменты матричной РНК по которой клетки пациента наделают белков того самого шипика короны, который во все стороны торчит из вирусной капсулы. Именно этим определяются драконовские условия хранения вакцины - её нужно замораживать до -80С, что превращает логистику и разморозку в непрекращающийся праздник.

мРНК не берется из живых клеток, а синтезируется напрямую по расшифрованному коду ДНК, что даёт технологии большую гибкость, её пытались применять для создания препаратов от разных крайне редких болезней, и для терапии рака, чуть ли не индивидуализированной. Также пытались сделать ставку на дешевизну и создать вакцины от хайповых или массовых болезней: бешенства, Зика, цитомегаловируса и гриппа. Но ничего из этого не было одобрено пока не пришло ковидло и не создало уникальную возможность.

Но вернёмся к статье, по данным чиновников EMA точный состав испытываемой и массовой вакцин отличается во многом и в частности в степени целостности фрагментов мРНК. В образцах для клинических испытаний от 69% до 81% цепочек представляли собой целую матрицу по которой белок может быть синтезирован от начала до конца. С другой стороны, данные о партиях, произведенных на новых производственных линиях, показали более низкие проценты целых мРНК, в среднем 59%.В некоторых партиях снижение достигало 51%.Именно это назвали "блокирующим пунктом" в сообщении EMA 23 ноября. В ушедшей на испытания вакцине применялся фильтр отделяющий полноценные молекулы от коротких обрезков, но его оказалось трудно масштабировать для коммерческого производства.

Нужный иммунный ответ всё равно будет объяснил, один из бывших сотрудников Стив Пасколо, научный сотрудник университетской больницы Цюриха, который уже двадцать лет работает над РНК-вакцинами (соучредитель CureVac в 2000 году он покинул эту компанию и сегодня имеет совместные проекты с BioNTech). Для иммунного ответа порой хватало одного микрограмма вещества, а в дозе его 30 мкг. С хорошим запасом. Так же считают и в FDA USA - американском регуляторном органе, где вакцину одобрили для чрезвычайного использования, в английском и канадском регуляторе. Вакцине потребуется потом и обычное одобрение чтобы как в переписке метко высказались "регионы не получали субоптимальные материалы".

Тоже надо запомнить на будущие разговоры с менеджерами, не баг, а субоптимальная реализация. :)

Серьезное возражение

26 ноября BioNTech и Pfizer ответили на возражения EMA. Предложили как-нибудь поднять долю целых мРНК чтобы до конечных потребителей с учётом распада по дороге, доходили целыми хотя бы 50% молекул. И даже использовать некоторое количество настоящих коммерческих вакцин в испытаниях (ого какое заметное послабление). Кажется EMA-шников они с первого раза не убедили, потому что 30-ого ноября на конец украденных фрагментов переписки торг продолжался. Фрагмент одного отчёта позволяет предположить, что возможно выход полезного продукта смогут увеличить до 75%. Это было бы неплохо, потому что если количество фрагментов, синтезирующих хорошие целые белки падает с 81% до 50%, это значит что всякого мусора и неправильно порезанных образцов для сборки становится больше в 5 раз и EMA напоминает, что по ним тоже что-то может синтезироваться и никто не знает как это повлияет на человека.

Через несколько дней статья по ситуации с массовым производством попала в Wall Street Journal но в компании ответили, что хоть у них и задержалась в итоге поставка с некоторых заводов, но в целом всё хорошо, и они продолжают работать с EMA, чтобы в запланированные сроки 21-ого получить полноценное одобрение. Логично, сроки то уже со всеми согласованы.

Русские сделали это?

Никаких доказательств нет, но нужно рассмотреть версию, что весь этот взлом устроили русские или какие-то неизвестные русофилы. Один из аргументов, что файлы для России были выложены на сайте rutor название которого состоит из "ru" как Россия и "tor" как название анонимного браузера. Представляю что бы сказали создатели торрент-трекера rutor, узнав о такой этимологии их названия. А ещё русские уже практиковали кражу дискредитирующих документов с их последующей утечкой в деле антидопингового агентства.

Отряд хакеров-русофилов...

Заключение

Надеюсь вас это всё развлекло так же как меня. Хотя экскурсия в мир международно-одобренных вакцин, немножко пугает. Кроме вакцин на мРНК есть ещё куча разных вариантов от совсем разных наций-производителей, из которых вы можете выбирать. Может такого эталонного бардака там не будет, но что-нибудь такое от чего у вас зашевелятся на голове волосы, наверняка спрятано во многих лабораторных шкафах.

Как говорится, я видел фильм про зомби-апокалипсис, начинавшийся точно так же.

P.S. И да, не затягивайте с вакцинацией какой-нибудь другой вакциной. По сравнению со странами, вынужденными экстренно колоться этой вакциной у нас ещё жить можно, но было бы плохо догнать их ценой жизни ваших родственников. Россия в пике - 4,3 смерти от ковидлы на миллион в день, Канада - 5.5, Израиль 6, США - 13.4, Великобритания - 23.5

Недавно наткнулся на это исследование pdf (по его мотивам уже была статья на хабре), после прочтения, решил поискать более интересные способы использования F-Cache. Объективно, схему с редиректами никто в здравом уме не будет ставить на свой сайт. Это утечка, но утечка представляющая больше теоретический интерес, чем практический(имхо).

Обозначил цель(найти способ проверить F-Cache через javascript) и начал поиски. В ходе экспериментов выделил несколько способов это сделать, но опишу самый интересный, на мой взгляд.

Заранее предупреждаю это не кроссбраузерное решение. На данный момент, проверял только на десктопных хромах.

Предварительный тест можно пройти здесь: https://favicon-leak.site/

Как это работает

У хрома есть два типа ресурсного кеша: disk и memory. Как многие догадались, disk cache это перманентное хранилище ресурсов, но со своей задержкой на чтение(1+ ms). В свою очередь, memory cache используется для временного хранения часто используемых ресурсов, а чтение, в среднем, мгновенное (0 ms). Таким образом, помещая ресурс в memory cache браузер уменьшает количество чтений с диска и увеличивает скорость повторной загрузки самих ресурсов.

Когда мы первый раз загружаем картинку через <img>, то ее либо загрузит по src, либо достанет из disk cache. В обоих случаях эта картинка, чаще всего, помещается в memory cache. Рассмотрим такой javascript код:

var img = new Image();img.src = some_image_url;if (img.complete && img.height + img.width > 0) {// Это условие TRUE, только когда картинка успешно была прочитана из memory cache}

Именно этот код позволяет проверить наличие картинки в memory cache. Из этого можно сделать такой вывод: если загрузить <img> минимум два раза, то во второй раз картинка должна загружаться уже из memory cache.

Поведение тега <link rel="icon"> отличается от <img> и повторная загрузка одной картинки всегда читает ее с диска:

Ключевой находкой стало такое поведение браузера:

Как мы видим, после загрузки картинки через <link>, она помещается в disk cache и при повторном чтении ее через <img> она загружается с диска(даже если уже была в memory). Это нормальное поведение браузера для картинки, которой нет в F-Cache. НО! Если картинка для <link> загружена из F-Cache, то это никак не влияет на состояние, предварительно загруженной в memory cache, картинки. Вероятно, это связанно с тем, что F-Cache никак не взаимодействует с сетевым уровнем. Следовательно, если после
<img> + <img> + <link> + <img> < загрузка этой картинки произошла мгновенно, то мы можем сделать вывод, что эта картинка была в F-Cache т.к. она не была удалена из memory cache. Вот и вся хитрость, позволяющая проверять наличие картинки в F-Cache.

Важно заметить, что этот метод не 100%-но надежный, т.к. мы не можем точно проверить была ли вообще загруженна картинка в <link>(например, могла произойти сетевая ошибка), поэтому я использую setTimeout. Чем больше timeout, тем выше вероятность, что <link> успел прогрузиться.

Про F-Cache

F-Cache привязан к конкретному профилю, поэтому если вы хотите протестировать с нуля, то лучше всего создать новый профиль в браузере. Время жизни иконок в F-Cache индивидуально для каждой иконки и зависит от cache policy домена-владельца. F-Cache в инкогнито работает только в read-only режиме.

Про сайт https://favicon-leak.site/

Используя автоматизированный хром, я собрал небольшой список ссылок на favicon-ы популярных сайтов. https://favicon-leak.site/ проверяет иконки из этого списка. Возможно, когда вы будете читать эту статью какие-то ссылки уже устареют и будут возвращать ложноотрицательный результат.

Код на github

Обычно в конце месяца мы предлагаем вам дайджест самых интересных ИБ-инцидентов. Но в феврале нам встретилось столько совершенно потрясающих историй на вечную тему вам звонят из банка, что мы решили собрать их в отдельный пост.

И хоть в телефонном мошенничестве нет ничего нового, мы не устаем удивляться наглости мошенников, ущербу и доверчивости жертв!

Минус квартира

Что случилось: У пенсионерки из Петербурга фальшивые банковские специалисты увели более 6 млн рублей.

Как это было: Служба безопасности банка впервые позвонила женщине еще 11 декабря. С тех пор мошенники звонили с завидной регулярностью больше месяца, под их руководством женщина опустошила все свои счета и в несколько подходов перевела на безопасный счет 6,3 млн рублей. Как подметили журналисты, сумма сопоставима со стоимостью двухкомнатной квартиры! Технически афера происходила так: пенсионерке звонили менеджеры и вели до банкомата, где диктовали инструкции как и куда перевести деньги. Неладное она заподозрила только в начале февраля, после того, как лжебанкиры перестали выходить на связь. Теперь в деле разбирается полиция.

Стокгольмский синдром

Что случилось: в Череповце обманутая пенсионерка помогала мошенникам окучивать новых жертв.

Как это было: Пожилой женщине позвонили из финдепартамента и предупредили: с ее карты пытаются снять деньги. Убедили, что надо срочно забрать все сбережения из банка и положить на безопасный счет пенсионерка послушалась и поехала аж в областной центр, потому что в родной деревне не было банкомата. Мошенники все время оставались на линии и инструктировали, как снять сбережения, не вызвав подозрений (скажите, что на крупные покупки), куда и как их перевести. А когда на странные действия бабушки у банкомата обратила внимание сотрудница полиции и попыталась предупредить об опасности мошенники убедили ей не верить и выслали подмогу. Вскоре к женщине подошла пенсионерка, которая увела ее к банкомату в другом ТЦ и помогла перевести 260 тыс. рублей.

Помощница рассказала, что сама обезопасила таким образом больше 4 млн рублей. Оказалось, что она тоже жертва, полностью доверяла финдепартаменту и выполняла их инструкции аж с ноября. В общей сложности она совершила более 170 переводов в разных банкоматах, набрала несколько кредитов и лишилась сбережений, отправив все мошенникам. Сомнения в ней не зашевелились даже когда банкиры попросили ее приехать на другой конец города и помочь женщине, которая оказалась в похожей ситуации. В следующий раз обе обманутые встретились в полиции возбуждено уголовное дело.

Операция Ой

Что случилось: Лжеполицейский в рамках фальшивой спецоперации выманил у югорчанки почти 2 млн рублей.

Как это было: 48-летней женщине позвонил полицейский и заявил, что в регионе идет спецоперация по борьбе с мошенничеством и пресечению утечек из банков. Он предупредил, что делится служебной информацией и попросил помочь на условиях строгой конфиденциальности. Мошенников якобы нужно было ловить на живца: для этого женщине предстояло перевести все свои деньги со скомпрометированных счетов на неизвестный QIWI-кошелек (более 800 тыс. рублей), а потом и вовсе взять кредит (1,1 млн рублей!), чтобы приманка в кошельке была привлекательней. Женщина выполнила все инструкции в этот момент мошенники по классике перестали выходить на связь. Чтобы разобраться, она позвонила с жалобой в настоящую полицию, и только тут узнала об обмане. Мошенников ищут.

Договор аферы

Что случилось: сотрудник банка и полицейский заставили кубанца взять кредит на 1,4 млн рублей и перевести на страховой счет. Чтобы убедить жертву, ему присылали документы, подтверждающие законность всей действий.

Как это было: Сработала классическая кредитная схема: мужчину предупредили, что кто-то от его имени пытается получить в банке крупную сумму и предложили оформить зеркальный кредит, чтобы аннулировать мошенническую заявку. Разговаривал с жертвой сотрудник СБ Сбербанка, когда его собеседник в онлайн-банкинге получил одобрение на кредит в 1,4 млн рублей, подключил к разговору якобы сотрудника управления экономической безопасности и противодействия коррупции МВД. Тот сообщил, что идет операция по поимке мошенника, для этого якобы необходимо срочно снять все кредитные деньги и перевести на карту в доверенном банке. В подтверждение своих слов полицейский отправлял мужчине какие-то документы: что банки страховые партнеры, что сотрудники банка действуют по инструкциям МВД и так далее. Аргументы сыграли. В итоге мужчина остался без денег и с кредитом, а мошенников пытается найти реальная полиция.

СБ всех банков страны
Что случилось: В Якутии женщина перевела больше полумиллиона на счета мошенников, которые представились службой безопасности всех банков страны.

Как это было: В два ночи жертве позвонили: взволнованная банковская служащая сообщила, что кто-то пытается получить доступ к счету женщины. Стоило положить трубку дозвонился представитель СБ всех банков и сообщил, что проводит спецоперацию против мошенников. Его сменил якобы местный правоохранитель, он настоятельно рекомендовал следовать указаниям банковских специалистов. В итоге женщина все-таки потеряла бдительность и по указаниям мошенников перевела деньги. И сразу на два счета: на резервный 340 тыс. рублей, еще 215 тысяч на безопасный. Вторую операцию банк заблокировал, а мошенники после этого исчезли. Тогда она догадалась сама позвонить в полицию.

Дай тим
Что случилось: Мошенники убедили предпринимательницу из Калининграда установить на телефон приложение TeamViewer. Получив контроль над устройством, украли с ее счетов 255 тыс. рублей.

Как это было: Директору фирмы, по традиции, дозвонились из банка. Запугали, что неизвестные выводят деньги с ее счетов из-за уязвимости в смартфоне. Чтобы остановить их, требовалось срочно установить на телефон приложение для обеспечения безопасности (на поверку это оказался TeamViewer). Женщина все-таки заподозрила неладное, когда увидела, что в смартфоне открыт онлайн-банкинг и только что спасенные деньги на счете тают на глазах. К счастью, оставалась возможность по телефону заблокировать карту. Мошенники успели вывести только 255 тысяч, здесь предпринимательница успела прервать операцию и связалась с реальным банком.

Бонус: капля мёда
Что случилось: В феврале депутаты Госдумы озвучили идею, как защитить граждан от финансовых кибермошенников. Готовится законопроект, который позволит людям оформить запрет на выдачу им кредитов без их ведома.

Как это будет: По задумке, можно будет подать заявление на Госуслугах или в МФЦ и все кредитные организации получат запрет на выдачу кредитов на ваше имя. Это призвано обезопасить людей от ситуаций, когда кто-то оформляет займы на их имя по украденным паспортным данным, а если это произошло, освободить от выплаты таких кредитов мол, раз банк оформил займ при запрете, то потерянные деньги его проблема.

Звучит оптимистично. Но спорно. Статистика показывает, что махинации с кредитами на чужое имя встречаются реже, чем страшилки об этом, которыми мошенники пугают своих жертв. В теории уверенность, что на тебя точно не оформят кредит, может быть козырем против мошенников. Но у проекта есть тонкое место. Если кредит человеку все же понадобится, запрет по его заявлению можно снять. Социальным инженерам останется убедить жертву, что это именно та ситуация, когда срочно нужны деньги и она добровольно отзовет защиту.