7338
Aleksandr Litreev about cybersecurity, blockchain & other joys of life. litreev.com
Встроенная в macOS High Sierra система Secure Kernel Extension Loading (SKEL) оказалась уязвимой — её можно обойти и установить вредоносное расширение ядра 🙁
Подробнее: http://www.securitylab.ru/news/488528.php
[Оффтоп]
Раз уж все обсуждают, то и я вброшу. Читаю вот приказ Роскомнадзора с названием, которое в пять твитов не уместить. Я просто ни**я не понял, что пытался сказать автор. Какой-то поток сознания, вы просто попробуйте сами почитать:
http://regulation.gov.ru/projects#npa=72974
А читают ли меня разработчики Лаборатории Касперского, работавшие в компании в период с 2015 по 2016 год? Хотелось бы побеседовать, на правах анонимности.
Если вы один из них – пишите на alexander@litreev.com.
Уязвимость с session hijacking’ом в GitLab’е была исправлена последним обновлением в среду.
https://threatpost.com/session-hijacking-bug-exposed-gitlab-users-private-tokens/127747/
Немного полезной (и не очень) информации.
У нашего канала есть свой чат, где можно общаться на тему Сайберсекьюрити™. Попасть в него можно вот здесь — @alexlitreev_chat.
Кроме этого канала я веду еще и свой личный, где пишу обо всём, что мне интересно и публикую всякую всячину — @alexthoughts.
Ну и Твиттер, наконец: twitter.com/alexlitreev
Спасибо, что вы с нами.
https://www.kommersant.ru/doc/3397276
Читать полностью…
На днях, из-за BGP Hijacking'а Google случайно положил почти весь интернет в Японии.
Это, кстати, уже не первый случай подобных крупных проблем, связанных с неправильной эксплуатацией BGP — в феврале 2008 года власти Пакистана случайно сделали YouTube недоступным во всём мире, вместо того, чтобы заблокировать его только на территории собственного государства.
http://safe.cnews.ru/news/top/2017-08-28_google_obrushila_yaponskij_internet_izza_oshibki
На днях, один энтузиаст Адам Доненфельд опубликовал код эксплоита для дыры в ядре iOS, позволяющий получить root-доступ к операционной системе.
Эксплоит использует уязвимости, присутствующие в iOS до версии 10.3.1 включительно. В последних версиях эта проблема была исправлена.
http://www.securitylab.ru/news/488078.php
Спасибо всем, кто вчера пришёл. Я очень горжусь тем, что вы мои сограждане. Это было мое первое публичное выступление, немного волнительно, но очень здорово.
Запись всего митинга здесь: https://youtu.be/3m9yNRtc3QM
За организацию трансляции благодарю @popyachsa. Молодец.
Давно понятно, что не стоит хранить пароли в сервисах, для этого не предназначенных, вот вам наглядный пример https://trello.com/b/wvhU4nNV/projectmash
Читать полностью…
Пока никаких громких новостей по Сайберсекьюрити™ нет, напоминаю — 26 августа пройдёт митинг «За Свободный Интернет».
Люди выйдут на улицы Москвы и других городов России, чтобы сказать своё решительное «НЕТ» цензуре, прослушке, угнетанию IT, некомпетентности гос. органов, которые, то и дело, суют свой нос куда не следовало бы.
Листовки к митингу (https://goo.gl/cRCeiz) можно и нужно распечатать и, как говорят, распространить среди жильцов вашего жэка.
В офисе ПАРНАС на м. Новокузнецкой с сегодняшнего дня можно будет забрать себе для распространения уже отпечатанные агит-материалы. Приходите, не стесняйтесь. Для того, чтобы злая охрана пропустила добрых сочувствующих ребят - напишите заранее @wg_novikov, он поможет организоваться таким образом, чтоб и вам - и нам было максимально удобно.
Также, организаторы митинга всё еще собирают средства на организационные моменты (сцена, звук, агит-материалы & etc.), им можно (и нужно) помочь. Я, кстати, тоже отправил им свою копеечку.
Вот реквизиты:
Яндекс.Деньги — 410014281197625
Вебмани — R207517596206
Биткоин — 17xsaWjzZAsqnkRDe8PPvBwyHpwGfcdzPN
Карта сбербанка: 4276380085336258 (вот тут с любой карты можно сделать перевод — tinkoff.ru/card2card)
PayPal: andrej.kuznetsov.mail@gmail.com
Следите за соц. сетями:
fb.com/events/1451432884936378/
vk.com/freedomrunet
t.me/freerunet
t.me/freerunetchat
Ну и минутка русского языка с Александром Литреевым. Мой товарищ @dgnotes научил меня правильно говорить, научу и вас. "Сервера" — плохо. "Серверы" — хорошо.
Читать полностью…
Предложение Минкомсвязи о внесении поправок в ФЗ «О Связи» приведёт к самоизоляции российского сегмента интернета от всемирной общей сети.
На мой взгляд, здесь снова усматриваются очередные потуги введения какого-то подобия Chinese Great Firewall в России. Разумеется, подадут это всё в самом аппетитном пропаганде виде, под соусом борьбы с терроризмом, интернет-суверенитета или чем-нибудь в этом духе. Вестись на это, конечно же, не нужно — причины очевидны и гораздо менее благородны, на мой взгляд.
Более того, есть опасения, что применение правок Минкомсвязи может привести к большим рискам в области информационной безопасности, т.к. вся "маршрутно-адресная информация" (там так написали, не я этот стрёмный термин придумал), в данном случае, окажется в одних руках. В руках, так называемой, «государственной информационной системы обеспечения целостности, устойчивости и безопасности функционирования российского национального сегмента». И в случае целенаправленной и успешной атаки на эти "одни руки" — последствия могут быть чудовищными.
Идея администрирования органами власти национальной доменной зоны (.ru и .рф) также не видится хорошей затеей — это даёт Минкомсвязи возможность в любой момент разделегировать домен любого неугодного им сайта (де-факто — это возможность введения цензуры).
В общем, так себе правочки.
http://regulation.gov.ru/projects#npa=71277
В данный момент сражаемся за согласование. По словам главы департамента митинг перенесли на проспект Ак. Сахарова, однако официального ответа нам никто не дает в данном департаменте.
Напоминаем, что 26-ого августа пройдет митинг "За свободный интернет" в центре Москвы. Мы выступим против законодательного мракобесия относительно интернет-регулирования и за отмену серии законов, за реабилитацию всех репрессированных и пострадавших лиц от административного или уголовного преследования за интернет-деятельность, против досудебной блокировки ресурсов и инструментов и так же за отставку главы РосКомНадзора Александра Жарова.
А еще нам очень нужна ваша помощь. До митинга осталось всего 10 дней, а мы еще не собрали на сцену. А еще звук 😢. Если мы не сможем собрать на данные атрибуты - то митинг окажется под угрозой. Поэтому помогите интернету, он вам помогает каждый день по нескольку раз. Пожертвуйте сумму для организации митинга, внесите свой вклад в будущее интернета!
Яндекс.Деньги — 410014281197625
Вебмани — R207517596206
Биткоин — 17xsaWjzZAsqnkRDe8PPvBwyHpwGfcdzPN
Карта сбербанка: 4276 3800 8533 6258
Наша цель 200.000 рублей. Сейчас собрано 10%.
А еще мы очень просим репост. Чем больше людей увидят этот пост - тем больше вероятность успешной организации митинга.
http://www.rbc.ru/rbcfreenews/599418d59a7947761d7ccb3d
Интересный материал на Meduza, про очередное уголовное дело. О том как гражданин РФ стал фигурантом уголовного дела про ложные сообщения о терактах, пользуясь сетью Tor: https://meduza.io/feature/2017/08/15/rossiyanin-stal-figurantom-ugolovnogo-dela-za-soobscheniya-o-teraktah-on-govorit-chto-prosto-zahodil-na-zablokirovannye-sayty-cherez-tor
Ситуация очень похожа на кейс Богатова, только в данный момент фигурант дела не держал точку выхода Tor, а просто пользовался этой сетью. Опасаюсь, что российские органы могли ошибочно попасть на ложный след, не понимая, как работает сеть Tor, ведь корреляция по времени использования Tor и времени появляения сообщения вовсе не является доказательством — это может быть элементарное совпадение. Спасибо Павлу Мерзликину из Медузы, будем следить за ситуацией.
Доброе утро!
Помните бюро кредитных историй Equifax? То, из которого утекли данные американцев.
Угадайте логин и пароль в онлайн-систему управления их аргентинским отделением?
Правильно, admin/admin
https://krebsonsecurity.com/2017/09/ayuda-help-equifax-has-my-data/
⚡️BREAKING
Бюро кредитных историй Equifax сообщила об утечке персональных данных (в т.ч. кредитных историй) 143 миллионов американских граждан.
Компания сообщила, что хакеры получали данные с мая по июль 2017 года.
Все это время хакеры использовали брешь в системе безопасности приложения на веб-сайте компании, в итоге получили доступ к номерам соц. страхования, почтовым адресам и номерам водительских прав американцев. Также, по данным компании, были украдены данные кредитных карт более 200К человек.
http://www.businessinsider.com/equifax-hackers-may-have-accessed-personal-details-143-million-us-customers-2017-9
Загрузчики Android некоторых производителей процессоров для мобильных устройств содержат бреши в безопасности, нарушающие процесс доверенной загрузки.
¯\_(ツ)_/¯
http://www.securitylab.ru/news/488210.php
К новостям успешных корпораций: http://www.securitylab.ru/news/488135.php
Читать полностью…
Тот момент, когда в прямом смысле слова, можно "взломать чьё-то сердечко" ❤️
В США массово отзывают кардиостимуляторы фирмы Abbott из-за дыры, делающих девайсы уязвимыми к дистанционным кибератакам. Благо, вытаскивать куски железок из людей никто не будет — обойдутся перепрошивкой. Отозвано, в общей сложности, 465 тысяч кардиостимуляторов.
https://motherboard.vice.com/en_us/article/nee5bw/465000-patients-need-software-updates-for-their-hackable-pacemakers-fda-says
Из других новостей:
1. Огонь горячий
2. Вода мокрая
3. Небо синее
http://www.securitylab.ru/news/488143.php
Другой занимательный материал: новый (на самом деле нет) интересный способ атаки на смартфон. Заключается он в замене компонента смартфона. Допустим, разбили вы экран на своём Nexus 6P. Приходите в ремонт, сдаёте телефон, вам меняют экран. Так вот. Тот, кто поставляет компоненты для ремонта, может внедрить маленький, шпионский и очень дешевый чип в сенсорную панель. Ну а последствия — они очевидны.
https://www.theverge.com/2017/8/21/16177916/malicious-replacement-touch-screens-control-smart-phone
Ну а мы возвращаемся к главному топику этого канала – Сайберсекьюрити.
Читать полностью…
Дорогие друзья, завтра в 16:00 на проспекте Сахарова пройдёт митинг «За Свободный Интернет», где мы скажем решительное "нет" цензуре, бездумным блокировкам, абсурдным законам и угнетанию IT-индустрии в нашей стране.
Обязательно приходите! И да, сюрприз! Я специально прилечу в Москву, чтобы поучаствовать в митинге в качестве одного из спикеров. Приходите и меня послушать, и свою точку зрения выразить.
Вместе победим!
https://twitter.com/alexlitreev/status/901144116691705862
Кто-то использует Trello для... ХРАНЕНИЯ ПАРОЛЕЙ.
https://dlg.im/en/blog/secrets-exposed-trello
За наводку спасибо @popyachsa.
Умельцу удалось получить доступ к Apple SEP (Secure Enclave Processor) — специальный модуль, отвечающий за хранение и обработку математических представлений об отпечатках пальцев. Хакер с ником "xerub" в Twitter опубликовал ключ FDC (Firmware Decryption Key), с помощью которого можно получить доступ к программному обеспечению и внутреннему устройству данного модуля.
Сразу оговорюсь — пользователи в безопасности. Основная роль FDC заключается в некой обфускации прошивки, доступа к хранимым и обрабатываемым данным он не предоставляет. Публикация данного ключа не делает SEP менее безопасным, а всего лишь даёт сторонним энтузиастам возможность поковыряться в прошивке данного компонента устройств Apple.
Более того, сканер Touch ID не сохраняет сами изображения отпечатков. В SEP хранятся только их математические представления (хэш-сигнатуры). Из математического представления невозможно получить настоящее изображение отпечатка. Информация об отпечатках шифруется ключом, доступным только для SEP. Они используются исключительно самим SEP и только для проверки совпадения отпечатка с сохраненными данными. Сам же SEP отделен от остальной части процессора и операционной системы iOS. Таким образом, данные об отпечатках никогда не будут использованы ОС или другими программами, никогда не будут отправлены на серверы Apple. Эти данные используются только функцией Touch ID и не могут быть использованы для сравнения с другими базами данных отпечатков.
https://www.theregister.co.uk/2017/08/17/apple_secure_enclave_decrypted/
Это, конечно, ор выше гор. Провайдер пытается запретить сторонние DNS-серверы, чтобы соответствовать требованиям РКН. Вы только почитайте, серьёзно.
http://albeon.ru/cust/moscow/news/vvedenie-zapreta-na-ispolzovanie-storonnih-sluzhb-translyacii-domennyh-imen-dns1/
С одной стороны — правильно. С другой — откуда цифра в 800 миллионов взялась?
https://meduza.io/news/2017/08/17/rosteh-potratit-800-millionov-rubley-na-zaschitu-ot-hakerov
Специалисты «Лаборатории Касперского» обнаружили бэкдор в ПО для управления серверами NetSarang. Жуть.
Подробнее: http://www.securitylab.ru/news/487848.php
На волне хайпа и ожидания вокруг рэп-батла между Oxxxymiron'ом и Гнойным (какой же ущербный никнейм) решили нажиться и мошенники.
Подробнее об этом на SecureList: https://securelist.ru/battl-goda-moshenniki-protiv-zdravogo-smysla/80081/