20475
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
И опять новость из серии «я писал». Несколько дней назад я писал об уязвимости в WiFi-чипе Broadcom, которую назвали Broadpwn (/channel/alexmakus/1258). Чтоб вы не сомневались, уязвимость настоящая и вполне эксплуатируемая. По ссылке - демонстрация того, как специально подготовленная точка WiFi вызывает кернел-панику у Nexus 6P при попадании в радиус действия беспроводной сети http://boosterok.com/blog/broadpwn2/ как я уже говорил, у Гугл есть апдейт, исправляющий эту уязвимость, поэтому лучше апдейт все-таки поставить. Про iOS опять ничего не говорят, и, судя по отсутствию срочного апдейта от Apple, возможно, в этот раз для юзеров айфонов обошлось.
Читать полностью…
Несколько дней назад я писал о том, как через публичный Amazon S3 Bucket утекли 3 миллиона данных WWE (/channel/alexmakus/1257). Сегодня выяснилось, что подрядчик компании Verizon — одного из крупнейших операторов связи в США — точно так же на публичный bucket выложил данные на 6 миллионов пользователей Verizon, включая имена, номера телефонов и PIN-коды для доступа к онлайн-сервисам. Как говорится, никогда такого не было, и вот опять. https://www.upguard.com/breaches/verizon-cloud-leak
Читать полностью…
Тут интересную ссылку прислал читатель канала о том, что скомпрометирован сайт gosuslugi.ru - портал государственных услуг в Российской Федерации. Эксперты Dr.Web обнаружили внедренный неизвестными злоумышленниками потенциально вредоносный код на сайте, а администрация сайта игнорирует желание Dr.Web помочь сайту. Так что читайте и по возможности избегайте в ближайшее время использования gosuslugi.ru https://news.drweb.ru/show/?i=11373&lng=ru&c=14
Читать полностью…
Говоря об уязвимостях для iOS. Тут у Vice вышла интересная статья о bounty-программе Apple (это программа выплаты премий тем, кто сообщает о найденной уязвимости в устройствах или системах Apple). Apple обещает выплатить до 200 тыс долларов за подобную информацию. Однако, программа не дает никакого выхлопа, как пишет Vice, потому что на черном рынке информация об уязвимостях в продуктах Apple стоит гораздо больше — от 500 тыс до 1,5млн. Так что те, кто делает это ради денег, точно пойдут не в Apple за деньгами. Вообще странно, уж Apple могла бы себе позволить по деньгам перебить и Zerodium, и Exodus. https://motherboard.vice.com/en_us/article/gybppx/iphone-bugs-are-too-valuable-to-report-to-apple
Читать полностью…
3. Впрочем, чтобы добыть какие-то данные, необязательно заставлять компании ими делиться. Некоторые умудряются сами выложить их в публичный доступ, как это произошло с данными зрителей World Wrestling Entertainment — просто обнаружили открытые Amazon S3 Bucket, в которых лежали в том числе текстовый файл с данными на 3 миллиона зрителей WWE, включая имена, адреса электронной почты и физический адрес, плюс информация об образовании, детях и тд. Можно сколько угодно стараться сохранять свою личную информацию, но как только вы где-то регистрируетесь, это автоматически подвергает вашу информацию риску утечки, к сожалению. Так, что там говорили о землянке в тайге, и чтобы никакого интернета? https://mackeepersecurity.com/post/world-wrestling-entertainment-leaks-3-million-emails
Читать полностью…
и снова здравствуйте! у меня тут снова накопилось интересных ссылок (да, чето я обленился, давно ничего не писал), поэтому по порядку:
1. мне несколько читателей прислали ссылку на статью под громким названием "Как утащить данные пользователя MacOS с помощью одного документа" https://xakep.ru/2017/07/06/safari-localfile-read/
почитайте, там рассказывается о том, как в macOS можно с помощью специально подготовленного HTML-файла а) получить список файлов в директории, б) выяснить имя пользователя, и в) скопировать какие-то файлы с компьютера. На первый взгляд кажется, что все ужасно-ужасно, но если внимательно почитать детали, можно обнаружить, что для этих действий на самом деле требуется столько приседаний, что реальное применение такого вектора атаки достаточно маловероятно. Я обсудил это с автором (он, кстати, как я понял, тоже этот канал читает), и мне кажется, мы с ним даже согласились на том, что это скорее страшилка, чем реальная угроза.
еще целая куча интересных ссылок про Petya и как там его еще называют:
Читать полностью…
биткойны — это хорошо, говорили они. Биткойны — это безопасно, говорили они... все транзакции прослеживаются, блаблабла. AlphaBay Market, рынок, где можно было в "темном интернете" купить за биткойны оружие, наркотики и прочее незаконное барахло, внезапно закрылся, а биткойн-аккаунты, используемые для оплаты там, оказались опустошенными. Сумма — примерно 1,5 тыс биткойнов, что составляет около 3,8млн долл. До этого внезапно закрылся рынок Outlaw, а в 2015 году — Evolution, вместе с деньгами пользователей. как говорится, никогда такого не было и вот опять! https://thenextweb.com/insider/2017/07/05/dark-web-drug-market-bitcoin-heist/
Читать полностью…
Продолжая тему Petya/NotPetya. Тут вышло исследование того, как же на самом деле происходило заражение с серверов MeDoc, и это просто MUST READ любому, кто интересуется темой информационной безопасности. если вкратце, то в отчете говорится, что заражение в MeDoc началось как минимум в апреле, так как уже апдейт 01.175-10.01.176, выпущенный 14 апреля, содержал в себе зараженную вредоносным ПО DiskCoder.C библиотеку. интересно, что в статье утверждается, что внедрить так backdoor без доступа к исходному коду продукта крайне сложно. Интересно, что внедренный зловред умеет сообщать злоумышленникам идентификационный код предприятий (то, что известно в Украине как ЄДРПОУ), где установлено зараженное ПО. кроме этого, бэкдор собирал информацию о настройках прокси и почтовой службы, включая логины-пароли, поэтому кто не поменял пароли, сам виноват.
Кстати, чтобы проверить, не побывал ли бэкдор на компьютере, надо посмотреть в реестре Windows на ключ HKEY_CURRENT_USER\SOFTWARE\WC и значения Cred и Prx. Если они присутствуют, то у меня для вас плохие новости.
Короче, много всего интересного по ссылке https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Читатель Слава прислал историю про украденные у него iPhone в Барселоне. История поучительна тем, что после кражи телефона воришки пытались с помощью фишинговых сообщений выманить у Славы логин-пароль к Apple ID, к которому были привязаны устройства, чтобы снять блокировку. Так что внимательно смотрите на УРЛы, которые вам приходят, и не только когда у вас, не дай бог, украли айфон.
Мне, кстати, присылают всякие интересные ссылки все время, и моя врожденная паранойя (плюс тематика этого канала) приучила меня опасаться присланных мне ссылок, так что я никогда на них не кликаю просто так. обычно я делаю copy-paste и открываю ссылку в специальной виртуальной машине, у которой минимум интеграции с хостовой ОС. осторожность лишней не бывает. А теперь — история Славы:
"История для канала. У меня с девушкой неделю назад в Барселоне украли 2 айфона в метро разом. Как нормальные люди, включили lost mode в find my iPhone с указанием активного номера телефона. Сегодня мой телефон включили, о чем я получил оповещение, примерно на минуту и, разумеется, сразу же заблокировался.
После этого в течении нескольких часов я получил 2 смс с номеров FindMyPhone и SMS с сообщениями "Apple Tracking has located iPhone 7 Plus 256GB near Barcelona 05:24 pm on June 30, 2017. View location at http://icloud.com.tl1.pw/find/?location=546e3".
Все бы хорошо, но вот сайт - не iCloud.com, хотя внешне выглядит в точности как он. Вот так пытаются разблокировать украденные iPhone в цивилизованной Европе.
Дополнительный совет: не заходить с чемоданами в первый вагон метро в Барселоне, особенно если это пересадочная станция с поезда из аэропорта :)"
Хорошие новости для сразу 100% аудитории этого канала (то есть пользователей Telegram). Хоть вроде как его уже не собираются блокировать в России, но разработчики все равно выпустили обновление, позволяющее обходить блокировки государствами. @durov им всем еще покажет кузькину мать! https://telegram.org/blog/admin-revolution#free-speech
Читать полностью…
вы, наверно, слышали, что в iOS 11 появится специальный режим "не беспокоить, когда за рулем". Конечно, многие пользователи, скорей всего, не будут им пользоваться — "нужно срочно ответить на важную смс-ку!", поэтому полиция в Штатах со своей стороны тоже "вооружается". Похоже, что cellebrite (та самая контора, которая взламывала телефон террориста из Сан-Бернардино для ФБР) планирует обеспечить полицию как минимум в нескольких штатах устройствами, которое будет анализировать, что происходило на телефоне в определенное время. Типа, подключаешь телефон, и устройство расскажет полицейскому, какое приложение было активно в какой момент, не набирал ли юзер СМС. С одной стороны, если произошло ДТП и надо выяснить причину, то это вроде бы и полезно, но потенциально имеет некие осложнения для приватности информации. http://www.npr.org/sections/alltechconsidered/2017/04/27/525729013/textalyzer-aims-to-curb-distracted-driving-but-what-about-privacy
Читать полностью…
The 4 stages of Twitter during a malware outbreak.
1. OMG WE'RE ALL SCREWED IT'S SO BAD
2. It sucks
3. Should have patched
4. It was Russia
Интересно, NBC пишет, что сотрудники ФБР посетили около десятка сотрудников Kaspersky Lab в США, с вопросами о работе компании. в статье говорится, что это было некое "общее ознакомление", не в рамках какого-либо конкретного уголовного дела. Интересно еще, что в статье говорится о "миллиардере Евгении Касперском", хотя мне казалось, что все-таки до миллиардов Касперскому далеко. может, я ошибался. http://www.nbcnews.com/news/us-news/fbi-interviews-employees-russia-linked-cyber-security-firm-kasperky-lab-n777571
Читать полностью…
ESET предупреждают пользователей Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.
Потенциальная жертва получает от лица онлайн-магазина письмо – в нем сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.
https://www.welivesecurity.com/wp-content/uploads/2017/07/1-phishing-apple-id.png
Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он может поверить мошенникам и перейти на фишинговый сайт.
На фишинговом сайте пользователю предлагается ввести Apple ID и пароль, далее – заполнить анкету «для подтверждения личности». Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и, конечно, данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.
После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.
Вчера я писал о том, что в Китае с февраля планируют запретить VPN (/channel/alexmakus/1262). В общем, тут от китайских товарищей поступило опровержение этой новости, хотя я лично бы не расслаблялся, дыма без огня не бывает http://shanghaiist.com/2017/07/12/vpn-ban-denial.php
Читать полностью…
А тем временем в Китае правительство потребовало от операторов связи заблокировать персональные VPN к 1 февраля следующего года. https://www.bloomberg.com/news/articles/2017-07-10/china-is-said-to-order-carriers-to-bar-personal-vpns-by-february
Читать полностью…
Тут, вероятно, новость дня — статья на Bloomberg о сотрудничестве Лаборатории Касперского с ФСБ. В принципе, слухи-то об этом ходят давно, но так, чтобы была статья на большом и в целом уважаемом ресурсе — я не припомню. В статье рассказывается о том, что компания не только разрабатывала технологии для спецслужб, но и передавала спецслужбам информацию о хакерах, причем сотрудники ЛК участвовали в рейдах спецслужб. https://www.bloomberg.com/news/articles/2017-07-11/kaspersky-lab-has-been-working-with-russian-intelligence Но такую новость было бы несправедливо подать без ответа ЛК, где компания опровергает информацию, озвученную в статье Bloomberg https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-response-clarifying-inaccurate-statements-published-in-bloomberg-businessweek-on-july-11-2017
Читать полностью…
Я уже как-то писал в апреле о баге на WiFi-чипе Broadcom (который используется в iPhone и смартфонах с Android), который позволял запускать код на чипе без ведома пользователей. тогда еще Apple выпускала срочный апдейт для iOS (да и для Android тоже был патч) /channel/alexmakus/1073
Так вот, в чипах Broadcom серии BCM43xx (используются в Nexus, смартфонах Samsung, LG, HTC) снова нашли уязвимость (CVE-2017-9417), также позволяющую исполнять код на чипе. Причем для этого не надо даже подключаться к WiFi-сети, достаточно оказаться в радиусе действия такой сети, которая умеет эксплуатировать такую уязвимость. Ну а дальше код может украсть какие-то данные с телефона, например. Для Android проблема исправлена в апдейте, который Google выпустила 5 июля (как минимум, для Nexus/Pixel-устройств), а что там с iOS — из новостей не очень понятно. Вроде как говорят, что iOS тоже может пострадать, но никаких деталей нет (да и срочных апдейтов для iOS пока не было). https://www.bleepingcomputer.com/news/security/broadpwn-bug-affects-millions-of-android-and-ios-devices/
2. между тем, российский Фонд развития интернет-инициатив (ФРИИ) считает, что зарубежные корпорации, которые занимаются сбором больших данных о пользователях из России, должны раскрывать информацию российским компаниям. это очень интересно сразу во многих плоскостях: начиная от свободного рынка и конкуренции, и заканчивая опасностью для пользовательских данных, попадающих в Россию (базы граждан, продающиеся на дисках, мы все видели, я думаю). Представляю себе, какой хохот раздастся в Google, Facebook или, допустим, John Deere (вы удивитесь, сколько данных о сельскохозяйственных работах собирает производитель тракторов, комбайнов и тд), когда к ним поступит запрос немедленно поделиться большими данными с российскими компаниями или фондами. http://incrussia.ru/news/frii-zarubezhnye-kompanii-dolzhny-delitsya-bolshimi-dannymi-o-rossiyanah/
Читать полностью…
1. http://blog.talosintelligence.com/2017/07/the-medoc-connection.html?m=1
2. https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
3. Motherboard утверждает, что хакеры, которые стоят за NotPetya, продемонстрировали возможность расшифровки файлов на зараженных машинах https://motherboard.vice.com/en_us/article/evdxj4/notpetya-ransomware-hackers-decrypt-file
4. тем временем власти Украины изъяли технику в офисе компании MeDOC, откуда началась эпидемия вируса, распространяемая через систему обновления ПО компании http://www.theregister.co.uk/2017/07/05/ukraine_authorities_raid_me_docs_in_notpetya_investigation/
но есть и хорошие новости. помните, пару месяцев назад американские власти ввели дурацкий запрет на ноутбуки и планшеты в салоне из некоторых аэропортов Ближнего Востока на рейсах в США? Еще были слухи, что запретят и на рейсах из Европы, но вроде бы обошлось. Объяснялось это все тем, что якобы выяснилось, что террористы планировали теракт с помощью взрывчатки, пронесенной на борт в корпусе ноутбука или планшета. Короче, для рейсов Etihad, Emirates и Turkish этот запрет отменили! теперь без проблем можно ноутбуки и планшеты с собой таскать. кажется, здравый смысл немножко восторжествовал.
Читать полностью…
у истории с украденным iPhone (/channel/alexmakus/1247) внезапно появилось очень интересное продолжение, о котором я пока не могу рассказать. все, что я пока могу сказать — что а) наша планета очень маленькая и тесная, и б) кажется, есть возможность сделать хорошее дело. Это даже немножко оправдывает существование канала, чему я рад вполне. извините :)
Читать полностью…
это, конечно, мало затрагивает читателей нашего уютного канала, но все же интересная инфа об утечке пользовательских данных. В Великобритании утекла часть базы пользователей крупного автомобильного страховщика The Automobile Association (The AA). 13ГБ данных на более чем 117 тыс пользователей, вклюая имена, имейлы и данные банковских карточек (последние 4 цифры). Причем сначала контора отмазывалась, что у них ничего не утекло, потоом говорили, что вроде как только имейлы, а потом признали, что речь идет и о платежной информации пользователей. https://theantisocialengineer.com/did-the-aa-have-a-minor-breakdown/
традиционное напоминание о том, что поскольку информацию нынче собирают вообще все, то таких утечек будет все больше и больше
Эпидемия NotPetya уже вроде бы и в прошлом, а волны от нее все еще расходятся. В частности, интересно, что продолжается расследование о том, как распространялся вирус. Уже ни у кого не вызывает сомнений тот факт, что основным первоисточником стали сервера обновления программного обеспечения компании MeDoc — бухгалтерского и налогового учета в Украине. Много рассказывают о том, что это могла быть атака, спонсированная другим государством (известно каким), но не стоит спешить с выводами. Тут специалисты поисследовали саму инфраструктуру MeDoc и обнаружили там ужасы-ужасы в плане того, на каких соплях там все держится. Их сервер для обновлений работал под управлением старой версии софта для FTP (ProFTPD), в котором существуют известные уязвимости, для эксплуатации которых можно использовать публично доступные хакерские инструменты (в частности, Metasploit). подробный отчет о лажах в инфраструктуре MeDoc — по ссылке https://wvusoldier.wordpress.com/2017/07/03/notpetya-so-easy-anyone-could-do-it/
Читать полностью…
Хорошие новости для пользователей Linux. если вам было скучно, глядя на все эти истории с вирусами для Windows, и вы чувствовали, что самое веселье проходит мимо вас — не расстраивайтесь! Если верить отчету WatchGuard, сейчас наблюдается активный рост количества атак вредоносным ПО под Linux. Говорят, малварь даже самому собирать не надо! https://media.scmagazine.com/documents/306/wg-threat-reportq1-2017_76417.pdf
Читать полностью…
за всеми этими новостями про вирусы-вымогатели как-то даже руки не доходят писать об утечках информации (в общем-то, то, с чего этот канал начинался). есть такой сервис 8Track — популярная соцсеть вокруг музыки, плейлисты там, вот это все. У них взломали базу пользователей, 18 миллионов аккаунтов тютю, включая имена, имейлы, и замешанные с помощью SHA1 пароли. Теоретически эти пароли могут быть расшифрованы злоумышленниками, так что если вдруг вы там были зарегистрированы и этот логин-пароль используется еще где-то — самое время поменять пароли. https://blog.8tracks.com/2017/06/27/password-security-alert/
Читать полностью…
и еще немного о вирусной атаке. один из лучших отчетов о Petya/NotPetya/ExPetya/Nyetya https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/
Статья у Microsoft с деталями https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
И отчет у Касперского, из которого можно узнать, что у вируса просто НЕТ возможности расшифровать зашифрованные файлы. Выкуп платить еще более бессмысленно (после того, как заблокировали имейл-адрес вымогателей) https://blog.kaspersky.com/new-ransomware-epidemics/17314/
а Wikileaks все не успокаивается и продолжает публиковать утекшие из ЦРУ инструменты. Теперь опубликовали документацию о проекте под названием ELSA. Это софтинка, которая устанавливается на компьютеры с Windows (используя какую-нибудь уязвимость, позволяющую поставить софт удаленно, например), и сообщает о местоположении пользователя. Фишка в том, что тулза сканирует доступные вокруг WiFi-сети, и, используя информацию о геолокациях, вычисляет, исходя из данных о WiFi-сетях, местоположение пользователя. Данные сохраняются на компьютере, а затем, по необходимости, оператор ЦРУ сливает данные с компьютера, используя другие известные уязвимости и бэкдоры. https://wikileaks.org/vault7/document/Elsa_User_Manual/
Читать полностью…
