20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
нет, я понимаю, что софт пишут люди, и баги и лажи случаются. но когда Apple, которая столько говорит о внимании к деталям и о безопасности информации пользователей, допускает подобные проколы, у меня просто нет слов. (при создании зашифрованного APFS-диска вместо хинта показывается пароль) https://twitter.com/felix_schwarz/status/915851372217683970/video/1
Читать полностью…
а вот еще спасибо читателю Тиграну за ссылку — Баг в Internet Explorer позволяет видеть содержимое адресной строки пользователя
https://3dnews.ru/software-news/959186
Ранее в сентябре Apple выпустила новые версии iOS и macOS. Всегда интересно потом читать содержимое фиксов безопасности новых версий — понимаешь, сколько опасностей нас на самом деле подстерегает, а мы и не знали
iOS 11 https://support.apple.com/en-us/HT208112
macOS 10.13 https://support.apple.com/en-us/HT208144
На прошлой неделе Apple опубликовала документ с деталями о том, как будет работать Face ID. Я рекомендую почитать этот документ, он содержит в себе ответы на вопросы, которые возникли после презентации iPhone X и анонса Face ID. Из документа можно узнать про цифровую репрезентацию лица, хранящуюся в Secure Enclave, о том, что данные с телефона никуда не уходят, как происходит обучение нейросети новым лицам и изменениям в лице пользователя, и что у близнецов вероятность ложного срабатывания выше, чем стандартные 1 из миллиона. Apple надо было этот документ опубликовать сразу, было бы меньше истерик и глупостей в интернете https://images.apple.com/business/docs/FaceID_Security_Guide.pdf
Читать полностью…
Смешная история про патриотически-клюквенное кино «Крым», ради продвижения которого в «Кинопоиске» взломали аккаунты юзеров и накрутили фальшивый рейтинг ожидания. Оставим за кадром обсуждение самого сюжета фильма, но мне непонятно вот что. Админы «Кинопоиска» утверждают, что взломали аккаунты пользователей, и 70 тыс взломанных аккаунтов проголосовали за фильм. И якобы речь идёт о реюзе паролей, и, мол, юзеры сами виноваты. Выглядит странновато, что внезапно в одном сервисе оказалось столько юзеров, которые пользовались ранее использованными и утёкшими паролями. Ну, может, все они пользовались паролем 123456, там, я не знаю. Но мне почему-то больше кажется, что речь идёт об уязвимости в самом «Кинопоиске», а не в паролях юзеров, хотя, конечно, реюз паролей - тоже зло. Берегите пароли смолоду! https://m.facebook.com/lisa.surganova/posts/10155600744074303
Читать полностью…
Информация опасносте
С Делойттом, сеть которого, как оказалось, тоже взломали ранее в этом году, всё очень весело. Похоже, злоумышленники там долго тусили в сети компании и украли много различной «чувствительной» информации, включая логины и пароли к VPN, прокси и другим сервисам компании, которые теперь к тому же выложили в сети. Ирония заключается в том, что Делойтт не просто бухгалтерским и налоговым аудитом занимается, там много разных сервисов (они и мне налоги подавали в России), в том числе и аудитов информационной безопасности. Такой вот сапожник без сапог https://www.theregister.co.uk/2017/09/26/deloitte_leak_github_and_google/ (за ссылку спасибо Денису)
@
Очень красивая визуализация различных информационных утечек. От этого ещё страшнее жить
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
За ссылку спасибо читателю Марку
Неприятная уязвимость в вышедшей сегодня новой версии macOS High Sierra - неподписанные приложения могут получить доступ к хранящимся в plain text логинах и паролях в Keychain. Чтобы запустить такое приложение, надо постараться и отключить встроенную в ОС защиту, но тем не менее. Берегите там себя
https://www.macrumors.com/2017/09/25/macos-high-sierra-security-vulnerability/
помните Equifax и взлом, потенциально "унесший" данные на 143 млн американцев? У WSJ статья о том, как работали взломщики — что первый взлом произошел 10 марта, а обнаружили взлом только 29 июля. Подтверждается также и информация о взломе через уязвимость в Apache Struts https://www.wsj.com/articles/hackers-entered-equifax-systems-in-march-1505943617
Читать полностью…
какая-то очень неприятная история с блокировкой Маков пользователей через Find My iPhone и последующим вымоганием выкупа. Типа, если потерял свои "доверенные" устройства, то можно получить доступ к Find My iPhone в iCloud даже без двухфакторной авторизации, и это позволяет хакерам блокировать Маки некоторых пользователей. Предполагается, что логины-пароли таких пользователей были обнаружены в других базах, утекших ранее (то есть как обычно, password reuse наносит удар в спину), и поскольку это фича iCloud, то как бы защищиться от этого можно только использованием абсолютно уникального пароля для iCloud. Так что берегите там себя и помните про гигиену паролей! https://www.macrumors.com/2017/09/20/hackers-find-my-iphone-remote-mac-lock/
Читать полностью…
А вот ещё несколько читателей прислали ссылку про маковский iTerm, который шлёт открытым текстом по сети то, что находится под курсором в DNS, чтобы проверить, не УРЛ ли это. Неприятная штука https://gitlab.com/gnachman/iterm2/issues/6050
Читать полностью…
я бы с радостью сказал "у меня для вас хорошие новости", но природа этого канала такова, что новости в основном плохие. Есть такая популярная программа, называется CCleaner, чистит всякий мусор из системы. Говорят, что у них почти 2 млрд скачек — это для понимания масштабов популярности приложения. Короче, несколько серверов, распространяющих дистрибутивы приложения, были взломаны, и на протяжении месяца распространяли улучшенную версию приложения, содержащую в себе вредоносный код. По оценкам экспертов, было заражено 2,27 млн пользователей, однако, похоже, в этот раз обошлось, потому что в рамках исследования был обнаружен метод блокировки вредоносного кода и он ничего плохого не сделал. Подробный отчет от Cisco Talos по ссылке http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
То есть если раньше можно было сказать "не качайте что попало откуда попало, и все будет хорошо", но последние инциденты с заражением легитимных приложений показывают, что качать вообще ничего ниоткуда нельзя. А еще лучше — отказаться от использования интернета вообще.
Вспомнил, что хотел спросить. Занимается ли тут кто-то тестированием информационной безопасности компаний? Один из читателей канала заинтересован в подобной услуге. Если кому-то интересно - напишите мне в почту, я передам контакты.
Важный момент: я не знаю, насколько в России отрегулирована эта сфера. Кто его знает, как там взлом от тестирования они отличают в рамках уголовного кодекса. Так что на ваше усмотрение, конечно же.
кстати, о ЛК. их исследование показывает, что в мире сейчас находится более 1,65млн компьютеров, которые майнят биткойны для кого-то еще. хотя как по мне, их, наверно, на самом деле гораздо больше
https://www.bleepingcomputer.com/news/security/over-1-65-million-computers-infected-with-cryptocurrency-miners-in-2017-so-far/
вдогонку про Equifax, взлом сайта которой, возможно, привел к утечке персональных данных на 143 млн человек. Сама компания утверждает, что злоумышленники воспользовались уязвимостью в софте сайта — Apache Struts, только CVE-2017-5638, а не то, о чем я писал раньше. проблема в том, что эта уязвимость была исправлена 6 марта этого года. Короче, опять бестолковость подвела. https://www.equifaxsecurity2017.com/
и говоря о бестолковости. В Аргентине сайт местного Equifax тоже хакнули. Ну как хакнули. когда у админского аккаунта логин И пароль admin, то я даже не знаю, считается ли это за хак https://www.bbc.co.uk/news/amp/technology-41257576
помните такую компанию Yahoo? ранее стало известно, что их систему взломали и речь шла о том, что злоумышленники получили доступ к информации о миллиарде пользователей? так вот вчера компания призналась, что в рамках взлома в 2013 году злоумышленники получили доступ к данным всех 3 миллиардов зарегистрированных пользователей в системе Yahoo. что меня в этом удивляет, конечно, так это откуда у Yahoo 3 миллиарда пользователей? видимо, многие из них боты и прочие спам-аккаунты, но тем не менее, логины-пароли-даты рождения и прочее тютю.
https://www.cnbc.com/2017/10/03/yahoo-every-single-account-3-billion-people-affected-in-2013-attack.html
кстати, прочитал интересный и полезный совет. Даже если вы больше не планируете пользоваться аккаунтом в Yahoo (это если он у вас был), не стоит идти и удалять его. дело в том, что через 30 дней после удаления аккаунта его можно опять создать — то есть при желании злоумышленники, найдя аккаунт в утекшей базе, могут создать его вместо удаленного, и туда что-то полезное вполне еще может упасть. лучше настроить на нем 2FA и забыть про него.
ссылка от читателя Якова, за что ему спасибо. все как я люблю, никогда такого не было, и вот опять! внезапно оказалось, что многие секс-игрушки с Bluetooth легко перехватить и получить над ними контроль. даже придумали название для такого процесса — screwdriving. находишь такое устройство поблизости, захватываешь управление, и замучиваешь пользователя вибрациями до смерти. ну, может, не до смерти, но в целом может оказаться неприятно. не устану повторять, что дальше будет только хуже — люди, которые понятия не имеют об информационной безопасности, лепят WiFi и BT куда попало, делая все устройства вокруг "умными", а на самом деле потом мы получаем ботнеты, обрушивающие интернет, и устройства, которые допускают утечку пользовательских данных. лучше я буду луддитом, да https://www.pentestpartners.com/security-blog/screwdriving-locating-and-exploiting-smart-adult-toys/
Читать полностью…
И вот ещё шикарная история с прошлой недели - про веб-сайты, которые втихаря майнят криптовалюту вашим компьютером, пока вы их посещаете. Никому нельзя верить, вообще никому https://www.theverge.com/2017/9/26/16367620/showtime-cpu-cryptocurrency-monero-coinhive
Читать полностью…
Меня тут попросили прорекламировать одно мероприятие на тему информационной безопасности. Так-то я не сторонник рекламы, но оказалось, что мероприятие БЕСПЛАТНОЕ для участников, и вполне может пригодиться читателям канала, поэтому я согласился бесплатно транслировать эту информацию, вдруг кому окажется полезным:
Приглашаем вас на вторую Школу Кибербезопасности, которая пройдет с 23 по 25 октября на двух площадках: в Московском Политехе и Инновационном центре «Сколково». Заявки принимаются до 10 октября.
Официальная страница мероприятия: https://sk.ru/opus/p/cyber-security-2017.aspx. Регистрация обязательна.
Программа Школы включает серию лекций, мастер-классов и практических заданий, обзор современного рынка информационной безопасности и перспективных направлений для продолжения образования и развития своей карьеры, лекции по веб- и облачной безопасности, технологии блокчейн.
Как проходила первая Школа Кибербезопасности можно посмотреть по ссылке https://vk.com/album-134639999_244456113
А вот ещё свежий взлом - популярной в штатах сети фастфуда Sonic, у которой в результате взлома украли, похоже, миллионы записей о банковских картах клиентов https://krebsonsecurity.com/2017/09/breach-at-sonic-drive-in-may-have-impacted-millions-of-credit-debit-cards/
Читать полностью…
Ещё немного и мне можно будет ничего не искать в интернете, читатели будут все сами мне присылать. Пишет читатель Евгений:
Сегодня ночью 8 камер DS-2CD1302-I (Firmware VersionV5.3.2 build 150525) в разных местах и на разных провайдерах были сброшены в заводские установки. HTTP и HTTPS светились в инет.
Оказалось, что прямо беда-беда ))
https://github.com/bp2008/HikPasswordHelper/
http://seclists.org/fulldisclosure/2017/Sep/23
Ситуация с обновлениями просто плачевная, в открытом доступе новых прошивок на эту серию нет, интеграторы пока тоже репу чешут.
Хорошие новости для россиян: Facebook в 2018 году должен выполнить российский закон о локализации персональных данных, в противном случае ресурс прекратит работу на территории РФ, сообщил журналистам глава Роскомнадзора Александр Жаров во вторник.
"Закон обязателен для всех. В любом случае мы или добьемся того, чтобы закон был исполнен, или компания прекратит работать на территории Российской Федерации, как, к сожалению, произошло с LinkedIn. Тут исключений нет", - сказал Жаров, отвечая на вопрос "Интерфакса" о сроках исполнения соцсетью Facebook соответствующего закона.
Зато производительность труда вырастет.
и ни дня без информации о взломе. Deloitte, одна из крупнейших консультационных компаний по бухгалтерскому учету и аудиту, стала жертвой кибератаки. Пока что не очень понятно, какая именно информация по каким клиентам компании попала в руки злоумышленникам https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails
я неоднократно говорил, что в плане таких информационных взломов и утечек дальше будет только хуже. Но сегодня у меня хорошее настроение, поэтому я скажу, что когда-нибудь потом все-таки станет лучше. но сначала все же будет хуже.
Говоря о пятничных факапах- ОХ! https://www.theregister.co.uk/2017/09/22/oh_dear_adobe_security_blog_leaks_private_key_info/
Читать полностью…
И опять же спасибо читателям, которые информируют, что утечку данных в iTerm уже исправили https://gitlab.com/gnachman/iterm2/wikis/dnslookupissue, так что обновляйтесь
Читать полностью…
Кстати, есть подозрение, что, возможно, хакнули EA, по крайней мере, я получил от Origin вот такое письмо о сбросе пароля. Лучше перестраховаться
Читать полностью…
ни дня без взлома. сегодня это Vevo — популярный онлайн-сервис для хостинга музыкальных видеокликов, доступ к ресурсам которой злоумышленники получили через фишинговую атаку на одного из сотрудников (через LinkedIn). 3,12ТБ данных утекли в интернет. https://gizmodo.com/welp-vevo-just-got-hacked-1813390834
Читать полностью…
ну и хорошие новости для Мак-юзеров. многие знают программу LittleSnitch для Мака — файерволл исходящих подключений. Но не все готовы платить за него деньги, которые за него просят. Патрик Вардл, автор блога Objective-See и давно рекомендуемой мной программы Block Block, выпустил _альфа-версию_ аналога LittleSnitch, под названием LuLu. В отличие от других продуктов Патрика, LuLu еще и в open source, что полезно для параноиков, помнящих, что он работал в NSA. Короче, все на ваш страх и риск, но мне кажется, что эта утилита будет полезной многим https://objective-see.com/products/lulu.html
Читать полностью…
В США все никак не отстанут от Лаборатории Касперского. Deparment of HomeLand Security — министерство национальной безопасности — выдало указание всем веткам федеральных органов идентицифировать все места, где используются продукты ЛК, и в течение 90 дней разработать план по прекращению использования продуктов компании. https://www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01
а там еще несколько дней назад была инфа, что крупный ритейлер электроники BestBuy прекратил продажу коробочных продуктов ЛК. Вот ведь прицепились они к Евгению.
А вот тут ещё какая-то аццкая жопень с уязвимостями, которые могут распространяться в том числе и через Bluetooth, затрагивающая чуть ли не все существующие устройства - телефоны, компьютеры, IoT, даже имя своё заработала - BlueBorne. Шутка ли - потенциально затрагивает 8 млрд устройств! Что-то вроде Broadpwn, но не требует WiFi. https://www.armis.com/blueborne/ (за ссылку в том числе спасибо читателю Артёму)
Хорошие новости, что про уязвимости сообщили крупным вендорам, и там все не так уже и плохо
Google – апдейт вышел 4 сентября
Microsoft – апдейт вышел 12 сентября
Apple – текущая версия не содержит уязвимости
Samsung – ответа не получено
Linux – апдейт должен выйти 12 сентября