Информация опасносте

27 Jun 2017 17:57

Пояснение "человеческим" языком к предыдущему сообщению: в локальную сеть Petya.A попадает, используя уязвимость в офисных приложениях — как обычно, имейл-клик на документе, и аля-улю. а дальше по сети распространяется, используя уязвимость в SMB1, которую Microsoft исправила в мартовском апдейте. Кто не поставил после эпидемии Wcry мартовский апдейт — сам дурак (ну, или админ у них дурак)

Информация опасносте

27 Jun 2017 16:57

Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

Информация опасносте

27 Jun 2017 15:50

экран с требованием выкупа у этого нового вируса выглядит так

Информация опасносте

26 Jun 2017 17:54

Полезная инструкция о том, как обойти потенциальную блокировку Телеграма, если до этого дойдет http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26

Информация опасносте

26 Jun 2017 16:18

кстати, о Wcry. как ни странно, но отголоски эпидемии этого трояна доносятся до сих пор. Недавно Honda пришлось остановить производство автомобилей, потому что Wcry проник в компьютерную сеть одной из фабрик компании http://thehackernews.com/2017/06/honda-wannacry-attack.html. А в Австралии Wcry заразил систему управления камерами, фиксирующими нарушения — превышения скорости и проезда на красный свет. Представители вроде как утверждают, что это никак не повлияло на работу камер, но на всякий случай полиция отменила 590 выписанных штрафов. https://www.scmagazine.com/australian-contractor-accidently-infects-traffic-cameras-with-wannacry/article/670391/

Информация опасносте

26 Jun 2017 15:08

на выходных IT-инфраструктура британского парламента подверглась атаке хакеров. Кто и зачем это сделал — неизвестно, но судя по пресс-релизу, около 1% аккаунтов (из 9 тысяч) были скомпрометированы (читай — данные тю-тю). Причина того, что некоторые аккаунты все же были взломаны, по объяснению пресс-офиса парламента — "слабые пароли", не соответствовавшие рекомендациям IT-службы. Подозреваю, что дело не только в слабых паролях, но и в отсутствии практически обязательной нынче двух-факторной авторизации. Так что если вам нужен был знак, что надо наконец-то собраться с силами и активировать 2FA на почте-ФБ-Твитторе и тд — ЭТО ОН, ТОТ САМЫЙ ЗНАК.

Информация опасносте

24 Jun 2017 22:07

В качестве субботней развлекалочки - несколько картинок, которыми пугают пользователей в интернете ("вирусы, шмирусы", вот это всё)

Информация опасносте

23 Jun 2017 21:40

И если вы успели подумать "ну и ладно, буду пользоваться VPN", то у меня для вас снова плохие новости: сегодня Госдума в первом чтении единогласно одобрила проект закона о запрете средств обхода интернет-блокировок. Там речь идет в том числе и о VPN — если провайдер VPN откажется блокировать доступ к запрещенной в России информации, то этот сервис тоже будут блокировать http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=195446-7&02

Информация опасносте

22 Jun 2017 16:09

смешная история о том, как контракторы ЦРУ взламывали вендинговые машины в здании организации (сама история происходила в 2012-2013 году, но информация о ней стала доступна только сейчас). Некоторые умники придумали, что если у вендинговой машины отключить кабель платежной системы и потом расплачиваться картами без баланса, то можно нахаляву получать ништяки из вендинговых автоматов. за полгода успели сожрать снеков на 3,3 тыс долларов, молодцы какие! https://www.documentcloud.org/documents/3870932-CIA-Vending-Machine.html

Информация опасносте

21 Jun 2017 17:30

на Gizmodo интересная статья о сайтах, где данные, которые пользователь ввел в форму, сохраняются или отправляются куда-нибудь еще до того, как пользователь нажал кнопку "отправить". Все это построено на решении компании NaviStone, которая собирает данные о пользователях, чтобы потом, например, в оффлайне уже продолжить попытки "engage" пользователя, если он не закончил заполнение формы. мудацтво, надо сказать, то еще, так как это противоречит ожиданиям пользователя, который вроде как бы еще и не дал согласия на сбор данных. интересно, что даже по части данных от пользователя и данным о том, по каким сайтам пользователь ходил до этого, NaviStone может идентифицировать около 60-70% пользователей и "скрестить" их с реальным адресом в жизни. Где там уже macOS 10.13 с её блокировкой трекинга на сайтах? http://gizmodo.com/before-you-hit-submit-this-company-has-already-logge-1795906081

Информация опасносте

20 Jun 2017 17:21

И к более приземленным темам — про автомобили. Один мой знакомый поднял тут интересную тему, относящуюся к информационной безопасности. Современные автомобили с их Bluetooth и интеграцией с телефонами — это в том числе и потенциальный инструмент утечки персональных данных. Когда добавляешь телефон в машину, очень часто автомобиль закачивает в свое устройство адресную книгу и сообщения с телефона. Хорошо, если это ваш автомобиль, а когда это подменный или прокатный? Я уже неоднократно сталкивался с чужими СМС-ками в прокатных автомобилях, и всегда стараюсь удалять данные из прокатных и подменных автомобилей перед их возвратом. Да даже и собственный автомобиль, если его сдавать в trade-in, тоже может оказаться с сообщениями и адресной книгой, так что полезно не забывать удалять телефоны перед сдачей. Но следующий "уровень" — это "умные" автомобили, которыми можно управлять с телефона — открывать двери, заводить автомобиль и тд. Представляете, когда вы купили у кого-то автомобиль, забрали все ключи, а потом оказывается, что продавец все еще может с телефона открыть машину, завести её и уехать? Нехорошо получается :) Группа исследователей подняла этот вопрос перед автопроизводителями, и оказалось, что дилеры вообще были не в курсе как это делать, а производитель начал чесать репу по поводу того, что "отрезать" доступ со смартфона не так-то просто. А там, глядишь, и ransomware на автомобили подтянется — "заплати 2 биткойна, а то не сможешь поехать на работу". Короче, страшно жить :) (я уже, кажется, это говорил, но все эти недоработки в плане автомобильной информационной безопасности сдерживают меня от покупки более новой машины, потому что там слишком много компьютеризации без должной безопасности). Вот еще на BBC статья на эту тему http://www.bbc.com/news/business-40324983

Информация опасносте

20 Jun 2017 17:00

и об утечках. Тут исследователи обнаружили, что бараны из республиканской партии США выложили на сервер в AWS данные на почти 200 миллионов избирателей, включая имена, даты рождения, адрес, номер телефона, плюс информация о расе и религии. Файлы были в практически свободном доступе и кто его там мог скачать — неизвестно. 1,1 ТЕРАБАЙТ данных, на более чем 60% населения США. Я бы, конечно, за такое кого-нибудь расстрелял. Большие данные, вот это всё — это лишь предпосылки к БОЛЬШОЙ УТЕЧКЕ, рано или поздно. https://www.upguard.com/breaches/the-rnc-files

Информация опасносте

20 Jun 2017 16:49

и снова здравствуйте! С новой иконкой взломанной игрушки — к новостям из мира информационных опасностей. ВАЖНОЕ. помните MS17-010 — уязвимость Windows, информация о которой утекла из NSA, потом Microsoft выпускала патч в марте для нее, а в мае, похоже, северокорейские хакеры порадовали всех трояном Wcry, эту уязвимость активно эксплуатировавшим? там пострадали в основном компьютеры с Windows 7. Так вот, троян модифицировали с "поддержкой" Windows Server 2016, так что если вы администруете эту платформу, то лучше вам отключить там SMB1 https://github.com/worawit/MS17-010

Информация опасносте

19 Jun 2017 19:42

а тем временем в Европе происходят какие-то разнонаправленные движения по поводу информационной безопасности. Например, в Великобритании после всех терактов муссируется желание заставить мессенджеры сделать бекдоры в их шифровании, чтобы правооохранительные органы могли читать шифрованную переписку https://www.nytimes.com/2017/06/19/technology/britain-encryption-privacy-hate-speech.html?partner=IFTTT (странно, неужели все утечки из NSA их вообще ничему не научили?) Зато в ЕС (который как раз планирует покинуть Великобритания) хотят законодательно запретить бекдоры в шифровании https://www.engadget.com/2017/06/19/eu-proposes-banning-encryption-backdoors/ Хрен их там разберешь, короче.

Информация опасносте

16 Jun 2017 17:27

Кстати, о роутерах. Уже какое-то время назад собирался написать, но все никак руки не доходили. Уязвимость, используемая ЦРУ — не единственный канал утечки информации из роутера. Вот, например, производитель (в данном случае Netgear) прямо в прошивку роутера зашил функциональность сбора информации, в том числе количество устройств, подключенных к роутеру, IP-адреса, Мак-адреса, типы подключения, информация о каналах WiFi, и тд. Netgear, конечно, утверждает, что это все нужно для диагностики, но втихаря такое засовывать в апдейт тоже как-то не айс. Отключить можно, инструкция есть по ссылке http://securityaffairs.co/wordpress/59341/hacking/netgear-routers-data-collection-feature.html

Информация опасносте

27 Jun 2017 17:11

Похоже, что новый подвид Petya.A, разгуливающий сегодня — это комбинация CVE-2017-0199 (на которую я давал ссылку выше) и MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, она же — ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers). Универсальный совет — АПДЕЙТ, АПДЕЙТ, АПДЕЙТ!

Информация опасносте

27 Jun 2017 16:09

тут, кстати, читатель Владимир прислал ссылку на информацию про Petya.A — оказалось, что это не новая фигня и вроде как ловится с помощью Windows Defender. Возможно, то, что сегодня — какой-то новый подвид этого вируса https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024

Информация опасносте

27 Jun 2017 15:46

Так, котаны, здравствуйте. Сегодня по миру помчалась очередная эпидения вируса-шифровальщика, теперь его называют Petya.A. Говорят, пока что пострадали компании и госорганизации в России и Украине, и якобы не имеет отношения к Wcry. Пока что непонятно, какую именно уязвимость он использует, и каким апдейтом от него защищаться, но он поражает компьютеры с Windows и требует выкупа за расшифровку файлов. Информацию о выкупе просит присылать на wowsmith123456@posteo.net. Говорят, для предотвращения распространения нужно закрывать TCP-порты 1024–1035, 135 и 445. По мере поступления дополнительной информации редакция канала ею обязательно поделится

Информация опасносте

26 Jun 2017 17:14

пока существует такое мнение об анонимности, любая информация будет в опасности

Информация опасносте

26 Jun 2017 16:11

интересный ежеквартальный отчет McAffee о ситуации с вредоносным ПО в интернете. из него можно узнать, например, про наличие для мобильных платформ 16млн разных вредоносных программ, или про то, что количество зарегистрированных случаев заражения вредоносными программи под Мак выросло до 700 тыс (правда, это в основном adware — то есть какие-то софтины, показывающие рекламу в браузере, а не, например, ворующие данные или шифрующие файлы, как Wcry) https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf

Информация опасносте

26 Jun 2017 15:01

Я думаю, те, кто читает этот канал из России, и так прекрасно в курсе того, какая кампания сейчас развернулась против Телеграма в вашей стране. РКН "всего лишь" требует от Павла Дурова предоставить "ключи шифрования", не понимая, что в случае с end2end шифрованием все работает немножко по-другому. Дуров этим идиотам даже что-то там еще отвечает и пытается объяснять, хотя я лично считаю, что их просто нужно игнорировать. в любом случае риск того, что Телеграм в России начнут блокировать, достаточно неиллюзорный. Хотя, опять же, пытаться блокировать информацию в интернете — это весьма неблагодарное занятие. примерно как на этой гифке https://media.giphy.com/media/l0IylfpewZ3BTBN5u/giphy.gif

Информация опасносте

23 Jun 2017 21:52

а вот еще забавная история про Microsoft, которая хвасталась, что её "залоченная" версия Windows 10 S, которая вроде как должна позволять устанавливать программы только из Windows Store, супербезопасна и устойчива к современным атакам от ransomware. И хакеры такие сразу возбудились: "а ну-ка, подержи мое пивко!". Короче, закончилось все плохо для Windows — вордовый документ с макрухой отлично позволяет получить доступ к командной строке с админскими привелегиями. Ну а дальше уже дело техники получить контроль над другими процессами или получить доступ к файлам пользователя. Так что и ransomware вполне там может прижиться. http://www.zdnet.com/article/microsoft-no-known-ransomware-windows-we-tried-to-hack-it/

Информация опасносте

23 Jun 2017 21:37

Привет (правда, большинству из вас уже можно желать спокойной ночи). Однако, новости в этом канале такие, что, скорее, могут сон отбить. Я думаю, про борьбу Роскомнадзора с Телеграмом вы уже все слышали — там РКН пытается заставить Дурова записаться в реестр, который ведет РКН, а Дуров радостно игнорирует эти запросы. РКН угрожает применить те меры, которые ему доступны — то есть, заблокировать Телеграм. Так что если вдруг его таки заблокируют в России — ПОКА! (ну это сильно заранее, конечно, но мало ли. Проснетесь вы завтра утром, а уже всё).

Информация опасносте

21 Jun 2017 17:41

А вот еще интересное про QR-коды в Китае, где эта технология очень популярна. Они там везде и очень часто используются для оплаты различных услуг, например, прокатов велосипедов. Просканировал код, оплатил время использования велосипеда — и поехал. Этим активно пользуются злоумышленники: они распечатывают и расклеивают фальшивые QR-коды, и таким образом зачастую оплата уходит совсем не туда, куда она предназначалась. Более того, часто в QR-код маскируют вирусы и трояны для мобильных устройств, и в статье говорится, что 23% всех троянов и вирусов распространяется как раз через QR-коды. И, главное, хрен такие штуки отловишь — откуда пользователю знать, правильный QR-код или вредоносный? На вид они все одинаковые. Не зря я никогда QR-кодам не доверял. http://www.scmp.com/business/china-business/article/2080841/rise-qr-code-scams-china-puts-online-payment-security

Информация опасносте

21 Jun 2017 16:01

ESET предупреждает о новой фишинговой атаке – мошенники собирают данные банковских карт, действуя от лица сервиса Uber.

Новая мошенническая кампания началась 17 июня. Потенциальным жертвам высылают по электронной почте письма «из Uber», в которых предлагается получить крупную скидку на следующую поездку в такси.

Кликнув на баннер «акции» в письме, пользователь попадает на фишинговый сайт. Он не имеет ничего общего с настоящим сайтом сервиса, несмотря на то, что внешне напоминает оригинал, а в URL-адресе фигурирует слово «uber». Мошенники зарегистрировали поддельный сайт 16 июня, за несколько часов до начала атаки.

На фишинговом сайте пользователя поздравляют с «выигрышем» и предлагают создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке. Кнопка «входа» перенаправляет пользователя на поддельную страницу регистрации – там нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты.

После ввода данных пользователь попадет на настоящий сайт Uber, а мошенники получат информацию, необходимую для доступа к банковскому счету жертвы.

В ESET проверили статистику переходов по короткой ссылке из фишингового письма. С 18 июня «за скидкой» на сайт мошенников прошли почти 50 000 пользователей, преимущественно из Бразилии, США, Южной Кореи, Испании и Германии.

Информация опасносте

20 Jun 2017 17:10

парочка интересных новостей об уязвимостях, я их просто ссылками дам, кому интересно.

1. remote Code Execution в принтерах HP https://www.tenable.com/blog/rooting-a-printer-from-security-bulletin-to-remote-code-execution

2. Stack Clash — уязвимость в управлении памятью в Linux/Unix системах. По крайней мере, уязвимость локальная, а не удаленная, и уже есть патчи, так что UPDATE, UPDATE, UPDATE! https://blog.qualys.com/securitylabs/2017/06/19/the-stack-clash

Информация опасносте

20 Jun 2017 16:53

а корейский хостер Nayana был вынужден заплатить выкуп в 1 млн долларов, потому что более 150 Linux-серверов компании оказались зашифрованными "вымогательным" софтом Erebus. Оригинальный пост в блоге компании (на корейском — http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=961), а вот информация на русском, за которую спасибо читателю Владимиру http://www.opennet.ru/opennews/art.shtml?num=46726. Так что даже несмотря на относительно небольшую долю Linux, там тоже водятся достаточно опасные вредоносные приложения, которые даже не надо самому собирать (известная шутка про вирусы для Linux, которые еще надо было самому скомпилировать)

Информация опасносте

19 Jun 2017 19:43

а любителям технических новостей будет интересно узнать, что NSA открыла репозиторий в гитхабе, куда выкладывает инструменты и технологии, используемые организацией https://nationalsecurityagency.github.io

Информация опасносте

19 Jun 2017 19:39

и снова трудо выебудни с нами! по этому поводу начнем с новостей, от которых становится немного даже не по себе. например, компания-производитель кардиостимуляторов оказалась при прицелом, по сути, американского министерства здравоохранения, потому что эти самые кардиостимуляторы оказались уязвимыми для удаленной атаки по радиоканалу. прошитый пароль в устройство только упрощает ситуацию для злоумышленников. вот так при желании можно вызвать нарушение функционирования кардиостимулятора, и пациент с этим устройством довольно быстро закончится. В статье, разумеется, нет технических деталей, чтобы не подвергать пациентов дополнительной опасности, но все равно стремно очень http://fortune.com/2016/10/17/st-jude-cybersecurity/

Информация опасносте

16 Jun 2017 15:47

Кстати, о Wcry. Тут FBI и DHS опубликовали отчет о хакерской группировке HIDDEN COBRA, которая, говорят, ответственна за множество атак, включая историю с Wcry https://www.us-cert.gov/ncas/alerts/TA17-164A