13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
Я: собираюсь поработать
Интернет в зоне .ru: подержи мое пиво
Каким должен быть отечественный софт по мнению некоторых дилетантов от регуляторов
Скрепно — 🫡
Либерально — 🗿
В октябре прошлого года многие владельцы популярного у гиков и «не таких, как все» Google Pixel столкнулись с проблемами. Смартфон полностью вышел из строя после установки обновления, Пиксель постоянно перезагружался.
К моменту, когда Google выпустила обновление с исправлением багов, многие пользователи сбросили устройство до заводских настроек и потеряли свои данные.
С выходом январского обновления пользователи столкнулись с новыми проблемами: они не могут получить доступ к внутренней памяти устройства, запускать приложения, открыть камеру, сделать скриншот и так далее.
О сбоях сообщают владельцы
моделей Google Pixel 5, 6, 6a, 7, 7a, 8 и 8 Pro. Поэтому скорее всего проблема не ограничивается какой-то конкретной конфигурацией железа.
«Я удивлен, почему об этом не трубят на каждом углу, требуя от Google исправлений. Тратить столько денег на телефон, который становится непригодным для использования из-за обновления, крайне неприятно», — написал один из владельцев на форумах поддержки Google Pixel.
Пока инженеры компании не выявили и не устранили проблему, владельцам устройств рекомендуют не устанавливать январское обновление.
@cybersachok
Из IT дисциплин там только скорость набора текста на клавиатуре, я так понимаю?
Читать полностью…
Auf Wiedersehen, — сказал суд в Германии здравому смыслу.
Программиста, который нашел уязвимость в установленном у компании Modern Solution GmbH & Co. KG ПО оштрафовали. О найденной дыре фрилансер сообщил компании заказчика, но те, вместо благодарности отрубили сервер и написали на юного багхантера заявление в полицию.
Исследователь по итогу получил штраф в €3000. Обвинению и этого показалось мало, а судья решил, что использование пароля, который пентестер на фрилансе обнаружил в исполняемом файле, ни что иное, как пидорство хакерство.
Ну и как вести себя пентестерам, у которых с инстинктом самосохранения и пониманием того, как морально устарели некоторые статьи в законах да и люди в системе права, все норм?
Молчать. Не вмешиваться. Сидеть тихо. Я лишь крошечная частичка в этом мире, двигающая глобальный процесс эволюции.
В России, стоит сказать, с поиском багов и пентестом как-то посвободнее, несмотря на то, что в УК тоже до сих пор нет актуальных правовых понятий для баг хантеров.
За это и любим.
@cybersachok
Регуляторы, когда хочешь вернуть времена, где просто нужно было вовремя устанавливать обновление от западных вендоров
Читать полностью…
По просьбам наших дорогих радиослушателей ставим для студента из Томска, подававшего надежды будущего гениального пентестера, но выбравшего путь уголовника, замечательную песню. Зима близко. Согревайте друг друга теплом в эти крещенские морозы, а если одиноки, согревайтесь бокалом виски по 2 на лицо.
Читать полностью…
Сервера: мы отказываемся сегодня работать
Наш специалист в этот момент:
Потратился на праздниках? Самое время начать багхантить на Standoff 365 Bug Bounty!
🔜 Тем более часики-то тикают, и скоро некоторые программы завершатся. Но если начать исследовать прямо сейчас, есть все шансы получить максимальное баунти.
Успей найти уязвимости по программам до 29 января:
PT Network Attack Discovery (вознаграждение до 1 000 000 ₽)
PT Sandbox (до 1 000 000 ₽)
PT Cloud Application Firewall (до 500 000 ₽, программа действует до 20 января)
А также в рамках багбаунти-программы Ростовской области, которая действует до 13 февраля.
Типичный разговор сотрудников Positive Technologies и Лаборатории Касперского в кулуарах форумов
Читать полностью…
Спасибо за понимание, коллеги! Сейчас нам всем поддержки и понимания не хватает.
/channel/true_secator/5260
В ИБ-отрасли своя культура отмены? Как Ивлеева и Ко извиняться не будем. Сами не ожидали таких результатов, дядь Леш. Вот он самый настоящий «Черный лебедь», локальный.
/channel/alukatsky/9636
Ну и отдельно от редакции канала хотим отметить несколько компаний.
Бастион — компания с интересным вектором в продуктах и перспективами на разработку конкурентных на международном рынке решений.
Innostage — ИБ-компания из Татарстана, которая в этом году запомнилась созданием первого межвузовского SOC, нестандартным подходом к решению важных проблем ИБ и упорством.
Qrator и продукт Qrator AntiDDoS — один из самых актуальных на сегодня игроков, спасающий российские компании от массовых атак.
Общество: у тебя не получится стать лучшим пентестером
Я, весь год попадающий в цели при поиске уязвимостей
Что случилось с Рунетом?
Пользователи массово начали сообщать о сбое в работе сайтов в доменной зоне .ru.
«Нас отключили от глобальной всемирной сети? Кто-то в Роскомнадзоре опять нажал не на ту кнопку? Это тестирование работы суверенного чебурнета?».
Нет.
В доменной зоне .ru сломался DNSSEC. Если кто-то не знает что это, объясняем.
DNSSEC — это набор расширений протокола DNS, который гарантирует достоверность и целостность данных.
Солдаты НАТО и рукожопы внутри страны не причем.
А вот статья на Хабре об этом.
UPD: сбой мог произойти на стороне АНО «Координационный центр национального домена сети Интернет» — администратора национальных доменов верхнего уровня .RU и .РФ
@cybersachok
Новый шифровальщик Kasseika использует драйвер Martini.sys/viragt64.sys, чтобы отключать другие антивирусы в системе жертвы.
Исследователи из Trend Micro, обнаружившие Kasseika, говорят, что у кода нового вредоноса много совпадений с шифровальщиком BlackMatter. Последние в конце 2021 заявляли о завершении деятельности «в связи с давлением властей». Что происходит после «завершения деятельности» всем известно. Как правило, реинкарнация под новым названием и с апгрейдом вредоноса.
Атака нового шифровальщика работает по канонам — сначала фишинговое письмо сотруднику целевой организации.
Попав в систему и совершив нужные действия, вредонос добивается повышенных системных привилегий и может остановить любой из процессов, связанных с анализом, системными утилитами и инструментами безопасности.
Далее интересное: отключаются процессы антивирусов и запускается основной двоичный файл smartscreem_protected.exe, а также скрипт для устранения следов атак.
За расшифровку файлов вымогатели требуют заплатить 50 биткоинов.
@cybersachok
Аудитор информационной безопасности из Петербурга получил $16000 от Google за простую уязвимость, которую он нашел в Chrome. Между прочим, почти 1500 000 — стоимость однушки где-нибудь в сибирской глубинке. Мечта интроверта.
Читать полностью…
Как минимум 700 уязвимых серверов GitLab в России по-прежнему доступны в открытой сети.
После выпуска патча для уязвимости прошло уже две недели. CVE-2023-7028 позволяет угнать аккаунт жертвы без ее участия.
Поэтому тем, кто за время с выхода патча не установил обновление GitLab, обычного обновления будет мало. Все системы придется проверять на компрометацию.
Как это сделать — в руководстве от GitLab.
@cybersachok
Генеральный директор HP в интервью на полях Давоса, на вопрос, какого рожна они блокируют принтеры 🖨 с неофициальными картриджами, ответил буквально следующее: "Мы сталкивались с тем, что в картридж можно внедрить вирус, который через картридж попадает в принтер, а затем и в локальную сеть".
Оставим в стороне корректность этого заявления, массовость 😂 таких историй, а также усилия (их отсутствие) со стороны HP по предотвращению реализации такой возможности в принципе. Просто задам классический вопрос - у вас в модели угроз это предусмотрено? Вы проводите спецпроверки и специсследования покупаемых картриджей и как вообще вы проверяете их подлинность? В конце концов, если такое возможно для пиратских картриджей, то почему такое невозможно в легальных? Подумайте об этом на досуге!
Три варианта получения хэшей NTLM v2 через Microsoft Outlook и ряд программ Windows разработали исследователи Varonis.
Специалисты говорят, что уязвимость CVE-2023-35636
(у нее высокий уровень серьезности, но она уже исправлена в декабрьском PatchTuesday) может быть использована для получения хэшей NTLM благодаря отправке электронного письма пользователю Outlook.
Далее разворачивается цифровой театр действий с файлом конфигурации, процессом аутентификации, открытием “iCal” и доступом к NTLM-хэшу.
Злоумышленник отправляет письмо с включением двух заголовков: задача первого проинформировать Outlook о том, что содержание сообщения — общий контент, второго — указать сеанс жертвы на подконтрольный сервер.
Устройство жертвы при попытке открыть «iCal» во вредоносном сообщении пытается получить файл конфигурации с сервера хакера. Пока ищет процесс аутентификации, NTLM-хэш становится доступным.
Подробности про другие варианты атак можно почитать здесь.
@cybersachok
Перезагрузка смартфона — почти панацея от взломов. Так считает команда разработчиков GrapheneOS.
После первой разблокировки после включения устройства, криптографические ключи перемещаются в кэш, а приложения начинают корректно работать, устройство выходит из состояния покоя. Блокировка экрана в состояние покоя не возвращает.
А вот перезагрузка смартфона завершает все процессы и действия, которые могут быть использованы злоумышленниками. К тому же перезагрузка восстанавливает все процессы безопасности.
Решение предложили — функция автоматической перезагрузки, которая уже есть в ОС GrapheneOS.
Чем чаще сбрасываются системы защиты устройства, тем безопаснее, считают разработчики.
Режим полета, который многие считают полезной мерой для защиты от атак, позволяет производить обмен данными через Wi-Fi, Bluetooth, NFC и USB Ethernet. Тут масштабы рисков зависят от вектора атаки.
@cybersachok
Томский студент-программист атаковал университет и администрацию города. ФСБ возбудила дело по статье «Госизмена». Пишут, что парень совершал атаки по указанию украинских спецслужб.
А мог бы заработать на bug bounty и обеспечить хлебом всех размалеванных шлюх Сибири.
Баг в GitLab, потенциально угрожающий более 10 тысячам серверов в России, устранен в новом обновлении безопасности. CVE-2023-7028, о которой была речь в докладе НКЦКИ, получила 10 из 10 баллов по CVSS и позволяла захватить аккаунт без взаимодействия с пользователем.
По данным поисковой системы Netlas продукты GitLab на российских адресах насчитывают более 10 000 установок. Это третье место в мире.
Уязвимость, к слову, отлично вписывается в тренд последних лет: атака на цепочку поставок. Злоумышленник может встроить свои закладки в код, подключившись через уязвимость к платформе совместной разработки.
НКЦКИ предупреждает российских пользователей о том, что в связи с санкциями против России устанавливать патчи от вендора нужно только после «оценки всех сопутствующих рисков».
Поэтому для тех, кто не будет торопиться с установкой обновления, рекомендуем включить двухфакторную аутентификацию.
Поскольку уязвимость связана с аутентификацией и дает возможность злоумышленнику отправлять запрос на сброс пароля на рандомную почту(например ту, которую он захочет добавить как резервную), двухфакторная аутентификация сможет спасти.
@cybersachok
Решил маме на выходных объяснить, как на жизни отражаются утечки данных и показал, что находится в открытых базах данных после массовых сливов.
Теперь маме мало пустырника, пошла пить игристое. А я остался без борща.
И это я особо не прилагал усилий, чтобы искать данные и информацию.
Вообще, надо бы на ОБЖ в школах и университетах ввести такую тему, как инструментарий для проверки известной о вас информации в открытом доступе, базовые навыки OSINT и способы для очистки своего цифрового следа.
Так очевидно, но никто до сих пор не ввел. Эй, чиновники, вам там как живется в своих министерствах, пока вы занимаетесь какой-то оторванной от реальности и не приносящий реальной пользы хуетой?
Хотелось, конечно, выйти из новогодней спячки во вторник, но тут есть повод сделать это раньше.
Sachok впервые попал в ежегодный список топовых ИБ-каналов.
Не знаю, кто так хочет нам насолить. Но кто-то накрутил просмотры и реакции на пост об итогах года. Хотя пост вышел полчаса назад. Кто затаил обиду? Признавайтесь. Одна моя знакомая, которая на волне тренда астрологии(признана РАН лженаукой), начала давать прогнозы, сказала, что год дракона будет годом кармы.
Читать полностью…
Время оглашать итоги голосования, господа. Это было самое скандальное голосование по итогам года в ИБ-отрасли на моей памяти. Под финал все завершилось как плей-офф КХЛ ну или обычное зеленое дерби между татарским Ак Барсом и башкирским Салаватом Юлаевым, только цвет был красный🟥.
Тройки победителей, набравших больше всего голосов в номинациях:
«ИБ-телеграм канал года»
1 место — Пост Лукацкого
2 место — Secator
3 место — Security Lab
«ИБ-мероприятие года»
1 место — SOC форум
2 место — Positive Hack days
3 место — Positive Security days
«ИБ-проект года»
1 место — MTC RED ASOC
2 место — Positive Technologies NGFW
3 место — онлайн киберполигон Standoff 365
«ИБ-компания года»
1 место — MTC RED
2 место — Positive Technologies
3 место — Солар.
@cybersachok
Багхантеры, разминаем пальцы. Яндекс запустил новую движуху – до 31 января продлится конкурс по поиску XSS-уязвимостей в продуктах и сервисах компании. Награда за уязвимость, которая может привести к раскрытию чувствительных данных – до 500 000 рублей 🤑
✅Разрешается: максимально задействовать фантазию и комбинировать баги для повышения критичности уязвимости.
❌Не разрешается: использовать чужие аккаунты для поиска ошибок и тестировать потенциальные уязвимости на реальных пользователях.
К слову, пишут, что обходить CSP (Content Security Policy) не обязательно. Но в некоторых случаях награду могут уменьшить, если XSS требует клик и блокируется CSP.
Детали конкурса 👉 https://yandex.ru/bugbounty/i/xss-challenge