20206
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
И ещё одна ссылка от читателя об уязвимостях в Deep Packet Inspection тройки мобильных операторов России, которые позволяют сайтам узнавать ваш номер телефона, например. Вот, вам понравится:
«Билайн «прикрыл» уязвимость только в конце октября — сделал так, чтобы ее нельзя было эксплуатировать через веб-браузер, но любая программа, установленная на телефоне, может до сих пор получить доступ в личный кабинет, узнать номер телефона, сменить тариф, подключить опции.
МТС до сих пор не закрыл уязвимость. Любой сайт может узнать ваш номер телефона.
Мегафон ответил на первые два сообщения, но в дальнейшем не получал ответа от них.
Единственный, кто меня порадовал — представители Теле2. Отвечали быстро и четко, предложили денежное вознаграждение»
https://habrahabr.ru/post/345852/
Интересная презентация про исследования бесконтактных транзакций в Apple Pay и Android Pay https://media.ccc.de/v/34c3-8965-decoding_contactless_card_payments
Читать полностью…
Выход из контейнера Докера в хостовую ОС (ой) https://www.twistlock.com/2017/12/27/escaping-docker-container-using-waitid-cve-2017-5123/
Читать полностью…
забавная история про то, как сломать банкомат Сбербанка с Windows XP, пять раз нажав кнопку Shift. Денег из банкомата не намутишь таким образом, но все равно весело
https://habrahabr.ru/post/345038/.com
вот и Симантек пишет о том же
https://www.symantec.com/blogs/threat-intelligence/browser-mining-cryptocurrency
Атака на сайты WordPress с целью подбора брутфорсом админских логина-пароля, чтобы установить майнер криптовалют на сайте. Так что проверьте там, чтобы у вас был пароль посложней
https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/
Рубрика "никогда такого не было, и вот опять". В очередном бакете AWS обнаружили данные на 123 миллиона домохозяйств США, включая адрес, контактную информацию, наличие ипотеки, и проч. финансовую информацию. Информация была доступна любому пользователю с аккаунтом AWS
https://www.scmagazine.com/open-aws-s3-bucket-exposes-sensitive-experian-and-census-info-on-123-million-us-households/article/720067/
И об опасностях, которые вас подстерегают. Например, Ethernet кабель со скрытым микрофоном
Читать полностью…
Тут разворачивается очередная история с ФБР и зашифрованным айфоном. Террорист, расстрелявший 26 человек в церкви в Техасе, оказался владельцем айфона, защищённого Touch ID, и ФБР тут же обвинила шифрование данных в препятствии расследованию (https://www.theverge.com/2017/11/7/16618992/fbi-texas-church-shooting-encryption). А Reuters сегодня опубликовала статью о том, что ФБР не запросила вовремя помощь у Apple, и там упоминается, что якобы в течение 48 часов можно было попробовать разблокировать телефон пальцем убитого террориста. Там, похоже, зависит от того, как давно и как человек умер или погиб, но в некоторых ситуациях приложенный палец трупа может разблокировать телефон с Touch ID (https://www.cnbc.com/2017/11/08/the-fbi-may-have-lost-critical-time-unlocking-texas-shooters-iphone.html) а Apple в свою очередь подтвердила (https://twitter.com/JohnPaczkowski/status/928404789578293248), что компания вызвалась сразу помочь ФБР, но ФБР не воспользовалась предложением, так как рассчитывала воспользоваться навыками своих специалистов. Короче, тот ещё бардак, и как бы сейчас не началось опять «сделайте нам бэкдор»
Читать полностью…
кстати, нам тут пишут из Эстонии, поправляют про то, что у них там с картами происходит:
Привет. С одной стороны, перевыпуск карт не планируется — для существующих надо только поменять сертификат удалённо или в полиции (при генерации нового сертификата не будет использоваться проблемный блок). То есть, сами карты не заблокированы, а только существующие сертификаты на них. Для новых же карт налаживается этот самый перезапуск.
Вот фрагмент письма от полиции, например:
Уважаемый владелец ID-карты, digi-ID или карты вида на жительство!
Решением генерального директора Департамента полиции и погранохраны от 2 ноября 2017 года за номером 15.2-9/277-1 необновленные сертификаты вашего документа приостановлены начиная с 3 ноября 2017 года.
С приостановленными сертификатами у вас нет возможности пользоваться э-услугами или ставить цифровую подпись до того, как вы обновите сертификаты. Начиная с 6 ноября 2017 года до 31 марта 2018 года вы можете обновить сертификаты в своем компьютере дистанционно либо на месте в бюро обслуживания Департамента полиции и погранохраны.
Начиная с 1 апреля необновленные сертификаты будут аннулированы, для дигитального использования надо будет ходатайствовать в Департаменте полиции и погранохраны новую ID-карту.
Фейковый апдейт WhatsApp в Google Play, с юникодным пробелом в имени разработчика. Миллион закачек https://www.reddit.com/r/Android/comments/7ahujw/psa_two_different_developers_under_the_same_name/
Читать полностью…
я в сентябре еще писал о том, как в системе национальных электронных удостоверений Эстонии обнаружилась уязвимость, делающая использование этих национальных карточек, по большому счету, бессмысленной /channel/alexmakus/1347
так что с полуночи пятницы Эстония заблокировала использование этих карт для 760 тыс человек, и планирует полный перезапуск системы. электронное правительство — это хорошо, но опасно https://www.reuters.com/article/us-estonia-cyber/estonia-orders-online-id-lock-down-to-fix-security-flaw-idUSKBN1D312Q
ЦРУ убрали в оффлайн архив документов из дома бин Ладена. Видимо, до них дошло, что выкладывать несколько сотен гигабайт террористических документов - не очень хорошая идея
Читать полностью…
Кстати, про VPN. Читатель прислал вот - небольшой список сервисов, которые сказали, что будут (или не будут) сотрудничать с РКН: https://vc.ru/28288-novye-pravila-kak-vpn-servisy-otnosyatsya-k-zapretu-na-obhod-blokirovok
Читать полностью…
Вот ещё полезная презентация оттуда же (спасибо читателю) о реверс-инжиниринге микрокода x86 https://media.ccc.de/v/34c3-9058-everything_you_want_to_know_about_x86_microcode_but_might_have_been_afraid_to_ask
Читать полностью…
Расширение для Chrome, доступное в официальном магазине и установленное у сотни тысяч пользователей, подгружает Джаваскрипт для майнинга криптовалюты https://www.bleepingcomputer.com/news/security/chrome-extension-with-100-000-users-caught-pushing-cryptocurrency-miner/
Читать полностью…
классификация современных технологических гигантов и приватность вашей информации
Читать полностью…
Расскажу историю из личного опыта, в кои-то веки — как на меня лично повлияло то, о чем я пишу в этом канале. Помните же историю про Equifax, у которого украли данные на 145 млн американских пользователей, включая адреса, номера социального страхования, и много чего другого. (/channel/alexmakus/1352). Доступ этой информации кому не надо чреват тем, что, имея её, можно открыть на себя кредитные карты, взять ипотеку, открыть фирму и тд, а должен останется тот, чьи данные для этого использовали. Так вот, какое-то время назад я начал получать странные письма от банка, из серии "мы не можем вам дать ипотеку, так как у вас уже есть одна". WTF, подумал я, и даже спросил это у банка, но они только развели руками. А получение кредитов в США работает следующим образом:
- человек подает заявку на кредит в какую-нибудь кредитную организацию (банк и тд)
- кредитная организация подает запрос на получение информации о кредитной истории этого человека — в одно из трех агентств, которые такую информацию предоставляют. То есть все тот же Equifax, TransUnion, или Experian.
- Агенство дает ответ — можно дать человеку кредит или нет.
Каждый такой запрос снижает кредитный рейтинг человека, поскольку алгоритмы решают "ага, он нищеброд и ему нужны кредиты, значит, повышены риски!"
Так что, похоже, что в моем случае кто-то действительно получил мои данные и пробовал получить ипотеку с моими данными. Хорошо, что банк прислал мне письма с ответом на мой адрес.
Защититься от всей этой истории с утечкой данных и возможностью взять кредит за другого человека можно единственным методом — "заморозить кредитные запросы". То есть надо пойти в эти кредитные агентства и попросить их на все запросы о кредите отвечать "нельзя" — естественно, заплатив им за это денег.
Я после этих подозрительных писем из банка это сделал, конечно, но сегодня обнаружил, что мой кредитный рейтинг существенно просел, и одна из причин — это "большое количество запросов на кредит в последние 12 месяцев". Вот таким образом я лично пострадал от утечки данных Equifax, и, похоже, это теперь на всю жизнь.
вообще злодеи, распространяющие вредоносное ПО, начинают переключаться с возможности вымогать деньги у пользователя за выкуп доступа к данным на майнинг криптовалюты, что, видимо, выгодней
https://threatpost.com/crooks-switch-from-ransomware-to-cryptocurrency-mining/129229/
В рамках пятницы хорошая шутка с игрой слов (на английском)
"My password is "Snow White and the Seven Dwarfs"
This is to ensure its 8 characters."
Подписчик канала (а также по совместительству автор канала по схожей тематике /channel/vulns) прислал интересную авторскую статью об уязвимостях в различных сервисах, связанных с криптовалютой. Это должно помочь принять решение о том, где лучше хранить свои криптосбережения https://habrahabr.ru/post/343152/
Читать полностью…
Или разъём USB с gsm-трекингом. Никому нельзя верить, никому
Читать полностью…
У драмы с ФБР и айфоном техасского стрелка внезапно появилось продолжение. Хотя, впрочем, вполне ожидаемо. Американское министерство юстиции заявило, что шифрование данных - это плохо, и оно стоит людям жизней, а правоохранительные органы должны иметь возможность получить доступ к данным на телефоне преступника. Как бы опять не началось все то же самое, как было с ФБР полтора года назад, где ФБР требовала от Apple написать кастомную iOS для телефона стрелка из Сан Бернардино. Тогда, к счастью, обошлось. Сейчас времена немного другие, неизвестно, как оно повернётся ещё. http://www.washingtonexaminer.com/rod-rosenstein-criticizes-tech-companies-for-phone-encryption/article/2640147
Читать полностью…
В новостях всплыла новость про дешёвую клавиатуру на Алибабе, в которую якобы разу встроен кейлоггер. Такие сенсационные новости расходятся гораздо лучше, чем их опровержения, но вот я постараюсь исправить - в апдейте к статье оказалось, что отправляются не нажатые кнопки, а количество нажатий.
Updated, 11/7/2017, 8:40am PT: An earlier version of the article stated that the keyboard's software was sending key presses. However, in a closer look, it seems that the Cloud Driver software doesn't send the key presses to the Alibaba server but only how many times each key has been pressed.
Такая вот сенсация, что, впрочем, не мешает завтра появиться и клавиатуре с кейлоггером, так что вы там осторожно покупайте что попало
http://www.tomshardware.com/news/mantistek-gk2-collects-typed-keys,35850.html
Если немного глубже копнуть... в App Store такого нет. И в этом айфон отстаёт от андроида
Читать полностью…
уязвимость в Tor браузере позволяла утекать реальным IP-адресам юзеров на Маке и на Linux (удивительно, но в этот раз юзеров Windows проблема не затронула). Патч вышел в пятницу, если что. https://threatpost.com/tor-browser-users-urged-to-patch-critical-tormoil-vulnerability/128769/
Читать полностью…
Там в рамках программы Zero Day Initiative проходит конференция pwn2own, где народ активно взламывает айфоны, самсунги и прочие хуавеи. Отчёт о первом дне https://www.thezdi.com/blog/2017/11/1/the-results-mobile-pwn2own-day-one, отчёт о втором дне https://www.thezdi.com/blog/2017/11/2/the-results-mobile-pwn2own-2017-day-two
Читать полностью…
В публикации ЦРУ нескольких тысяч документов, изъятых в доме, где прятался Осама бин Ладен, самое интересное — это предупреждение о вредоносном ПО:
Prior to accessing this file collection, please understand that this material was seized from a terrorist organization. While the files underwent interagency review, there is no absolute guarantee that all malware has been removed.
https://www.cia.gov/library/abbottabad-compound/index_converted_documents.html
А админам Oracle будет интересно узнать о бэкдорной учётной записи в Oracle Identity Manager.
username: OIMINTERNAL
pwd: (один пробел)
Очень удобно
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html