Информация опасносте

20 June 2017 16:49

и снова здравствуйте! С новой иконкой взломанной игрушки — к новостям из мира информационных опасностей. ВАЖНОЕ. помните MS17-010 — уязвимость Windows, информация о которой утекла из NSA, потом Microsoft выпускала патч в марте для нее, а в мае, похоже, северокорейские хакеры порадовали всех трояном Wcry, эту уязвимость активно эксплуатировавшим? там пострадали в основном компьютеры с Windows 7. Так вот, троян модифицировали с "поддержкой" Windows Server 2016, так что если вы администруете эту платформу, то лучше вам отключить там SMB1 https://github.com/worawit/MS17-010

Информация опасносте

19 June 2017 19:42

а тем временем в Европе происходят какие-то разнонаправленные движения по поводу информационной безопасности. Например, в Великобритании после всех терактов муссируется желание заставить мессенджеры сделать бекдоры в их шифровании, чтобы правооохранительные органы могли читать шифрованную переписку https://www.nytimes.com/2017/06/19/technology/britain-encryption-privacy-hate-speech.html?partner=IFTTT (странно, неужели все утечки из NSA их вообще ничему не научили?) Зато в ЕС (который как раз планирует покинуть Великобритания) хотят законодательно запретить бекдоры в шифровании https://www.engadget.com/2017/06/19/eu-proposes-banning-encryption-backdoors/ Хрен их там разберешь, короче.

Информация опасносте

16 June 2017 17:27

Кстати, о роутерах. Уже какое-то время назад собирался написать, но все никак руки не доходили. Уязвимость, используемая ЦРУ — не единственный канал утечки информации из роутера. Вот, например, производитель (в данном случае Netgear) прямо в прошивку роутера зашил функциональность сбора информации, в том числе количество устройств, подключенных к роутеру, IP-адреса, Мак-адреса, типы подключения, информация о каналах WiFi, и тд. Netgear, конечно, утверждает, что это все нужно для диагностики, но втихаря такое засовывать в апдейт тоже как-то не айс. Отключить можно, инструкция есть по ссылке http://securityaffairs.co/wordpress/59341/hacking/netgear-routers-data-collection-feature.html

Информация опасносте

16 June 2017 15:35

и снова здравствуйте! я бы и хотел пожелать вам хорошей и безопасной пятницы, но природа этого канала такова, что у меня только плохие новости, от которых становится только страшнее. Вчера Wikileaks выложили очередную порцию информации о хакерских инструментах, используемых спецслужбами, и оказалось, что роутеры от десятка производителей, включая Asus, Belkin, Buffalo, Dell, Dlink, Linksys, Motorola, Netgear и др, обладают уязвимостью, которая может быть использована ЦРУ для мониторинга входящего и исходящего трафика. Проект по несанкционированному доступу к роутерам называется романтично — "цвет вишни" (CherryBlossom). Особо уязвимы роутеры D-Link DIR-130 и Linksys WRT300N, поскольку с помощью уязвимости "помидор" (я не шучу, её кодовое название в документации — Tomato) можно получить админский пароль с устройства (если активирована фича Universal plug-n-play). Почитать о CherryBlossom можно здесь https://wikileaks.org/vault7/releases/#Cherry%20Blossom, а 175-страничное "руководство пользователя" — здесь https://wikileaks.org/vault7/document/SRI-SLO-FF-2012-177-CherryBlossom_UsersManual_CDRL-12_SLO-FF-2012-171/

Если вы успели хмыкнуть "ну, ЦРУ в мой роутер не полезет", то хочу сказать следующее: да, ЦРУ к вам, может быть, и не полезет. Но теперь, при наличии информации об этой уязвимости в публичном доступе, инструменты для доступа к роутерам появятся и у обычных злоумышленников. Да, производители, наверно, выпустят апдейтов, но поставят их далеко не все пользователи (как это уже было в истории с Wcry, где была использована информация об уязвимости, которую успела запатчить Microsoft, но многие пользователи решили, что устанавливать патч необязательно). А апдейтить роутеры обычно еще более муторный процесс, чем компьютер, так что, как обычно, дальше будет только хуже.

Но есть и хорошая новость! если вам повезло и у вас WiFi роутер Apple, то, похоже, у них иммунитет к этой уязвимости и ваш трафик находится в безопасности. никогда такого не было, и вот опять!

Информация опасносте

14 June 2017 16:56

интересно. если сходить через Тор на сайт zkkc7e5rwvs4bpxm.onion, там за 500 долларов в месяц можно подписаться на сервис, который, используя уязвимости в SS7 (Signaling System 7, международный телекоммуникационный стандарт для обмена информацией между телефонными сетями), позволяет получить доступ к звонкам и сообщениям абонентов телефонной связи. Не очень понятно, как там с ограничениями по географическим регионам, плюс на сайт довольно много жалоб, что даже после оплаты они игнорируют клиентов, но в целом это хорошее очередное доказательство того, что а) жить страшно, и б) лучше не доверять двухфакторным авторизациям по SMS

Информация опасносте

13 June 2017 19:56

как вредоносное ПО для Android живет и распространяется через Google Play. Никогда такого не было, и вот опять! https://www.grahamcluley.com/android-malware-hid-google-play-apps-inject-code-system-runtime-libraries/

Информация опасносте

13 June 2017 19:51

если вдруг (маловероятно, но вдруг!) среди вас остались еще те, кто пользуется Windows XP, то для вас Microsoft выпустила очередной апдейт, исправляющий, похоже, какую-то аццкую дыру в безопасности. В мае уже был апдейт, исправляющий уязвимость, активно эксплуатируемую трояном Wcry, а вот теперь что-то новое. Рекомендуется к установке "незамедлительно" (хотя по статистике, например, большинство компьютеров, пострадавших от Wcry, оказались на Windows 7). Но XP — она такая, живучая

Информация опасносте

09 June 2017 17:16

а вот интересная ссылка, присланная читателем Яковом, о том, как азиатские хакеры обходят firewall в Windows, используя AMT — Active Management Technology https://arstechnica.com/security/2017/06/sneaky-hackers-use-intel-management-tools-to-bypass-windows-firewall/

Информация опасносте

08 June 2017 20:33

Вот, например, игровая студия узнала, что злодеи могут воровать материалы игр в разработке (у них требуют выкуп, они его отказываются платить)

Информация опасносте

08 June 2017 14:09

или вот, например, в Госдуму внесли законопроект, которым предлагается блокировать приложения, позволяющие пользователям получать доступ к запрещенным сайтам — VPN, Tor, вот это все. Еще и планируется обязать поисковые системы не показывать ссылки на заблокированные ресурсы. Кажется, я слышу хохот из Маунтейн Вью. Конечно, это пока что законопроект, но одно неловкое движение президентской руки — и он превращается в закон. Почитайте, там интересно — законопроект направлен на создание механизмов влияния на провайдеров, а не физлиц, то есть за вами, если вы пользуетесь VPN, никто вроде как гоняться не будет, а вот провайдер блокировать будет обязан. http://asozd2.duma.gov.ru/addwork/scans.nsf/ID/F071CE249CC1BD814325813900378252/$File/195446-7_08062017_195446-7.PDF?OpenElement

Информация опасносте

06 June 2017 17:33

У нас тут разгорелась еще дискуссия по поводу желтых точек, которые печатают цветные принтеры — так называемая "стеганография принтеров", или "printer forensic dots". Формально это якобы для предотвращения печати поддельных документов и денег, но, как вы видели из предыдущего сообщения, это позволяет выявлять и источники утечки информации. EFF утверждает, что подобную систему применяют все производители цветных принтеров, хотя пока что расшифрован только код принтеров Xerox. У EFF даже есть список принтеров и информация о том, печатают или не печатают они эти самые желтые точки (https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots). Есть предположения, что и у чернобелых принтеров может быть похожая схема с маркировкой, но конкретной информации, как по желтым точкам, для монохромных принтеров нет.

Информация опасносте

06 June 2017 12:11

Например, вот исследование про кардиостимуляторы. Эксперты взяли 7 популярных кардиостимуляторов от 4 производителей и обнаружили суммарно более 8 ТЫСЯЧ известных уязвимостей в ПО и библиотеках, которые используются для обеспечения работы этих самых кардиостимуляторов (конкретные модели в отчете не называются, так как информация о проблемах была передана разработчикам). Эти уязвимости встречаются и в сегменте передачи данных с устройств к доктору, так и в сегменте, где доктор подкручивает настройки стимулятора. Так что опасность распространяется вплоть до того, что злоумышленник, получив контроль над устройством, может изменить его настройки и убить человека, у которого установлен имплант. А ведь медицинское оборудование все больше подключают к интернету. Я уже тут как-то писал про "умную" капельницу, у которой обнаружились похожие изъяны, и злодеи могли удалённо изменять дозировку лекарств, выдаваемых капельницей, что также могло привести к летальному исходу. http://blog.whitescope.io/2017/05/understanding-pacemaker-systems.html?m=1

Информация опасносте

05 June 2017 18:46

а читатель Дмитрий (@bo0om_ru) прислал ссылку на бота в телеграмме (@GetSploitBot), который умеет сообщать о последних уязвимостях в различных продуктах. Достаточно набрать название продукта (wordpress, macos или android), и бот выдает список уязвимостей в продукте за последний, как я понимаю, месяц. вдруг вам зачем-то это пригодится

Информация опасносте

02 June 2017 16:53

Небольшое дружеское отклонение от темы: если вы — пользователь более безопасной платформы Apple (iOS или macOS), вам может быть интересно затусить с единомышленниками в рамках Мак-тусовки в честь открытия WWDC 2017. Когда-то, в прошлой жизни, даже я организовывал такие мероприятия, и я рад, что есть люди, которые продолжают этим заниматься http://apple-russia.livejournal.com/1303599.html

Информация опасносте

02 June 2017 16:16

Wikileaks вчера опубликовали интересный материал о малвари Pandemic, которую использовали в ЦРУ для заражения компьютеров с Windows. Там интересные детали с заражением машин в локальной сети и подменой кода на ходу https://wikileaks.org/vault7/#Pandemic Правда, там нет информации о том, как происходит изначальное заражение, так что непонятно, насколько потенциально критична публикация такой информации.

Информация опасносте

19 June 2017 19:43

а любителям технических новостей будет интересно узнать, что NSA открыла репозиторий в гитхабе, куда выкладывает инструменты и технологии, используемые организацией https://nationalsecurityagency.github.io

Информация опасносте

19 June 2017 19:39

и снова трудо выебудни с нами! по этому поводу начнем с новостей, от которых становится немного даже не по себе. например, компания-производитель кардиостимуляторов оказалась при прицелом, по сути, американского министерства здравоохранения, потому что эти самые кардиостимуляторы оказались уязвимыми для удаленной атаки по радиоканалу. прошитый пароль в устройство только упрощает ситуацию для злоумышленников. вот так при желании можно вызвать нарушение функционирования кардиостимулятора, и пациент с этим устройством довольно быстро закончится. В статье, разумеется, нет технических деталей, чтобы не подвергать пациентов дополнительной опасности, но все равно стремно очень http://fortune.com/2016/10/17/st-jude-cybersecurity/

Информация опасносте

16 June 2017 15:47

Кстати, о Wcry. Тут FBI и DHS опубликовали отчет о хакерской группировке HIDDEN COBRA, которая, говорят, ответственна за множество атак, включая историю с Wcry https://www.us-cert.gov/ncas/alerts/TA17-164A

Информация опасносте

15 June 2017 15:23

интересная статья на Bleeping Computer (за ссылку спасибо читателю) о рынке вредоносных ПО для Маков (который, по словам авторов статьи, постепенно подрастает). В качестве примера они рассказывают о двух новых вредоносных программах для Мака — MacSpy и MacRansom, первая из которых должна как-то там следить за пользователями, вторая — вымогать выкуп. Но поскольку обе написаны явно начинающим автором, то ни одна из них толком не работает, и даже поставить их на Мак будет непросто, учитывая отсутствие цифровой подписи. Это, конечно, не означает, что Мак-пользователям стоит расслабляться, потому что за такими недоучками придут и более опытные товарищи, хотя до масштабов Wcry Макам все равно никогда не добраться https://www.bleepingcomputer.com/news/security/macransom-and-macspy-malware-as-a-service-portals-put-mac-users-on-alert/

Информация опасносте

14 June 2017 16:48

И снова здравствуйте! Государственная дума приняла в первом чтении законопроект, который запрещает анонимно общаться в мессенджерах. Документ запрещает оказывать услуги пользователям, личность которых не установлена. Предполагается, что идентификация будет происходить по номеру телефона, который должен быть привязан к гражданскому паспорту.
Действие законопроекта распространяется только на официально зарегистрированные в России мессенджеры (белый список мессенджеров, хахахаха. Телеграм, WhatsApp - приготовиться к блокировкам). За отказ регистрироваться Роскомнадзор может блокировать доступ к мессенджерам, как это уже было с китайским WeChat.

Информация опасносте

13 June 2017 19:54

Собственно, сам апдейт вы можете скачать из Windows Update, это обновление доступно не только для XP, но и для Vista. Интересный комментарий у Microsoft по поводу выхода такого апдейта: "мол, мы так-то Windows XP не поддерживаем, потому что она уже давно тютю устарела, но поскольку есть риск, что некое государство (оно, конечно, не называется) может использовать информацию об уязвимости для атаки на компьютеры с Windows, то мы делаем исключение."

Информация опасносте

12 June 2017 16:25

И снова здравствуйте! Цитируя читателя Марка, который прислал мне письмо: "Отличная статья поясняющая техническую сторону вакханалии РКН. Просто понятно и четко.

https://aminux.wordpress.com/2017/06/10/rkn-leg-shoot/" Энжойте!

Информация опасносте

09 June 2017 17:13

Тем временем комитет Госдумы по информационной политике рекомендует принять законопроект о мессенджерах. Так что деанонимизация пользователей — уже в скором будущем. там по ссылке в статье еще много разного мракобесия https://rublacklist.net/29109/

Информация опасносте

08 June 2017 14:11

А вот еще РБК пишет, что "в России в 2016 году было зафиксировано 213 случаев утечки информации, в результате чего было скомпрометировано 128 млн записей конфиденциальных данных, в том числе относящихся к банковским картам и счетам, а также другая критическая информация. Об этом говорится в ежегодном исследовании группы компаний InfoWatch (есть у РБК), специализирующейся на корпоративной информационной безопасности. Исследование проводилось на основе собственной базы аналитического центра InfoWatch, состоящей из анализа публичных сообщений об утечках." Информация точно опасносте! http://www.rbc.ru/technology_and_media/08/06/2017/5937ddda9a79471a1683d2a2?from=main

Информация опасносте

08 June 2017 14:04

И снова здравствуйте. После вчерашней вынужденной паузы возвращаемся к трансляции новостей и мира, где информацию подстерегают опасносте. И сегодня у меня как-то накопилось много новостей для пользователей из России. Например, о том, как РКН пару дней назад случайно вызвал проблемы в работе Телеграма и с чем это связано /channel/unkn0wnerror/307 Эти красавцы, чувствую, в один хороший день случайно весь интернет заблокируют, а потом забудут включить его обратно.

Информация опасносте

06 June 2017 16:45

Вчера издание The Intercept опубликовало отчет Агентства Национальной Безопасности США (та самая ужасная NSA) о том, как якобы российские хакеры якобы пытались повлиять на результаты голосования во время выборов президента США. Статью про отчет можно почитать тут (https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/), но я не об этом даже хотел рассказать. Там есть интересное продолжение о том, что NSA смогли вычислить человека, который организовал утечку этого отчета, и теперь ей грозит до 10 лет заключения. Дело в том, что сам отчет распечатала девушка по имени Reality Winner (я так и не понял, настоящее это имя, или нет), и уже распечатанную версию отправила в the Intercept. Издание опубликовало ПДФ просканированных картинок. Оказалось, что большинство современных цветных принтеров печатают невидимые желтые точки, которые позволяют вычислить, где и когда был напечатан документ. А уже по этой информации в NSA определили, кто именно его напечатал. У EFF есть статья о том, как эти точки расшифровываются (https://w2.eff.org/Privacy/printers/docucolor/), а в этой статье (http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html?m=1) показывается, как вычисляется тот самый принтер в NSA, на котором Reality Winner распечатывала документ. Короче, везде враги и слежка!

Информация опасносте

06 June 2017 11:58

Привет всем, кто к нам присоединился после поста Саши Плющева об интересных каналах в Телеграме. Ну и редакции канала приятно было попасть в этот список: /channel/PlushevChannel/721
оставайтесь с нами, я вам гарантирую, что скучно не будет - информация опасносте всегда, и дальше будет только хуже :)

Информация опасносте

05 June 2017 18:37

в интернете всплыла база данных с 10 миллионами записей автомобильных VIN-номеров. и если бы только там были VIN-ы. это информация о владельцах автомобилей, включая имя, адрес, телефоны, имейлы, даты рождения и пол. Об автомобилях там можно найти VIN, модель, год, пробег, информацию о продаже, включая ежемесячные платежи по кредиту за автомобиль. Эта информация может быть использована злоумышленниками для "клонирования VIN", чтобы угнанный автомобиль выглядел неугнанным https://mackeepersecurity.com/post/10-million-vin-numbers-exposed

Информация опасносте

02 June 2017 16:19

А вот Checkpoint пишут о неком рекламно-вредоносном ПО под названием Fireball, которое, по их мнению, заразило уже более 250млн компьютеров по всему миру. Сейчас Fireball занимается тем, что перехватывает запросы в браузере и затем позволяет его создателям зарабатывать деньги просмотрами рекламы, но потенциально оно может закачать какой-то другой код в себя и превратиться во что-то более опасное. https://www.infosecurity-magazine.com/news/fireball-infects-20-of-corporate/

Информация опасносте

02 June 2017 16:12

И снова здравствуйте! в эту прекрасную пятницу (хотя многие не считают её прекрасной, потому что, например, в Питере идет снег 2 июня) — забавная история про датацентр British Airways. На прошлой неделе у них произошел факап — отрубились все IT-системы компании, что в комбинации с длинными выходными в США и увеличенным потоком пассажиров привело к потерям компании в размере 128млн долларов. Сначала поговаривали, что датацентр BA стал жертвой хакерской атаки, даже шутили, что это Wcry до них добрался. Все оказалось гораздо прозаичнее: подрядчик, отвечающий за функционирование дата-центра компании просто отключил электричество в этом дата-центре, что вызвало такие катастрофические последствия. Сразу вспоминается анекдот про умиравших в больнице на определенной кровати, а потом оказалось, что это уборщица, приходившая в палату, отключала какое-то важное устройство для жизнеобеспечения, чтобы подключить пылесос в розетку. Опасносте — они везде!