Информация опасносте
Программирование
Подписаться

Более 100 тысяч устройств Zyxel оказались с бэкдором
- файерволлы, гейтвеи VPN, и тд содержат в себе захардкоженные логин-пароль для админского доступа удаленно. Логин zyfwp и пароль "PrOw!aN_fXp", ну с кем не бывает.

https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

Информация об апдейтах устройств https://www.zyxel.com/support/CVE-2020-
29583.shtml

Другие статьи канала Информация опасносте

Информация опасносте
Программирование
Подписаться
Ну что ж, продолжим и в новом году.

Вчера было некогда об этом писать, но вообще тут интересные танцы про SolarWinds и Microsoft. Несмотря на то, что Microsoft раньше отрицала, что её системы были взломаны в рамках большого взлома SolarWinds, позже оказалось, что это не так. (Microsoft называет историю с этим взломом Solorigate). А вчера ещё Microsoft опубликовала пост, в котором компания рассказала, что хакеры (подозревается, что группировка работает на СВР России) получили доступ к исходному коду некоторых продуктов компании. Отдельно компания уточняет, что нет доказательств доступа к рабочим системам или пользовательской информации. Судя по посту Microsoft, был скомпрометирован аккаунт сотрудника, через который просматривали, но не модифицировали) код в некоторых репозиториях. Хотя на первый взгляд это звучит ужасно, но все не так плохо: подход Microsoft заключается как раз в том, что код не является секретным для сотрудников компании, и компания исходит из того, что злоумышленники знают исходный код, когда Microsoft рассматривает модели угроз: At Microsoft, we have an inner source approach – the use of open source software development best practices and an open source-like culture – to making source code viewable within Microsoft. This means we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.

Чтение кода
- это не изменение процессов сборки или механизмов обновлений, как это было в случае с SolarWinds. Надо помнить, что Microsoft уже давно раскрывает свой исходный код многим правительствам (около 45 стран). Да и исходники у компании неоднократно утекали, даже в прошлом году был пост об этом в этом канале. Так что эта новость интересна тем, что Microsoft таки была жертвой взлома, и о самих масштабах доступа, но, наверно, не более.

https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/

Информация опасносте
Программирование
Подписаться
Ну и с наступающим.

Чтобы меньше утечек и уязвимостей, и больше информации безопасносте

Информация опасносте
Программирование
Подписаться

Новости из категории WTF
- сервис по продаже билетов на концерты и другие мероприятия Ticketmaster платит штрафы за взлом систем конкурента с целью получения информации о конкуренте

https://apnews.com/article/technology-new-york-new-york-city-courts-hacking-5aeb56e25c788681250cfd3d350cdbb0

Информация опасносте
Программирование
Подписаться

Благотворительная организация GetSchooled, которая помогает школьникам с поступлением в университеты, оставила открытой базу данных пользователей. В итоге то ли 250 тысяч, то ли больше 900 тысяч персональных данных школьников, включая имена и адреса, оказались доступными в сети

https://welpmagazine.com/bill-melinda-gates-foundations-charity-getschooled-breaches-900k-childrens-details/

Информация опасносте
Программирование
Подписаться

Большая победа против Apple
- судья отказал Apple в иске (по крайней мере, в его копирайтной части) против компании Corellium, разработчика решения по виртуализации iOS. Компания продаёт это как облачный сервис, предлагая виртуальные айфоны, которые можно «использовать» на компьютерах для, например, поиска уязвимостей в операционных системах. Apple подала иск, обвиняя Corellium в нарушении копирайта их программного обеспечения, судья же решил, что никакого нарушения не происходит. Apple также утверждала, что существует риск, что уязвимости, найденные с помощью решений Corellium, могут быть использованы для взлома всех других айфонов, что подвергает риску пользователей, но судья указал, что решения Corellium в данном случае благо, так как помогают улучшить безопасность для пользователей айфонов, и не являются конкурентным продуктом. Особой пикантности добавляет еще нюанс, что Apple в какой-то момент вела переговоры с Corellium о приобретении компании, и смогла тщательно изучить продукт изнутри. Часть иска, связанная с DMCA и утверждениями о том, что Corellium обходит защитные меры программного обеспечения, пока что остаётся.

https://www.washingtonpost.com/technology/2020/12/29/apple-corellium-lawsuit/

Информация опасносте
Программирование
Подписаться

Журналисты канала NBC в очередной раз решили нам напомнить о том, что всё цифровое вокруг нас собирает информацию. В этот раз речь идёт об автомобилях и новых методах расследований
- цифровая форензика автомобилей. Тут вам и информация о геолокации начала и конца поездки, скорость и ускорение, время открытия и закрытия дверей, информация о звонках и текстовых сообщениях, голосовые команды и история браузера. Всё это есть в компьютерных хранилищах многих автомобилей и представители правоохранительных органов все чаще используют эту информацию в своих расследованиях. Но с этим всем есть пару проблем: безопасность этих данных (хранение, шифрование, передача и тд), а также то, что и производители автомобилей к этим данным могут относиться гораздо более расслабленно, чем производители, например, смартфонов. Короче, все плохо (а статья интересна примерами, например).

https://www.nbcnews.com/tech/tech-news/snitches-wheels-police-turn-car-data-destroy-suspects-alibis-n1251939

Информация опасносте
Программирование
Подписаться
Есть такая компания TCL, производит телевизоры.

Много телевизоров, один из крупнейших производителей телевизоров в мире. Недавно исследователи обнаружили несколько уязвимостей в телевизорах под управлением операционной системы Android. Одна позволяла просматривать файловую систему устройства без пароля, вторая была интересней: похоже, что она отправляла скриншоты и логи пользовательской активности на сервер в Китае. Без ведома пользователя, конечно же. После информирования об этих недоразумениях китайцы выкатили патч, который поставился втихаря без информирования пользователей об этом. Что потенциально может значить, что TCL имеет полный контроль над устройствами, которые находятся у пользователя, по словам одного из исследователей (хотя надо отметить, что многие современные операционные системы умеют обновляться без всякого интерактива). Короче, теперь вроде как министерство нацбезопасности США собирается исследовать, нет ли там в телевизорах бэкдоров. TCL все отрицает. https://www.tomsguide.com/news/tcl-wolf-dhs-china-bashing

Информация опасносте
Программирование
Подписаться

рука и лицо... Сотрудники Годедди получили письмо с информацией о том, что на Рождество компания выплатит им 600 долларов, и надо было зарегистрироваться для его получения. Только бонуса им никто не дал, потому что это было фишинговое письмо. Более того, это был фишинговый тест от компании, и около 500 сотрудников тест провалили. С одной стороны, конечно, тест хороший
- злоумышленники-то могут использовать любую тему для фишинга. Но, наверно, есть некие этические пределы для тестов, особенно в это время, с праздниками, кризисом и тд.

PS вот вы пишете, что не должно быть этических пределов, потому что у преступников их нет. Ок, можно ли разослать фишинг с угрозами убийством, например? Нет, конечно. Пределы есть, просто они у каждого из вас свои.

https://www.engadget.com/godaddy-sent-fake-phising-email-promising-holiday-bonus-
220756457.html

Информация опасносте
Программирование
Подписаться

=== РЕКЛАМА ===

🌲 Начните Новый 2021 год с новыми скиллами в ИБ!

Практический онлайн-курс «Этичный хакинг. Практика тестирования на проникновение» стартует уже 21 декабря. Успейте пройти вступительный тест и присоединиться к группе с новогодней скидкой 30% https://otus.pw/h75O/

Освойте must have практики Реверс-инжиниринга на виртуальной машине с реальными малварами, найденными в сети. Единственный в России онлайн-курс, где вас ждет 4 месяца практики, интенсивных вебинаров и общения с опытным специалистом по информационной безопасности. Старт уже 23 декабря! Успейте пройти вступительный тест и занять место с новогодней скидкой
-30%

https://otus.pw/Ryxt/

Информация опасносте
Программирование
Подписаться

Пишут, что Apple наконец-то начала рассылать отобранным экспертам по безопасности специальные исследовательские айфоны с рутом для более тщательного изучения потенциальных уязвимостей в системе. Интересно, насколько пинком для них стала последняя история со взломанными айфонами журналистов Аль Джазира, о которой я писал пару дней назад? Там от сообщества раздавались жалобы о том, что если бы Apple была более открытой с сообществом (в том числе и с помощью таких специальных устройств), то, возможно, что подобные баги можно было бы раньше отловить

https://www.macrumors.com/2020/12/22/apple-security-research-device-program-launches/

Информация опасносте
Программирование
Подписаться

А поскольку среди людей с криптокошельками есть некоторое количество людей с высоким доходом, то эта утёкшая информация уже, похоже, стала применяться «по назначению», то есть для шантажа

Информация опасносте
Программирование
Подписаться

Я как-то пропустил, что в июле компанию-производителя аппаратных кошельков для криптовалюты Ledger взломали, украв оттуда базу данных клиентов. База включала в себя около 1 млн записей, содержащих имена, адреса электронной почты, а также настоящие адреса и номера телефонов примерно 270 тысяч реальных покупателей. При этом там история даже интересней, потому что компании сообщили об уязвимости в сайте, они её исправили, а через несколько дней кто-то все-таки взломал инфраструктуру и добрался до базы данных маркетинга.

https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Теперь же эту уведённую базу кто-то выложил в интернете

https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ

Там даже есть данные почти 6 тыс клиентов из России и Украины https://amp.rbc.ru/crypto/news/5fe057879a794768cb14040c

Информация опасносте
Программирование
Подписаться

Пару недель назад мне один из читателей писал о том, что в Казахстане опять начали внедрять государственный сертификат для перехвата HTTPS трафика. Доступ к многим зарубежным сайтам был заблокирован без установки этого сертификата. Официальная версия
- "учения по кибербезопасности", но кто ж им поверит? Наверно, не станет сюрпризом тот факт, что разработчики всех браузеров
- Apple, Google, Microsoft и Mozilla
- забанили этот рутовый сертификат, так что его нельзя будет установить в браузерах.

https://www.zdnet.com/article/apple-google-microsoft-and-mozilla-ban-kazakhstans-mitm-https-certificate/

Информация опасносте
Программирование
Подписаться
https://twitter.com/benhawkes/status/1340828174964252672

Информация опасносте
Программирование
Подписаться
И снова жопа в iOS, ну что ж такое.

Похоже, NSO group то ли сами нашли, то ли купили у кого-то уязвимость в мессенджера iMessage, и заказчик компании. использовали её для взлома журналистов и других сотрудников канала Al Jazeera. Нюанс в том, что использовалась цепочка уязвимостей, которая, видимо, включала в себя эксплойт iMessage, который был незаметен пользователям и не требовал никаких действий с их стороны. Предполагается, что эта цепочка под названием KISMET применялась в период с октября по декабрь 2019 года, возможными исполнителями взлома были Саудовская Аравия и Объединённые Арабские Эмираты. Как результат взлома, телефон мог удаленно записывать аудио с микрофона, и звонка, и делать снимки камерой. Также, считают исследователи, имплант мог сообщать о местоположении телефона и иметь доступ к паролям на устройстве. Потенциально это лишь часть жертв, и, возможно, о других мы ещё узнаем в будущем. Цепочка KISMET работала вплоть до iOS
13.
5.1 ещё в июле 2020 года, а в iOS 14, похоже, новые изменения безопасности сделали её эксплуатацию невозможной. Подробный отчёт об обнаружении результатов этих взломов по ссылке. Но вообще звучит как ситуация, которая на пиз начинается, на дец заканчивается. CitizenLab призывает всех, а особенно журналистов, обновиться до iOS 14, хотя стоимость таких эксплойтов и решений NSO Group такова, что использоваться это будет только очень таргетированно, против конкретных людей. Но все равно лучше проапдейтиться. https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

PS а ведь кто-то за такую цепочку уязвимостей вполне мог получить 3-5млн долларов

Рейтинг авторов

  • "Записки Дизайнера" (про дизайн и только про него 157 157 157
  • (Не) только немецкий 157 157 157
  • #анямастерконтента 157 157 157
  • #Фудтех 157 157 157
  • 10 идей и трендов дня 157 157 157
Показать весь рейтинг
Загрузка ...