#news Гугл работает над новой фичей под Chrome, которая должна решить вопрос кражи куки. Device Bound Session Credentials, попросту говоря, привязанные к устройству куки. Так что будучи с него стянутыми, куки будут бесполезны.
После подключения DBSC аутентификация идёт через пару из публичного и приватного ключа, которые генерирует доверенный платформенный модуль. Соответственно, завязанные на TPM (или иные решения) куки вынудят злоумышленника действовать локально с устройства — а это уже совсем другая история. Фича пока на стадии прототипа, но её уже можно протестировать в браузерах на Хромиуме. В дальнейшем её планируют распространить на Google Workspace и Google Cloud. А в перспективе это звучит как новый стандарт под окончательное решение проблемы кражи куки в её текущем виде. Подробнее о DBSC в блоге Хромиума.
@tomhunter
После подключения DBSC аутентификация идёт через пару из публичного и приватного ключа, которые генерирует доверенный платформенный модуль. Соответственно, завязанные на TPM (или иные решения) куки вынудят злоумышленника действовать локально с устройства — а это уже совсем другая история. Фича пока на стадии прототипа, но её уже можно протестировать в браузерах на Хромиуме. В дальнейшем её планируют распространить на Google Workspace и Google Cloud. А в перспективе это звучит как новый стандарт под окончательное решение проблемы кражи куки в её текущем виде. Подробнее о DBSC в блоге Хромиума.
@tomhunter
🔥9🤡3❤1😢1🎉1💩1
#news Новости российского инфобеза. У разработчика системы бронирования Leonardo «Сирена-Трэвэл» сегодня прошли обыски. И как доверительно сообщают СМИ, связаны они... с DDoS-атакой 28 сентября прошлого года.
Тогда система прилегла, что привело к задержке нескольких рейсов в среднем на полчаса. Ну а теперь разработчика настигло внезапное возмездие. В офисе прошла выемка документов. А правоохранители, кхм, «изучают технику для установления возможных уязвимостей». Извините. Это цитата. Как сообщает «Коммерсант», предположительно обыски также проходят в домах двух связанных с Leonardo людей. В общем, дорогие любители инфобеза, похоже, затянувшееся обсуждение ужесточения закона об утечке данных и прочем сопутствующем приняло радикальный оборот. Такой вот он, суровый отечественный ИБ-аудит.
@tomhunter
Тогда система прилегла, что привело к задержке нескольких рейсов в среднем на полчаса. Ну а теперь разработчика настигло внезапное возмездие. В офисе прошла выемка документов. А правоохранители, кхм, «изучают технику для установления возможных уязвимостей». Извините. Это цитата. Как сообщает «Коммерсант», предположительно обыски также проходят в домах двух связанных с Leonardo людей. В общем, дорогие любители инфобеза, похоже, затянувшееся обсуждение ужесточения закона об утечке данных и прочем сопутствующем приняло радикальный оборот. Такой вот он, суровый отечественный ИБ-аудит.
@tomhunter
😁12🤡6🔥3❤1
#cve Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода.
Оригинальной уязвимостью отметились RFID-замки от Saflok: 3 миллиона замков в 13 тысяч отелей и домов по всему миру вскрываются парой поддельных карт. Помимо этого, март принёс критические уязвимости в гипервизорах VMware, NextChat и FileCatalyst, а также очередную вариацию Spectre v1. Об этом и других интересных уязвимостях прошлого месяца читайте на нашем Хабре!
@tomhunter
Оригинальной уязвимостью отметились RFID-замки от Saflok: 3 миллиона замков в 13 тысяч отелей и домов по всему миру вскрываются парой поддельных карт. Помимо этого, март принёс критические уязвимости в гипервизорах VMware, NextChat и FileCatalyst, а также очередную вариацию Spectre v1. Об этом и других интересных уязвимостях прошлого месяца читайте на нашем Хабре!
@tomhunter
🔥3❤2
#news Госдепартамент США расследует предполагаемую утечку государственных данных. И непростую, а якобы последовавшую за взломом компании Acuity. Господрядчика, ответственного за DevSecOps, айти и инфобез в сфере нацбезопасности. В общем, двойное бинго.
По утверждениям злоумышленника, в сливе секретные документы, связанные с альянсом Пять Глаз и прочими разведывательными инициативами США и союзников. Утечка идёт от товарища IntelBroker, ранее отметившегося сливами из штатовских госорганов, так что новости интересные. Помимо заявленного, в сливе также ФИО, почтовые адреса и телефоны госслужащих, военных и сотрудников Пентагона. Если утечка подтвердится, горе-безопасников из Acuity ждёт увлекательный тет-а-тет с Конгрессом. Пока и компания, и NSA на пару с CISA отмалчиваются.
@tomhunter
По утверждениям злоумышленника, в сливе секретные документы, связанные с альянсом Пять Глаз и прочими разведывательными инициативами США и союзников. Утечка идёт от товарища IntelBroker, ранее отметившегося сливами из штатовских госорганов, так что новости интересные. Помимо заявленного, в сливе также ФИО, почтовые адреса и телефоны госслужащих, военных и сотрудников Пентагона. Если утечка подтвердится, горе-безопасников из Acuity ждёт увлекательный тет-а-тет с Конгрессом. Пока и компания, и NSA на пару с CISA отмалчиваются.
@tomhunter
🔥6😁3❤1
#news В штате Айова, США, раскрыли один из самых масштабных случаев кражи личности в современной истории. Сисадмин Мэтью Кираннс 33 года выдавал себя за другого человека. С 1990-го года он жил по поддельным документам на имя знакомого, Уильяма Вудса.
Более того, реальный Вудс, обнаруживший $130 тысяч долга на своё имя в 2019-м, был сам обвинён в краже собственной личности. Кираннс убедил банк и полицию, что он и есть Вудс, и того посадили. Он провёл почти полтора года в тюрьме и полгода в психлечебнице, а суд постановил, что он должен жить под своим «настоящим» именем Мэтью Кираннс. В 2023-м больница, в которой последний работал сисадмином, наняла частного детектива, и после теста ДНК Вудса ему удалось доказать, что личность крал совсем не он. Кираннсу же грозит до 32 лет тюрьмы и $1,25 миллиона штрафа. В общем, совершенно дикая история, по которой можно сценарии писать.
@tomhunter
Более того, реальный Вудс, обнаруживший $130 тысяч долга на своё имя в 2019-м, был сам обвинён в краже собственной личности. Кираннс убедил банк и полицию, что он и есть Вудс, и того посадили. Он провёл почти полтора года в тюрьме и полгода в психлечебнице, а суд постановил, что он должен жить под своим «настоящим» именем Мэтью Кираннс. В 2023-м больница, в которой последний работал сисадмином, наняла частного детектива, и после теста ДНК Вудса ему удалось доказать, что личность крал совсем не он. Кираннсу же грозит до 32 лет тюрьмы и $1,25 миллиона штрафа. В общем, совершенно дикая история, по которой можно сценарии писать.
@tomhunter
🤯13🔥6👍1
#news Что происходит, когда оператор фейкового Privnote приходит с угрозами в Metamask за несправедливую блокировку своего «легитимного» сайта? Он не только получает разворот от продакт лида, но ещё и привлекает внимание Кребса. Как ему пройти мимо: фишинговые сайты-то на русские имена.
Некие Андрей Сокол из Москвы и Александр Ермаков из Киева. Вероятно, псевдонимы. На парочку зарегистрирована куча доменов под спуфинг Privnote. Отличительная особенность: криптоадреса в записках подменяются на кошельки злоумышленников. Один из скам-сайтов сейчас четвёртый в выдаче Гугла по запросу «Privnote», а судя по кошелькам, операция на сотни тысяч долларов. Подробнее о приключениях любимчиков Кребса — русских киберпреступников — у него в блоге. Материал интересный: одним Privnote деятельность злоумышленников не ограничивается. Так, у авторов жалоб в Metamask нашлись скам-сайты и под сам кошелёк. Такая вот ирония.
@tomhunter
Некие Андрей Сокол из Москвы и Александр Ермаков из Киева. Вероятно, псевдонимы. На парочку зарегистрирована куча доменов под спуфинг Privnote. Отличительная особенность: криптоадреса в записках подменяются на кошельки злоумышленников. Один из скам-сайтов сейчас четвёртый в выдаче Гугла по запросу «Privnote», а судя по кошелькам, операция на сотни тысяч долларов. Подробнее о приключениях любимчиков Кребса — русских киберпреступников — у него в блоге. Материал интересный: одним Privnote деятельность злоумышленников не ограничивается. Так, у авторов жалоб в Metamask нашлись скам-сайты и под сам кошелёк. Такая вот ирония.
@tomhunter
😁2🔥1🤯1
#news К вопросу инфобеза приложений родительского контроля. Есть много слов чтобы описать их в контексте ИБ, но «защищённые» в их число обычно не входит. Так и с KidSecurity. Больше года данные с устройств детей со всего мира были в открытом доступе для всех желающих.
Почты, айпишники, геолокация, сообщения из соцсетей и прочие всевозможные данные. В кэше на момент обнаружения утечки было уже 100 ГБ информации. Час наблюдений — 456 тысяч сообщений и данные с 11 тысяч телефонов. Между тем у приложения больше миллиона скачиваний. Что стало причиной утечки? Неверно настроенная аутентификация Kafka Broker и, соответственно, открытый кластер. Классика. Причём в ноябре 2023-го у KidSecurity уже утекали 300 миллионов логов. Видимо, с аудитом после прошлой утечки не сложилось.
@tomhunter
Почты, айпишники, геолокация, сообщения из соцсетей и прочие всевозможные данные. В кэше на момент обнаружения утечки было уже 100 ГБ информации. Час наблюдений — 456 тысяч сообщений и данные с 11 тысяч телефонов. Между тем у приложения больше миллиона скачиваний. Что стало причиной утечки? Неверно настроенная аутентификация Kafka Broker и, соответственно, открытый кластер. Классика. Причём в ноябре 2023-го у KidSecurity уже утекали 300 миллионов логов. Видимо, с аудитом после прошлой утечки не сложилось.
@tomhunter
🤯2🔥1🤬1
#digest Первый весенний месяц позади, так что подводим его итоги. В марте шуму наделал бэкдор в XZ Utils под Linux — он не успел добраться до стабильных релизов, но в перспективе мог стать инцидентом космических пропорций. В начале месяца Black Cat провернула экзит-скам, а натужные попытки LockBit создать видимость продолжения операций никого особо не убедили.
Кроме того, санкции в России добрались до облаков, телекоммуникационный провайдер AT&T в США получил неприятный привет из прошлого, а ЦРУ признало ценность OSINT. Об этом и других громких ИБ-событиях марта читайте на нашем Хабре!
@tomhunter
Кроме того, санкции в России добрались до облаков, телекоммуникационный провайдер AT&T в США получил неприятный привет из прошлого, а ЦРУ признало ценность OSINT. Об этом и других громких ИБ-событиях марта читайте на нашем Хабре!
@tomhunter
❤4🔥2
#news В нескольких устаревших моделях сетевых хранилищ D-Link обнаружили серьёзную уязвимость. Комбинация из захардкоженного аккаунта и возможности инъекции команд через «system» позволяет злоумышленникам удалённо выполнять команды на устройствах.
Исследователь также опубликовал пример эксплойта, а в сети доступны более 92 тысяч уязвимых NAS-систем. Как сообщает D-Link, патчей нет и не будет: устройства давно достигли конца жизненного цикла. Более того, на них нет и фичи под доставку уведомлений и автоматических апдейтов. Так что компания ограничилась бюллетенем по безопасности, чтобы напомнить владельцам, что старые модели пора сдать в утиль — их поддержка закончилась 5-8 лет назад. Если бы владельцев этих динозавров беспокоили такие мелочи жизни, как чтение ИБ-бюллетеней, они бы, наверное, очень расстроились.
@tomhunter
Исследователь также опубликовал пример эксплойта, а в сети доступны более 92 тысяч уязвимых NAS-систем. Как сообщает D-Link, патчей нет и не будет: устройства давно достигли конца жизненного цикла. Более того, на них нет и фичи под доставку уведомлений и автоматических апдейтов. Так что компания ограничилась бюллетенем по безопасности, чтобы напомнить владельцам, что старые модели пора сдать в утиль — их поддержка закончилась 5-8 лет назад. Если бы владельцев этих динозавров беспокоили такие мелочи жизни, как чтение ИБ-бюллетеней, они бы, наверное, очень расстроились.
@tomhunter
😁6🔥3😢2
#news Microsoft тихонько выкатила в февральских обновлениях драйвер, который препятствует смене браузера по умолчанию в Windows 10 и 11. Ограничения касаются смены через софт или ручное изменение регистра.
Изменения первым заметил Кристоф Колбич, чей софт SetUserFTA и SetDefaultBrowser внезапно отвалился. Анализ показал, что UCPD[.]sys блокирует прямое редактирование ключей реестра по ассоциациям HTTP, HTTPS и PDF. Удалить драйвер не получится, но можно отключит его в реестре и обрубить задачу под его перезапуск в планировщике. Что иронично, драйвер идёт в комплекте с сырым KB5034765, и без того проблемным. В общем, теперь не только bloatware чистить, но и вот такие подарки. С чем связано нововведение, неясно. Может, защита от малвари. А может, Microsoft всё ещё злится на Mozilla за обход их кривого интерфейса в 2021-м.
@tomhunter
Изменения первым заметил Кристоф Колбич, чей софт SetUserFTA и SetDefaultBrowser внезапно отвалился. Анализ показал, что UCPD[.]sys блокирует прямое редактирование ключей реестра по ассоциациям HTTP, HTTPS и PDF. Удалить драйвер не получится, но можно отключит его в реестре и обрубить задачу под его перезапуск в планировщике. Что иронично, драйвер идёт в комплекте с сырым KB5034765, и без того проблемным. В общем, теперь не только bloatware чистить, но и вот такие подарки. С чем связано нововведение, неясно. Может, защита от малвари. А может, Microsoft всё ещё злится на Mozilla за обход их кривого интерфейса в 2021-м.
@tomhunter
🤬6😁3🔥1🤔1
#news Change Healthcare, ставшая последней (и громкой) жертвой Black Cat, столкнулась с новым вымогательством. Идёт оно от лица новой группировки RansomHub. Напомню, Change Healthcare выплатила $22 миллиона выкупа, с которыми Black Cat ушла в закат, кинув партнёра. Так что, видимо, оскорблённый в лучших чувствах злоумышленник вновь пришёл за деньгами. Тем более, как он утверждал, 4 ТБ данных компании у него сохранились, а об их «краже» заявила и RansomHub.
Что касается последних, группировка всплыла в феврале, ведёт набор на Ramp и, что интересно, скидывает выкуп на кошелёк партнёров. Очевидно, это рассчитано на рансомварщиков, которые с экзит-скама Black Cat всё ещё сидят с лицом Пикачу. Есть и теория, что это ребрендинг, но пока она выглядит сомнительной. Вероятно, просто переманивают локбитовцев и прочих обездоленных заманчивыми условиями.
@tomhunter
Что касается последних, группировка всплыла в феврале, ведёт набор на Ramp и, что интересно, скидывает выкуп на кошелёк партнёров. Очевидно, это рассчитано на рансомварщиков, которые с экзит-скама Black Cat всё ещё сидят с лицом Пикачу. Есть и теория, что это ребрендинг, но пока она выглядит сомнительной. Вероятно, просто переманивают локбитовцев и прочих обездоленных заманчивыми условиями.
@tomhunter
🔥1🤔1🤯1
#news Ожидаемо пошёл активный эксплойт цепочки уязвимостей в старых сетевых хранилищах D-Link. Вчера были замечены первые атаки, вскоре после публикаций в новостях. Заражённые устройства отправляются прямиком в ботнет, разновидность Mirai.
Среди уязвимых модели DNS-340L, DNS-320L, DNS-327L и DNS-325. Напомню, патчей нет, уведомлений нет, даже отделов, которые над ними работали, уже нет. А устройства есть, почти 100 тысяч в сети. Как и PoC под эксплойт. Так что если у тебя, дорогой читатель, где-то пылится древнее хранилище от D-Link на несколько терабайт сомнительного и не очень содержания, стоит хотя бы запоздало закинуть его под файрвол. Иначе в старичка могут вдохнуть новую жизнь, и он отправится зарабатывать копеечку для дудосеров.
@tomhunter
Среди уязвимых модели DNS-340L, DNS-320L, DNS-327L и DNS-325. Напомню, патчей нет, уведомлений нет, даже отделов, которые над ними работали, уже нет. А устройства есть, почти 100 тысяч в сети. Как и PoC под эксплойт. Так что если у тебя, дорогой читатель, где-то пылится древнее хранилище от D-Link на несколько терабайт сомнительного и не очень содержания, стоит хотя бы запоздало закинуть его под файрвол. Иначе в старичка могут вдохнуть новую жизнь, и он отправится зарабатывать копеечку для дудосеров.
@tomhunter
😁6🔥4
#news Что общего между 90 тысячами старых хранилищ от D-Link и 90 тысячами смарт-телевизоров от LG? Они доступны в сети и уязвимы к атакам. Bitdefender нашла в webOS телевизоров четыре уязвимости. Злоумышленники могут получить root-доступ на устройствах и внедрять произвольные команды.
Обновления от производителя уже доступны, но телевизионный инфобез — не та область, в которой от пользователей можно ждать оперативного накатывания апдейтов. Так что потенциально чьи-то смарт-телевизоры могут и в ботнет попасть, и заняться майнингом крипты, и открыть доступ к другим устройствам в сети владельцев. Впрочем, в основном потенциал на раскрытие новой функциональности свои телевизоров у корейцев — львиная доля уязвимых устройств стоит у них.
@tomhunter
Обновления от производителя уже доступны, но телевизионный инфобез — не та область, в которой от пользователей можно ждать оперативного накатывания апдейтов. Так что потенциально чьи-то смарт-телевизоры могут и в ботнет попасть, и заняться майнингом крипты, и открыть доступ к другим устройствам в сети владельцев. Впрочем, в основном потенциал на раскрытие новой функциональности свои телевизоров у корейцев — львиная доля уязвимых устройств стоит у них.
@tomhunter
🔥5😁4🤡1
#news Патчевый вторник от Microsoft в этом месяце бьёт рекорды: компания исправила 147 уязвимостей в своих продуктах. Крупнейший релиз как минимум с 2017-го и самый масштабный для их дня патчей.
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter
❤2🔥2🤔2
#news Шесть лет спустя после обнаружения Spectre призрак продолжает бродить по процессорам: обнаружен новый вариант атаки Spectre V2 под Linux-системы на основе многих процессоров Intel.
Очередная уязвимость вновь позволяет злоумышленникам считывать произвольные данные памяти в обход существующих механизмов защиты. В этот раз исследователям удалось обойти ограничения по изоляции уровней привилегий. Не обошлось и без нердовских шуточек: инструмент для атаки получил название InSpectre Gadget. Ну а новейшие процессоры от Intel — первый нативный эксплойт Spectre V2 под ядро Linux. Некоторые разработчики подтвердили уязвимость своих систем и работают над митигацией. Вопрос лишь в том, насколько от патчей просядет производительность в этот раз. Подробнее об атаке здесь.
@tomhunter
Очередная уязвимость вновь позволяет злоумышленникам считывать произвольные данные памяти в обход существующих механизмов защиты. В этот раз исследователям удалось обойти ограничения по изоляции уровней привилегий. Не обошлось и без нердовских шуточек: инструмент для атаки получил название InSpectre Gadget. Ну а новейшие процессоры от Intel — первый нативный эксплойт Spectre V2 под ядро Linux. Некоторые разработчики подтвердили уязвимость своих систем и работают над митигацией. Вопрос лишь в том, насколько от патчей просядет производительность в этот раз. Подробнее об атаке здесь.
@tomhunter
🔥4🤯1😢1
18 апреля в Санкт-Петербурге стартует ежегодная конференция Код ИБ. Участников ждут актуальная информация об обеспечении ИБ в современных реалиях, возможность пообщаться с ключевыми людьми инфобез-индустрии России и регуляторами, а также многое другое.
На конференции традиционно пройдут штабные киберучения для отработки навыков реагирования на киберинциденты. От T.Hunter с докладом по теме «Разведка угроз» выступит наш менеджер проектов Денис Симонов. А подробнее ознакомиться с программой конференции и зарегистрироваться можно по ссылке. Присоединяйтесь, будет интересно!
@tomhunter
На конференции традиционно пройдут штабные киберучения для отработки навыков реагирования на киберинциденты. От T.Hunter с докладом по теме «Разведка угроз» выступит наш менеджер проектов Денис Симонов. А подробнее ознакомиться с программой конференции и зарегистрироваться можно по ссылке. Присоединяйтесь, будет интересно!
@tomhunter
❤4🔥2
#news Интересный прецедент от нарождающегося мира ИИ: в недавней серии атак был замечен скрипт, написанный с помощью языковой модели. В операции от группировки Scully Spider, брокера начального доступа, по компаниям в Германии.
В ходе неё злоумышленники распространяли инфостилер Rhadamanthys. А PowerShell-скрипт под его загрузку в память оказался написан при поддержке языкового болванчика. Его участие выдал код скрипта. А точнее, комментарии к нему. Каждая строчка тщательно прокомментирована, чем обычно грешат именно языковые модели. Как отметили в исследовании, «высококачественные комментарии нехарактерны для написанного человеком кода». На этом моменте становится немного обидно. Да и неясно, что сложнее: натаскать болванчика писать хороший код или разработчика — качественные комментарии?
@tomhunter
В ходе неё злоумышленники распространяли инфостилер Rhadamanthys. А PowerShell-скрипт под его загрузку в память оказался написан при поддержке языкового болванчика. Его участие выдал код скрипта. А точнее, комментарии к нему. Каждая строчка тщательно прокомментирована, чем обычно грешат именно языковые модели. Как отметили в исследовании, «высококачественные комментарии нехарактерны для написанного человеком кода». На этом моменте становится немного обидно. Да и неясно, что сложнее: натаскать болванчика писать хороший код или разработчика — качественные комментарии?
@tomhunter
😁12🔥1
#news Apple разослала уведомления пользователям в 92 странах о попытках взлома их устройств с помощью «спайвари по найму». Что интересно, раньше уведомления шли с пометкой «спонсируемые государством атаки», но теперь компания предпочла обойтись нейтральными формулировками.
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давлениеиндусского девелоперского лобби индийских чиновников и исправила текст уведомлений и статьи о них. Теперь по версии Apple остались только загадочные злоумышленно-нейтральные атаки, которые Apple «не привязывает к конкретным лицам и регионам». В общем, спайварь есть, а заказчика нет. Возможно, это всё как-то связано с тем, что продажи Apple в Индии бьют рекорды. Но это неточно.
@tomhunter
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давление
@tomhunter
😁5🔥1
#news Пятничные чудеса инфобеза от eX-Твиттера. 8 апреля платформа начала автоматически изменять ссылки с упоминанием twitter[.]com на x[.]com. Но в последующие 48 часов на волне изменений сеть заполонили десятки примеров фишинговых ссылок.
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
😁15💯2❤1
#news Telegram исправил нулевой день в своём десктопном приложении. Изначально по сети ходили слухи о RCE с нулевой интеракцией, но всё оказалось проще. Уязвимость позволяла обходить предупреждения системы безопасности и запускать скрипты на Питоне, если пользователь откроет файл.
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
🔥7😁7🤡3
#news Бэкдор в XZ Utils продолжает страшить линуксоидов: его вредоносные файлы просочились в пакет liblzma-sys, широко используемые разработчиками на Rust. Версия от 5 апреля апреля содержала тестовые файлы для XZ, в которых сидел бэкдор.
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
❤3🔥2🤡1