Тут 24 февраля состоялся релиз дистрибутива Kali Linux 2021.1. И я подумал, что в своём канале о безопасности не могу не упомянуть это событие. В конце концов, это инструмент, которым пользуются и хорошие, и плохие парни из мира пентеста.
Для начала, Kali Linux — это операционка, которая просто нашпигована различными инструментами для исследования защищённости объектов. Согласно новости на сайте разработчиков, новый дистрибутив прокачан в плане красивостями — нескучными обоями, переработанными графическими оболочками. Да и в работе операционка стала более дружелюбной к пользователям. Так, в новом Kali Linux появилась фича Command-Not-Found, которая следит за тем, что ты вводишь в командную строку. И если ты опечатаешься в названии утилиты или попытаешься использовать неустановленную программку, система либо поймёт, что ты имел в виду, либо найдёт утилиту в репозитории и предложит её установить.
Ну и конечно, в новом релизе появилась целая пачка новых инструментов. Приводить полный список смысла не имеет, так как он представлен по уже упомянутой ссылке. Если нет желания читать на английском, то вот краткий перевод на русском.
В целом, нельзя сказать, что новый релиз даёт сильно больше возможностей, по сравнению с прежними версиями. Но Kali Linux сам по себе настолько удобен и интересен, что я настоятельно рекомендую тебе скачать его, поставить на вируталку и "пощупать" его возможности. Тем более, что дистрибутив распространяется свободно под лицензией GPL.
Для начала, Kali Linux — это операционка, которая просто нашпигована различными инструментами для исследования защищённости объектов. Согласно новости на сайте разработчиков, новый дистрибутив прокачан в плане красивостями — нескучными обоями, переработанными графическими оболочками. Да и в работе операционка стала более дружелюбной к пользователям. Так, в новом Kali Linux появилась фича Command-Not-Found, которая следит за тем, что ты вводишь в командную строку. И если ты опечатаешься в названии утилиты или попытаешься использовать неустановленную программку, система либо поймёт, что ты имел в виду, либо найдёт утилиту в репозитории и предложит её установить.
Ну и конечно, в новом релизе появилась целая пачка новых инструментов. Приводить полный список смысла не имеет, так как он представлен по уже упомянутой ссылке. Если нет желания читать на английском, то вот краткий перевод на русском.
В целом, нельзя сказать, что новый релиз даёт сильно больше возможностей, по сравнению с прежними версиями. Но Kali Linux сам по себе настолько удобен и интересен, что я настоятельно рекомендую тебе скачать его, поставить на вируталку и "пощупать" его возможности. Тем более, что дистрибутив распространяется свободно под лицензией GPL.
Kali Linux
Kali Linux 2021.1 Release (Command-Not-Found) | Kali Linux Blog
Today we’re pushing out the first Kali Linux release of the year with Kali Linux 2021.1. This edition brings enhancements of existing features, and is ready to be downloaded or upgraded if you have an existing Kali Linux installation.
The summary of the changelog…
The summary of the changelog…
Я тут совсем недавно рассуждал о безопасности онлайн-банкинга Сбера. О том, что смена пароля происходит там явно не самым защищённым образом. Но тут появилась ещё одна новость, которая отлично дополняет предыдущую.
На днях Владимиром Путиным был подписан закон, дающий право ФСИН блокировать телефонные номера, которыми пользуются заключённые в тюрьмах. К чему бы это? Да всё к тому же. Думаю, не только мне с завидной регулярностью звонят сомнительные личности, представляются сотрудниками службы безопасности Сбербанка и сообщают, что из моего личного кабинета поступил запрос на получение кредита или на перевод некоторой суммы денег.
Мало того, что сам повод для звонка является весьма сомнительным — ну перевёл я куда-то деньги, со всеми случается — так ещё и звонящие начинают диктовать какие-то бессмысленные условия, типа "пока вы не выполните все необходимые действия, вешать трубку запрещено". Многих, у кого хватило нервов и иронии довести разговор до логического завершения, в конце ждёт приятный сюрприз, когда "специалист" на том конце провода выругается и бросит трубку.
Естественно, мы имеем дело с масштабной атакой через человеческий фактор. Сотрудники фальшивого колл-центра давят на самые сильные инстинкты, запугивая жертву и не давая ей времени задуматься над происходящим. И ведь это прекрасно работает!
Немного статистики. По данным Сбера, "колл-центр" из пятидесяти человек может обзвонить за неделю более двадцати тысяч жертв. Половина абонентов снимет трубку. Из них — две трети сразу всё поймут и отключатся от разговора. Но среди той трети, которая продолжит общение, только часть останется, чтобы разводить злоумышленников на нервный срыв. Многие поведутся и принесут в копилку мошенников более семидесяти пяти миллионов рублей в месяц! И половина таких "колл-центров" располагается как раз в исправительных учреждениях.
Отсюда и понятно, зачем был принят такой закон. Говорят, право блокировать симки заключённых у органов ФСИН и операторов связи было и раньше. Но теперь, получается, это право станет обязанностью.
На днях Владимиром Путиным был подписан закон, дающий право ФСИН блокировать телефонные номера, которыми пользуются заключённые в тюрьмах. К чему бы это? Да всё к тому же. Думаю, не только мне с завидной регулярностью звонят сомнительные личности, представляются сотрудниками службы безопасности Сбербанка и сообщают, что из моего личного кабинета поступил запрос на получение кредита или на перевод некоторой суммы денег.
Мало того, что сам повод для звонка является весьма сомнительным — ну перевёл я куда-то деньги, со всеми случается — так ещё и звонящие начинают диктовать какие-то бессмысленные условия, типа "пока вы не выполните все необходимые действия, вешать трубку запрещено". Многих, у кого хватило нервов и иронии довести разговор до логического завершения, в конце ждёт приятный сюрприз, когда "специалист" на том конце провода выругается и бросит трубку.
Естественно, мы имеем дело с масштабной атакой через человеческий фактор. Сотрудники фальшивого колл-центра давят на самые сильные инстинкты, запугивая жертву и не давая ей времени задуматься над происходящим. И ведь это прекрасно работает!
Немного статистики. По данным Сбера, "колл-центр" из пятидесяти человек может обзвонить за неделю более двадцати тысяч жертв. Половина абонентов снимет трубку. Из них — две трети сразу всё поймут и отключатся от разговора. Но среди той трети, которая продолжит общение, только часть останется, чтобы разводить злоумышленников на нервный срыв. Многие поведутся и принесут в копилку мошенников более семидесяти пяти миллионов рублей в месяц! И половина таких "колл-центров" располагается как раз в исправительных учреждениях.
Отсюда и понятно, зачем был принят такой закон. Говорят, право блокировать симки заключённых у органов ФСИН и операторов связи было и раньше. Но теперь, получается, это право станет обязанностью.
publication.pravo.gov.ru
Федеральный закон от 09.03.2021 № 44-ФЗ ∙ Официальное опубликование правовых актов
Федеральный закон от 09.03.2021 № 44-ФЗ
"О внесении изменений в отдельные законодательные акты Российской Федерации в части прекращения оказания услуг связи на территории следственных изоляторов и учреждений, исполняющих уголовные наказания в виде лишения…
"О внесении изменений в отдельные законодательные акты Российской Федерации в части прекращения оказания услуг связи на территории следственных изоляторов и учреждений, исполняющих уголовные наказания в виде лишения…
Новость, которую лучше рассказать поздно, чем никогда.
Наверняка ты слышал, что в конце февраля в одном из самых распространённых почтовиков Microsoft Exchange были обнаружены уязвимости, позволявшие злоумышленнику пробраться внутрь периметра жертвы через веб-клиент OWA (Outlook Web Access).
Microsoft выкатила срочные обновления и рекомендации для тех, кто по тем или иным причинам не может накатить апдейты прямо сейчас. Однако, лишь за этот короткий промежуток времени с конца февраля по начало марта более тридцати тысяч компаний по всему миру стали жертвами хакеров, эксплуатирующих эти уязвимости.
Особенно ярко отличились китайские хакеры из APT-группировки HAFNIUM, которые актизивировались уже после выхода обновлений и принялись атаковать тех, кто проявил нерасторопность.
На данный момент, статистика "необновлённых" компаний продолжает оставаться неутешительной.
Наверняка ты слышал, что в конце февраля в одном из самых распространённых почтовиков Microsoft Exchange были обнаружены уязвимости, позволявшие злоумышленнику пробраться внутрь периметра жертвы через веб-клиент OWA (Outlook Web Access).
Microsoft выкатила срочные обновления и рекомендации для тех, кто по тем или иным причинам не может накатить апдейты прямо сейчас. Однако, лишь за этот короткий промежуток времени с конца февраля по начало марта более тридцати тысяч компаний по всему миру стали жертвами хакеров, эксплуатирующих эти уязвимости.
Особенно ярко отличились китайские хакеры из APT-группировки HAFNIUM, которые актизивировались уже после выхода обновлений и принялись атаковать тех, кто проявил нерасторопность.
На данный момент, статистика "необновлённых" компаний продолжает оставаться неутешительной.
Microsoft News
HAFNIUM targeting Exchange Servers with 0-day exploits
Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks. In the attacks observed, threat actors used this vulnerability to access on-premises Exchange servers, which…
Тут очередная прекрасная история подъехала. Здесь есть всё: и человеческий фактор, и слив информации, и даже тюрьма.
А сама история так же коротка, как и забавна. Некий немецкий стажёр, проходивший практику в тюрьме на окраине Берлина скинул друзьям по WhatsApp`у фото тюремного мастер-ключа. Здесь, пожалуй, стоит оговориться, что мастер-ключ — это без дураков ключ от всех дверей. Потому он и мастер.
По фотографии опытный слесарь "за сотку" может изготовить тебе точную копию ключа. А неравнодушные кореша с радостью пронесут эту копию своим братишкам, отбывающим срок в одном из колл-центров Сбербанка.
Надо ли говорить, что у немецких тюремщиков подгорело так сильно, что буквально за ночь было заменено шесть сотен замков во всей тюрьме. Сам же стажёр был незамедлительно отправлен в свободное плавание с неиллюзорной перспективой отдать пятьдесят тысяч евро за работу по смене замков.
А я вот думаю, а что было бы, если бы он отправил фото через Телеграм?
А сама история так же коротка, как и забавна. Некий немецкий стажёр, проходивший практику в тюрьме на окраине Берлина скинул друзьям по WhatsApp`у фото тюремного мастер-ключа. Здесь, пожалуй, стоит оговориться, что мастер-ключ — это без дураков ключ от всех дверей. Потому он и мастер.
По фотографии опытный слесарь "за сотку" может изготовить тебе точную копию ключа. А неравнодушные кореша с радостью пронесут эту копию своим братишкам, отбывающим срок в одном из колл-центров Сбербанка.
Надо ли говорить, что у немецких тюремщиков подгорело так сильно, что буквально за ночь было заменено шесть сотен замков во всей тюрьме. Сам же стажёр был незамедлительно отправлен в свободное плавание с неиллюзорной перспективой отдать пятьдесят тысяч евро за работу по смене замков.
А я вот думаю, а что было бы, если бы он отправил фото через Телеграм?
The Local Germany
Intern at German prison faces hefty bill after sending photo of master key to friends
A man on a work placement at a prison in the state of Brandenburg was immediately dismissed from his internship after sending friends a photo of the prison's master key via the messenger service WhatsApp.
Прости за тишину! Возвращаюсь после небольшого простоя и сразу делюсь случившейся за это время милой историей, которую ты мог пропустить. Есть такая компания Cellebrite. Занимаются они тем, что делают сай-фай сказки про киберпанковый тоталитаризм былью: разрабатывают софт, вытягивающий данные из мобильных устройств. Послужной список клиентов богатый, от Китая до эскадронов смерти в Бангладеше. Не так давно Cellebrite объявила, что научилась ломать тот самый мессенджер Signal, и теперь её софт сможет вытягивать переписки в нём из устройства.
Signal в ответ не растерялись и решили изучить уязвимости в самих продуктах Cellebrite. Сделать это оказалось несложно. Помогла счастливая случайность: по совершенно невероятному совпадению, Мокси Марлинспайк из Signal нашёл чемоданчик Cellebrite во время обычной безобидной прогулки. Внутри чемоданчика оказались последние версии софта и целая куча адаптеров.
Результат исследования авторов очень порадовал. Оказывается, достаточно включить в исходники приложения совершенно безобидный файлик определённого вида. Когда софт Cellebrite просканирует это приложение и доберётся до файлика, можно будет изменить содержание репорта по устройству. Не только этого репорта, но и всех предыдущих с последующими. Убрать или добавить любые данные, адреса, контакты, файлы, в том числе рандомно, причём без изменений контрольной суммы и возможности отката. Более того, с помощью волшебного файлика можно исполнить любой код на машине, на которой запущен Cellebrite!
А выводы какие? А никаких. Signal ни на что не намекает. Говорит только, что следующие версии приложения будут периодически тянуть безобидные файлики, ничего не делающие внутри самого Signal и нигде не использующиеся. Выглядят только мило, а эстетика в софте — это важно.
https://signal.org/blog/cellebrite-vulnerabilities/
Signal в ответ не растерялись и решили изучить уязвимости в самих продуктах Cellebrite. Сделать это оказалось несложно. Помогла счастливая случайность: по совершенно невероятному совпадению, Мокси Марлинспайк из Signal нашёл чемоданчик Cellebrite во время обычной безобидной прогулки. Внутри чемоданчика оказались последние версии софта и целая куча адаптеров.
Результат исследования авторов очень порадовал. Оказывается, достаточно включить в исходники приложения совершенно безобидный файлик определённого вида. Когда софт Cellebrite просканирует это приложение и доберётся до файлика, можно будет изменить содержание репорта по устройству. Не только этого репорта, но и всех предыдущих с последующими. Убрать или добавить любые данные, адреса, контакты, файлы, в том числе рандомно, причём без изменений контрольной суммы и возможности отката. Более того, с помощью волшебного файлика можно исполнить любой код на машине, на которой запущен Cellebrite!
А выводы какие? А никаких. Signal ни на что не намекает. Говорит только, что следующие версии приложения будут периодически тянуть безобидные файлики, ничего не делающие внутри самого Signal и нигде не использующиеся. Выглядят только мило, а эстетика в софте — это важно.
https://signal.org/blog/cellebrite-vulnerabilities/
Signal
Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective
Cellebrite makes software to automate physically extracting and indexing data from mobile devices. They exist within the grey – where enterprise branding joins together with the larcenous to be called “digital intelligence.” Their customer list has included…
Тут недавно истёк срок действия NDA у сотрудников RSA Security, и они наконец-таки поведали о деталях легендарной атаки 2011 года. Атаки, напомню, очень ироничной: RSA всё-таки сама безопасностью занимается.
А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.
Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.
Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..
Полную саспенса историю можно почитать на Хабре. Спойлер: началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту…
https://habr.com/ru/company/itsumma/blog/558604/
А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.
Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.
Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..
Полную саспенса историю можно почитать на Хабре. Спойлер: началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту…
https://habr.com/ru/company/itsumma/blog/558604/
Хабр
Пришло время рассказать всю правду о взломе компании RSA
У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году . Эти события...
А ещё у нас недавно вышла статья на Хабре про серьёзную уязвимость в платформе для обучения пентестам TryHackMe. Оказывается, виртуальные стенды в ней — всевидящее око, с помощью которого при желании можно вытянуть с машин пользователей данные или что-нибудь на них поделать. Вот так вот сидишь, нарешиваешь виртуалки, а с твоей машины кто-то может майнить крипту.
https://habr.com/ru/company/tomhunter/blog/562826/
https://habr.com/ru/company/tomhunter/blog/562826/
Хабр
«Hack Me на TryHackMe», или Небезопасное изучение инфобеза на известной платформе
Привет, Хабрчане. Сегодня мы поговорим об одной проблеме, которую обнаружил мой хороший знакомый Иван Глинкин . Это очень серьезный косяк с безопасностью платформы для обучения пентесту TryHackMe....
Роскомнадзор решил заблокировать доступ к VyprVPN и бесплатному встроенному ВПН Оперы для всех, кроме особого белого списка компаний. Затеяно всё это, конечно, для защиты тебя от запрещённого контента вроде Линкедина. Как результат, Опера оперативно убрала ВПН для российских пользователей, не согласившись фильтровать трафик. Кнопка включения ВПН пропала, а вкладка, где она была, из «Конфиденциальности и безопасности» стала просто «Безопасностью».
Пока ничего не известно о том, затронут ли похожие ограничения других ВПН-провайдеров, хотя якобы список целей Роскомнадзора на грядущие годы уже пару месяцев гуляет в сети. Если ему верить, дальше на очереди Hola! и ExpressVPN. Пару лет назад, помню, РКН под угрозой блокировки уже требовал у многих провайдеров из списка дать доступ к своим серверам в России и подключиться к блэклисту. В ответ те просто-напросто свернули эти самые сервера. Посмотрим, продолжится ли эта история.
https://habr.com/ru/news/t/563384/
Пока ничего не известно о том, затронут ли похожие ограничения других ВПН-провайдеров, хотя якобы список целей Роскомнадзора на грядущие годы уже пару месяцев гуляет в сети. Если ему верить, дальше на очереди Hola! и ExpressVPN. Пару лет назад, помню, РКН под угрозой блокировки уже требовал у многих провайдеров из списка дать доступ к своим серверам в России и подключиться к блэклисту. В ответ те просто-напросто свернули эти самые сервера. Посмотрим, продолжится ли эта история.
https://habr.com/ru/news/t/563384/
Вот казалось бы, смотришь — милейшая женщина. Верстает себе сайты, на форумах раздаёт советы тем, кто только начал постигать фронтенд, да рассказывает на страничке ВК, как хочет быть крутым программистом и летать к клиентам в разные страны. А потом раз, и милейшую женщину арестовывают во время перелёта над Майями как опасную киберпреступницу, работавшую над небезызвестным Trickbot.
Брайан Кребс изучил историю 55-ти летней Аллы Витте, которую в начале июня осудили за финансовые преступления в США. Оказывается, подкованная в делах малверных преступница до парадоксального беспечно относилась к собственной безопасности: её персональные данные были доступны всем членам кибергруппировки. Кроме того, малварь Trickbot лежала на сайте с её именным доменом, а сама Алла преспокойненько путешествовала там, где её могли перехватить американские спецслужбы. Спецслужбы, собственно, это и сделали.
В дополнение к истории Аллы Брайан Кребс рассматривает рекрутинговые процессы кибергруппировки Trickbot. Ничего особенного: сидят на каком-нибудь хедхантере, просматривают резюме программистов в поиске и скидывают тестовые задания. По этим заданиям многие потенциальные кандидаты быстро догадываются, для чего можно использовать подобный софт. Как водится, часть отказывается сразу, а с оставшимися начинают сотрудничать. Не догадаться, впрочем, довольно тяжело.
https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/
Брайан Кребс изучил историю 55-ти летней Аллы Витте, которую в начале июня осудили за финансовые преступления в США. Оказывается, подкованная в делах малверных преступница до парадоксального беспечно относилась к собственной безопасности: её персональные данные были доступны всем членам кибергруппировки. Кроме того, малварь Trickbot лежала на сайте с её именным доменом, а сама Алла преспокойненько путешествовала там, где её могли перехватить американские спецслужбы. Спецслужбы, собственно, это и сделали.
В дополнение к истории Аллы Брайан Кребс рассматривает рекрутинговые процессы кибергруппировки Trickbot. Ничего особенного: сидят на каком-нибудь хедхантере, просматривают резюме программистов в поиске и скидывают тестовые задания. По этим заданиям многие потенциальные кандидаты быстро догадываются, для чего можно использовать подобный софт. Как водится, часть отказывается сразу, а с оставшимися начинают сотрудничать. Не догадаться, впрочем, довольно тяжело.
https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/
Krebs on Security
How Does One Get Hired by a Top Cybercrime Gang?
The U.S. Department of Justice (DOJ) last week announced the arrest of a 55-year-old Latvian woman who’s alleged to have worked as a programmer for Trickbot, a malware-as-a-service platform responsible for infecting millions of computers and seeding many…
Думаю, не только мне начинали звонить с великодушными предложениями дать денег на разнообразных выгодных условиях, стоило только дыхнуть в сторону какого-нибудь банка своими данными. Ну да ладно, виртуальных номеров для таких широких душ не жалко.
А тут вот финтех-сервис начал получать жалобы от пользователей. Сливаете, мол, данные: едва финтех одобрил кредит, на номер тут же посыпались кредитные предложения от брокеров и других банков. Финтех изучил вопрос и пришёл к выводу, что спам льётся выборочно, только примерно трети пользователей. Всё проверили, от формы подачи заявки на кредит до обрабатывающего часть заявок сотрудника, и везде было чисто.
Оказывается, все данные сливает оператор: почитывает смски, выцепляет из них ключевые слова, приправляет данными из других источников и делится полученным с релевантными конторами. Даже договор с этими самыми конторами есть. Формально всё даже вполне законно. Ну, почти — просто никто не взялся. На самом деле абоненты не выдавали оператору согласий на всё, поэтому реализация довольно серая.
Неназванный финтех из ситуации вышел весьма благополучно — договорился с оператором, что с его клиентами так поступать не будут. А тебе посоветую всё же не делиться с различными формами настоящим номером, если до сих пор так делаешь. Сыплющихся со всех сторон щедрейших предложений потом не оберёшься.
https://habr.com/ru/company/domclick/blog/561774/
А тут вот финтех-сервис начал получать жалобы от пользователей. Сливаете, мол, данные: едва финтех одобрил кредит, на номер тут же посыпались кредитные предложения от брокеров и других банков. Финтех изучил вопрос и пришёл к выводу, что спам льётся выборочно, только примерно трети пользователей. Всё проверили, от формы подачи заявки на кредит до обрабатывающего часть заявок сотрудника, и везде было чисто.
Оказывается, все данные сливает оператор: почитывает смски, выцепляет из них ключевые слова, приправляет данными из других источников и делится полученным с релевантными конторами. Даже договор с этими самыми конторами есть. Формально всё даже вполне законно. Ну, почти — просто никто не взялся. На самом деле абоненты не выдавали оператору согласий на всё, поэтому реализация довольно серая.
Неназванный финтех из ситуации вышел весьма благополучно — договорился с оператором, что с его клиентами так поступать не будут. А тебе посоветую всё же не делиться с различными формами настоящим номером, если до сих пор так делаешь. Сыплющихся со всех сторон щедрейших предложений потом не оберёшься.
https://habr.com/ru/company/domclick/blog/561774/
Хабр
Кто читает ваши SMS
Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал,...
Недавно немало шума наделала история о взломе Electronic Arts. Напоминаю, хакеры залогинились в корпоративный Слак, написали во внутреннюю техподдержку и пожаловались, что посеяли телефон на последней вечеринке, не могут теперь никуда зайти. Поддержка посочувствовала да выдала им доступы. Находчивые тусовщики забрали немало ценностей, например исходники Frostbite и FIFA 21. Последние позднее отправились на продажу.
Внимательный читатель может поинтересоваться, как они в Слак-то вообще залогинились. Очень просто — купили слитые куки на Genesis Market, специальной закрытой площадке под это дело.
На маркете приобретается не конкретная куки, а «бот» — взломанная машина, часть ботнета. Все логины и явки, имеющиеся на этом боте, достаются покупателю. Если хочется, ещё можно воспользоваться браузерным расширением от Генезиса, чтобы полностью скопировать браузер жертвы. Иногда такое позволяет обходить 2FA: сервис просто распознает куки и не запрашивает дополнительных подтверждений.
Перед покупкой можно посмотреть, куки для каких сайтов есть на конкретном боте. Исследователи из ИБ-компании сообщают, что на Генезисе нашлось аж 3500 с лишним кук от Слака!
В завершение напомню тебе, что любым ценным данным в куках не место. Спрячь их хотя бы в менеджер паролей. Или в сейф, надёжно закопанный в потайном бункере.
https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack
Внимательный читатель может поинтересоваться, как они в Слак-то вообще залогинились. Очень просто — купили слитые куки на Genesis Market, специальной закрытой площадке под это дело.
На маркете приобретается не конкретная куки, а «бот» — взломанная машина, часть ботнета. Все логины и явки, имеющиеся на этом боте, достаются покупателю. Если хочется, ещё можно воспользоваться браузерным расширением от Генезиса, чтобы полностью скопировать браузер жертвы. Иногда такое позволяет обходить 2FA: сервис просто распознает куки и не запрашивает дополнительных подтверждений.
Перед покупкой можно посмотреть, куки для каких сайтов есть на конкретном боте. Исследователи из ИБ-компании сообщают, что на Генезисе нашлось аж 3500 с лишним кук от Слака!
В завершение напомню тебе, что любым ценным данным в куках не место. Спрячь их хотя бы в менеджер паролей. Или в сейф, надёжно закопанный в потайном бункере.
https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack
Vice
Inside the Market for Cookies That Lets Hackers Pretend to Be You
A representative for the hackers who breached EA said they bought the cookie from a site called Genesis Market.
Вот представь форум. На форуме сидят киберпреступники и занимаются своими обычными киберпреступными делами. Что же такого должен сделать киберпреступник, чтобы коллеги неодобрительно покачали головами и забанили его форумный аккаунт?
Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.
Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.
Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.
Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.
В общем, ничто человеческое не чуждо.
https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/
Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.
Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.
Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.
Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.
В общем, ничто человеческое не чуждо.
https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/
Digital Shadows
Why Do Users Get Banned from Cybercriminal Forums?
Contrary to what you might expect, successful cybercriminal platforms are not the "wild west". Forum admins move to protect their own interests by banning problematic threat actors from the platforms they run.
Я на днях писал о том, как предприимчивые хакеры торгуют куками, украденными с заражённых компьютеров. И без подобных историй вполне очевидно, что делиться с браузером всеми-всеми паролями — это не очень разумно. Может, у меня профдеформационная паранойя, но я браузерному менеджеру паролей доверяю только то, что в любом случае было бы не жалко потерять.
В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.
Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище™ и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.
Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.
https://habr.com/ru/company/vdsina/blog/564578/
В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.
Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище™ и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.
Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.
https://habr.com/ru/company/vdsina/blog/564578/
Хабр
Опасности пользования онлайн-менеджерами паролей
Введение Я потратил немало времени на то, чтобы разобраться с поверхностью атаки популярных менеджеров паролей. Думаю, я провёл больше времени над их анализом, чем кто-либо ещё, поэтому у меня есть...
На днях в продаже оказался датасет из 700 миллионов (то есть, больше 90%) пользователей Линкедина. В базе есть, например, номера телефонов, метки геолокации, ссылки на аккаунты в соцсетях, предполагаемые зарплаты и много чего ещё.
Паролей в открытом виде там всё-таки нет, к счастью, так что можно чуть выдохнуть. Какие у этого есть потенциальные последствия? Вообще, не очень хорошие — от взломов аккаунтов и целого праздника социальной инженерии до краж личности. Датасет тут оставляет приличное пространство для творчества.
Никаких взломов или утечек в привычном понимании слова, однако, не было. Продавец сообщает, что все данные просто-напросто вытянул через API. Что-то похожее с Линкедином происходило в апреле, только тогда такие данные появились для 500 миллионов человек. Они сейчас открещиваются в СМИ и сообщают, что-де не виноваты, но возможность такого использования API — сама по себе серьёзная брешь.
Каждая такая сокровищница данных — отнюдь не лишнее напоминание о том, сколько всего мы иногда необдуманно оставляем где ни попадя. Сел делать красивое резюме на сайте с солидным синим логотипом, а оно уже составило на тебя мини-досье и покладисто его передает по первой просьбе играющимся с API даркнетовским торговцам. Такое себе.
https://restoreprivacy.com/linkedin-data-leak-700-million-users/
Паролей в открытом виде там всё-таки нет, к счастью, так что можно чуть выдохнуть. Какие у этого есть потенциальные последствия? Вообще, не очень хорошие — от взломов аккаунтов и целого праздника социальной инженерии до краж личности. Датасет тут оставляет приличное пространство для творчества.
Никаких взломов или утечек в привычном понимании слова, однако, не было. Продавец сообщает, что все данные просто-напросто вытянул через API. Что-то похожее с Линкедином происходило в апреле, только тогда такие данные появились для 500 миллионов человек. Они сейчас открещиваются в СМИ и сообщают, что-де не виноваты, но возможность такого использования API — сама по себе серьёзная брешь.
Каждая такая сокровищница данных — отнюдь не лишнее напоминание о том, сколько всего мы иногда необдуманно оставляем где ни попадя. Сел делать красивое резюме на сайте с солидным синим логотипом, а оно уже составило на тебя мини-досье и покладисто его передает по первой просьбе играющимся с API даркнетовским торговцам. Такое себе.
https://restoreprivacy.com/linkedin-data-leak-700-million-users/
CyberInsider
New LinkedIn Data Leak Leaves 700 Million Users Exposed
Data from 700 million LinkedIn users has been put up for sale online, making this one of the largest LinkedIn data leaks to date. After analyzing the data and making contact with the seller, we have updated this article with more information, including how…
Доброго тебе утра! Или не очень доброго. Почти две недели назад я писал о том, что Роскомнадзор заблокировал встроенный ВПН Оперы и VyprVPN. Я ещё упоминал тогда список возможных целей по ВПН-блокировкам на будущее, который неофициально гулял по интернету с апреля. Так вот: он, похоже, вполне реалистичен.
Вчера Роскомнадзор попросил компании уведомить его, если они используют в своих процессах Hola!VPN, ExpressVPN, NordVPN, Speedify VPN, IPVanish VPN или KeepSolid VPN Unlimited. Вполне очевидно, что все эти провайдеры следующие на очереди — об этом сообщается прямым текстом. Пользующиеся ими компании вынесут в белый список, как при прошлых блокировках.
Пока любопытно, как именно это будут реализовывать. В Китае заблокированы все сайты компаний, на которых можно создать аккаунт и оплатить подписку, но примерно половина провайдеров из списка выше всё равно работает, если аккаунт и софт уже есть. Что ж, будем наблюдать за событиями грядущих дней: в прошлый раз РКН аналогичным образом предупреждали компании за месяц до блокировки.
https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac
Вчера Роскомнадзор попросил компании уведомить его, если они используют в своих процессах Hola!VPN, ExpressVPN, NordVPN, Speedify VPN, IPVanish VPN или KeepSolid VPN Unlimited. Вполне очевидно, что все эти провайдеры следующие на очереди — об этом сообщается прямым текстом. Пользующиеся ими компании вынесут в белый список, как при прошлых блокировках.
Пока любопытно, как именно это будут реализовывать. В Китае заблокированы все сайты компаний, на которых можно создать аккаунт и оплатить подписку, но примерно половина провайдеров из списка выше всё равно работает, если аккаунт и софт уже есть. Что ж, будем наблюдать за событиями грядущих дней: в прошлый раз РКН аналогичным образом предупреждали компании за месяц до блокировки.
https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac
РБК
Роскомнадзор решил заблокировать шесть VPN-сервисов
Под ограничения попадут Nord VPN, Speedify VPN и другие. Работу с ними могут разрешить продолжить компаниям, в которых они используются для обеспечения работы технологических процессов, как в случае
Только недавно писал про первую в истории supply chain атаку, а тут вот: вчера вечером группировка REvil одним махом зашифровала файлы сотен американских компаний. Объединяет всех жертв только то, что они были клиентами Kaseya VSA, провайдера софта для мониторинга ИТ-инфраструктуры. У пострадавших уже вымогают за расшифровку данных от $45000 до $5 миллионов в XMR.
Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы.
Взлом произошёл вечером пятницы, поэтому масштабы атаки получше прояснятся на следующей неделе. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.
Механика такая: Kaseya кладёт через автоапдейт в c:\kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.
Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter.
https://www.scmagazine.com/home/security-news/ransomware/kaseya-vsa-systems-under-active-attack-as-company-tells-customers-to-shutdown/
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы.
Взлом произошёл вечером пятницы, поэтому масштабы атаки получше прояснятся на следующей неделе. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.
Механика такая: Kaseya кладёт через автоапдейт в c:\kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.
Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter.
https://www.scmagazine.com/home/security-news/ransomware/kaseya-vsa-systems-under-active-attack-as-company-tells-customers-to-shutdown/
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
Scmagazine
Kaseya VSA systems under active attack, as company tells customers to shutdown
There is some dispute over the number of managed service providers under attack by the ransomware group, each of whom has many customers of its own.
Поговорим в этот воскресный вечер о неосторожности.
В службе диспетчера печати Windows есть PrintNightmare — уязвимость нулевого дня, позволяющая полностью завладеть атакованной системой. Её обнаружили ещё в начале года, но сочли не особо опасной: казалось, через неё можно было только повышать привилегии.
Однако недавно Microsoft сообщила, что уязвимость позволяет удалённо запускать любой код с SYSTEM-привилегиями. Компания настоятельно посоветовала администраторам отключить Windows Print Spooler. Полноценного патча всё ещё нет: выпущенный ранее в июньский вторник обновлений исправил первоначальную проблему с привилегиями, но не более широкую уязвимость. Она, кстати говоря, касается всех версий Windows.
Ранее о PrintNightmare почти не писали. Наконец, 28 июня ИБ-исследователи из RedDrip Team рассказали про уязвимость и показали гифку с их эксплойтом под неё. А потом на Гитхабе появился подробный технический отчёт, к которому любезно прилагался код работающего эксплойта. Похоже, это была чья-то ошибка, которая прожила несколько часов, но клонировать репо всё равно успели. Новости с полей ничего хорошего не обещают: Microsoft подтвердила, что уязвимостью уже пользуются. Что ж, будем ждать патч.
https://xakep.ru/2021/06/30/printnightmare/
В службе диспетчера печати Windows есть PrintNightmare — уязвимость нулевого дня, позволяющая полностью завладеть атакованной системой. Её обнаружили ещё в начале года, но сочли не особо опасной: казалось, через неё можно было только повышать привилегии.
Однако недавно Microsoft сообщила, что уязвимость позволяет удалённо запускать любой код с SYSTEM-привилегиями. Компания настоятельно посоветовала администраторам отключить Windows Print Spooler. Полноценного патча всё ещё нет: выпущенный ранее в июньский вторник обновлений исправил первоначальную проблему с привилегиями, но не более широкую уязвимость. Она, кстати говоря, касается всех версий Windows.
Ранее о PrintNightmare почти не писали. Наконец, 28 июня ИБ-исследователи из RedDrip Team рассказали про уязвимость и показали гифку с их эксплойтом под неё. А потом на Гитхабе появился подробный технический отчёт, к которому любезно прилагался код работающего эксплойта. Похоже, это была чья-то ошибка, которая прожила несколько часов, но клонировать репо всё равно успели. Новости с полей ничего хорошего не обещают: Microsoft подтвердила, что уязвимостью уже пользуются. Что ж, будем ждать патч.
https://xakep.ru/2021/06/30/printnightmare/
XAKEP
В сеть просочился эксплоит для опасной проблемы PrintNightmare в Windows
PoC-эксплоит для опасной уязвимости в Windows Print Spooler был опубликован в открытом доступе. RCE-уязвимость затрагивает все версии Windows и может влиять даже на XP и Vista.
Снова про атаку на Kaseya, о которой я писал пару дней назад. Напоминаю, вечером минувшей пятницы взломали одну из крупнейших американских компаний, продающих ПО для мониторинга ИТ-инфраструктуры. Хакеры внедрили классическую рансомварь.
Во-первых, стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.
Во-вторых, хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.
https://www.npr.org/2021/07/05/1013117515/scale-details-of-massive-kaseya-ransomware-attack-emerge
Во-первых, стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.
Во-вторых, хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.
https://www.npr.org/2021/07/05/1013117515/scale-details-of-massive-kaseya-ransomware-attack-emerge
Доброго утра! Сегодня рассмотрим любопытную малварную особь — мультиязычную и мультиплатформенную.
В марте Лаборатория Касперского рассказала о буйствующем на Ближнем Востоке трояне Milum, группировку-автора которого назвали WildPressure. Оказывается, есть ещё две очень похожие версии зловреда на других языках: мартовская малварь была написана на плюсах, а две новые версии — на Visual Basic и Питоне. Все три могут самообновляться, собирать данные, загружать файлы и выполнять любые команды оператора.
Та, что на Питоне, мультиплатформенная, работает и под macOS. Весьма загадочное решение, учитывая целевой регион жертв. Впрочем, вскрытие показало, что мультиплатформенность не стоила авторам особых усилий, благо что в яблочной оси ещё и интерпретатор Питона идёт из коробки.
В Касперском предполагают, что в основном жертвами вируса стали нефтегазовые компании. На этот раз для распространения зловреда использовались не только VPS, но и взломанные WordPress-сайты.
https://www.kaspersky.ru/about/press-releases/2021_laboratoriya-kasperskogo-kibergruppa-wildpressure-atakuet-ne-tolko-windows-no-i-macos
https://securelist.com/wildpressure-targets-macos/103072/
В марте Лаборатория Касперского рассказала о буйствующем на Ближнем Востоке трояне Milum, группировку-автора которого назвали WildPressure. Оказывается, есть ещё две очень похожие версии зловреда на других языках: мартовская малварь была написана на плюсах, а две новые версии — на Visual Basic и Питоне. Все три могут самообновляться, собирать данные, загружать файлы и выполнять любые команды оператора.
Та, что на Питоне, мультиплатформенная, работает и под macOS. Весьма загадочное решение, учитывая целевой регион жертв. Впрочем, вскрытие показало, что мультиплатформенность не стоила авторам особых усилий, благо что в яблочной оси ещё и интерпретатор Питона идёт из коробки.
В Касперском предполагают, что в основном жертвами вируса стали нефтегазовые компании. На этот раз для распространения зловреда использовались не только VPS, но и взломанные WordPress-сайты.
https://www.kaspersky.ru/about/press-releases/2021_laboratoriya-kasperskogo-kibergruppa-wildpressure-atakuet-ne-tolko-windows-no-i-macos
https://securelist.com/wildpressure-targets-macos/103072/
www.kaspersky.ru
«Лаборатория Касперского»: кибергруппа WildPressure атакует не только Windows, но и macOS
Для атак на ближневосточные компании используются версии троянца Milum, написанные на разных языках программирования
Вот смотри, есть совершенно обычный телефон с совершенно обычным набором приложений на главном экране: Тиндер, Фейсбук, Инстаграм, игрушечки даже мобильные стоят. Ничего из этого не работает, правда. Почему? Потому что надо перезагрузить устройство и ввести другой пин-код.
И тогда телефон превращается... превращается телефон... в весьма загадочный девайс, на главном экране которого есть только калькулятор, часы и настройки. Если попробовать открыть калькулятор, вместо него получаешь не менее загадочный экран входа.
Телефон всё же весьма необычный: это центр недавно завершившейся спецоперации. Преступники пользовались анонимным мессенджером Anom, который, как они считали, надёжно шифрует их сообщения.
На самом деле Anom (и ArcaneOS, дистрибутиве Андроида, на которой работает устройство) — правительственная разработка, с помощью которой спецслужбы США и Австралии свободно изучали переписки преступников, а в начале июня организовали множество арестов по 16 странам. Как результат, владельцы телефонов с Anom начали массово избавляться от устройств, отдавая их за символические суммы. Один из покупателей догадался, что с телефоном что-то не так, и быстро понял, что.
Забавных моментов много. Переключатель отслеживания локации в принципе тактично отсутствует — если о нём специально не задуматься, можно и не заметить. При этом фичей категории «театр безопасности» более чем достаточно. Например, при вводе пин-кода цифры визуально перемешиваются, чтобы стоящий рядом человек не смог отследить нажатие клавиш.
Вот такие артефактные «троянские щиты», как метко назвали операцию ФБР.
https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor
И тогда телефон превращается... превращается телефон... в весьма загадочный девайс, на главном экране которого есть только калькулятор, часы и настройки. Если попробовать открыть калькулятор, вместо него получаешь не менее загадочный экран входа.
Телефон всё же весьма необычный: это центр недавно завершившейся спецоперации. Преступники пользовались анонимным мессенджером Anom, который, как они считали, надёжно шифрует их сообщения.
На самом деле Anom (и ArcaneOS, дистрибутиве Андроида, на которой работает устройство) — правительственная разработка, с помощью которой спецслужбы США и Австралии свободно изучали переписки преступников, а в начале июня организовали множество арестов по 16 странам. Как результат, владельцы телефонов с Anom начали массово избавляться от устройств, отдавая их за символические суммы. Один из покупателей догадался, что с телефоном что-то не так, и быстро понял, что.
Забавных моментов много. Переключатель отслеживания локации в принципе тактично отсутствует — если о нём специально не задуматься, можно и не заметить. При этом фичей категории «театр безопасности» более чем достаточно. Например, при вводе пин-кода цифры визуально перемешиваются, чтобы стоящий рядом человек не смог отследить нажатие клавиш.
Вот такие артефактные «троянские щиты», как метко назвали операцию ФБР.
https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor
Gettr, правый аналог Твиттера, который задумывался как островок свободы слова, взломали 5 июля, в первый же день после запуска. Хакер раскрасил аккаунты известных республиканцев, дописав в ники лозунги о свободе Палестине. Что ж, наивно было ожидать чего-то другого и наивно было запускаться с настолько слабой защитой.
Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.
Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.
Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.
А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.
https://xakep.ru/2021/07/07/gettr-leak/
Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.
Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.
Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.
А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.
https://xakep.ru/2021/07/07/gettr-leak/