Вот представь форум. На форуме сидят киберпреступники и занимаются своими обычными киберпреступными делами. Что же такого должен сделать киберпреступник, чтобы коллеги неодобрительно покачали головами и забанили его форумный аккаунт?
Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.
Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.
Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.
Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.
В общем, ничто человеческое не чуждо.
https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/
Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.
Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.
Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.
Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.
В общем, ничто человеческое не чуждо.
https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/
Digital Shadows
Why Do Users Get Banned from Cybercriminal Forums?
Contrary to what you might expect, successful cybercriminal platforms are not the "wild west". Forum admins move to protect their own interests by banning problematic threat actors from the platforms they run.
Я на днях писал о том, как предприимчивые хакеры торгуют куками, украденными с заражённых компьютеров. И без подобных историй вполне очевидно, что делиться с браузером всеми-всеми паролями — это не очень разумно. Может, у меня профдеформационная паранойя, но я браузерному менеджеру паролей доверяю только то, что в любом случае было бы не жалко потерять.
В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.
Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище™ и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.
Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.
https://habr.com/ru/company/vdsina/blog/564578/
В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.
Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище™ и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.
Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.
https://habr.com/ru/company/vdsina/blog/564578/
Хабр
Опасности пользования онлайн-менеджерами паролей
Введение Я потратил немало времени на то, чтобы разобраться с поверхностью атаки популярных менеджеров паролей. Думаю, я провёл больше времени над их анализом, чем кто-либо ещё, поэтому у меня есть...
На днях в продаже оказался датасет из 700 миллионов (то есть, больше 90%) пользователей Линкедина. В базе есть, например, номера телефонов, метки геолокации, ссылки на аккаунты в соцсетях, предполагаемые зарплаты и много чего ещё.
Паролей в открытом виде там всё-таки нет, к счастью, так что можно чуть выдохнуть. Какие у этого есть потенциальные последствия? Вообще, не очень хорошие — от взломов аккаунтов и целого праздника социальной инженерии до краж личности. Датасет тут оставляет приличное пространство для творчества.
Никаких взломов или утечек в привычном понимании слова, однако, не было. Продавец сообщает, что все данные просто-напросто вытянул через API. Что-то похожее с Линкедином происходило в апреле, только тогда такие данные появились для 500 миллионов человек. Они сейчас открещиваются в СМИ и сообщают, что-де не виноваты, но возможность такого использования API — сама по себе серьёзная брешь.
Каждая такая сокровищница данных — отнюдь не лишнее напоминание о том, сколько всего мы иногда необдуманно оставляем где ни попадя. Сел делать красивое резюме на сайте с солидным синим логотипом, а оно уже составило на тебя мини-досье и покладисто его передает по первой просьбе играющимся с API даркнетовским торговцам. Такое себе.
https://restoreprivacy.com/linkedin-data-leak-700-million-users/
Паролей в открытом виде там всё-таки нет, к счастью, так что можно чуть выдохнуть. Какие у этого есть потенциальные последствия? Вообще, не очень хорошие — от взломов аккаунтов и целого праздника социальной инженерии до краж личности. Датасет тут оставляет приличное пространство для творчества.
Никаких взломов или утечек в привычном понимании слова, однако, не было. Продавец сообщает, что все данные просто-напросто вытянул через API. Что-то похожее с Линкедином происходило в апреле, только тогда такие данные появились для 500 миллионов человек. Они сейчас открещиваются в СМИ и сообщают, что-де не виноваты, но возможность такого использования API — сама по себе серьёзная брешь.
Каждая такая сокровищница данных — отнюдь не лишнее напоминание о том, сколько всего мы иногда необдуманно оставляем где ни попадя. Сел делать красивое резюме на сайте с солидным синим логотипом, а оно уже составило на тебя мини-досье и покладисто его передает по первой просьбе играющимся с API даркнетовским торговцам. Такое себе.
https://restoreprivacy.com/linkedin-data-leak-700-million-users/
CyberInsider
New LinkedIn Data Leak Leaves 700 Million Users Exposed
Data from 700 million LinkedIn users has been put up for sale online, making this one of the largest LinkedIn data leaks to date. After analyzing the data and making contact with the seller, we have updated this article with more information, including how…
Доброго тебе утра! Или не очень доброго. Почти две недели назад я писал о том, что Роскомнадзор заблокировал встроенный ВПН Оперы и VyprVPN. Я ещё упоминал тогда список возможных целей по ВПН-блокировкам на будущее, который неофициально гулял по интернету с апреля. Так вот: он, похоже, вполне реалистичен.
Вчера Роскомнадзор попросил компании уведомить его, если они используют в своих процессах Hola!VPN, ExpressVPN, NordVPN, Speedify VPN, IPVanish VPN или KeepSolid VPN Unlimited. Вполне очевидно, что все эти провайдеры следующие на очереди — об этом сообщается прямым текстом. Пользующиеся ими компании вынесут в белый список, как при прошлых блокировках.
Пока любопытно, как именно это будут реализовывать. В Китае заблокированы все сайты компаний, на которых можно создать аккаунт и оплатить подписку, но примерно половина провайдеров из списка выше всё равно работает, если аккаунт и софт уже есть. Что ж, будем наблюдать за событиями грядущих дней: в прошлый раз РКН аналогичным образом предупреждали компании за месяц до блокировки.
https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac
Вчера Роскомнадзор попросил компании уведомить его, если они используют в своих процессах Hola!VPN, ExpressVPN, NordVPN, Speedify VPN, IPVanish VPN или KeepSolid VPN Unlimited. Вполне очевидно, что все эти провайдеры следующие на очереди — об этом сообщается прямым текстом. Пользующиеся ими компании вынесут в белый список, как при прошлых блокировках.
Пока любопытно, как именно это будут реализовывать. В Китае заблокированы все сайты компаний, на которых можно создать аккаунт и оплатить подписку, но примерно половина провайдеров из списка выше всё равно работает, если аккаунт и софт уже есть. Что ж, будем наблюдать за событиями грядущих дней: в прошлый раз РКН аналогичным образом предупреждали компании за месяц до блокировки.
https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac
РБК
Роскомнадзор решил заблокировать шесть VPN-сервисов
Под ограничения попадут Nord VPN, Speedify VPN и другие. Работу с ними могут разрешить продолжить компаниям, в которых они используются для обеспечения работы технологических процессов, как в случае
Только недавно писал про первую в истории supply chain атаку, а тут вот: вчера вечером группировка REvil одним махом зашифровала файлы сотен американских компаний. Объединяет всех жертв только то, что они были клиентами Kaseya VSA, провайдера софта для мониторинга ИТ-инфраструктуры. У пострадавших уже вымогают за расшифровку данных от $45000 до $5 миллионов в XMR.
Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы.
Взлом произошёл вечером пятницы, поэтому масштабы атаки получше прояснятся на следующей неделе. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.
Механика такая: Kaseya кладёт через автоапдейт в c:\kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.
Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter.
https://www.scmagazine.com/home/security-news/ransomware/kaseya-vsa-systems-under-active-attack-as-company-tells-customers-to-shutdown/
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы.
Взлом произошёл вечером пятницы, поэтому масштабы атаки получше прояснятся на следующей неделе. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.
Механика такая: Kaseya кладёт через автоапдейт в c:\kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.
Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter.
https://www.scmagazine.com/home/security-news/ransomware/kaseya-vsa-systems-under-active-attack-as-company-tells-customers-to-shutdown/
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
Scmagazine
Kaseya VSA systems under active attack, as company tells customers to shutdown
There is some dispute over the number of managed service providers under attack by the ransomware group, each of whom has many customers of its own.
Поговорим в этот воскресный вечер о неосторожности.
В службе диспетчера печати Windows есть PrintNightmare — уязвимость нулевого дня, позволяющая полностью завладеть атакованной системой. Её обнаружили ещё в начале года, но сочли не особо опасной: казалось, через неё можно было только повышать привилегии.
Однако недавно Microsoft сообщила, что уязвимость позволяет удалённо запускать любой код с SYSTEM-привилегиями. Компания настоятельно посоветовала администраторам отключить Windows Print Spooler. Полноценного патча всё ещё нет: выпущенный ранее в июньский вторник обновлений исправил первоначальную проблему с привилегиями, но не более широкую уязвимость. Она, кстати говоря, касается всех версий Windows.
Ранее о PrintNightmare почти не писали. Наконец, 28 июня ИБ-исследователи из RedDrip Team рассказали про уязвимость и показали гифку с их эксплойтом под неё. А потом на Гитхабе появился подробный технический отчёт, к которому любезно прилагался код работающего эксплойта. Похоже, это была чья-то ошибка, которая прожила несколько часов, но клонировать репо всё равно успели. Новости с полей ничего хорошего не обещают: Microsoft подтвердила, что уязвимостью уже пользуются. Что ж, будем ждать патч.
https://xakep.ru/2021/06/30/printnightmare/
В службе диспетчера печати Windows есть PrintNightmare — уязвимость нулевого дня, позволяющая полностью завладеть атакованной системой. Её обнаружили ещё в начале года, но сочли не особо опасной: казалось, через неё можно было только повышать привилегии.
Однако недавно Microsoft сообщила, что уязвимость позволяет удалённо запускать любой код с SYSTEM-привилегиями. Компания настоятельно посоветовала администраторам отключить Windows Print Spooler. Полноценного патча всё ещё нет: выпущенный ранее в июньский вторник обновлений исправил первоначальную проблему с привилегиями, но не более широкую уязвимость. Она, кстати говоря, касается всех версий Windows.
Ранее о PrintNightmare почти не писали. Наконец, 28 июня ИБ-исследователи из RedDrip Team рассказали про уязвимость и показали гифку с их эксплойтом под неё. А потом на Гитхабе появился подробный технический отчёт, к которому любезно прилагался код работающего эксплойта. Похоже, это была чья-то ошибка, которая прожила несколько часов, но клонировать репо всё равно успели. Новости с полей ничего хорошего не обещают: Microsoft подтвердила, что уязвимостью уже пользуются. Что ж, будем ждать патч.
https://xakep.ru/2021/06/30/printnightmare/
XAKEP
В сеть просочился эксплоит для опасной проблемы PrintNightmare в Windows
PoC-эксплоит для опасной уязвимости в Windows Print Spooler был опубликован в открытом доступе. RCE-уязвимость затрагивает все версии Windows и может влиять даже на XP и Vista.
Снова про атаку на Kaseya, о которой я писал пару дней назад. Напоминаю, вечером минувшей пятницы взломали одну из крупнейших американских компаний, продающих ПО для мониторинга ИТ-инфраструктуры. Хакеры внедрили классическую рансомварь.
Во-первых, стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.
Во-вторых, хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.
https://www.npr.org/2021/07/05/1013117515/scale-details-of-massive-kaseya-ransomware-attack-emerge
Во-первых, стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.
Во-вторых, хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.
https://www.npr.org/2021/07/05/1013117515/scale-details-of-massive-kaseya-ransomware-attack-emerge
Доброго утра! Сегодня рассмотрим любопытную малварную особь — мультиязычную и мультиплатформенную.
В марте Лаборатория Касперского рассказала о буйствующем на Ближнем Востоке трояне Milum, группировку-автора которого назвали WildPressure. Оказывается, есть ещё две очень похожие версии зловреда на других языках: мартовская малварь была написана на плюсах, а две новые версии — на Visual Basic и Питоне. Все три могут самообновляться, собирать данные, загружать файлы и выполнять любые команды оператора.
Та, что на Питоне, мультиплатформенная, работает и под macOS. Весьма загадочное решение, учитывая целевой регион жертв. Впрочем, вскрытие показало, что мультиплатформенность не стоила авторам особых усилий, благо что в яблочной оси ещё и интерпретатор Питона идёт из коробки.
В Касперском предполагают, что в основном жертвами вируса стали нефтегазовые компании. На этот раз для распространения зловреда использовались не только VPS, но и взломанные WordPress-сайты.
https://www.kaspersky.ru/about/press-releases/2021_laboratoriya-kasperskogo-kibergruppa-wildpressure-atakuet-ne-tolko-windows-no-i-macos
https://securelist.com/wildpressure-targets-macos/103072/
В марте Лаборатория Касперского рассказала о буйствующем на Ближнем Востоке трояне Milum, группировку-автора которого назвали WildPressure. Оказывается, есть ещё две очень похожие версии зловреда на других языках: мартовская малварь была написана на плюсах, а две новые версии — на Visual Basic и Питоне. Все три могут самообновляться, собирать данные, загружать файлы и выполнять любые команды оператора.
Та, что на Питоне, мультиплатформенная, работает и под macOS. Весьма загадочное решение, учитывая целевой регион жертв. Впрочем, вскрытие показало, что мультиплатформенность не стоила авторам особых усилий, благо что в яблочной оси ещё и интерпретатор Питона идёт из коробки.
В Касперском предполагают, что в основном жертвами вируса стали нефтегазовые компании. На этот раз для распространения зловреда использовались не только VPS, но и взломанные WordPress-сайты.
https://www.kaspersky.ru/about/press-releases/2021_laboratoriya-kasperskogo-kibergruppa-wildpressure-atakuet-ne-tolko-windows-no-i-macos
https://securelist.com/wildpressure-targets-macos/103072/
www.kaspersky.ru
«Лаборатория Касперского»: кибергруппа WildPressure атакует не только Windows, но и macOS
Для атак на ближневосточные компании используются версии троянца Milum, написанные на разных языках программирования
Вот смотри, есть совершенно обычный телефон с совершенно обычным набором приложений на главном экране: Тиндер, Фейсбук, Инстаграм, игрушечки даже мобильные стоят. Ничего из этого не работает, правда. Почему? Потому что надо перезагрузить устройство и ввести другой пин-код.
И тогда телефон превращается... превращается телефон... в весьма загадочный девайс, на главном экране которого есть только калькулятор, часы и настройки. Если попробовать открыть калькулятор, вместо него получаешь не менее загадочный экран входа.
Телефон всё же весьма необычный: это центр недавно завершившейся спецоперации. Преступники пользовались анонимным мессенджером Anom, который, как они считали, надёжно шифрует их сообщения.
На самом деле Anom (и ArcaneOS, дистрибутиве Андроида, на которой работает устройство) — правительственная разработка, с помощью которой спецслужбы США и Австралии свободно изучали переписки преступников, а в начале июня организовали множество арестов по 16 странам. Как результат, владельцы телефонов с Anom начали массово избавляться от устройств, отдавая их за символические суммы. Один из покупателей догадался, что с телефоном что-то не так, и быстро понял, что.
Забавных моментов много. Переключатель отслеживания локации в принципе тактично отсутствует — если о нём специально не задуматься, можно и не заметить. При этом фичей категории «театр безопасности» более чем достаточно. Например, при вводе пин-кода цифры визуально перемешиваются, чтобы стоящий рядом человек не смог отследить нажатие клавиш.
Вот такие артефактные «троянские щиты», как метко назвали операцию ФБР.
https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor
И тогда телефон превращается... превращается телефон... в весьма загадочный девайс, на главном экране которого есть только калькулятор, часы и настройки. Если попробовать открыть калькулятор, вместо него получаешь не менее загадочный экран входа.
Телефон всё же весьма необычный: это центр недавно завершившейся спецоперации. Преступники пользовались анонимным мессенджером Anom, который, как они считали, надёжно шифрует их сообщения.
На самом деле Anom (и ArcaneOS, дистрибутиве Андроида, на которой работает устройство) — правительственная разработка, с помощью которой спецслужбы США и Австралии свободно изучали переписки преступников, а в начале июня организовали множество арестов по 16 странам. Как результат, владельцы телефонов с Anom начали массово избавляться от устройств, отдавая их за символические суммы. Один из покупателей догадался, что с телефоном что-то не так, и быстро понял, что.
Забавных моментов много. Переключатель отслеживания локации в принципе тактично отсутствует — если о нём специально не задуматься, можно и не заметить. При этом фичей категории «театр безопасности» более чем достаточно. Например, при вводе пин-кода цифры визуально перемешиваются, чтобы стоящий рядом человек не смог отследить нажатие клавиш.
Вот такие артефактные «троянские щиты», как метко назвали операцию ФБР.
https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor
Gettr, правый аналог Твиттера, который задумывался как островок свободы слова, взломали 5 июля, в первый же день после запуска. Хакер раскрасил аккаунты известных республиканцев, дописав в ники лозунги о свободе Палестине. Что ж, наивно было ожидать чего-то другого и наивно было запускаться с настолько слабой защитой.
Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.
Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.
Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.
А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.
https://xakep.ru/2021/07/07/gettr-leak/
Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.
Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.
Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.
А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.
https://xakep.ru/2021/07/07/gettr-leak/
Пуф! Onion-сайт REvil, организатора недавней атаки на Kaseya, куда-то исчез. Лежат и те страницы, на которых жертвы могли обсудить условия возвращения данных, и та, на которой это можно было оплатить. На хакерских форумах представители группировки тоже подзатихли.
Многие издания гадают, не знак ли это того, чтоИмперия США нанесли ответный удар. А может, до группировки наконец-таки добрались российские спецслужбы? На мой взгляд, едва ли. Не исключено, что они скоро вернутся — их Happy Blog, случалось, уже пропадал ненадолго и восставал обратно.
Даже если нет, не факт, что это вообще хоть что-нибудь значит — может, на фоне резко возросшего внимания со стороны самых разных спецслужб ребята просто решили организовать ребрендинг и тихо перекрасить паруса. В мае группировка DarkSide, атаковавшая Colonial Pipeline и положившая на пять дней трубопроводную систему по всей Америке, тоже полностью ушла в оффлайн, но было бы наивно предполагать, что они не пересоберутся под другим именем. То же справедливо и здесь: в конце коцнов, REvil — актор почти четверти всех кибератак на западные цели.
Интересно только, что сейчас будут делать жертвы, ещё не успевшие решить свои проблемы и выкупить доступ к данным. Вот уж кому не позавидуешь — совсем безответственные какие-то хакеры.
https://threatpost.com/ransomware-revil-sites-disappears/167745/
Многие издания гадают, не знак ли это того, что
Даже если нет, не факт, что это вообще хоть что-нибудь значит — может, на фоне резко возросшего внимания со стороны самых разных спецслужб ребята просто решили организовать ребрендинг и тихо перекрасить паруса. В мае группировка DarkSide, атаковавшая Colonial Pipeline и положившая на пять дней трубопроводную систему по всей Америке, тоже полностью ушла в оффлайн, но было бы наивно предполагать, что они не пересоберутся под другим именем. То же справедливо и здесь: в конце коцнов, REvil — актор почти четверти всех кибератак на западные цели.
Интересно только, что сейчас будут делать жертвы, ещё не успевшие решить свои проблемы и выкупить доступ к данным. Вот уж кому не позавидуешь — совсем безответственные какие-то хакеры.
https://threatpost.com/ransomware-revil-sites-disappears/167745/
Threat Post
Ransomware Giant REvil’s Sites Disappear
Just days after President Biden demanded that Putin shut down ransomware groups, the servers of one of the biggest groups mysteriously went dark.
Тут недавно вспомнили, что в Хроме, Сафари и IE были уязвимости нулевого дня, которые активно эксплуатировались в различных атаках за этот год. Особенно отмечу сейчас ту, что была в яблочном WebKit: с ней связаны занятные детали.
Суть простая: западноевропейские госслужащие получали в Линкедине ссылки, которые, если их открыть с Сафари на айфоне или айпаде, редиректили жертву на вредонос. Вредонос, в свою о чередь, тянул у пользователя куки для Google, Facebook, Linkedin и прочих популярных сайтов, а затем передавал на подконтрольный хакерам IP через вебсокет.
Подозревается, что за этим стоят те же деятели, что и за легендарной прошлогодней supply chain-атакой на SolarWinds. Microsoft предполагала, что в мае эти ребята через ту же уязвимость в яблочном WebKit получили доступ к почтам Агентства США по Международному развитию, с которых затем рассылались письма со ссылками на малварь. Цели впечатляющие — среди них политические аналитические центры, государственные органы и не только, например ОБСЕ. А хакеры, как водится, русские.
Многовато в последнее время как-то уязвимостей нулевого дня развелось, однако.
https://www.securitylab.ru/news/522349.php
Суть простая: западноевропейские госслужащие получали в Линкедине ссылки, которые, если их открыть с Сафари на айфоне или айпаде, редиректили жертву на вредонос. Вредонос, в свою о чередь, тянул у пользователя куки для Google, Facebook, Linkedin и прочих популярных сайтов, а затем передавал на подконтрольный хакерам IP через вебсокет.
Подозревается, что за этим стоят те же деятели, что и за легендарной прошлогодней supply chain-атакой на SolarWinds. Microsoft предполагала, что в мае эти ребята через ту же уязвимость в яблочном WebKit получили доступ к почтам Агентства США по Международному развитию, с которых затем рассылались письма со ссылками на малварь. Цели впечатляющие — среди них политические аналитические центры, государственные органы и не только, например ОБСЕ. А хакеры, как водится, русские.
Многовато в последнее время как-то уязвимостей нулевого дня развелось, однако.
https://www.securitylab.ru/news/522349.php
SecurityLab.ru
«Русские хакеры» атаковали пользователей LinkedIn через уязвимость 0-day в Safari
Google приоткрыла завесу над атаками с использованием четырех уязвимостей нулевого дня.
Неделя подходит к концу, так что подведём итоги ещё одной свежей атаки на SolarWinds: несколько дней назад специалисты из Microsoft нашли в её продуктах уязвимость нулевого дня.
Затрагивала она только Serv-U Managed File Transfer и Serv-U Secure FTP. В реализации SSH-протокола была уязвимость, позволявшая получать админские права и исполнять на машине любой код. Патч уже есть, но уязвимость, по словам SolarWinds, затрагивает все версии софта от 5 мая и старше.
Уязвимостью этой успели живо попользоваться загадочные китайские акторы — это выяснили те же исследователи из Microsoft, что и обнаружили изначально саму проблему. Целились в американские правительственные агентства и IT-корпорации. Напомню, что подобных клиентов у печально известной SolarWinds предостаточно.
Судя по отчёту, о котором вчера писали Cyberscoop, США изрядно обеспокоены хищным китайским киберинтересом к себе. АНБ, ФБР и Министерство внутренней безопасности говорят, что поднебесные хакеры крайне агрессивно ломятся к американской защитной промышленности, университетам и корпорациям, пока президент страны повышенное внимание уделяет группировкам из России.
Обсудить этот вопрос публично собираются на грядущих неделях — возможно, даже в этот понедельник.
Что ж, справедливо.
https://xakep.ru/2021/07/13/serv-u-rce/
Затрагивала она только Serv-U Managed File Transfer и Serv-U Secure FTP. В реализации SSH-протокола была уязвимость, позволявшая получать админские права и исполнять на машине любой код. Патч уже есть, но уязвимость, по словам SolarWinds, затрагивает все версии софта от 5 мая и старше.
Уязвимостью этой успели живо попользоваться загадочные китайские акторы — это выяснили те же исследователи из Microsoft, что и обнаружили изначально саму проблему. Целились в американские правительственные агентства и IT-корпорации. Напомню, что подобных клиентов у печально известной SolarWinds предостаточно.
Судя по отчёту, о котором вчера писали Cyberscoop, США изрядно обеспокоены хищным китайским киберинтересом к себе. АНБ, ФБР и Министерство внутренней безопасности говорят, что поднебесные хакеры крайне агрессивно ломятся к американской защитной промышленности, университетам и корпорациям, пока президент страны повышенное внимание уделяет группировкам из России.
Обсудить этот вопрос публично собираются на грядущих неделях — возможно, даже в этот понедельник.
Что ж, справедливо.
https://xakep.ru/2021/07/13/serv-u-rce/
XAKEP
SolarWinds устранила 0-day уязвимость в Serv-U, которую используют хакеры
Компания Microsoft обнаружила находящуюся под атаками уязвимость, затрагивающую некоторые продукты SolarWinds, а именно Serv-U Managed File Transfer и Serv-U Secure FTP.
Сегодня, к счастью, без экшна: никаких жертв не было, всё заметили и починили вовремя, но случай всё равно занятный.
Ты почти наверняка слышал про Cloudflare. Оказывается, в их cdnjs была только совсем недавно исправленная RCE-уязвимость, которая могла привести к настоящей эпидемии supply chain-атак — проектом пользуется каждый восьмой сайт.
В чём суть?
Если в cdnjs нет какой-то нужной библиотеки, её можно предложить на Гитхабе. В самом репозитории cdnjs есть скрипт-автообновлятор, тянущий новые версии библиотек по npm-путям, предоставленным их авторами.
Независимый исследователь присмотрелся к коду и понял, что автообновление запускается регулярно, плюс из-под юзера с write-правами. Кроме того, распаковщик архива с обновлениями написан на Go, в котором функция archive/tar сама по себе ничего не санитизирует.
Изучив всю эту картину, исследователь задумался о том, что будет, если в npm-версии предложенной библиотеки окажется эксплойт обхода каталога.
Залил тестовую библиотеку, попробовал, отошёл поужинать, вернулся и увидел, что всё сработало. Потянулся смотреть итоговый файл, чтобы отправить репорт в команду безопасности, а в файле, помимо прочего, ещё GITHUB_REPO_API_KEY репозитория cdnjs лежит. Получился изрядный оверкилл.
Поскольку у cdnjs вся инфраструктура завязана на Гитхабе, в худшем из возможных миров где-то здесь могла начаться масштабная supply chain-атака, способная дотянуться до каждого восьмого сайта. Но мы всё-таки живём в лучшем, поэтому и эксплойт был исследовательским, и команда cdnjs со скоростью света отреагировала на то, что в их репозитории в открытом виде появился гитхабовский API-ключ. Ключ инвалидировали ещё до того, как исследователь успел отправить репорт.
Из разряда потенциального «за секунду до».
https://www.bleepingcomputer.com/news/security/critical-cloudflare-cdn-flaw-allowed-compromise-of-12-percent-of-all-sites/
Больше деталей можно почитать в блоге исследователя, который отрепортил уязвимость: https://blog.ryotak.me/post/cdnjs-remote-code-execution-en/
Ты почти наверняка слышал про Cloudflare. Оказывается, в их cdnjs была только совсем недавно исправленная RCE-уязвимость, которая могла привести к настоящей эпидемии supply chain-атак — проектом пользуется каждый восьмой сайт.
В чём суть?
Если в cdnjs нет какой-то нужной библиотеки, её можно предложить на Гитхабе. В самом репозитории cdnjs есть скрипт-автообновлятор, тянущий новые версии библиотек по npm-путям, предоставленным их авторами.
Независимый исследователь присмотрелся к коду и понял, что автообновление запускается регулярно, плюс из-под юзера с write-правами. Кроме того, распаковщик архива с обновлениями написан на Go, в котором функция archive/tar сама по себе ничего не санитизирует.
Изучив всю эту картину, исследователь задумался о том, что будет, если в npm-версии предложенной библиотеки окажется эксплойт обхода каталога.
Залил тестовую библиотеку, попробовал, отошёл поужинать, вернулся и увидел, что всё сработало. Потянулся смотреть итоговый файл, чтобы отправить репорт в команду безопасности, а в файле, помимо прочего, ещё GITHUB_REPO_API_KEY репозитория cdnjs лежит. Получился изрядный оверкилл.
Поскольку у cdnjs вся инфраструктура завязана на Гитхабе, в худшем из возможных миров где-то здесь могла начаться масштабная supply chain-атака, способная дотянуться до каждого восьмого сайта. Но мы всё-таки живём в лучшем, поэтому и эксплойт был исследовательским, и команда cdnjs со скоростью света отреагировала на то, что в их репозитории в открытом виде появился гитхабовский API-ключ. Ключ инвалидировали ещё до того, как исследователь успел отправить репорт.
Из разряда потенциального «за секунду до».
https://www.bleepingcomputer.com/news/security/critical-cloudflare-cdn-flaw-allowed-compromise-of-12-percent-of-all-sites/
Больше деталей можно почитать в блоге исследователя, который отрепортил уязвимость: https://blog.ryotak.me/post/cdnjs-remote-code-execution-en/
BleepingComputer
Critical Cloudflare CDN flaw allowed compromise of 12% of all sites
Cloudflare has fixed a critical vulnerability in its free and open-source CDNJS potentially impacting 12.7% of all websites on the internet. CDNJS serves millions of websites with over 4,000 JavaScript and CSS libraries stored publicly on GitHub, making it…
Недавно Apple тихо и скромно пропатчила баг, считавшийся досадной мелочью. Баг заключался в следующем: если подключиться с айфона к вай-фай сети, у которой в названии есть сочетания знака процента и букв, айфон в принципе разучится подключаться к вайфаю и забудет, что это. Придётся изрядно потанцевать с бубном, чтобы вернуть всё обратно.
Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.
Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.
Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.
https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/
Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.
Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.
Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.
https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/
Threat Post
Unpatched iPhone Bug Allows Remote Device Takeover
A format-string bug believed to be a low-risk denial-of-service issue turns out to be much nastier than expected.
Я за всю эту неделю ничего не написал про Пегасус: решил повременить и отфильтровать шум.
Думаю, основное ты слышал и так. У израильской компании NSO Group есть шпионский софт Pegasus, который продают правительственным агентствам. Пегасус селится на телефоне жертвы и передаёт с него всё, что нужно, включая фото и сообщения, плюс может записывать аудио и видео. Одним словом, тотальная слежка под светлыми лозунгами защиты от терроризма и поимки преступников. Бонусный пункт: отследить инициатора слежки невозможно.
За кем же следили? Больше всего в СМИ говорили о списке из 50 тысяч слитых номеров телефонов, среди которых мелькали персоналии вроде президента Франции, короля Морокко, Павла Дурова, жены громко убитого журналиста-критика Саудовской Аравии Джамаля Хашогги, а также дубайской принцессы Латифы. Про принцессу напомню, что в 2018 году она пыталась бежать в США и была поймана спецслужбами, откуда-то знавшими, на какой яхте она будет покидать Дубай и когда. Тогда это связали с ФБР.
Пожалуй, список номеров — одна из самых мутных частей всей этой истории. Сама NSO, ясное дело, от него мгновенно открестилась. Ещё бы, в списке полным-полно людей, слежка за которыми нарушала бы её же собственную политику использования. Слежку за той же женой Хашогги CEO NSO пламенно отрицал, как и роль Пегасуса в убийстве журналиста.
Кроме того, по словам миролюбивого CEO, NSO не хранит ни в каком виде номера целей. А если бы и хранила, их было бы гораздо меньше: мол, у Пегасуса 45 клиентов, каждый из которых держит около 100 целей в год.
Тут добавим в эту задачку два условия. Во-первых, NSO представляет крупные оптовые скидки: например, можно взломать 10 телефонов за $650,000 и взять ещё 100 уже за $800,000. Во-вторых, по её же утверждениям, у неё нет возможности узнать, за кем следят её клиенты. Итак, вопрос: откуда NSO вообще знает, что у каждого клиента всего-то навсего под 100 целей? Вопрос интересный, но со звёздочкой.
А как сочетаются слова о том, что компания не знает, за кем следят клиенты Пегасуса, и пламенные открещивания от слежки за тем или иным человеком? Вопрос с двумя звёздочками.
Возвращаемся к списку. Amnesty International проанализировала 67 телефонов, связанных с номерами из него. В как минимум 37 Пегасус каким-либо образом целился, а 23 успешно взломал. Совпадений многовато. Amnesty утверждает, что этот список включает или действующие, или потенциальные цели клиентов Пегасуса. Скорее всего, хозяева этих номеров представляют для клиентов NSO интерес, и некоторых из них действительно взломали.
Понятно, почему некоторым — главе NSO, например — так хочется доказать его фейковость. CEO утверждает, что он «глубоко обеспокоен» всем этим шумом и понимает, что «клиенты могут иногда использовать систему не по назначению». Если список подлинный, то само наличие у NSO каких-то условий о том, за кем следить можно, а за кем — нет, выглядит нелепо, особенно с учётом заданных выше вопросов под звёздочкой.
Больше, впрочем, в этой истории про список пока ничего не понять: откуда он вообще взялся, например, кто и как его составлял. Возможно, чуть яснее с этим станет дальше.
Лонгриды по теме:
https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
https://forbiddenstories.org/the-rise-and-fall-of-nso-group/
Тут можно посмотреть на некоторых людей из списка: https://cdn.occrp.org/projects/project-p/#/
Думаю, основное ты слышал и так. У израильской компании NSO Group есть шпионский софт Pegasus, который продают правительственным агентствам. Пегасус селится на телефоне жертвы и передаёт с него всё, что нужно, включая фото и сообщения, плюс может записывать аудио и видео. Одним словом, тотальная слежка под светлыми лозунгами защиты от терроризма и поимки преступников. Бонусный пункт: отследить инициатора слежки невозможно.
За кем же следили? Больше всего в СМИ говорили о списке из 50 тысяч слитых номеров телефонов, среди которых мелькали персоналии вроде президента Франции, короля Морокко, Павла Дурова, жены громко убитого журналиста-критика Саудовской Аравии Джамаля Хашогги, а также дубайской принцессы Латифы. Про принцессу напомню, что в 2018 году она пыталась бежать в США и была поймана спецслужбами, откуда-то знавшими, на какой яхте она будет покидать Дубай и когда. Тогда это связали с ФБР.
Пожалуй, список номеров — одна из самых мутных частей всей этой истории. Сама NSO, ясное дело, от него мгновенно открестилась. Ещё бы, в списке полным-полно людей, слежка за которыми нарушала бы её же собственную политику использования. Слежку за той же женой Хашогги CEO NSO пламенно отрицал, как и роль Пегасуса в убийстве журналиста.
Кроме того, по словам миролюбивого CEO, NSO не хранит ни в каком виде номера целей. А если бы и хранила, их было бы гораздо меньше: мол, у Пегасуса 45 клиентов, каждый из которых держит около 100 целей в год.
Тут добавим в эту задачку два условия. Во-первых, NSO представляет крупные оптовые скидки: например, можно взломать 10 телефонов за $650,000 и взять ещё 100 уже за $800,000. Во-вторых, по её же утверждениям, у неё нет возможности узнать, за кем следят её клиенты. Итак, вопрос: откуда NSO вообще знает, что у каждого клиента всего-то навсего под 100 целей? Вопрос интересный, но со звёздочкой.
А как сочетаются слова о том, что компания не знает, за кем следят клиенты Пегасуса, и пламенные открещивания от слежки за тем или иным человеком? Вопрос с двумя звёздочками.
Возвращаемся к списку. Amnesty International проанализировала 67 телефонов, связанных с номерами из него. В как минимум 37 Пегасус каким-либо образом целился, а 23 успешно взломал. Совпадений многовато. Amnesty утверждает, что этот список включает или действующие, или потенциальные цели клиентов Пегасуса. Скорее всего, хозяева этих номеров представляют для клиентов NSO интерес, и некоторых из них действительно взломали.
Понятно, почему некоторым — главе NSO, например — так хочется доказать его фейковость. CEO утверждает, что он «глубоко обеспокоен» всем этим шумом и понимает, что «клиенты могут иногда использовать систему не по назначению». Если список подлинный, то само наличие у NSO каких-то условий о том, за кем следить можно, а за кем — нет, выглядит нелепо, особенно с учётом заданных выше вопросов под звёздочкой.
Больше, впрочем, в этой истории про список пока ничего не понять: откуда он вообще взялся, например, кто и как его составлял. Возможно, чуть яснее с этим станет дальше.
Лонгриды по теме:
https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
https://forbiddenstories.org/the-rise-and-fall-of-nso-group/
Тут можно посмотреть на некоторых людей из списка: https://cdn.occrp.org/projects/project-p/#/
Внимание: Apple выпустила срочное обновление с очень важным фиксом безопасности! Исправили RCE-уязвимость IOMobileFramebuffer.
Про уязвимость в iMessage, которая позволяет заражать телефон Пегасусом через смску, без каких-либо действий со стороны жертвы, ничего нет. Впрочем, это вполне ожидаемо: сколь ни старайся обеспечить бронебойную безопасность, а обходящейся в миллионы долларов атаке на конкретных единичных людей едва ли что-то можно противопоставить.
Я тогда тоже помолчу на эту тему, пока не появится что-то интересное. Не рассказывать же вам всерьёз, что CEO NSO оправдывается в СМИ заявлениями-де «мы белые и пушистые, виноваты во всём наши бессовестные клиенты, и вообще, нечего скрывать — нечего бояться».
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-affecting-iphones-and-macs-exploited-in-the-wild/
Про уязвимость в iMessage, которая позволяет заражать телефон Пегасусом через смску, без каких-либо действий со стороны жертвы, ничего нет. Впрочем, это вполне ожидаемо: сколь ни старайся обеспечить бронебойную безопасность, а обходящейся в миллионы долларов атаке на конкретных единичных людей едва ли что-то можно противопоставить.
Я тогда тоже помолчу на эту тему, пока не появится что-то интересное. Не рассказывать же вам всерьёз, что CEO NSO оправдывается в СМИ заявлениями-де «мы белые и пушистые, виноваты во всём наши бессовестные клиенты, и вообще, нечего скрывать — нечего бояться».
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-affecting-iphones-and-macs-exploited-in-the-wild/
BleepingComputer
Apple fixes zero-day affecting iPhones and Macs, exploited in the wild
Apple has released security updates to address a zero-day vulnerability exploited in the wild and impacting iPhones, iPads, and Macs.
Ага, кажется, это фикс для одной из тех самых уязвимостей и есть — речь об эксплойте, который NSO могла задействовать в своей цепочке атаки. Остаётся неизвестным, действительно ли патч именно под это и помешает ли он дальнейшей работе Пегасуса. Возможно, это только подорожник, приложенный к одному из звеньев цепи взлома.
Ещё напомню, что Андроиды — не панацея: их Пегасус ломал с той же лёгкостью и даже по той же стоимости для клиента.
https://9to5mac.com/2021/07/27/ios-security-fix-14-7-1/
Ещё напомню, что Андроиды — не панацея: их Пегасус ломал с той же лёгкостью и даже по той же стоимости для клиента.
https://9to5mac.com/2021/07/27/ios-security-fix-14-7-1/
Анонимный сотрудник NSO рассказал National Public Radio, что компания ограничила нескольким клиентам — правительственным агентствам ряда стран — доступ к Пегасусу и изучает их деятельность. Видимо, это те самые, которые, по мнению CEO компании, во всём и виноваты, и незаслуженно втянули доброе имя компании в медиа-шумиху.
Сотрудник ничего не сказал о том, сколько клиентов ограничено и к каким странам они принадлежат, и отказался как-либо комментировать это дальше. Ещё он добавил, что компания прошлась по Тому Самому Списку и не нашла почти у всех номеров никакой связи с Пегасусом. Впрочем, едва ли это удивительный комментарий.
https://www.npr.org/2021/07/29/1022409865/nso-suspended-govvernment-contracts-spyware-pegasus-project?t=1627634529619
Сотрудник ничего не сказал о том, сколько клиентов ограничено и к каким странам они принадлежат, и отказался как-либо комментировать это дальше. Ещё он добавил, что компания прошлась по Тому Самому Списку и не нашла почти у всех номеров никакой связи с Пегасусом. Впрочем, едва ли это удивительный комментарий.
https://www.npr.org/2021/07/29/1022409865/nso-suspended-govvernment-contracts-spyware-pegasus-project?t=1627634529619
А вот теперь немного не про нашумевшую крылатую спайварь. Я совсем недавно писал об исследователе, который заметил и зарепортил RCE-уязвимость в коде Cloudflare. Если бы он был не внимательным изучателем уязвимостей, а злоумышленником, писал бы я тогда уже о массовых атаках на десятую с хвостиком часть интернета.
Теперь он же изучил код PyPI — Python Package Index. Нашёл, помимо мелочей вроде возможности удалять в чужих проектах пользовательские роли и документацию, и критическую дыру: в кодовой базе PyPI можно было запускать bash-команды через Github Actions. Пространство для творчества там прекрасное, от развлечений с главной страницей pypi.org до редактирования самих пакетов. Всё, к счастью, уже прикрыли.
Ещё из базы удалили 8 вредоносных библиотек, из которых 6 таскали пароли и коды от карточек с машины жертвы. Две оставшиеся либы позволяли выполнять на ней любой код на Питоне. У всей этой радости было больше 30 тысяч загрузок.
Похожая история была в декабре у RubyGems, где вредоносный пакет воровал у жертвы крипту, и недавно с вором паролей в npm, пусть и в меньших масштабах. Что ж, едва ли мы от всего этого куда-нибудь пока можем деться: сама система располагает.
https://xakep.ru/2021/07/30/pypi-flaws/
Репорт JFrog о вредоносных пакетах: https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
Отчёт исследователя об уязвимостях PyPI тут: https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/
Теперь он же изучил код PyPI — Python Package Index. Нашёл, помимо мелочей вроде возможности удалять в чужих проектах пользовательские роли и документацию, и критическую дыру: в кодовой базе PyPI можно было запускать bash-команды через Github Actions. Пространство для творчества там прекрасное, от развлечений с главной страницей pypi.org до редактирования самих пакетов. Всё, к счастью, уже прикрыли.
Ещё из базы удалили 8 вредоносных библиотек, из которых 6 таскали пароли и коды от карточек с машины жертвы. Две оставшиеся либы позволяли выполнять на ней любой код на Питоне. У всей этой радости было больше 30 тысяч загрузок.
Похожая история была в декабре у RubyGems, где вредоносный пакет воровал у жертвы крипту, и недавно с вором паролей в npm, пусть и в меньших масштабах. Что ж, едва ли мы от всего этого куда-нибудь пока можем деться: сама система располагает.
https://xakep.ru/2021/07/30/pypi-flaws/
Репорт JFrog о вредоносных пакетах: https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
Отчёт исследователя об уязвимостях PyPI тут: https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/
XAKEP
Из PyPI удалили восемь библиотек, воровавших токены Discord и номера банковских карт
На этой неделе операторы официального репозитория Python Package Index (PyPI) избавились от восьми библиотек, содержавших вредоносный код. Кроме того, в PyPI были исправлены три уязвимости, одна из которых позволяла злоумышленнику получить полный контроль…
Тут выкатили новые правила сбора биометрии, которые должны вступить в силу с января 2022.
Запрашивать и использовать биометрию россиян будет запрещено всем компаниям, у которых иностранное юрлицо или иностранный капитал составляет более 49% уставного. Кроме того, даже у подходящей под эти условия компании должны быть специальная лицензия и капитал в минимум 500 миллионов рублей: последнее условие помогает крупным корпорациям и вежливо отталкивает остальных.
К биометрии, на секундочку, относятся в том числе и сканы паспорта.
Затронет это многих, от известной нидерландской корпорации Яндекс до кипрского Тинькова, которому придётся каким-то образом здесь выкручиваться. Туда же все прочие, кому нужен паспорт для верификации личности, например Букинг и Авито.
Неловко вышло.
https://www.kommersant.ru/doc/4928909
Запрашивать и использовать биометрию россиян будет запрещено всем компаниям, у которых иностранное юрлицо или иностранный капитал составляет более 49% уставного. Кроме того, даже у подходящей под эти условия компании должны быть специальная лицензия и капитал в минимум 500 миллионов рублей: последнее условие помогает крупным корпорациям и вежливо отталкивает остальных.
К биометрии, на секундочку, относятся в том числе и сканы паспорта.
Затронет это многих, от известной нидерландской корпорации Яндекс до кипрского Тинькова, которому придётся каким-то образом здесь выкручиваться. Туда же все прочие, кому нужен паспорт для верификации личности, например Букинг и Авито.
Неловко вышло.
https://www.kommersant.ru/doc/4928909
Коммерсантъ
Российские паспорта мало кому покажутся
Новые правила использования биометрии оказались жесткими