#news Сегодня день работы над ошибками какой-то. Вслед за Apache, Google выпустила октябрьские обновления безопасности Android, в которых устранена 41 уязвимость. Их степень серьезности варьируются от высокой до критической. Из критических уязвимостей, обновление закроет следующие: CVE-2021-0870, CVE-2020-11264 и CVE-2020-11301.
@tomhunter
@tomhunter
#news Правительство США продолжает требовать у Google передавать ему данные пользователей, ищущих «определённые ключевые слова», которые могут помочь следствию по различным делам.
В 2019 в Висконсине пропала девочка. Через какое-то время нашлась и сообщила, что её похитили и насиловали. В попытках найти виновных правительство отправило в Google запрос: просили информацию обо всех, кто в течение определённых 16 дней в том году искал имя-фамилию жертвы или её матери, а также её адрес. В середине 2020 компания на запрос ответила, предоставив нужные данные. Документы умалчивают о том, данные скольких пользователей они в итоге передали.
Подобные дела по «ключевым словам», конечно, тщательно скрывают, поэтому на публике они оказываются единично. Выглядят, мягко говоря, тревожно. В сущности, правительство получает некий гугл-аккаунт — у многих с реальными данными — и «доказательство» того, что тот может быть связан с неким преступлением.
А картинка случайная.
@tomhunter
В 2019 в Висконсине пропала девочка. Через какое-то время нашлась и сообщила, что её похитили и насиловали. В попытках найти виновных правительство отправило в Google запрос: просили информацию обо всех, кто в течение определённых 16 дней в том году искал имя-фамилию жертвы или её матери, а также её адрес. В середине 2020 компания на запрос ответила, предоставив нужные данные. Документы умалчивают о том, данные скольких пользователей они в итоге передали.
Подобные дела по «ключевым словам», конечно, тщательно скрывают, поэтому на публике они оказываются единично. Выглядят, мягко говоря, тревожно. В сущности, правительство получает некий гугл-аккаунт — у многих с реальными данными — и «доказательство» того, что тот может быть связан с неким преступлением.
А картинка случайная.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Facebook выпустил отчет о причинах глобального сбоя в понедельник, 4 октября, когда около 3 млрд пользователей не могли получить доступ к соцсети, Instagram, WhatsApp и другим сервисам. Причиной сбоя стала не вредоносная деятельность, а «наша собственная ошибка», написал в блоге вице-президент компании по инфраструктуре Сантош Джанардхан.
@tomhunter
@tomhunter
#news Тут, кажется, слили весь Твич. «Весь» — это исходный код с комментариями и всей историей коммитов, полная история выплат создателям контента за 3 года, внутренние инструменты по обеспечению безопасности (ироничненько) и прочая, прочая, прочая. Всего набралось 125 ГБ, которые выложил деятельный форчановец.
Слив назвали «часть 1», что мягко намекает на грядущее продолжение. Пользовательских данных в этой части слива нет, но не факт, что они не достались настолько успешным взломщикам. Неприятненько вышло.
На всякий пожарный советую поменять на Твиче пароль и включить двухфакторку, если ещё не.
@tomhunter
Слив назвали «часть 1», что мягко намекает на грядущее продолжение. Пользовательских данных в этой части слива нет, но не факт, что они не достались настолько успешным взломщикам. Неприятненько вышло.
На всякий пожарный советую поменять на Твиче пароль и включить двухфакторку, если ещё не.
@tomhunter
#news Хакеры используют скрытое вредоносное ПО ShellClient в атаках на аэрокосмические и телекоммуникационные компании. ПО представляет собой ранее недокументированный троян удаленного доступа (RAT), созданный с акцентом на скрытность и «узконаправленные операции кибершпионажа». Вредоносная программа управляется хакерской группой MalKamak, которая, вероятно, связана с иранскими хакерами, на что указывает совпадение стилей кода, именование условности и методы.
@tomhunter
@tomhunter
#news Тут выяснилось, что свежая уязвимость в Apache, создающая возможность path traversal-атаки, на самом деле может допускать ещё и RCE.
Работает это только на Linux-машинах, в которых через mod_cgi включена поддержка CGI. Здесь хакер сможет по цепочке через path traversal-атаку перейти к выполнению произвольного кода с теми же правами, что у Apache-процесса. Обнаружили это случайно, пока воспроизводили опубликованный Apache PoC по уязвимости.
@tomhunter
Работает это только на Linux-машинах, в которых через mod_cgi включена поддержка CGI. Здесь хакер сможет по цепочке через path traversal-атаку перейти к выполнению произвольного кода с теми же правами, что у Apache-процесса. Обнаружили это случайно, пока воспроизводили опубликованный Apache PoC по уязвимости.
@tomhunter
#news Да, это произошло! Ти Хантер подписал соглашение о сотрудничестве с Концерном "Автоматика" ГК "Ростех" и АО "Национальная Инжиниринговая Корпорация". В рамках этого соглашения планируется разработка и внедрение ПАКа (программно-аппаратного комплекса), предназначенного для автоматизации и стандартизации OSINT-исследований, проводимых в рамках расследования информационно-телекоммуникационных правонарушений.
@tomhunter
@tomhunter
#news Google предупреждает более 14 тыс своих пользователей о том, что они могут стать мишенью для фишинговой атаки хакерской группы APT28. Пока компании удается успешно выявлять и блокировать фишинг. Т.е., для непонятливых, Google отлично шарится в ваших почтовых ящиках и читает сообщения... чтобы предупреждать риски утечки ваших данных (фактически принадлежащих им). Очень напоминает крепостное право в киберпространстве, не находите?
@tomhunter
@tomhunter
🤔1
#OSINT #Instagram Сегодня я разберу основные источники данных, которые я применяю при проведении OSINT-исследований в соцсети Instagram. Чаще всего, меня интересует возможность идентификации пользователей или наблюдения за ними:
├login (Restore Access)
├private_api (API)
├osi.ig (Analysis)
├gramhir (Analysis)
├osintgram (Analysis)
├minter (Analysis)
├nativeflow (Analysis)
├sterra (Analysis)
├picuki (Analysis)
├greatfon (Analysis)
├?__a=1 in URL (Metadata)
├byratino (Framework)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├instadp (Load Avatar)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├archive (Archive Page)
├isphere (Find Phone)
├eyeofgod (Find Phone)
├instaloader (Content Loader)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter
├login (Restore Access)
├private_api (API)
├osi.ig (Analysis)
├gramhir (Analysis)
├osintgram (Analysis)
├minter (Analysis)
├nativeflow (Analysis)
├sterra (Analysis)
├picuki (Analysis)
├greatfon (Analysis)
├?__a=1 in URL (Metadata)
├byratino (Framework)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├instadp (Load Avatar)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├archive (Archive Page)
├isphere (Find Phone)
├eyeofgod (Find Phone)
├instaloader (Content Loader)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter
❤5
#news Оказывается, проблемы Твича с безопасностью начались задолго до недавнего масштабного взлома. Напомню, из-за ошибки в конфигурации сервера было слито всё, кроме разве что пользовательских данных, но это ещё не точно. Взломщик действовал из лучших побуждений — чтобы разжечь огонь внутри стримерского сообщества и повысить конкуренцию, потому что презирает «это токсичное болото».
Бывшие сотрудники считают, что утечка была неизбежна, потому что Твич давно на первое место ставит скорость и прибыль, пренебрегая безопасностью сервиса и пользователей. Внутри компании это было заметно: сотрудники постоянно обращались к руководству с комментариями по поводу безопасности, на которые реагировали крайне медленно и неохотно. Любые проблемы в этой области Твич предпочитал просто замалчивать и украдкой смахивать под стол, чтобы никто не заметил.
А учитывая, что взломщики получили доступ к API-ключам, это может породить всё новые и новые атаки на амазоновские сервисы в ближайшем будущем.
@tomhunter
Бывшие сотрудники считают, что утечка была неизбежна, потому что Твич давно на первое место ставит скорость и прибыль, пренебрегая безопасностью сервиса и пользователей. Внутри компании это было заметно: сотрудники постоянно обращались к руководству с комментариями по поводу безопасности, на которые реагировали крайне медленно и неохотно. Любые проблемы в этой области Твич предпочитал просто замалчивать и украдкой смахивать под стол, чтобы никто не заметил.
А учитывая, что взломщики получили доступ к API-ключам, это может породить всё новые и новые атаки на амазоновские сервисы в ближайшем будущем.
@tomhunter
#news Лучший канал про Apple временно переквалифицировался в канал про Твич и Apache. Но что ж поделать: к тому патчу нашумевшей недавно уязвимости вышел патч. Патч на патч. DLC к патчу?
В любом случае, Apache говорит, что тот фикс был неполным, и нужно обновиться ещё раз до версии 2.4.51. Это обновление закроет RCE-аспект уязвимости.
@tomhunter
В любом случае, Apache говорит, что тот фикс был неполным, и нужно обновиться ещё раз до версии 2.4.51. Это обновление закроет RCE-аспект уязвимости.
@tomhunter
#news И снова о "великих и ужасных" российских (?) хакерах. Экспертным мнением со зрителями канала Россия 24 поделился специалист компании T.Hunter Владимир Макаров.
▶️ https://youtu.be/PaX6ZmK06EU
@tomhunter
▶️ https://youtu.be/PaX6ZmK06EU
@tomhunter
#news Американцы любят рассказывать про локерские группировки "из России". А я расскажу о наиболее заметных программах-вымогателях, развернутых в этом году против российских целей (количество атак в месяц отражено в графике):
@tomhunter
BigBobRossК слову... российские компании могут предотвратить многие из этих угроз, просто заблокировав доступ по протоколу RDP, используя надежные пароли для учетных записей домена, которые регулярно меняются, и получая доступ к корпоративным сетям через VPN.
Crysis/Dharma
Phobos/Eking
Cryakl/CryLock
CryptConsole
Fonix/XINOF
Limbozar/VoidCrypt
Thanos/Hakbit
XMRLocker
@tomhunter
#OSINT #Security Разберу с вами совершенно отличную от предыдущих тему. Поговорим о бесплатных приложениях (не попавших в иные категории), которые точно стоит поставить на смартфон и компьютер корпоративному безопаснику:
├briar (Security Messenger)
├tinycammonitor (Cameras App)
├netanalyzer (Network Analyzer)
├haven (Snowden Security App)
├ripple (Panic Button)
├metal_detector (Metal Sniffer)
├sherloq (Image Forensic)
├videocleaner (Video Enhancer)
├smartdeblur (Video Enhancer)
├mobile_revelator (Smartphone Forensic)
├passware (Encryption Analyzer)
├bulk_extractor (Info Extractor)
├routerscan (Router Scanner)
├canary (IP Logger)
├exiftool (Photo Metadata)
├belkasoft (Capture RAM)
├networkminer (Network Forensic)
├lastactivityview (Windows Activity)
├usb_historian (Parse USB)
├faw (Forensic Webpages)
├foxtonforensics (Browser History)
├lazagne (Credentials Recovery)
├autopsy (Forensics Platform)
└ipvm (CCTV Calculator)
@tomhunter
├briar (Security Messenger)
├tinycammonitor (Cameras App)
├netanalyzer (Network Analyzer)
├haven (Snowden Security App)
├ripple (Panic Button)
├metal_detector (Metal Sniffer)
├sherloq (Image Forensic)
├videocleaner (Video Enhancer)
├smartdeblur (Video Enhancer)
├mobile_revelator (Smartphone Forensic)
├passware (Encryption Analyzer)
├bulk_extractor (Info Extractor)
├routerscan (Router Scanner)
├canary (IP Logger)
├exiftool (Photo Metadata)
├belkasoft (Capture RAM)
├networkminer (Network Forensic)
├lastactivityview (Windows Activity)
├usb_historian (Parse USB)
├faw (Forensic Webpages)
├foxtonforensics (Browser History)
├lazagne (Credentials Recovery)
├autopsy (Forensics Platform)
└ipvm (CCTV Calculator)
@tomhunter
#news Правитель Дубая, шейх Мохаммед бин Рашид Аль Мактум, воспользовался Пегасусом для взлома телефонов своей бывшей жены, у которой отвоёвывает общих детей. В том числе взломаны и её британские номера.
Когда это вскрылось в британском публичном поле, израильской NSO Group досталось в суде, поэтому в свою спайварь они быстренько захардкодили невозможность взлома британских номеров. Ну и поделом — удумали тоже, конечно, номера из метрополии ломать.
Получается, теперь Пегасус нельзя использовать против жертв из Израиля, США, Новой Зеландии, Канады, Австралии и Великобритании.
@tomhunter
Когда это вскрылось в британском публичном поле, израильской NSO Group досталось в суде, поэтому в свою спайварь они быстренько захардкодили невозможность взлома британских номеров. Ну и поделом — удумали тоже, конечно, номера из метрополии ломать.
Получается, теперь Пегасус нельзя использовать против жертв из Израиля, США, Новой Зеландии, Канады, Австралии и Великобритании.
@tomhunter
🔥5❤1
#news Лавры Пегасуса на дают покоя кибербезникам Индии. Так, шпионское ПО для Android оказалось связано с индийской компанией Innefu Labs, занимающейся кибербезопасностью, после того, как IP-адрес, принадлежащий компании, неоднократно использовался для распространения полезной нагрузки шпионского ПО. Однако фактическое развертывание может быть результатом работы «Donot Team» (APT-C-35), коллектива индийских хакеров, которые атакуют правительства в Юго-Восточной Азии как минимум с 2018 года. Атака нначиналась с незапрашиваемого сообщения в WhatsApp или на электронную почту, в котором предлагалось установить якобы защищенное приложение для чата под названием ChatLite. Сам ChatLite представляет собой специально разработанное приложение для Android, которое позволяло злоумышленнику собирать конфиденциальные данные с устройства и получать дополнительные вредоносные инструменты.
@tomhunter
@tomhunter
#OSINT #Monitoring Сегодня я расскажу о том, как наладить пассивный мониторинг юридического лица. Такой мониторинг проводят службы безопасности (хмм... проводят ли?), использующие методы OSINT в своей повседневной деятельности. Итак, регистрируй отдельную почту на gmail и поехали:
├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├changedetection (изменения на сайте)
├fetcher (изменения соцстраниц)
├@AximoBot (изменения соцстраниц)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)
Для мониторинга упоминаний в СМИ:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
Мониторинг соцстраниц:
├Distill
├Visualping
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
@tomhunter
├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├changedetection (изменения на сайте)
├fetcher (изменения соцстраниц)
├@AximoBot (изменения соцстраниц)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)
Для мониторинга упоминаний в СМИ:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
Мониторинг соцстраниц:
├Distill
├Visualping
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
@tomhunter
❤4👍1
#news Украинская полиция арестовала хакера, который контролировал ботнет из 100 000 устройств, который использовался для выполнения DDoS-атак от имени платных клиентов. Злоумышленник зарегистрировал аккаунт на Webmoney со своим реальным адресом, что и позволило украинской полиции узнать, где он живет.
@tomhunter
@tomhunter
#news Возвращаемся к нашему любимому производителю яблок. Apple выпустила экстренное обновление iOS 15.0.2 и iPadOS 15.0.2, чтобы исправить уязвимость нулевого дня CVE-2021-30883, которая активно используется в атаках на телефоны и iPad. Как мы и писали ранее, яблочники поставили на поток устранение уязвимостей, используемых Пегасусом и другими шпионскими программами.
@tomhunter
@tomhunter
#news GitHub отозвал SSH-ключи для авторизации, сгенерированные клиентом GitKraken.
В сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
Гитхаб говорит, что разрабатывает дополнительную защиту, чтобы уязвимые версии не добавляли новые слабые ключи.
@tomhunter
В сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
Гитхаб говорит, что разрабатывает дополнительную защиту, чтобы уязвимые версии не добавляли новые слабые ключи.
@tomhunter
#news Microsoft рассказала о крупнейшей зафиксированной DDoS-атаке в истории, случившейся в августе этого года.
Атака была направлена на европейского клиента Microsoft Azure, длилась 10 минут и достигала на пике мощности в аж 2,4 Тбит/с. Это на 140% больше, чем у предыдущей атаки, зафиксированной Microsoft в 2020 году. Запросы шли из 70 тысяч источников и нескольких азиатско-тихоокеанских стран — США, Японии, Китая, Вьетнама и прочих. Атаку сервер успешно выдержал.
Всё старые проделки легендарного Meris'а?
@tomhunter
Атака была направлена на европейского клиента Microsoft Azure, длилась 10 минут и достигала на пике мощности в аж 2,4 Тбит/с. Это на 140% больше, чем у предыдущей атаки, зафиксированной Microsoft в 2020 году. Запросы шли из 70 тысяч источников и нескольких азиатско-тихоокеанских стран — США, Японии, Китая, Вьетнама и прочих. Атаку сервер успешно выдержал.
Всё старые проделки легендарного Meris'а?
@tomhunter