Zoom наконец-то накатили сквозное шифрование (E2EE) на своих клиентах. Но не на всех.

Вчера компания объявила, что E2EE доступно для пользователей Windows, macOS и Android. Клиент под iOS ждет одобрения App Store и будет доступен, предположительно, в ближайшее время для "предварительного технического обзора".

Поддержка сквозного шифрования для браузеров пока отсутствует.

Ключи шифрования будут храниться на стороне клиента, что, по идее, делает невозможным перехват голосовых и видеовызовов со стороны компании. Как оно будет реализовано на самом деле - время покажет. В качестве алгоритма используется 256-битный AES в режиме GCM.

Хорошая новость, ведь чем больше шифрования в мессенджерах, тем больше приватность пользователей.

Яндекс впервые предоставил отчёт о прозрачности

Яндекс рассказал, какие данные интересовали власти России в период со второй половины 2019-го и первой половины 2020-го года.

За весь период правительство совершило порядка 30000 запросов в компанию, 16% из которых Яндекс отказался удовлетворять.

Согласно отчёту, правительство больше всего интересовал «Яндекс.Паспорт» и «Яндекс.Почта», чуть менее — «Яндекс.Такси», геосервисы и медиасервисы.

Компания заверяет, что доступ к электронной почте и личным перепискам может быть предоставлен только по судебному решению.

Напомним, что в июле был составлен «Рейтинг соблюдения цифровых прав», где Яндекс занял почётное третье место.

Эксплойт - один из из лучших каналов про IT и кибербезопасность в Telegram.

Читайте увлекательные истории про хакеров, полезные гайды по обеспечению личной безопасности в сети, а также малоизвестные секреты и лайфхаки для обитателей интернета.

BleepingComputer сообщает, что по европейскому энергетическому гиганту Enel Group проехал каток ransomware NetWalker и теперь вымогатели хотят добра на сумму 14 млн. долларов.

Enel Group - одна из крупнейших европейских энергетических компаний, родом из Италии, имеющая более 61 млн. клиентов и выручку в 2019 году в 90 млрд. долларов. Рядом с ней португальская EDP, которую в апреле зарансомили RagnarLocker, со своим годовым доходом в 15 млрд. евро скромно стоит в стороне.

И тем страннее относительно (годового дохода) небольшой размер выкупа в 14 млн. долларов. С EDP хакеры требовали в свое время почти 11 миллионов.

Судя по добытым журналистами материалам, Enel не пошли на сотрудничество с оператором ransomware, из-за чего владельцы NetWalker опубликовали первые скриншоты украденных у энергетиков данных. Если итальянцы не поменяют решение, то конфиденциальные сведения в размере 5 Тб окажутся в паблике.

Кстати, в июне Enel Group уже была атакована ransomware Snake (или EKANS), но тогда попытка вторжения была успешно пресечена. Видимо, после этого расслабились.

NetWalker - вымогатель, который появился осенью 2019 года и работает по схеме Ransomware-as-a-Service (RaaS). Замечен, в основном, в атаках на сети американских учебных заведений. А в сентябре этот вымогатель отличился тем, что с его помощью была зашифрована сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе.

А еще вот здесь мы приводили интересный отчет группы исследователей The DFIR Report, в котором они рассмотрели имевший место захват корпоративной сети оператором NetWalker всего за 1 час 5 минут.

У нас, в принципе, остался только один вопрос - когда будет достигнута планка в 100 млн. долларов в качестве выкупа. Судя по масштабу пострадавших компаний ждать осталось недолго.

​​​​31 декабря с лёгкой руки Adobe и по многочисленным "просьбам телезрителей" заканчивается эра технологии Flash, а также связанного с ней головняка специалистов по информационной безопасности.

Впрочем, нет, подождите. Ведь сначала надо выковырять Flash с подопечных компьютеров. А вот как раз Microsoft подогнал обновление, которое обещает снести Flash Player с компьютера отовсюду, раз и навсегда.

Впрочем, как говорится "да, но нет". По информации BleepingComputer обновление не трогает Flash Player в браузерах, в том числе Microsoft Edge. А также standalone версии технологии, которые пользователь мог установить на компьютер поверх системной установки. А может что-то ещё, до чего редакция не докопалась.

Так что головняк ещё впереди. Будет ли он последним? Тоже вопрос. Вангуем, что киберкриминал прокачает свои фишинговые кампании приглашением устанавливать "настоящее, окончательное обновление против Flash"

Круги на воде от камня, брошенного в 2013 году Эдвардом Сноуденом, по прошествии семи лет продолжают изображать на поверхности глобальной политики и кибербезопасности занятные фигуры.

Одно из откровений "Документов Сноудена" касалось сотрудничества АНБ с американскими компаниями-разработчиками для внедрения в их программные продукты бэкдоров. Таким образом спецслужба могла получать доступ к данным пользователей этого ПО в обход легальных процедур, криптографии и лишнего шума.

И вот всплыл еще один аргумент в подтверждение правдивости данных Сноудена о том, что такое сотрудничество существовало, существует и, по всей видимости, будет существовать.

По информации Reuters, сенатор Рон Уайден выразил озабоченность тем, что подобные бэкдоры АНБ могут быть украдены и применены враждебными силами против самих американцев. Ну, вы знаете – эффект бумеранга. Это когда из АНБ уплывает эксплойт EternalBlue, который потом выливается в глобальную эпидемию WannaCry. Плюс сводятся на нет усилия американского правительства по импортозамещению из Китая.

Признаемся, что в этот раз реакция АНБ нас удивила.

Во-первых, они ответили! Хоть и в своей обычной "сливной" манере, через прикормленных журналистов, но ведь дали ответ!

Во-вторых, они не стали отрицать своей деятельности по внедрению бэкдоров на этапе создания ПО.

В-третьих, они заверили сенатора и всея общественность, что всё под контролем – бэкдоры теперь разрабатываются и внедряются по неким новым правилам, которые «минимизируют шансы разоблачения и компрометации».

Ну что же, признаваться лучше поздно чем никогда.

​​Всё, что вы хотели знать об атрибуции в киберпространстве, но стеснялись спросить

​​А помните историю про то, как в конце сентября владельцы ransomware Sodinokibi (aka REvil) разместили на депозите своего аккаунта на одном из хакерских форумов миллион долларов в виде 99 BTC.

Так вот - их теперь там нет.

​​Настойчивостью и азартом исследователей из Positive Technologies восхищаемся и аплодируем.

Уже несколько лет они предметно копают архитектуру процессоров Intel.

Началось с уязвимости в Intel Management Engine в 2017 году, которая позволяла запускать на компьютерах вредоносный код со всеми неприятными последствиями. К слову Intel быстро пофиксил баг, но из-за возможности отката прошивки чипов на более ранние версии проблема и сейчас может считаться актуальной.

В мае этого года Позитивы научились получать доступ к сервисному режиму, который Intel использует для отладки микрокода и изучили процесс обновления процессоров.

А теперь новое открытие – ключи шифрования, которые используются для защиты обновлений. Это позволяет реверсить код, чтобы понимать как использовать существующие уязвимости и искать новые, а также загружать свои кастомные версии микрокода. Да, вроде jailbreak на iOS.

Впрочем, без паники.

Во-первых, такое невозможно проделать удалённо.

Во-вторых, ключи шифрования, которые обеспечивают аутентичность оригинальных обновлений, не пострадали.

В-третьих, кастомный микрокод не переживёт перезагрузки компьютера.

Нам больше интересно, что принесут дальнейшие исследования в этом направлении. Возможно один из легальных бэкдоров АНБ?

Но, к сожалению в таком азарте есть и минусы. В наши турбулентные времена экспертам инфосек необходимо соблюдать осторожность, чтобы не попасть под каток американской машины госпропаганды, как неосмотрительно сделали Касперские.

Чрезмерная очумелость ручек Позитивов может привести их в один угол с попавшей в санкционный список Digital Security г-на Медведовского. Припомнят и скандал с Дмитрием Скляровым, и сотрудничество с «враждебными» режимами, и другие исследования. И вот ты уже враг всего прогрессивного человечества. А там и до отмены IPO недалеко.

Всего 15% людей используют IT сервисы, которые делают их эффективными в работе, бизнесе или учебе, а также экономят массу времени и денег!

остальные 85% просто-напросто не знают о них

В современном мире без IT - НЕВОЗМОЖНО

Канал GIT - это сборник полезных IT-сервисов, с помощью которых вы достигните максимальных результатов!

Подпишитесь сейчас - улучшите жизнь с помощью IT

​​Сводим олдскулы вместе с Joe Slowik!

​​Развитие атаки

​​И кульминация!

​​​​Федеральная налоговая служба, Федеральная иммиграционная служба, Федеральная таможенная служба, Федеральная служба по контролю за оборотом наркотиков, Министерство юстиции используют вредоносные программы для расследования нарушений.

Неожиданно, да?

Одна поправочка: речь идёт о США.

Американские правдорубы из Privacy International (PI) ведут многолетнюю официальную тяжбу с государством для повышения прозрачности хакерских практик правительственных ведомств. В соответствии с законом Freedom of Information Act организация запросила сведения о том, кто, как, когда, против кого и на каком основании использовал подобные методы и опубликовала первые результаты. Их краткое содержание вы уже прочли в первом абзаце.

Также стало известно, что ведомства активно обмениваются опытом и проводят тренинги. Некоторые приобретали хакерские инструменты у иностранных разработчиков: например, DEA (Drug Enforcement Administration) имело отношения с израильской NSO Group и итальянской Hacking Team. Налоговая служба каким-то образом использовала продукты Adobe с технологией Digital Rights Management для проведения неких «специальных сетевых расследований» (неужели ещё один легальный бэкдор?).

Принимаем ставки: обяжут ли правительственные ведомства США публиковать очёты о прозрачности, как это теперь делают коммерческие компании? Сколько, когда, кого, за что хакнули, что нашли, кто разрешил и сколько дали?

Шутка. Не будем мы участвовать в этом бессмысленном споре.

Больше попкорна богу попкорна!

​​Мы понимаем, что это не про инфосек, но это лучший черный юмор, который мы видели в 2020

Скорее бы уже прошла выборная кампания в США и последующие внутриэлитные разборки. Потому что читать через день новости про русских хакеров уже неинтересно.

Очередной срыв покровов организовали американское киберкомандование, CISA и ФБР в конце прошлой недели. Агентство кибербезопасности США (CISA) выпустило предупреждение об использовании хакерами из APT Turla, предположительно работающей на российские спецслужбы, новых штаммов трояна ComRAT. При этом вредонос был впервые официально атрибутирован как принадлежащий российской прогосударственной APT.

Как мы понимаем, все это происходит при активном участии словацкого инфосек вендора ESET, который давно отслеживает активность ComRAT.

В 2008 году с помощью ранней версии вредоноса была взломана одна из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя. Так что принадлежность ComRAT национальным спецслужбам вопросов, в принципе, не вызывает. Вместе с тем, в конце 2019 года британский Национальный центр кибербезопасности (NCSC) заявлял, об иранском следе в активности Turla.

На этом, пожалуй, про русских хакеров пока что завершим. Пусть выборы пройдут, тогда посмотрим.

Теперь уже официально - ransomware Maze прекратило свое функционирование.

Хакеры в своем прощальном письме написали кучу пафосной херни, про то, что они за инфосек и приватность, а злые буржуи против. И про то, что они могли взломать системы жизнеобеспечения Нью-Йорка и обрубить доступ в сеть в 35 штатах, но не стали этого делать, потому что они благородные (нет).

Также Maze Team заявили, что Maze Cartel никогда не существовал и все это выдумки журналистов. И это странно, потому что ранее сами Maze заявляли Bleeping Computer, что теперь у них картель.

Ну, и напоследок, вымогатели обещают вернуться когда-нибудь, чтобы вывести нас, потерянных, из лабиринта наших ошибок и заблуждений.

Правда, тут поступает информация, что торжественного ухода, как такового, собственно, и не было. А работающие с владельцами Maze хакерские группы организованно переходят на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor - это ни что иное, как новая итерация Maze, за которым стоят те же разработчики.

Поэтому склоняемся к мысли, что громкое прощание Maze Team - не более чем PR-акция, тем более что такое происходит далеко не в первый раз. Потому что глупо было бы поверить, что владельцы вымогателя, входящего в тройку самых активных в мире и приносящего им доход в десятки миллионов долларов, просто так решат уйти на пенсию. Мы и не верим.

Американская инфосек компания Cybereason в своем материале о новом выявленном вредоносном инструментарии KGH_SPY, который используется северокорейской APT Kimsuky, демонстрирует каким на самом деле должен быть отчет по результатам исследований.

Исследуя вредоносную инфраструктуру Kimsuky американские ресерчеры обнаружили новый вредоносный комплект, нацеленный, в первую очередь, на кибершпионаж. Принадлежность его северокорейским хакерам подтверждается использованием той же инфраструктуры, которая была задействована Kimsuky в конце 2018 - начале 2019 в атаке BabyShark, нацеленной на американские исследовательские институты. Тогда хакеры из КНДР использовали авторский вредонос, который распространялся посредством фишинговых писем от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Мы писали про нее в нашем обзоре активности Kimsuky.

Свой отчет исследователи назвали "Назад в будущее", поскольку для затруднения работы киберкриминалистов хакеры исправили временные метки вредоносных модулей на 2016 год. Хотя отдельные домены, жестко зашитые в код KGH_SPY, были зарегистрированы в период с января 2019 по август 2020 года.

В этот раз северокорейцы использовали фишинг с приманками в виде двух документов, посвященных проблемам с правами человека в КНДР.

Содержащиеся в них вредоносные макросы собирали информацию об атакованной системе, отправляли ее управляющему центру, после чего загружали полезную нагрузку, состоящую из нескольких модулей, включающих загрузчик, основной модуль и несколько дополнительных компонентов, среди которых специализированный инфостиллер.

Самым неприятным является то, что некоторые модули KGH_SPY на конец октября не обнаруживались ни одним антивирусным решением.

Кроме того, исследователи нашли еще один оригинальный загрузчик северокорейцев, который назвали CSPY Downloader, который, как предполагается, может быть отладочной версией нового, пока еще неактивного, вредоноса.

Возвращаясь к мысли, высказанной нами в начале этого поста, - отчет Cybereason нам понравился хорошим анализом и, что основное, достаточно подробным описанием TTPs, благодаря которым исследователи смогли сделать атрибуцию новых вредоносных программ как принадлежащих APT Kimsuky. Так бы всегда.

​​Что: The Standoff
Где: онлайн
Когда: с 12 по 17 ноября

С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff. Пять дней красные команды будут тестировать на прочность инфраструктуру виртуального мегаполиса, а синие — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности. Узнать подробнее о спикерах, зарегистрироваться в качестве участника или аккредитоваться как журналист можно уже сейчас.

А сейчас нам бы хотелось рассказать про событие, которое случилось неделю назад, но широкого освещения не получило. А должно бы было.

Японское Управление по ядерному регулированию (NRA) 27 октября сообщило, что днем ранее его сеть подверглась кибератаке. В результате японцы были вынуждены отключить свой сервис электронной почты, чтобы сдержать распространение. А заместитель госсекретаря Японии был вынужден успокаивать журналистов, сообщив, что никакая конфиденциальная информация, в том числе данные о физической безопасности АЭС, не была утрачена.

К гадалке не ходи, NRA попало под удар ransomware. Какие в действительности сведения могли украсть вымогатели - неизвестно. Но звоночек тревожный.

Google выпустили обновление для десктоп версии Chrome, в котором исправили 10 ошибок, среди которых одна, CVE-2020-16009, является 0-day уязвимостью.

Пока технических подробностей нет, единственное что известно - ошибка находится в движке V8, предназначенном для обработки JavaScript и была выявлена внутренней группой исследователей. Эксплуатация CVE-2020-16009 может привести к удаленному выполнению кода (RCE). Google также сообщает, что зафиксировала использование этой уязвимости в дикой природе, но опять же без каких-либо деталей.

Еще одна 0-day уязвимость CVE-2020-16010 исправлена Google в версии Chrome для Android. Также замечено ее использование в дикой природе.

Поскольку 0-day уязвимость приводящая к RCE и эксплуатируемая в дикой природе - это серьезно, то рекомендуем всем пользователям Chrome срочно обновиться.