—Партнерский пост—
GIT — это сборник полезных IT сервисов на каждый день
На канале собраны уникальные сервисы от ведущих IT компаний, которыми пользуются тысячи людей разных профессий.
Задача IT сервисов — упростить и улучшить жизнь человека
Вы найдете сервисы для работы, бизнеса, учебы и повседневной жизни. И не нужно быть IT-специалистом, чтобы уже сегодня начать использовать сервисы.
Автор кратко и простым языком рассказывает о пользе и фишках того или иного онлайн-сервиса.
GIT — это сборник полезных IT сервисов на каждый день
На канале собраны уникальные сервисы от ведущих IT компаний, которыми пользуются тысячи людей разных профессий.
Задача IT сервисов — упростить и улучшить жизнь человека
Вы найдете сервисы для работы, бизнеса, учебы и повседневной жизни. И не нужно быть IT-специалистом, чтобы уже сегодня начать использовать сервисы.
Автор кратко и простым языком рассказывает о пользе и фишках того или иного онлайн-сервиса.
По сообщению The Register, старший вице-президент американского Центра стратегических и международных исследований (CSIS) Джеймс Льюис выступая перед британским Парламентом сообщил, что затраты на разработку самолета пятого поколения F-35 существенно возросли после того, как китайская APT скомпрометировала одного из поставщиков ПО (т.н. атака на цепочку поставок) для Lockheed Martin.
После того, как у него попросили подробностей, Льюис пояснил, что неустановленным способом китайцы взломали одного из субподрядчиков и внедрили бэкдор в его программное обеспечение, использовавшееся в разработке F-35. Дырка была обнаружена, а скомпрометированное ПО было переписано.
Это очень интересное заявление, поскольку ранее подобной информации не появлялось. Однако, китайцы могут.
После того, как у него попросили подробностей, Льюис пояснил, что неустановленным способом китайцы взломали одного из субподрядчиков и внедрили бэкдор в его программное обеспечение, использовавшееся в разработке F-35. Дырка была обнаружена, а скомпрометированное ПО было переписано.
Это очень интересное заявление, поскольку ранее подобной информации не появлялось. Однако, китайцы могут.
The Register
China compromised F-35 subcontractor and forced expensive software system rewrite, academic tells MPs
CSIS policy wonk describes supply chain attack to Parliament
Субботнее чтиво. За ссылку спасибо подписчику.
В начале ноября на Yahoo появилась очень интересная статья, посвященная катастрофическому провалу системы связи ЦРУ в 2013 году.
В статье много воды и эмоций, плюс очень мало конкретики, но мы постарались выделить основное.
Журналисты переговорили с десятком бывших сотрудников американского разведсообщества и выяснили, что в 2011-2013 годах система секретной связи ЦРУ со своими агентами через Интернет была скомпрометирована как минимум в Китае и Иране.
Сама система появилась не позднее 2008 года, но возможно, что и раньше. Для связи американских разведчиков со своими агентами на чужой территории использовалась сеть сайтов, как мы поняли - для каждого агента использовался свой сайт.
Американцы полагают, что иранцы перевербовали одного из агентов ЦРУ, либо подставили своего агента под американскую вербовку. Таким образом они получили доступ к одному из сайтов, использовавшемуся в качестве канала связи. А затем, используя сложные поисковые запросы Google, нашли другие подобные сайты, поскольку раскрыли закономерность их создания (определенные символы в доменном имени, дата создания, направленность сайта и пр.)
В 2011 году Иран практически полностью раскрыл шпионскую сеть ЦРУ и арестовал более 30 американских агентов. Параллельно начались задержания агентов в Китае, в 2011-2012 году китайские спецслужбы аррестовали, судили и казнили более 20 шпионов.
В итоге в 2013 году ЦРУ было вынуждено предпринять неотложные меры по полной переделке своей системы связи с агентами.
Отставные ЦРУшники полагают, что Иран и Китай осуществляли обмен данными в отношении каналов связи американских агентов, но при этом Китай пошел дальше и сумел взломать и проникнуть внутрь этой системы.
Иран же, вычистив ЦРУшников у себя дома, стал искать агентов США в других странах и в 2013 году поставил под угрозу разведывательную сеть ЦРУ в Йемене, вычислив ее через все ту же систему связи.
Интересно, что один из частных подрядчиков ЦРУ Джой Рейди еще в 2008 году пытался поднять тревогу, поскольку полагал, что около 70% системы Интернет-связи с агентами потенциально может быть скомпрометировано. Но, как полагается в лучших традициях спецслужб, особо умных там не любят и Рейди никто не слушал, а после того как он обратился к руководству ЦРУ и членам Конгресса, его уволили в ноябре 2011 года.
Остается лишь добавить, что американские разведчики удивлены тем фактом, что, несмотря на обмен информацией между Ираном, Китаем и Россией, сеть ЦРУ в нашей стране практически не пострадала. Мы же не видим в этом ничего необычного, поскольку при слове "Интернет" среднестатический российский контрразведчик впадает в коллапс сознания до следующего годового отчета.
В начале ноября на Yahoo появилась очень интересная статья, посвященная катастрофическому провалу системы связи ЦРУ в 2013 году.
В статье много воды и эмоций, плюс очень мало конкретики, но мы постарались выделить основное.
Журналисты переговорили с десятком бывших сотрудников американского разведсообщества и выяснили, что в 2011-2013 годах система секретной связи ЦРУ со своими агентами через Интернет была скомпрометирована как минимум в Китае и Иране.
Сама система появилась не позднее 2008 года, но возможно, что и раньше. Для связи американских разведчиков со своими агентами на чужой территории использовалась сеть сайтов, как мы поняли - для каждого агента использовался свой сайт.
Американцы полагают, что иранцы перевербовали одного из агентов ЦРУ, либо подставили своего агента под американскую вербовку. Таким образом они получили доступ к одному из сайтов, использовавшемуся в качестве канала связи. А затем, используя сложные поисковые запросы Google, нашли другие подобные сайты, поскольку раскрыли закономерность их создания (определенные символы в доменном имени, дата создания, направленность сайта и пр.)
В 2011 году Иран практически полностью раскрыл шпионскую сеть ЦРУ и арестовал более 30 американских агентов. Параллельно начались задержания агентов в Китае, в 2011-2012 году китайские спецслужбы аррестовали, судили и казнили более 20 шпионов.
В итоге в 2013 году ЦРУ было вынуждено предпринять неотложные меры по полной переделке своей системы связи с агентами.
Отставные ЦРУшники полагают, что Иран и Китай осуществляли обмен данными в отношении каналов связи американских агентов, но при этом Китай пошел дальше и сумел взломать и проникнуть внутрь этой системы.
Иран же, вычистив ЦРУшников у себя дома, стал искать агентов США в других странах и в 2013 году поставил под угрозу разведывательную сеть ЦРУ в Йемене, вычислив ее через все ту же систему связи.
Интересно, что один из частных подрядчиков ЦРУ Джой Рейди еще в 2008 году пытался поднять тревогу, поскольку полагал, что около 70% системы Интернет-связи с агентами потенциально может быть скомпрометировано. Но, как полагается в лучших традициях спецслужб, особо умных там не любят и Рейди никто не слушал, а после того как он обратился к руководству ЦРУ и членам Конгресса, его уволили в ноябре 2011 года.
Остается лишь добавить, что американские разведчики удивлены тем фактом, что, несмотря на обмен информацией между Ираном, Китаем и Россией, сеть ЦРУ в нашей стране практически не пострадала. Мы же не видим в этом ничего необычного, поскольку при слове "Интернет" среднестатический российский контрразведчик впадает в коллапс сознания до следующего годового отчета.
Yahoo News
The CIA's communications suffered a catastrophic compromise. It started in Iran.
From around 2009 to 2013, the U.S. intelligence community experienced crippling intelligence failures related to its secret internet-based communications system, a key means for remote messaging between CIA officers and their sources.
Илья Константинович Сачков, открыв европейский офис компании Group-IB в Амстердаме, решил пройтись по PR, в целях чего дал интервью журналистам Bloomberg, а те разметили статью по его результатам на своем канадском ресурсе.
Статью назвали характерно - "Российский кибергуру находит способы дистанцировать компанию от Кремля". К сожалению, не до конца ясно, что говорил сам Сачков, а что ему приписали журналисты, но общий тон публикации понятен - Group-IB перетаскивает свой бизнес на Запад.
Ну и, как бы, мы могли бы даже посочувствовать Илье Константиновичу, поскольку наше видение ситуации с российской киберпреступностью во многом перекликается с его (другое дело, что мы-то анонимный ТГ-канал, нам можно). Но некоторые пассажи из интервью свидетельствуют, что Сачков твердо решил "перейти границу у реки" - типа русские шпионы это плохо, американские разведчики это хорошо (утрируем, конечно, но где-то так).
Поэтому похоже, что в скором времени российский бизнес Group-IB может накрыться медным тазом. Ибо подобная риторика вряд ли будет с пониманием воспринята руководителями органов власти и госкомпаний, которые играют весомую роль в портфеле заказов у Group-IB.
Статью назвали характерно - "Российский кибергуру находит способы дистанцировать компанию от Кремля". К сожалению, не до конца ясно, что говорил сам Сачков, а что ему приписали журналисты, но общий тон публикации понятен - Group-IB перетаскивает свой бизнес на Запад.
Ну и, как бы, мы могли бы даже посочувствовать Илье Константиновичу, поскольку наше видение ситуации с российской киберпреступностью во многом перекликается с его (другое дело, что мы-то анонимный ТГ-канал, нам можно). Но некоторые пассажи из интервью свидетельствуют, что Сачков твердо решил "перейти границу у реки" - типа русские шпионы это плохо, американские разведчики это хорошо (утрируем, конечно, но где-то так).
Поэтому похоже, что в скором времени российский бизнес Group-IB может накрыться медным тазом. Ибо подобная риторика вряд ли будет с пониманием воспринята руководителями органов власти и госкомпаний, которые играют весомую роль в портфеле заказов у Group-IB.
В начале ноября владельцы ransomware Maze заявили о прекращении своей деятельности. Правда работающие с Maze хакерские группы организованно начали переходить на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor, похоже, это новая итерация Maze, за которым стоят те же разработчики.
Ну и вот случилась очередная громкая атака от оператора Egregor. Чилийская сеть ритейла Cencosud, работающая на территории половины стран Латинской Америки и имеющая доход в 2019 году в 15 млрд. долларов, в выходные стала жертвой вымогателя.
В результате атаки были зашифрованы устройства в розничных точках Cencosud, что привело к отказу ряда сервисов, к примеру невозможности оплаты товаров банковскими картами.
Новой фишкой Egregor является распечатка записки с требованием выкупа на всех доступных в атакованной сети принтерах. Видимо для того, чтобы руководство компании-жертвы не могло скрыть факт атаки ransomware.
Интересно, а насколько готов российский ритейл к атакам вымогателей? А то так придешь за батоном в Пятерочку, а они на кассе ransomware веником гоняют.
Ну и вот случилась очередная громкая атака от оператора Egregor. Чилийская сеть ритейла Cencosud, работающая на территории половины стран Латинской Америки и имеющая доход в 2019 году в 15 млрд. долларов, в выходные стала жертвой вымогателя.
В результате атаки были зашифрованы устройства в розничных точках Cencosud, что привело к отказу ряда сервисов, к примеру невозможности оплаты товаров банковскими картами.
Новой фишкой Egregor является распечатка записки с требованием выкупа на всех доступных в атакованной сети принтерах. Видимо для того, чтобы руководство компании-жертвы не могло скрыть факт атаки ransomware.
Интересно, а насколько готов российский ритейл к атакам вымогателей? А то так придешь за батоном в Пятерочку, а они на кассе ransomware веником гоняют.
BleepingComputer
Retail giant Cencosud hit by Egregor Ransomware attack, stores impacted
Chilean-based multinational retail company Cencosud has suffered a cyberattack by the Egregor ransomware operation that impacts services at stores.
Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
WeLiveSecurity
Lazarus supply‑chain attack in South Korea
ESET research uncovers attempts to deploy Lazarus malware via a supply-chain attack that abuses genuine security software and stolen digital certificates.
—Партнерский пост—
Код Дурова — канал, где люди уже 4 года узнают честные новости о Telegram
◖ Без фейков
◖ Быстрее всех
◖ С комментариями команды Telegram
Так же редакция делится передовыми новостями из мира IT, гаджетов и технологий.
На кого ещё подписываться, если не на старый и проверенный временем Код Дурова?
Павел, моргните дважды, если тоже их читаете
Код Дурова — канал, где люди уже 4 года узнают честные новости о Telegram
◖ Без фейков
◖ Быстрее всех
◖ С комментариями команды Telegram
Так же редакция делится передовыми новостями из мира IT, гаджетов и технологий.
На кого ещё подписываться, если не на старый и проверенный временем Код Дурова?
Павел, моргните дважды, если тоже их читаете
Канадский город Сайнт-Джон в минувшее воскресенье подвергся серьезной кибератаке, как сообщает CBC.
В результате все муниципальные сервисы города были выведены из строя, за исключением службы экстренной помощи 911. Кроме того, власти пока не знают были ли скомпрометированы какие-либо персональные данные жителей города.
Судя по попыткам властей "сдержать и искоренить вирус", речь идет об очередной атаке ransomware на муниципальную инфраструктуру. Какой конкретно вымогатель стоит за этим - пока неизвестно.
В результате все муниципальные сервисы города были выведены из строя, за исключением службы экстренной помощи 911. Кроме того, власти пока не знают были ли скомпрометированы какие-либо персональные данные жителей города.
Судя по попыткам властей "сдержать и искоренить вирус", речь идет об очередной атаке ransomware на муниципальную инфраструктуру. Какой конкретно вымогатель стоит за этим - пока неизвестно.
CBC
City of Saint John hit by 'significant' cyber attack | CBC News
The city of Saint John is experiencing a 'significant' cyber attack, and officials say it's not yet clear whether anyone's personal information has been compromised.
Никогда такого не было и вот опять. Motherboard выяснили, что американские военные, а также частные разведывательные компании, покупают данные о местоположении пользователей мобильных устройств у разработчиков приложений.
Журналисты смогли выявить две фирмы, торгующие обогащенными данными о местоположении пользователей. Первая - это Babel Street, про сотрудничество которой с американскими спецслужбами мы уже писали. Теперь оказалось, что геоданные у этой компании покупает также и Командование специальных операций ВС США (USSOCOM). И хотя передаваемые данные якобы являются анонимными, один из бывших сотрудников Babel Street сообщил журналистам, что имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.
Второй организацией, занимающейся сбором и продажей геоданных, является американская компания X-Mode и с ней все еще интереснее. X-Mode предлагает разработчикам включать ее SDK, собирающий данные местоположения, в свои приложения, за что платит деньги. Например, приложение, имеющее 50 тыс. активных пользователей, будет приносить разработчику 1500 долларов в месяц.
X-Mode ежемесячно отслеживает как минимум 25 млн. устройств на территории США и 40 млн. устройств в остальном мире, но, скорее всего, это количество сильно больше. Так, SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее более 70 млн. загрузок, в счетчик шагов Accupedo, в серию приложений для знакомств xxxx Social, среди которых есть и Russia Social с более чем 100 тыс. установок, а также во многие другие.
Кроме USSOCOM, клиентами X-Mode являются две крупные частные разведывательные компании - Sierra Nevada Corporation и Systems&Technology Research, которые предлагают американским военным и спецслужбам аналитику данных.
Кстати, Sierra Nevada Corporation являлась автором известного отчета, в котором возникновение COVID-19 объяснялось аварией в Уханьском институте вирусологии в октябре 2019 года. И хотя выводы отчета были неоднократно раскритикованы, интересен факт использования в качестве первичных данных информации о геолокации сотрудников китайского Института.
Треш, угар и содомия. Вот что происходит с приватностью пользовательских данных в современном мире.
Журналисты смогли выявить две фирмы, торгующие обогащенными данными о местоположении пользователей. Первая - это Babel Street, про сотрудничество которой с американскими спецслужбами мы уже писали. Теперь оказалось, что геоданные у этой компании покупает также и Командование специальных операций ВС США (USSOCOM). И хотя передаваемые данные якобы являются анонимными, один из бывших сотрудников Babel Street сообщил журналистам, что имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.
Второй организацией, занимающейся сбором и продажей геоданных, является американская компания X-Mode и с ней все еще интереснее. X-Mode предлагает разработчикам включать ее SDK, собирающий данные местоположения, в свои приложения, за что платит деньги. Например, приложение, имеющее 50 тыс. активных пользователей, будет приносить разработчику 1500 долларов в месяц.
X-Mode ежемесячно отслеживает как минимум 25 млн. устройств на территории США и 40 млн. устройств в остальном мире, но, скорее всего, это количество сильно больше. Так, SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее более 70 млн. загрузок, в счетчик шагов Accupedo, в серию приложений для знакомств xxxx Social, среди которых есть и Russia Social с более чем 100 тыс. установок, а также во многие другие.
Кроме USSOCOM, клиентами X-Mode являются две крупные частные разведывательные компании - Sierra Nevada Corporation и Systems&Technology Research, которые предлагают американским военным и спецслужбам аналитику данных.
Кстати, Sierra Nevada Corporation являлась автором известного отчета, в котором возникновение COVID-19 объяснялось аварией в Уханьском институте вирусологии в октябре 2019 года. И хотя выводы отчета были неоднократно раскритикованы, интересен факт использования в качестве первичных данных информации о геолокации сотрудников китайского Института.
Треш, угар и содомия. Вот что происходит с приватностью пользовательских данных в современном мире.
VICE
How the U.S. Military Buys Location Data from Ordinary Apps
A Muslim prayer app with over 98 million downloads is one of the apps connected to a wide-ranging supply chain that sends ordinary people's personal data to brokers, contractors, and the military.
Несмотря ни на что есть и хорошие новости, касающиеся обеспечения приватности пользователей.
На прошлой неделе Apple объявили, что с 8 декабря разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры, а также в каких целях эти данные будут использоваться.
Теперь же Mozilla включили в новую версию Firefox функцию HTTPS-Only Mode, которая автоматически пытается соединиться с посещаемым сайтом HTTPS, а в случае если это невозможно выдает ошибку и просит подтвердить соединение по HTTP вручную.
По умолчанию новая функция отключена, но ее можно активировать вручную.
Еще один небольшой кирпичик в стену конфиденциальности.
На прошлой неделе Apple объявили, что с 8 декабря разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры, а также в каких целях эти данные будут использоваться.
Теперь же Mozilla включили в новую версию Firefox функцию HTTPS-Only Mode, которая автоматически пытается соединиться с посещаемым сайтом HTTPS, а в случае если это невозможно выдает ошибку и просит подтвердить соединение по HTTP вручную.
По умолчанию новая функция отключена, но ее можно активировать вручную.
Еще один небольшой кирпичик в стену конфиденциальности.
В связи с увольнением Трампом директора американского Агентства кибербезопасности (CISA) Криса Кребса половина инфосек сообщества кинулась с задором обсасывать эту новость.
Кребс - хороший человек или редиска? Профессионал или нет? Трамп или кот? Вот такие вопросы интересуют уважаемых специалистов по информационной безопасности.
Какие там APT, что за проблемы с атрибуцией, о чем вы...
Кребс - хороший человек или редиска? Профессионал или нет? Трамп или кот? Вот такие вопросы интересуют уважаемых специалистов по информационной безопасности.
Какие там APT, что за проблемы с атрибуцией, о чем вы...
Twitter
Donald J. Trump
...votes from Trump to Biden, late voting, and many more. Therefore, effective immediately, Chris Krebs has been terminated as Director of the Cybersecurity and Infrastructure Security Agency.
В апреле этого года британская организация Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг (мы уже писали про ее исследования), совместно с британской же инфосек компанией Context, изучила ПО двух популярных в Европе автомобилей - Ford Focus и Volkswagen Polo.
В прошивке медиаустройства Volkswagen Polo нашлась уязвимость, благодаря которой исследователи смогли произвольно отключить систему контроля тяги (TCS), управлять светом фар, а также получить доступ к личным данным водителя.
У Ford Focus удалось подделать показания датчиков системы контроля давления в шинах (TPMS), а также получить данные сервисной сети Wi-Fi завода в Детройте, включая пароль от нее.
И если Volkswagen с готовностью пошли на сотрудничество с исследователями, то Ford отморозились и сказали, что у них все хорошо, а что касается пароля от заводского Wi-Fi, то это еще доказать надо и "нет у вас методов против Кости Сапрыкина".
И вот на днях Context опубликовали технические подробности взлома VW Polo. Как мы понимаем, потому, что Volkswagen исправил недостатки. Что же касается Ford Focus, то они в России все-равно в данный момент не продаются и их не жалко.
Context рассказали в общих деталях как они смогли обойти механизм проверки подписи обновления прошивки медиацентра Discover Media Volkswagen Polo версии 2019 года, а потом внедрить в него свой вредоносный код. Для этого им потребовался физический доступ к слоту SD-карт. посредством которых осуществляется обновление.
Но эксплойт британцы не опубликовали, поскольку, по их заявлению, основные элементы взломанной прошивки головного устройства используются, кроме Volkswagen, двумя другими автопроизводителями. И какие возможности по влиянию на системы управления автомобилем получат хакеры после взлома этих моделей - неизвестно.
Количество багов в автомобильном ПО все возрастает. К чему рано или поздно приведет их эксплуатация со стороны злоумышленников - тоже, в принципе, понятно. К людским жертвам.
В прошивке медиаустройства Volkswagen Polo нашлась уязвимость, благодаря которой исследователи смогли произвольно отключить систему контроля тяги (TCS), управлять светом фар, а также получить доступ к личным данным водителя.
У Ford Focus удалось подделать показания датчиков системы контроля давления в шинах (TPMS), а также получить данные сервисной сети Wi-Fi завода в Детройте, включая пароль от нее.
И если Volkswagen с готовностью пошли на сотрудничество с исследователями, то Ford отморозились и сказали, что у них все хорошо, а что касается пароля от заводского Wi-Fi, то это еще доказать надо и "нет у вас методов против Кости Сапрыкина".
И вот на днях Context опубликовали технические подробности взлома VW Polo. Как мы понимаем, потому, что Volkswagen исправил недостатки. Что же касается Ford Focus, то они в России все-равно в данный момент не продаются и их не жалко.
Context рассказали в общих деталях как они смогли обойти механизм проверки подписи обновления прошивки медиацентра Discover Media Volkswagen Polo версии 2019 года, а потом внедрить в него свой вредоносный код. Для этого им потребовался физический доступ к слоту SD-карт. посредством которых осуществляется обновление.
Но эксплойт британцы не опубликовали, поскольку, по их заявлению, основные элементы взломанной прошивки головного устройства используются, кроме Volkswagen, двумя другими автопроизводителями. И какие возможности по влиянию на системы управления автомобилем получат хакеры после взлома этих моделей - неизвестно.
Количество багов в автомобильном ПО все возрастает. К чему рано или поздно приведет их эксплуатация со стороны злоумышленников - тоже, в принципе, понятно. К людским жертвам.
Telegram
SecAtor
Следующая сентябрьская публикация прошла мимо нас, но содержащаяся в ней информация настолько хорошо демонстрирует проблемы в информационной безопасности у больших корпораций, имеющих дело с чувствительными данными, что мы не смогли пройти мимо.
Британская…
Британская…
Дорогие друзья! Пожалуй, пришло время сделать обзор на очередную прогосударственную APT. И в этот раз мы решили рассмотреть одну из иранских хакерских групп. А вот какую конкретно - мы спросим у вас!
На какую иранскую APT сделать следующий обзор?
Anonymous Poll
29%
APT 35 aka Magic Hound aka Charming Kitten
37%
MuddyWater aka Seedworm aka Static Kitten
34%
APT 34 aka OilRig aka Helix Kitten
—Партнерский пост—
Шестидневная онлайн-кибербитва и конференция по информационной безопасности The Standoff закончилась. Но доступ к выступлениям спикеров главной сцены, секции "ИБ для менеджеров" и технического трека открыт вам на еще очень долгое время.
В кибербитве приняли участие почти 30 команд нападения и 6 команд защиты. О ходе битвы и ее результатах, а также о будущем проекта читайте в официальном телеграм-канале The Standoff.
Шестидневная онлайн-кибербитва и конференция по информационной безопасности The Standoff закончилась. Но доступ к выступлениям спикеров главной сцены, секции "ИБ для менеджеров" и технического трека открыт вам на еще очень долгое время.
В кибербитве приняли участие почти 30 команд нападения и 6 команд защиты. О ходе битвы и ее результатах, а также о будущем проекта читайте в официальном телеграм-канале The Standoff.
У нас хорошая новость. Но как часто бывает в инфосек, она изначально проистекает из новости плохой. Обо всем по порядку.
Несколько дней назад Apple выпустили новую версию macOS под названием Big Sur. Мы сразу высказали свои опасения по поводу присутствующих в ней багов и прочих "модных технологий", которые в результате могут быть использованы злоумышленниками для компрометации целевой машины. И оказались правы.
Как выяснилось, в Big Sur присутствует новая функция, которая позволяет 56 ее собственным приложениям и процессам обходить файерволы и VPN, что не только может привести к потенциальному использованию этой лазейки хакерами, но и существенно подрывает приватность пользователей.
Не знаем, будут ли исправлять эту "не баг, а фичу" Apple, надеемся, что да. Но богоспасаемые разработчики ProtonVPN сообщили, что осуществили проверку и подтверждают, что их VPN-клиент для macOS не дает выделенным приложениям Apple его обходить. Единственное ограничение - работает это при включенной функции Kill Switch.
Если же Kill Switch отключен, то некоторые TCP-запросы, которые были инициированы до создания VPN-туннеля, могут продолжать работать в обход него.
Но мы-то знаем, что наши подписчики являются людьми просвещенными и всегда включают Kill Switch. Так что им беспокоиться не о чем.
Несколько дней назад Apple выпустили новую версию macOS под названием Big Sur. Мы сразу высказали свои опасения по поводу присутствующих в ней багов и прочих "модных технологий", которые в результате могут быть использованы злоумышленниками для компрометации целевой машины. И оказались правы.
Как выяснилось, в Big Sur присутствует новая функция, которая позволяет 56 ее собственным приложениям и процессам обходить файерволы и VPN, что не только может привести к потенциальному использованию этой лазейки хакерами, но и существенно подрывает приватность пользователей.
Не знаем, будут ли исправлять эту "не баг, а фичу" Apple, надеемся, что да. Но богоспасаемые разработчики ProtonVPN сообщили, что осуществили проверку и подтверждают, что их VPN-клиент для macOS не дает выделенным приложениям Apple его обходить. Единственное ограничение - работает это при включенной функции Kill Switch.
Если же Kill Switch отключен, то некоторые TCP-запросы, которые были инициированы до создания VPN-туннеля, могут продолжать работать в обход него.
Но мы-то знаем, что наши подписчики являются людьми просвещенными и всегда включают Kill Switch. Так что им беспокоиться не о чем.
Twitter
ProtonVPN
After thorough examination, we confirm that on ProtonVPN’s macOS app, no traffic is excluded from the encrypted VPN tunnel when Kill Switch is enabled (including Apple apps’ traffic). More details here: https://t.co/KYNv6VPVX8
Не так давно Apple объявили о вступление в декабре новых правил для разработчиков, подразумевающих предоставление подробной информации о собираемых приложениями пользовательских данных. Во след за ними шкандыбают Google.
Компания сообщила, что в январе 2021 года в действие вступит новый регламент, согласно которому разработчики расширений для Chrome также будут обязаны предоставлять сведения в отношении собираемой информации пользователя. Кроме того, будет запрещена продажа пользовательских данных, их использование для персонализированной рекламы, а также для кредитного скоринга.
Кстати, в политику конфиденциальности Google Play тоже внесены изменения - 16 декабря в силу вступят новые правила для разработчиков, похожие на правила от Apple, которые обязывают их предоставлять сведения о собираемых пользовательских данных не только на странице в Google Play, но и непосредственно в самом приложении.
Лед тронулся, товарищи присяжные заседатели. О приватности пользователей стали заботиться.
Компания сообщила, что в январе 2021 года в действие вступит новый регламент, согласно которому разработчики расширений для Chrome также будут обязаны предоставлять сведения в отношении собираемой информации пользователя. Кроме того, будет запрещена продажа пользовательских данных, их использование для персонализированной рекламы, а также для кредитного скоринга.
Кстати, в политику конфиденциальности Google Play тоже внесены изменения - 16 декабря в силу вступят новые правила для разработчиков, похожие на правила от Apple, которые обязывают их предоставлять сведения о собираемых пользовательских данных не только на странице в Google Play, но и непосредственно в самом приложении.
Лед тронулся, товарищи присяжные заседатели. О приватности пользователей стали заботиться.
Chromium Blog
Transparent privacy practices for Chrome Extensions
Protecting users and their data is a fundamental aspect of the work we do on Chrome. Last year, as part of Google’s Project Strobe , we anno...
По результатам опроса подписчики выбрали APT MuddyWater (Иран) в качестве объекта нашего следующего обзора.
Готовим!
Готовим!
Telegram
SecAtor
На какую иранскую APT сделать следующий обзор?
APT 35 aka Magic Hound aka Charming Kitten / MuddyWater aka Seedworm aka Static Kitten / APT 34 aka OilRig aka Helix Kitten
APT 35 aka Magic Hound aka Charming Kitten / MuddyWater aka Seedworm aka Static Kitten / APT 34 aka OilRig aka Helix Kitten