Очередная новость про ransomware - на Украине правоохранительные органы арестовали причастных к ransomware Cl0p хакеров и отключили их вредоносную инфраструктуру.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
cyberpolice.gov.ua
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним компаніям пів мільярда…
Департамент Кіберполіції Національної поліції України
Insikt Group Recorded Future удалось отдеанонить целую китайскую АРТ RedFoxtrot благодаря проколу в OpSec одного из ее участников.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
FireEye Mandiant, которая скоро будет просто Mandiant, выпустили материал про хакерскую группировку, которую они называют UNC2465, ранее являвшуюся одним из основных операторов ransomware Darkside (владельцы которого ответственны за взлом трубопровода Colonial Pipeline).
Чтобы вновь подписавшиеся на наш канал не запутались в терминологии - мы называем операторами группы, сотрудничающие с владельцами ransomware по схеме as a Service. При этом одна и та же группа может быть оператором разных штаммов вымогателей.
По мнению американских исследователей, UNC2465 работала с Darkside как минимум с марта 2020 года. Где-то во время разгона Darkside по причине атаки на Colonial Pipeline в мае этого года группа совершила гибрид атак на водопой и на цепочку поставок, чтобы проникнуть в корпоративные сети и доставить туда вымогатель.
Как все происходило. В июне Mandiant была привлечена для реагирования на вторжение в сеть некой организации, в ходе которого эксперты обнаружили, что точкой компрометации послужило затрояненое легальное ПО, которое поставлял своим клиентам неназванный производитель систем видеонаблюдения.
Хакеры сломали сайт компании и внедрили в предлагаемую к загрузке программу удаленного просмотра IP-видеокамер бэкдор Smokedham, который FireEye называют эксклюзивным вредоносом UNC2465. Бэкдор, в свою очередь, развертывал ngrok чтобы прокинуть туннель к управляющему центру. Дальше устанавливался имплант Cobalt Strike и осуществлялось боковое перемещение.
Всего хакеры присутствовали в атакованной сети с 18 мая по 8 июня. Исследователи же отмечают, что злоумышленникам потребовалось пять дней на боковое перемещение, установку кейлогера и импланта Cobalt Strike.
По всей видимости, UNC2465 планировали установить в скомпрометированных сетях Darkside, но этому помешал разгон банды. В то же время никто не мешал хакерам запустить другого вымогателя - видимо, просто не успели договориться с владельцами.
В качестве резюме. Что-то мы не припомним, чтобы операторы ransomware ранее использовали атаки на цепочку поставок - это была привилегия прогосударственных APT, требующая тщательного планирования и трудозатрат. Но ничего не стоит на месте и если что-то может эволюционировать и к этому есть стимул (в виде пары миллионов долларов), то это обязательно эволюционирует.
Что дальше? Внедрение загрузчиков ransomware в скрытые сектора жестких дисков прямо на заводе-производителе?
Чтобы вновь подписавшиеся на наш канал не запутались в терминологии - мы называем операторами группы, сотрудничающие с владельцами ransomware по схеме as a Service. При этом одна и та же группа может быть оператором разных штаммов вымогателей.
По мнению американских исследователей, UNC2465 работала с Darkside как минимум с марта 2020 года. Где-то во время разгона Darkside по причине атаки на Colonial Pipeline в мае этого года группа совершила гибрид атак на водопой и на цепочку поставок, чтобы проникнуть в корпоративные сети и доставить туда вымогатель.
Как все происходило. В июне Mandiant была привлечена для реагирования на вторжение в сеть некой организации, в ходе которого эксперты обнаружили, что точкой компрометации послужило затрояненое легальное ПО, которое поставлял своим клиентам неназванный производитель систем видеонаблюдения.
Хакеры сломали сайт компании и внедрили в предлагаемую к загрузке программу удаленного просмотра IP-видеокамер бэкдор Smokedham, который FireEye называют эксклюзивным вредоносом UNC2465. Бэкдор, в свою очередь, развертывал ngrok чтобы прокинуть туннель к управляющему центру. Дальше устанавливался имплант Cobalt Strike и осуществлялось боковое перемещение.
Всего хакеры присутствовали в атакованной сети с 18 мая по 8 июня. Исследователи же отмечают, что злоумышленникам потребовалось пять дней на боковое перемещение, установку кейлогера и импланта Cobalt Strike.
По всей видимости, UNC2465 планировали установить в скомпрометированных сетях Darkside, но этому помешал разгон банды. В то же время никто не мешал хакерам запустить другого вымогателя - видимо, просто не успели договориться с владельцами.
В качестве резюме. Что-то мы не припомним, чтобы операторы ransomware ранее использовали атаки на цепочку поставок - это была привилегия прогосударственных APT, требующая тщательного планирования и трудозатрат. Но ничего не стоит на месте и если что-то может эволюционировать и к этому есть стимул (в виде пары миллионов долларов), то это обязательно эволюционирует.
Что дальше? Внедрение загрузчиков ransomware в скрытые сектора жестких дисков прямо на заводе-производителе?
Google Cloud Blog
Smoking Out a DARKSIDE Affiliate’s Supply Chain Software Compromise | Google Cloud Blog
Борьба с "пиратством" выходит на новый уровень. Почему в кавычках? Потому что считаем, что информация должна свободно распространяться, а современные механизмы доната и краудфандинга спокойно могут заменить традиционный институт авторского вознаграждения (которое, по большому счету, вовсе не авторское, а издательское).
Microsoft Defender с очередным обновлением стал делать секир-башка вполне себе легальному и любимому миллионами пользователей приложению uTorrent. Но про это вы и так знаете и, надеемся, такой шляпой как Defender не пользуетесь.
А вот Sophos вывалили вчера более интересную историю. Исследователи обнаружили кампанию по распространению малвари, преимущественно замаскированной под пиратские копии игр и распространяемой через Discord.
При запуске вредонос выдает ошибку и проверяет есть ли сетевое соединение. После этого он получает полезную нагрузку, которая изменяет файл HOSTS, добавляя в него от нескольких сотен до нескольких тысяч пиратских сайтов и прописывая им localhost. Таким образом, зараженный пользователь не может больше качать с них пиратский контент.
Мы подозреваем, что это очередная успешная кампания Роскомнадзора по борьбе с пиратством. А что - Twitter победили, с Telegram разрулили, Opera VPN накрячили. Пора бы и с пиратами разобраться!
Дополнительной аргументацией нашей версии служат невысокое техническое исполнение выявленной малвари и то, что среди пиратских сайтов встречаются и совершенно к пиратству не причастные. Все в лучших традициях РКН - мочили Twitter, а лег Ростелеком!
Microsoft Defender с очередным обновлением стал делать секир-башка вполне себе легальному и любимому миллионами пользователей приложению uTorrent. Но про это вы и так знаете и, надеемся, такой шляпой как Defender не пользуетесь.
А вот Sophos вывалили вчера более интересную историю. Исследователи обнаружили кампанию по распространению малвари, преимущественно замаскированной под пиратские копии игр и распространяемой через Discord.
При запуске вредонос выдает ошибку и проверяет есть ли сетевое соединение. После этого он получает полезную нагрузку, которая изменяет файл HOSTS, добавляя в него от нескольких сотен до нескольких тысяч пиратских сайтов и прописывая им localhost. Таким образом, зараженный пользователь не может больше качать с них пиратский контент.
Мы подозреваем, что это очередная успешная кампания Роскомнадзора по борьбе с пиратством. А что - Twitter победили, с Telegram разрулили, Opera VPN накрячили. Пора бы и с пиратами разобраться!
Дополнительной аргументацией нашей версии служат невысокое техническое исполнение выявленной малвари и то, что среди пиратских сайтов встречаются и совершенно к пиратству не причастные. Все в лучших традициях РКН - мочили Twitter, а лег Ростелеком!
Sophos News
Vigilante malware rats out software pirates while blocking ThePirateBay
A collection of malware samples revives a decade-old HOSTS modification trick to block hundreds of websites
Не далее как неделю назад Google выпустили апдейт для Chrome, в котором закрыли используемую в дикой природе 0-day уязвимость CVE-2021-30551 браузерном движке V8.
Но нет предела совершенству - вчера вышло новое обновление для Windows, Mac и Linux, в котором закрыли еще одну 0-day уязвимость.
CVE-2021-30544 - UAF (User-After-Free, некорректная работа с динамической памяти при ее освобождении) уязвимость в API JavaScript WebGL, используемом для визуализации интерактивной 2D и 3D графики.
Ошибка приводит, как ни удивительно, к удаленному выполнению кода (RCE) в атакованной системе (шутка, к чему еще UAF может привести, к DoS разве). Оценки критичности, что интересно, Google не приводит (или мы такие слепошарые). Хотя, судя по удаленному RCE, она близка к десяточке по CVSS.
Как всегда в случае с Google, техническими подробностями они не делятся, но сообщают, что им известно об использовании CVE-2021-30544 в дикой природе.
Поэтому всем надо срочно обновить свои Chrome.
Но нет предела совершенству - вчера вышло новое обновление для Windows, Mac и Linux, в котором закрыли еще одну 0-day уязвимость.
CVE-2021-30544 - UAF (User-After-Free, некорректная работа с динамической памяти при ее освобождении) уязвимость в API JavaScript WebGL, используемом для визуализации интерактивной 2D и 3D графики.
Ошибка приводит, как ни удивительно, к удаленному выполнению кода (RCE) в атакованной системе (шутка, к чему еще UAF может привести, к DoS разве). Оценки критичности, что интересно, Google не приводит (или мы такие слепошарые). Хотя, судя по удаленному RCE, она близка к десяточке по CVSS.
Как всегда в случае с Google, техническими подробностями они не делятся, но сообщают, что им известно об использовании CVE-2021-30544 в дикой природе.
Поэтому всем надо срочно обновить свои Chrome.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 91.0.4472.114 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
—Партнерский пост—
30 июня в Петербурге пройдет ZeroNights 2021, конференция по практическим аспектам кибербезопасности
Дата и время: 30 июня, 09:30-23:59 (МСК)
Место: Санкт-Петербург, Севкабель Порт
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Программа конференции:
Важно! 29 июня и 30 июня билет на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте билет уже сейчас!
30 июня в Петербурге пройдет ZeroNights 2021, конференция по практическим аспектам кибербезопасности
Дата и время: 30 июня, 09:30-23:59 (МСК)
Место: Санкт-Петербург, Севкабель Порт
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Программа конференции:
• Основная программа — доклады о новейших методах атак, безопасности прошивок, десктопных, мобильных устройств и ОС. • Web Village — о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty. • Defensive Track посвящен безопасной разработке, DevSecOps, обнаружению инцидентов. • Hardware Zone — зона пересечения интересов людей, связанных с аппаратной и программно-аппаратной безопасностью. • Воркшопы — мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов. • Активности и тематические конкурсы — от Академии Digital Security, баг-баунти от Bitaps, а также CTF от комьюнити-партнеров. • Маркет с авторским мерчем десятой хакерской конференции ZeroNights. Важно! 29 июня и 30 июня билет на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте билет уже сейчас!
С нарастанием хайпа вокруг темы ransomware стало появляться все больше детальных обзоров деятельности той или иной хакерской группы, стоящей за очередным штаммом вымогателей.
Вот и команда Prodaft Threat Intelligence выдала отчет, в котором подробно рассмотрела деятельность владельца ransomware LockBit и его взаимодействие с привлеченными операторами. В том числе и предполагаемую связь с другими вымогателями.
Неплохое чтиво на предстоящие выходные дни.
Вот и команда Prodaft Threat Intelligence выдала отчет, в котором подробно рассмотрела деятельность владельца ransomware LockBit и его взаимодействие с привлеченными операторами. В том числе и предполагаемую связь с другими вымогателями.
Неплохое чтиво на предстоящие выходные дни.
Forwarded from Эксплойт | Live
Эксперт нашёл баг в работе Wi-Fi на iPhone
В своём Twitter он рассказал, что обнаружил баг при подключении iPhone к Wi-fi сети с символьным названием в виде «%p%s%s%s%s%n».
Когда iPhone, включая даже новые модели, подключается к такой сети, происходит зависание работы беспроводного модуля.
Фактически, Wi-Fi перестаёт работать, а в случае попытки его активации происходит отключение кнопки включения.
Также, этот баг полностью отключает работу AirDrop.
Он уточнил, что советует не экспериментировать с такими названиями сетей, а просто подождать патча от Apple, если она, конечно, заинтересуется этой проблемой.
В своём Twitter он рассказал, что обнаружил баг при подключении iPhone к Wi-fi сети с символьным названием в виде «%p%s%s%s%s%n».
Когда iPhone, включая даже новые модели, подключается к такой сети, происходит зависание работы беспроводного модуля.
Фактически, Wi-Fi перестаёт работать, а в случае попытки его активации происходит отключение кнопки включения.
Также, этот баг полностью отключает работу AirDrop.
Он уточнил, что советует не экспериментировать с такими названиями сетей, а просто подождать патча от Apple, если она, конечно, заинтересуется этой проблемой.
Не стареют душой ветераны цифрового чучхе!
В конце прошлой недели Южнокорейский институт ядерных исследований (KAERI) провел пресс-конференцию и сделал официальное заявление, в которых сообщил, что 14 июня подвергся атаке прогосударственной APT, которая взломала сеть института использовав уязвимость в VPN-сервисе.
Судя по всему, VPN тупо не обновили. Вследствие чего 13 различных внешних неавторизованных IP успели залезть в сеть. Как сообщают южнокорейцы, один из этих IP-адресов атрибутируется как принадлежащий вредоносной инфраструктуре северокорейской APT Kimsuky.
Один из основных оппозиционных депутатов парламента Южной Кореи Ха Тэ-Кын завил, что "утечка в КНДР ключевых технологий в области ядерной энергетики может стать крупнейшим нарушением безопасности Южной Кореи с 2016 года (когда птенцы Кимова гнезда ломали местное Минобороны)".
Мы не столь склонны к драматизированию ситуации, но отметим существенную расхлябанность сеульских ученых, поскольку уж в их-то ситуации надо держать свои ресурсы в максимальном тонусе. Особенно если ты хранишь там конфиденциальные документы по ядерной тематике.
Что же касается Kimsuky, то эти ребята уже не в первый раз ломают ядерные учреждения Южной Кореи. Как мы писали в прошлом году, в 2014 именно Kimsuky взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Северокорейские хакеры завели тогда от имени "борцов с ядерной энергетикой с Гавайских островов" Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения. Хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться - опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Сдается нам, что вскоре мы снова услышим про "борцов с ядерной энергетикой с Гавайских островов".
P.S. А вместе с тем, вчера южнокорейские СМИ сообщили, что Daewoo Shipbuilding & Marine Engineering, производящая военные корабли и подводные лодки, с прошлого года подвергается атакам APT из КНДР. Минобороны Южной Кореи факт атаки подтвердило, но сказало, что атаковали не северокорейцы. Впрочем, кто же им поверит.
В конце прошлой недели Южнокорейский институт ядерных исследований (KAERI) провел пресс-конференцию и сделал официальное заявление, в которых сообщил, что 14 июня подвергся атаке прогосударственной APT, которая взломала сеть института использовав уязвимость в VPN-сервисе.
Судя по всему, VPN тупо не обновили. Вследствие чего 13 различных внешних неавторизованных IP успели залезть в сеть. Как сообщают южнокорейцы, один из этих IP-адресов атрибутируется как принадлежащий вредоносной инфраструктуре северокорейской APT Kimsuky.
Один из основных оппозиционных депутатов парламента Южной Кореи Ха Тэ-Кын завил, что "утечка в КНДР ключевых технологий в области ядерной энергетики может стать крупнейшим нарушением безопасности Южной Кореи с 2016 года (когда птенцы Кимова гнезда ломали местное Минобороны)".
Мы не столь склонны к драматизированию ситуации, но отметим существенную расхлябанность сеульских ученых, поскольку уж в их-то ситуации надо держать свои ресурсы в максимальном тонусе. Особенно если ты хранишь там конфиденциальные документы по ядерной тематике.
Что же касается Kimsuky, то эти ребята уже не в первый раз ломают ядерные учреждения Южной Кореи. Как мы писали в прошлом году, в 2014 именно Kimsuky взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Северокорейские хакеры завели тогда от имени "борцов с ядерной энергетикой с Гавайских островов" Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения. Хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться - опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Сдается нам, что вскоре мы снова услышим про "борцов с ядерной энергетикой с Гавайских островов".
P.S. А вместе с тем, вчера южнокорейские СМИ сообщили, что Daewoo Shipbuilding & Marine Engineering, производящая военные корабли и подводные лодки, с прошлого года подвергается атакам APT из КНДР. Минобороны Южной Кореи факт атаки подтвердило, но сказало, что атаковали не северокорейцы. Впрочем, кто же им поверит.
BleepingComputer пишет о том, что Google стали принудительно устанавливать на Android-устройства пользователей штата Массачусетс приложения Massachusetts MassNotify для отслеживания контактов больных COVID-19.
Многие пользователи сообщили, что без их ведома в списке установленных приложений появилось MassNotify, при этом никаких согласий на это у пользователей не запрашивалось. Более того, простым образом удалить MassNotify с устройства не получится, потому что пользователи не могут его открыть, а в Google Play приложение не находится поиском.
Google на соответствующий запрос сообщили, что приложение "установлено, но не включено, если пользователь не сделает это сам в настройках уведомлений".
Ц - цыфровая демократия.
Многие пользователи сообщили, что без их ведома в списке установленных приложений появилось MassNotify, при этом никаких согласий на это у пользователей не запрашивалось. Более того, простым образом удалить MassNotify с устройства не получится, потому что пользователи не могут его открыть, а в Google Play приложение не находится поиском.
Google на соответствующий запрос сообщили, что приложение "установлено, но не включено, если пользователь не сделает это сам в настройках уведомлений".
Ц - цыфровая демократия.
BleepingComputer
Google force installs Massachusetts MassNotify Android COVID app
Google is force-installing a Massachusetts COVID-19 tracking app on residents' Android devices without an easy way to uninstall it.
TheRecord пишет, что на прошлой неделе норвежская Полицейская служба безопасности (PST) заявила о причастности китайской APT 31 к взлому норвежской правительственной сети в 2018 году.
В ходе взлома хакеры практически полностью захватили атакованную сеть, получив права администратора, что дало им доступ к машинам всех государственных учреждений страны. Кроме того, PST говорит, что злоумышленники украли некую конфиденциальную информацию, правда сами точно не знают какую.
И хотя в официальном пресс-релизе PST не упоминает китайцев, один из руководителей службы Хана Бломберг в интервью государственному телевидению назвала в качестве нападавшего именно APT 31.
APT 31 aka Zirconium - это та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian. А еще, по данным норвегов, они причастны к взлому норвежского поставщика облачных услуг Visma AG летом 2018 года.
В марте же финская Полиция безопасности (Supo) заявила, что Zirconium осуществили взлом в октябре 2020 года нескольких почтовых ящиков Парламента Финляндии.
И уже в январе этого года Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны Zirconium.
Короче говоря, китайские хакеры из APT 31 плотно работают по европейским государственным структурам. И пока у них это прекрасно получается.
В ходе взлома хакеры практически полностью захватили атакованную сеть, получив права администратора, что дало им доступ к машинам всех государственных учреждений страны. Кроме того, PST говорит, что злоумышленники украли некую конфиденциальную информацию, правда сами точно не знают какую.
И хотя в официальном пресс-релизе PST не упоминает китайцев, один из руководителей службы Хана Бломберг в интервью государственному телевидению назвала в качестве нападавшего именно APT 31.
APT 31 aka Zirconium - это та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian. А еще, по данным норвегов, они причастны к взлому норвежского поставщика облачных услуг Visma AG летом 2018 года.
В марте же финская Полиция безопасности (Supo) заявила, что Zirconium осуществили взлом в октябре 2020 года нескольких почтовых ящиков Парламента Финляндии.
И уже в январе этого года Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны Zirconium.
Короче говоря, китайские хакеры из APT 31 плотно работают по европейским государственным структурам. И пока у них это прекрасно получается.
therecord.media
Norway says Chinese group APT31 is behind catastrophic 2018 government hack
Norway\'s police secret service said this week that APT31, a cyber-espionage group operating on behalf of China, was responsible for a 2018 breach of the government\'s IT network.
Shut Up And Take My Money!
Twitter
People With 1000 IQ
https://t.co/tTNojX9qF6
Исследователь Лаксман Муфия специализируется на поиске уязвимостей в механизмах проверки пароля различных сервисов, которые позволяют злоумышленникам получить доступ к аккаунту пользователя.
В марте мы писали про выявленную им дырку в алгоритме сброса пароля от учетной записи Microsoft, за открытие которой он получил от мелкомягких 50 тыс. долларов bug bounty.
Вчера он опубликовал результаты своего нового исследования, посвященного уязвимости в механизме восстановления пароля iCloud.
При восстановлении пароля пользователь должен ввести 6-значный код подтверждения, который приходит на телефон или на адрес электронной почты. Apple ограничивает количество запросов с одного IP-адреса 6 штуками. Но iforgot .apple .com имеет, в свою очередь, 6 IP-адресов. Таким образом, можно отправить одновременно 6 запросов с одного IP-адреса, ограничения это позволяют.
Подобрав все эти люфты Муфия пришел к тому, что ему понадобится 28 тысяч IP-адресов, для того, чтобы гарантировано подобрать 6-значный код и успешно сменить пароль. Apple внесли в черный список основных поставщиков облачных услуг, но исследователь смог найти несколько рабочих сервисов.
Таким образом, Муфия успешно обошел сначала 6-значный код SMS, а потом 6-значный код, полученный на электронную почту. Методика обхода была абсолютно идентична. Не помогла бы даже 2FA аутентификация, поскольку она имела ровно те же ошибки.
Об уязвимости исследователь сообщил в Apple 1 июля 2020 года. Apple поблагодарили и... забили (вот это поворот!) В результате, они устранили уязвимость только в начале апреля 2021 года, а Муфии написали, что все фигня кроме пчел, а зимой и пчелы фигня. И вообще это не баг, а фича, и она работала только с учетными записями iCloud, которые использовались только на устройствах Apple, не защищенных паролем.
Тогда Муфия закусил удила, стал копать дальше и пришел к выводу, что закрытая уязвимость позволяла не только захватить учетную запись iCloud, но и позволила бы взломать любой iPhone или iPad с 4 или 6-значным passcode (там все немного сложнее, но в формат поста это бы не влезло, можно почитать в первоисточнике).
В конце концов Apple "расщедрились" на 18 тыс. долларов bug bounty, хотя должны были по своим собственным правилам заплатить Муфии 350 тыс. $. Исследователь обиделся и, поскольку уязвимость уже закрыта, решил выкинуть всю инфу на публику.
Как известно, кроилово приводит к попадалову - совершая такие странные поступки со своей программой bug bounty Apple безусловно подрывает информационную безопасность собственных продуктов. Потому что в следующий раз более беспринципный и жадный исследователь, зная о жлобстве Apple, просто продаст эксплойт в даркнете и получит намного больше 18 тыс. долларов. Ну а мы с вами будем страдать от эксплуатируемых в дикой природе дырок в iPhone, потому что какие-то менеджеры компании с годовым оборотом в 275 млрд. долларов зажали 300 тысяч.
В марте мы писали про выявленную им дырку в алгоритме сброса пароля от учетной записи Microsoft, за открытие которой он получил от мелкомягких 50 тыс. долларов bug bounty.
Вчера он опубликовал результаты своего нового исследования, посвященного уязвимости в механизме восстановления пароля iCloud.
При восстановлении пароля пользователь должен ввести 6-значный код подтверждения, который приходит на телефон или на адрес электронной почты. Apple ограничивает количество запросов с одного IP-адреса 6 штуками. Но iforgot .apple .com имеет, в свою очередь, 6 IP-адресов. Таким образом, можно отправить одновременно 6 запросов с одного IP-адреса, ограничения это позволяют.
Подобрав все эти люфты Муфия пришел к тому, что ему понадобится 28 тысяч IP-адресов, для того, чтобы гарантировано подобрать 6-значный код и успешно сменить пароль. Apple внесли в черный список основных поставщиков облачных услуг, но исследователь смог найти несколько рабочих сервисов.
Таким образом, Муфия успешно обошел сначала 6-значный код SMS, а потом 6-значный код, полученный на электронную почту. Методика обхода была абсолютно идентична. Не помогла бы даже 2FA аутентификация, поскольку она имела ровно те же ошибки.
Об уязвимости исследователь сообщил в Apple 1 июля 2020 года. Apple поблагодарили и... забили (вот это поворот!) В результате, они устранили уязвимость только в начале апреля 2021 года, а Муфии написали, что все фигня кроме пчел, а зимой и пчелы фигня. И вообще это не баг, а фича, и она работала только с учетными записями iCloud, которые использовались только на устройствах Apple, не защищенных паролем.
Тогда Муфия закусил удила, стал копать дальше и пришел к выводу, что закрытая уязвимость позволяла не только захватить учетную запись iCloud, но и позволила бы взломать любой iPhone или iPad с 4 или 6-значным passcode (там все немного сложнее, но в формат поста это бы не влезло, можно почитать в первоисточнике).
В конце концов Apple "расщедрились" на 18 тыс. долларов bug bounty, хотя должны были по своим собственным правилам заплатить Муфии 350 тыс. $. Исследователь обиделся и, поскольку уязвимость уже закрыта, решил выкинуть всю инфу на публику.
Как известно, кроилово приводит к попадалову - совершая такие странные поступки со своей программой bug bounty Apple безусловно подрывает информационную безопасность собственных продуктов. Потому что в следующий раз более беспринципный и жадный исследователь, зная о жлобстве Apple, просто продаст эксплойт в даркнете и получит намного больше 18 тыс. долларов. Ну а мы с вами будем страдать от эксплуатируемых в дикой природе дырок в iPhone, потому что какие-то менеджеры компании с годовым оборотом в 275 млрд. долларов зажали 300 тысяч.
The Zero Hack
How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack
This article is about how I found a vulnerability on Apple forgot password endpoint that allowed me to takeover an iCloud account. The vulnerability is completely patched by Apple security team and it no longer works. Apple Security Team rewarded me $18,000…
Приватный браузер стал действительно приватным: проект Tor выпустил Tor Browser 10.0.18 с исправлением множества ошибок.
Но главное исправление касается вскрытой FingerprintJS еще в мае возможности кросс-браузерного отслеживания пользователей на основе приложений, установленных на их устройстве.
Анализируя результаты запуска обработчиков URL-адресов приложений создается уникальный профиль отслеживания пользователя. При этом если запрос приложения отображается, можно предположить, что приложение установлено на устройстве. Проверив различные обработчики URL-адресов, обрисовывается уникальная конфигурация установленных приложений на устройстве пользователя.
Затем этот идентификатор (или конфигурацию) можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Очевидно, что для анонимизирующихся пользователей Tor эта уязвимость крайне критична, поскольку дает возможность админам веб-ресурсов фиксировать реальный IP-адрес пользователя при переключении на другой браузер.
В выпуске Tor Browser 10.0.18 разработчики представили исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false, которое по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, больше не запускает запросы приложения.
И вот секрет сверхвозможностей правоохранителей по розыску анонимов в Tor, пожалуй, раскрыт: можно расходиться, а обновление установить (и на всякий случай парочку прог тоже).
Но главное исправление касается вскрытой FingerprintJS еще в мае возможности кросс-браузерного отслеживания пользователей на основе приложений, установленных на их устройстве.
Анализируя результаты запуска обработчиков URL-адресов приложений создается уникальный профиль отслеживания пользователя. При этом если запрос приложения отображается, можно предположить, что приложение установлено на устройстве. Проверив различные обработчики URL-адресов, обрисовывается уникальная конфигурация установленных приложений на устройстве пользователя.
Затем этот идентификатор (или конфигурацию) можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Очевидно, что для анонимизирующихся пользователей Tor эта уязвимость крайне критична, поскольку дает возможность админам веб-ресурсов фиксировать реальный IP-адрес пользователя при переключении на другой браузер.
В выпуске Tor Browser 10.0.18 разработчики представили исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false, которое по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, больше не запускает запросы приложения.
И вот секрет сверхвозможностей правоохранителей по розыску анонимов в Tor, пожалуй, раскрыт: можно расходиться, а обновление установить (и на всякий случай парочку прог тоже).
blog.torproject.org
New Release: Tor Browser 10.0.18 | Tor Project
Tor Browser 10.0.18 is now available from the Tor Browser download page and also from our distribution directory.
Компания NVIDIA, специализирующаяся на графических чипах, выпустила обновления программного обеспечения для устранения в общей сложности 26 уязвимостей CVE‑2021‑34372 до CVE‑2021‑34397 в серии Jetson system-on-module (SOM).
Исправлены серьезные ошибки в структуре Jetson SoC, связанные со способом обработки низкоуровневых криптографических алгоритмов.
Закрытые баги затрагивают продукты Jetson TX1, серии TX2, TX2 NX, серии AGX Xavier, Xavier NX, а также Nano и Nano 2GB под управлением всех версий Jetson Linux до 32.5.1, которые используются для встраиваемых вычислительных систем, приложений машинного обучения и автономных устройств, таких как роботы и дроны.
Самая серьезная ошибка CVE‑2021‑34372 позволяет эксплуатировать недостатки в коде Jetson и вызвать переполнение буфера. При этом уязвимость несложна для использования и злоумышленник с низкими правами доступа может запустить ее, имея лишь сетевой доступ. Кроме того, успешная атака может дать злоумышленнику постоянный доступ к компонентам, отличным от целевого набора микросхем NVIDIA, и позволить хакеру манипулировать или саботировать целевую систему.
Остальные недостатки, связанные с Trusty и Bootloader, могут быть использованы для воздействия на выполнение кода, вызывая отказ в обслуживании и раскрытие информации.
Что же, проделана большая работа: на этом отдельная благодарность Фредерику Перрио из Apple Media Products за обнаружение всех проблем, а от владельцев систем - специалистам NVIDIA, выпустившим обновления.
Исправлены серьезные ошибки в структуре Jetson SoC, связанные со способом обработки низкоуровневых криптографических алгоритмов.
Закрытые баги затрагивают продукты Jetson TX1, серии TX2, TX2 NX, серии AGX Xavier, Xavier NX, а также Nano и Nano 2GB под управлением всех версий Jetson Linux до 32.5.1, которые используются для встраиваемых вычислительных систем, приложений машинного обучения и автономных устройств, таких как роботы и дроны.
Самая серьезная ошибка CVE‑2021‑34372 позволяет эксплуатировать недостатки в коде Jetson и вызвать переполнение буфера. При этом уязвимость несложна для использования и злоумышленник с низкими правами доступа может запустить ее, имея лишь сетевой доступ. Кроме того, успешная атака может дать злоумышленнику постоянный доступ к компонентам, отличным от целевого набора микросхем NVIDIA, и позволить хакеру манипулировать или саботировать целевую систему.
Остальные недостатки, связанные с Trusty и Bootloader, могут быть использованы для воздействия на выполнение кода, вызывая отказ в обслуживании и раскрытие информации.
Что же, проделана большая работа: на этом отдельная благодарность Фредерику Перрио из Apple Media Products за обнаружение всех проблем, а от владельцев систем - специалистам NVIDIA, выпустившим обновления.
—Партнерский пост—
К сожалению эпидемиологическая обстановка в России оставляет желать лучшего. SecAtor рекомендует без крайней необходимости не выходить из дома, а также сделать побыстрее обновление своего организма одним из двух патчей — Спутник V или КовиВак. Про ЭпиВакКорону ничего говорить не будем, по слухам после применения этого апдейта отмечаются неоднократные случаи успешной эксплуатации уязвимости со стороны малвари COVID-19. Лица же, прошедшие обновление, могут пить, гулять, любить людей (желательно противоположного пола).
Но даже в такой непростой ситуации жизненно необходимо искать положительные стороны. И в качестве подобного кейса мы советуем вам 5-дневный онлайн-курс Digital Forensics Analyst: Level 2 от компании Group-IB, который стартует 28 июня (то есть ровно через шесть дней).
И вот некоторые из причин, по которым это нужно сделать.
- за последние несколько лет количество кибератак выросло в арифметической прогрессии, а инциденты с применением ransomware только за год стали встречаться чаще на 150% при среднем размере выкупа в $170.000;
- мишенью злоумышленников становятся компании из совершенно разных отраслей: от банков до компаний розничной торговли, от нефтегазовых производств до телекома. И нет причин полагать, что интенсивность и частота этой вредоносной активности пойдет на спад (готовы забиться, что наоборот);
- исходя из вышесказанного важно знать, как правильно и четко реагировать на инциденты, как их исследовать и делать выводы, которые в дальнейшем позволят значительно снизить риск повторной атаки на компанию;
- эксперты крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики Group-IB расскажут о специфике методов криминалистического снятия данных, криминалистической работы с памятью и криминалистики хостов;
- по промокоду SECATOR вы получите скидку в 15% от стоимости;
- прекрасно подходит для антипрививочников — Group-IB не требует наличия антител для прохождения онлайн-курса.
Увидимся.
К сожалению эпидемиологическая обстановка в России оставляет желать лучшего. SecAtor рекомендует без крайней необходимости не выходить из дома, а также сделать побыстрее обновление своего организма одним из двух патчей — Спутник V или КовиВак. Про ЭпиВакКорону ничего говорить не будем, по слухам после применения этого апдейта отмечаются неоднократные случаи успешной эксплуатации уязвимости со стороны малвари COVID-19. Лица же, прошедшие обновление, могут пить, гулять, любить людей (желательно противоположного пола).
Но даже в такой непростой ситуации жизненно необходимо искать положительные стороны. И в качестве подобного кейса мы советуем вам 5-дневный онлайн-курс Digital Forensics Analyst: Level 2 от компании Group-IB, который стартует 28 июня (то есть ровно через шесть дней).
И вот некоторые из причин, по которым это нужно сделать.
- за последние несколько лет количество кибератак выросло в арифметической прогрессии, а инциденты с применением ransomware только за год стали встречаться чаще на 150% при среднем размере выкупа в $170.000;
- мишенью злоумышленников становятся компании из совершенно разных отраслей: от банков до компаний розничной торговли, от нефтегазовых производств до телекома. И нет причин полагать, что интенсивность и частота этой вредоносной активности пойдет на спад (готовы забиться, что наоборот);
- исходя из вышесказанного важно знать, как правильно и четко реагировать на инциденты, как их исследовать и делать выводы, которые в дальнейшем позволят значительно снизить риск повторной атаки на компанию;
- эксперты крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики Group-IB расскажут о специфике методов криминалистического снятия данных, криминалистической работы с памятью и криминалистики хостов;
- по промокоду SECATOR вы получите скидку в 15% от стоимости;
- прекрасно подходит для антипрививочников — Group-IB не требует наличия антител для прохождения онлайн-курса.
Увидимся.
Group-IB
Обучающий курс "Windows DFIR Analyst" (Анализ инцидентов на ОС Windows)| Group-IB
Узнайте, как разбираться в методах сбора криминалистических данных, создавать криминалистические образы и анализировать артефакты для реконструкции техник атакующих.
В апреле месяце мы давали информацию про то, что исследователи компании Onapsis на примере продуктов SAP показали, что как только апдейты для ПО становятся доступны хакеры начинают проводить их реинжиниринг, чтобы получить данные в отношении свежезакрытой уязвимости и разработать метод ее эксплуатации.
Поэтому у технической поддержки есть в среднем всего 72 часа на то, чтобы накатить свежее обновление, устраняющее какую-либо уязвимость до появления ее эксплойта.
А теперь вышел отчет с другой стороны от компании WhiteHat Security, эксперты которой подсчитали, что среднее время исправления критических уязвимостей увеличилось с 197 дней в апреле до 205 дней в мае этого года.
Но, в целом, 197 дней или там 205 - большого значения не имеет. Потому что это все равно больше чем 60 раз отличается от срока в 72 золотых часа.
На этом, в принципе, свет можно гасить, а инфосек закрывать.
Поэтому у технической поддержки есть в среднем всего 72 часа на то, чтобы накатить свежее обновление, устраняющее какую-либо уязвимость до появления ее эксплойта.
А теперь вышел отчет с другой стороны от компании WhiteHat Security, эксперты которой подсчитали, что среднее время исправления критических уязвимостей увеличилось с 197 дней в апреле до 205 дней в мае этого года.
Но, в целом, 197 дней или там 205 - большого значения не имеет. Потому что это все равно больше чем 60 раз отличается от срока в 72 золотых часа.
На этом, в принципе, свет можно гасить, а инфосек закрывать.
Telegram
SecAtor
Вчера компания SAP совместно с инфосек компанией Onapsis выпустили новый отчет в отношении актуальных киберугроз пользователям ПО немецкого производителя.
Там много чего написано, но нас заинтересовало лишь одно число - по мнению исследователей, пользователи…
Там много чего написано, но нас заинтересовало лишь одно число - по мнению исследователей, пользователи…
Разработчики богоспасаемого браузера Brave запускают свой собственный поисковик, призванный защищать интересы и приватность пользователей.
Администрация браузера заявила, что новая поисковая система Brave search уже была протестирована более чем 100 тыс. пользователями в рамках закрытой альфы, а сейчас она становится доступна в составе открытой бета-версии Brave. Окончательный запуск планируется ближе к концу года.
Чем же так хорош анонсируемый Brave search?
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.
Даже вопрос "Откуда деньги, Билли?" Brave разъясняют вполне достоверно - показ конфиденциальной рекламы на базе собственной системы Brave Ads или скрытие всей рекламы за отдельную абонплату (по типу YouTube).
И вот все так хорошо складывается, что даже не верится, а внутренний параноик стучит кулаками в пепел наших сердец с криками "Подстава!". Особенно вспоминая мутную историю с анонимным поисковиком DuckDuckGo.
Просто потому, что если бы мы были западными спецслужбами, то обязательно бы запустили подконтрольный проект по созданию приватной экосистемы для пользователей (а именно это и делают сейчас Brave). Свежую историю про подконтрольную спецслужбам криптоплатформу An0m помните? Вот то-то и оно.
А вот если бы мы были спецслужбами российскими, то мы бы заявили об опасности созданных террористами компьютерных играх. Но это уже о грустном.
Администрация браузера заявила, что новая поисковая система Brave search уже была протестирована более чем 100 тыс. пользователями в рамках закрытой альфы, а сейчас она становится доступна в составе открытой бета-версии Brave. Окончательный запуск планируется ближе к концу года.
Чем же так хорош анонсируемый Brave search?
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.
Даже вопрос "Откуда деньги, Билли?" Brave разъясняют вполне достоверно - показ конфиденциальной рекламы на базе собственной системы Brave Ads или скрытие всей рекламы за отдельную абонплату (по типу YouTube).
И вот все так хорошо складывается, что даже не верится, а внутренний параноик стучит кулаками в пепел наших сердец с криками "Подстава!". Особенно вспоминая мутную историю с анонимным поисковиком DuckDuckGo.
Просто потому, что если бы мы были западными спецслужбами, то обязательно бы запустили подконтрольный проект по созданию приватной экосистемы для пользователей (а именно это и делают сейчас Brave). Свежую историю про подконтрольную спецслужбам криптоплатформу An0m помните? Вот то-то и оно.
А вот если бы мы были спецслужбами российскими, то мы бы заявили об опасности созданных террористами компьютерных играх. Но это уже о грустном.
Twitter
BrendanEich
search.brave.com is in public beta, available to all and best in Brave, where you can pick it from alternative search engines in settings and make it default if you're game to help us get it ready to be promoted to default. Thanks.
Осенью прошлого года в Sonic Wall VPN была исправлена уязвимость CVE-2020-5135 с оценкой критичности 9,4, которая позволяла неаутентифицированному пользователю вызвать DoS и даже в теории осуществить уделанное выполнение кода (RCE). На момент закрытия в сети светилось почти 800 тысяч уязвимых хостов.
Однако, как выяснил исследователь компании Tripwire Крейг Янг, исправление уязвимости было корявым.
В результате пропатченный Sonic Wall стал вместо выпадения в осадок вследствие DoS выдавать в ответ на вредоносный HTTP-запрос поток сознания, в котором, предположительно, содержался частичный дамп памяти.
В итоге SonicWall признали свой промах, правда на доустранение новой уязвимости, получившей CVE-2021-20019 им потребовалось "всего-то" 8 месяцев. Такое себе, конечно.
Однако, как выяснил исследователь компании Tripwire Крейг Янг, исправление уязвимости было корявым.
В результате пропатченный Sonic Wall стал вместо выпадения в осадок вследствие DoS выдавать в ответ на вредоносный HTTP-запрос поток сознания, в котором, предположительно, содержался частичный дамп памяти.
В итоге SonicWall признали свой промах, правда на доустранение новой уязвимости, получившей CVE-2021-20019 им потребовалось "всего-то" 8 месяцев. Такое себе, конечно.
Tripwire
Analyzing SonicWall’s Unsuccessful Fix for CVE-2020-5135
A discussion of some aspects of the SonicWall vulnerabilities found and some general thoughts about vulnerability handling and disclosure.