Google выпустил обновление 80.0.3987.122 для Chrome, которое устраняет 3 уязвимости, в том числе 0day дырку CVE-2020-6418.

Судя по всему, CVE-2020-6418 была найдена исследователями Google Threat Analysis Group чуть ли не сегодня и ее уже кто-то успел поюзать. Подробностей товарищи из Маунтин-Вью не сообщают, чтобы "другие злоумышленники не стали его использовать", но связана уязвимость, как обычно, с движком Java Script.

Всем срочно обновлять Chrome.

https://securityaffairs.co/wordpress/98440/hacking/google-fixes-chrome-zero-day.html

​​В продолжение поста об очевидной пользе длинных смысловых паролей и, одновременно, о невозможности современных ОС проконтролировать соответствие пользовательского пароля этим требованиям.

G Data разметила материал о том, что, вопреки сложившимся в инфосеке практикам, регулярная смена паролей не только не приносит пользы, но и наоборот - наносит ущерб информационной безопасности.

Рассуждения автора выглядят вполне логично - рядовой сотрудник, вынужденный достаточно часто придумывать новый пароль, да такой, чтобы тот не совпадал со старыми, приходит к решению, которое сильно экономит его умственную энергию и не треплет нервы. Он начинает использовать пароли-симулякры формата "MyPassword", "MyPassword2", затем "MyPassword3". Что в итоге делает их уязвимыми.

И да, несменяемость пароля не означает его стойкость - эксцесс исполнителя никто не отменял.

На заметку админам и ответственным лицам, пишущим регламенты инфосека.

https://www.gdatasoftware.com/blog/2020/02/35879-changing-passwords-regularly-damages-security

А вот и причина отказа большинства крупных компаний от участия в RSA Conference - оказывается в Сан-Франциско самый большой и старый Чайнатаун (место тусовки китайской диаспоры).

Китайская столица США Сан-Франциско объявил о чрезвычайном положении в связи с коронавирусом, несмотря на отсутствие случаев заражения в городе. Reuter’s

В хранилищах NAS производства компании Zyxel обнаружилась критическая 0day уязвимость (CVE-2020-9054), которая позволяет удаленно исполнять код с root правами. Под ударом прошивка 5.21 и более ранние.

Ошибка кроется в некорректной обработке передаваемого серверу имени пользователя - в случае включения в него определенных символов злоумышленник получает возможность запуска вредоносного кода.

Об указанной уязвимости сообщил Брайан Кребс (тот самый, автор "Spam Nation"). По его информации, работающий эксплойт доступен для продажи на хакерских форумах за 20 тыс. долларов.

Zyxel оперативно выпустила обновление, но только для устройств, которые в настоящее время находятся на техподдержке. Большая часть NAS-хранилищ (NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2) останется уязвимыми.

https://securityaffairs.co/wordpress/98461/hacking/zyxel-critical-rce.html

Никогда такого не было и вот опять.

Исследователи из vpnMentor обнаружили открытый сервер с базой данных, принадлежащих спортивной сети Decathlon Spain и, скорее всего, Decathlon United Kingdom.

В открытом доступе оказались 123 миллиона записей о сотрудниках и клиентах - пароли, номера социального страхования, мобильные телефоны, адреса, электронные письма.

Decathlon Spain уверяют, что инцидент не затронул конфиденциальные данные - "Согласно анализу только 0,03% являются пользовательской информацией, а остальное - внутренние технические данные". Видимо, берут на вооружение абсолютный прием г-на Грефа - "главное по полной отморозиться".

https://www.vpnmentor.com/blog/report-decathlon-leak/

Без комментариев.

#ХроникиСвободногоМира

https://twitter.com/IdoNaor1/status/1232662620320272385

"МВД не хватает денег на борьбу с IT-преступностью, заявил Колокольцев.
...
В феврале МВД сообщило, что в структуре ведомства появились подразделения по борьбе с киберпреступлениями.
...
Новые подразделения должны быть не только укомплектованы высокопрофессиональными кадрами, но и оснащены современным высокотехнологическим оборудованием. Для чего понадобятся значительные бюджетные средства", - сказал Колокольцев на расширенной коллегии ведомства."

Это такое мимими, что слов нет.

В феврале 2020 года МВД сообщило, что в структуре ведомства появились подразделения по борьбе с киберпреступлениями. Ага, в 1992 году.

28 лет БСТМ стукнет скоро, а у них это - "новые подразделения, которые должны быть укомплектованы высокопрофессиональными кадрами".

https://ria.ru/20200226/1565232090.html

Security Affairs сообщает, что Silence Hacking Crew шантажируют австралийские банки, требуя выплатить крупные суммы в криптовалюте Monero и угрожая DDoS-атаками.

В качестве первоисточника выступает Австралийский центр кибербезопасности (ACSC), который, сообщает, что несмотря на то, что злоумышленники назвались Silence Hacking Crew, прямых подтверждений причастности именно этой группы не имеется.

А вот дальше начинается чистая фантазия. Перлуиджи Паганини, автор Security Affairs, со ссылкой на неназванных экспертов сообщает, что Silence Hacking Crew регулярно меняла название и ранее называлась Fancy Bear, Cozy Bear, а также Anonymous и Carbanak (?)

Во-первых, Silence Hacking Crew впервые была упомянута в 2018 году Group-IB, которые утверждали, что группа работает с 2016 года, вероятнее всего состоит из 2-х человек и является русскоязычной, а не российской (все-таки если Сачков не бухает и не машет пинусом, то работает его команда вполне себе профессионально).

А во-вторых, специализация Silence Hacking Crew - взломы банковских сетей и ATM, а не вымогательство с DDoS. Вполне допускаем, что хакеры могли поменять направление деятельности, но все же больше похоже на то, что кто-то прикрывается их именем.

А вот что курили Security Affairs нам и вовсе непонятно. Ведь под Fancy Bear и Cozy Bear западные отраслевые СМИ, как правило, подразумевают APT28 и APT29, якобы связанные с ГРУ и ФСБ. При чем тут Silence Hacking Crew, ломавшие, к примеру, российский ЦБ - совершенно неясно.

​​На конференции RSA в Сан-Франциско, которая таки стартовала, несмотря на опасения многих участников в отношении возможного распространения коронавируса, ESET презентовала доклад в отношении уязвимости Kr00k, которой подвержены более миллиарда устройств с Wi-Fi по всему миру.

Уязвимость CVE-2019-15126 касается шифрования WPA2 Wi-Fi чипов производства Broadcom и Cypress. Впервые она была упомянута для чипов Broadcom 5 февраля этого года.

Как обычно, после выпуска патча большинством производителей (а в их число попали Apple, Google, Samsung, Xiaomi, Asus, Huawei), подробности найденной ошибки раскрыты вчера представителями ESET.

Суть уязвимости в том, что в момент перезапуска сессии Wi-Fi (например, при слабом сигнале) ключ шифрования сессии скидывается чипом до значения "все нули", что позволяет находящемуся рядом злоумышленнику совершить успешную атаку на зашифрованные пакеты.

Поэтому рекомендуем проверить patch notes своих устройств на предмет наличия исправлений CVE-2019-15126.

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices

Голландские исследователи из компании ThreatFabric сообщили, что обнаружили новую версию банковского трояна Cerberus для устройств Android, которая научилась обходить 2FA аутентификацию.

Вредонос теперь умеет похищать одноразовые пароли OTP, сгенерированные специализированным приложением Google Authenticator. Подобные пароли используются, в частности, для подтверждения банковских транзакций в качестве альтернативы стандартным SMS кодам.

Юмор ситуации в том, что до настоящего момента OTP пароли, сгенерированные Google Authenticator, считались более надежным чем SMS коды, поскольку последние передаются с помощью сторонних сетей.

Теперь же злоумышленник способен с помощью Cerberus осуществить "от и до" поддельную банковскую транзакцию с позиции скомпрометированного Android устройства.

Единственным положительным моментом является то, что, по словам ThreatFabric, выловленный образец Cerberus является тестовым и в продаже пока не появился.

Мораль же сей басни такова - не используйте устройства на Android. Особенно для управления своими финансами.

https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

​​Только вчера мы писали про то, как западные "эксперты" без каких-либо сомнений назначают виновных в тех или иных кибератаках. Не имея при этом не только никаких объективных доказательств, но и общего понимания, что же происходит. Путая мальчиков с девочками, шкафы с табуретками, а одни APT с другими.

Мы вообще часто обращаемся к теме использования жупела киберпреступности, которым размахивают для достижения неясных политических целей.

Вместо того, чтобы совместными усилиями делать сеть безопаснее и удобнее для пользователей, государственные структуры по всему миру занимаются закручиванием гаек под предлогом борьбы с различными негативными явлениями в сети. А когда вопрос касается большой политики - в дело вступают "страшные" хакеры из Китая, Ирана или России.

При этом мы не говорим, что у нас нет киберпреступности - есть и полно. И мы про это говорим открыто. В отличие от западных отраслевиков.

Мы не за "наших" и не за "ихних". Мы - за объективность.

И вот очередная новость, свидетельствующая, что вся эта хренота носит характер системный - Евросоюз обсуждает возможные санкции в отношении России и Китая, связанные с кибератаками. Причем санкции нацелены, в том числе, и на физических лиц.

То есть виновные уже назначены. Поэтому когда кого-либо из инфосек экспертов примут в аэропорту Барселоны в силу имеющихся подозрений в причастности к чему-нибудь - удивляться будет поздно. И когда у вас заблокируют банковскую карту за то, что вы работаете в российской инфосек компании - тоже.

​​Больше месяца назад мы разбирали историю с появившейся как-будто из ниоткуда компанией Clearview AI, основанной бывшей моделью мужского пола из Австралии Hoan Ton-That.

Интересная компашка, финансируемая бывшим помощником мэра Нью-Йорка Джулиани и инвестором Palantir.

И вот неожиданная новость - по данным The Daily Beast, у Clearview AI произошла утечка, в результате которой похищены список клиентов, количество поисков, выполненных этими клиентами, и количество учетных записей, созданных каждым клиентом.

История поиска осталась нетронутой. А жаль. Вот это был бы всем сливам слив.

https://www.cnet.com/news/clearview-ai-had-entire-client-list-stolen-in-data-breach/

В связи с надвигающейся эпидемией коронавируса по сети расходятся рекомендации американского Центра Контроля Заболеваний (CDC) как надо бриться для ношения респиратора.

Эра мужественных хипстеров и заросших горцев, похоже, заканчивается. Коронавирус прийде - порядок наведе.

#коронавирус

https://pbs.twimg.com/media/ERu8_l8XsAAzt4_?format=jpg&name=medium

Португальцы из Segurança-Informática Labs изучили троян Lampion, который впервые был зафиксирован в декабре прошлого года и считается одним из наиболее грозных вредоносов, с которым когда-либо сталкивалась Португалия.

Распространяясь через поддельные письма от лица португальских Министерства финансов и Министерства энергетики, а также от имени международной почтовой компании DPD, malware крадет банковские данные пользователей.

Выяснилось, что сервера, используемые Lampion, находятся в Турции. А разработчики трояна, по мнению португальцев, родом из Бразилии.

Таким образом, член НАТО и не член НАТО кибернапали на члена НАТО. Так же теперь в Евросоюзе заведено.

Неудобно как-то получилось...

https://seguranca-informatica.pt/lampion-malware-origin-servers-geolocated-in-turkey/#.XljJC3FR2vs

​​Только вчера мы говорили об утечке данных из компании Clearview AI, предоставляющей правоохранительным органам и частным охранным компаниям продукт по распознаванию лиц.

Напомним, что были похищены список клиентов, количество поисков, выполненных этими клиентами, и количество учетных записей, созданных каждым клиентом.

Сегодня же ночью журналисты из Gizmodo раскопали на одном из серверов Amazon APK установщик мобильного приложения Clearview AI для Android.

Потестировать функционал приложения без актуальной учетной записи журналисты не смогли, однако в коде покопались и нашли там много интересного. Например, заготовки для интеграции в AR-очки или возможности делать фото для проверки по базе Clearview "на лету".

Вопрос телезрителей - а что же самое интересное?

Ответ знатоков - а самое интересное, есть ли в похищенных на днях из Clearview AI данных какая-либо информация, позволяющая определить названия учетных записей пользователей. Поскольку если это так, то, с учетом известной "сложности" паролей, которые используют представители правоохранительной среды, вскоре у кого-то в распоряжении появится полнофункциональная версия приложения.

https://gizmodo.com/we-found-clearview-ais-shady-face-recognition-app-1841961772

Ну, Лукацкий-то знает, так сказать, ситуацию изнутри.

https://twitter.com/alukatsky/status/1233216925381136389

Дорогой нашему сердцу ProtonMail (почтовый сервис, запрещенный на территории России) не забывает о нас.

Швейцарцы вводят новую функцию - управление ключами DKIM, которая в настоящее время находится в стадии бета-тестирования. Пользователям предлагается поделиться своими отзывами, чтобы помочь разработчикам ProtonMail ее улучшить.

DKIM (DomainKeys Identified Mail) - механизм верификации электронных почтовых сообщений путем добавления цифровой подписи в их заголовок (по сути - аутентификация с открытым ключом).

При этом ProtonMail поддерживает DKIM и сейчас, но новый функционал упрощает процесс смены ключа пользователем путем автоматизации удаления старого. Кроме того, поддерживается использование 2048-битного ключа вместо 1024-битного, что серьезно усиливает его стойкость.

Мы очень рады (и это не шутка), что в современном мире, где приватность и свобода в сети съеживаются как шагреневая кожа, кто-то еще заботится о нашей безопасности. Тем более когда этот кто-то - почтовый сервис, которым пользуются чуть больше чем все Telegram-каналы.

https://protonmail.com/blog/dkim-key-management/

История - достойная пера Марка Твена.

В апреле 2019 года муниципальные власти маленького американского городка Стюарт (штат Флорида, население - около 16500 человек) словили ransomware Ryuk. Вредонос зашифровал городские сервера, после чего злодеи потребовали 300 тыс. долларов в биткоинах.

Городские власти отказались платить и попробовали восстановить информацию из бекапа. Но что-то пошло не так и часть данных была утеряна. Среди них - доказательства по 28 эпизодам в отношении 6 наркоторговцев. По бороде пошли результаты сыскной работы за полтора года.

В итоге обвиняемых планируется выпустить в ближайшее время.

С такими новостями иной раз начинаешь думать, что извечная российская бюрократия, которая все документы стремится дублировать в бумажном виде, не такое уж и зло. И шутить про "127 томов уголовного дела" уже не хочется.

https://nakedsecurity.sophos.com/2020/02/28/ransomware-wipes-evidence-lets-suspected-drug-dealers-walk-free/

​​Скоро на всех пляжах мира!

#коронавирус

Когда появляются новости про выявленные уязвимости в специализированном оборудовании или ПО, то это, конечно, важно, но касается далеко не всех. Однако, графические процессоры от Nvidia стоят в большинстве домашних ПК по всему миру.

Вчера производитель видеокарт выпустил патч, устраняющий несколько уязвимостей в драйвере GPU, а также в сопутствующем ПО, имеющих высокий и средний уровни критичности.

Так, две уязвимости в драйвере видеокарты позволяют злоумышленнику из-под локального пользователя повышать свои привилегии, а также исполнять произвольный код. Дырки в сопутствующем ПО могут привести к отказу в обслуживании.

Что же, как обычно, чистая попа и своевременные обновления - залог здоровья и крепких нервов.

https://www.bleepingcomputer.com/news/security/nvidia-fixes-high-severity-flaw-in-windows-gpu-display-driver/