͏Лаборатория Касперского выяснила, кто следил за пользователями в 2021–2022 годах.

Проблема прозрачности в последнее время все чаще беспокоит общественнность. Некоторые IT-гиганты начали внедрять в свои экосистемы инструменты для повышения прозрачности трекинга.

Однако практика показывает, что не всегда эти политики достаточно прозрачны, а в некоторых случаях мнение пользователя относительно отслеживания и вовсе не игнорируется, даже при отключении им соответствующих функций.

В основу аналитики легла статистика, полученная за последний год благодаря решению лаборатории Do Not Track (DNT), который предотвращает загрузку трекинговых элементов, отслеживающих действия пользователя на веб-сайтах.

Результаты позволили ресерчерам составить список из 25 трекинговых систем, которые чаще всего обнаруживались DNT.

Шесть трекинговых систем попали в TOP 25 во всех рассмотренных исследователями регионах.

По факту получается, что несколько глобальных компаний собирают данные о пользователях во всех уголках планеты.

Четыре из них принадлежат одной компании — Google. Это Google Analytics, Google AdSense, Google Marketing Platform и YouTube Analytics.

Оставшиеся две принадлежат Meta (признана в России экстремистской организацией) и компании Criteo.

Помимо трекинговых сервисов, которые были замечены по всему миру, есть не менее крупные системы, которые не везде попали в TOP 25, однако представлены в большинстве регионов. Кроме того, есть локальные гиганты, которые доминируют в отдельных регионах или странах.

Ведь чем самобытнее в языковом, экономическом и технологическом плане регион или страна, тем больше шансов, что на этом рынке представлены локальные компании, которые конкурируют с мировыми гигантами.

Крупнейшие локальные игроки, как правило, не ограничиваются рекламой и маркетингом, а в первую очередь являются поставщиками разнообразных онлайн-услуг на свой родной рынок.

Например, Kakao в Корее, Line в Японии и Яндекс в России — это не просто интернет-гиганты, а ключевые региональные сервисы по обеспечению людей всем необходимым — от электронной почты или мессенджера до доставки еды. И, конечно же, они собирают и анализируют данные пользователей с теми же целями, что и мировые гиганты.

Осознавать, что все ваши действия онлайн отслеживаются, не очень приятно.

Но, к сожалению, полностью защитить себя от трекинга невозможно, можно лишь минимизировать количество данных, которые получит та или иная компания.

ЛК в этом плане рекомендует использовать антитрекинговые плагины для браузера, такие как компонент DNT, который не позволяют отслеживать вас во время интернет-серфинга.

͏Когда противодействие ransomware пошло не так, как обещал инфосек-вендор 😂

͏Ragnar Locker целились в муниципалитет Звейндрехт Бельгии, а по факту зарансомили местное полицейское подразделение в Антверпене.

Казус возник, когда вымогатели опубликовали данные на DLS, среди которых оказались сведения в отношении принадлежности номеров автомобилей, штрафов, отчеты о преступлениях и расследованиях, информация о словниках, заявительские материалы и многое другое.

Бельгийские СМИ уже называли утечку данных одной из крупнейших, которые когда-либо затрагивали правоохранительный блок в стране. Как выяснилось, в руки хакеров попали все данные полиции Звейндрехта, начиная с 2006 по сентябрь 2022 года.

Силовики, реагируя на инцидент, заявили, что хакеры получили доступ лишь к той части сети, где полиция хранила административные данные, поэтому, в первую очередь, пострадал персонал.

Начальник полиции Марк Снелс сообщил местным СМИ, что причиной утечки данных стал человеческий фактор, по всей видимости - фишинг. Однако не стал отрицать, что данные в отношении штрафов и уголовных преследований также были скомпрометированы.

Бельгийский журналист Кеннет Ди поделился с Het Laatste Nieuws, что злоумышленники могли атаковать плохо защищенную конечную точку Citrix, взломав в итоге всю полицейскую сеть.

При этом собственное расследование Ди показало, что метаданные абонентов телекоммуникационных услуг и SMS людей, находящихся под тайным полицейским расследованием также попали в руки хакеров.

Кроме того, просочившиеся файлы содержат кадры с дорожных камер, раскрывая геолокаций жителей в определенные даты и время.

Прокуратура Звейндрехта возбудила уголовное дело и приступила к расследованию, что никак не мешает хакерам продолжать сливать данные.

Разгорается новый скандал, связанный с проблемами конфиденциальности и безопасности в Apple.

Пользователи жалуются на странную ошибку, в результате которой они видят фотографии других людей в своей онлайн-библиотеке при доступе к ней через iCloud для Windows.

Изначально все началось с разрозненных сообщений клиентов Apple на MacRumours, которые впоследствии превратились в общую истерию по поводу конфиденциальности.

Все больше людей навали сообщать об одних и тех же проблемах. Причем жалобы в основном исходят от пользователей последних моделей iPhone 13 Pro и 14 Pro.

В одном из ситуаций пользователь заметил посторонние кадры в собственном видео. В другом случае iCloud для Windows искажает видео, записанные на iPhone 14 pro max, что приводит к появлению черных видео с линиями сканирования.

В целом пользователи жаловались на то, что проблемы появляются только при использовании приложения iCloud для Windows для просмотра библиотеки в Windows 10 или 11. Кроме того, похоже, требуется активация параметров HDR и HEVC, что указывает на проблему рендеринга.

Согласно отчету TechRadar, многие люди уже уведомили компанию. Однако до сих пор неясно, что происходит, все указывает на проблему на стороне серверов Apple.

Компания же еще сама не разобралась в ситуации, проблема не подтверждена официально.

После скандального и рекордного приобретения Илона Маска социальная сеть Twitter стала чем-то большим, чем просто социальной сетью.

После последних историй, окутанных интригами, разборками и одиозными заявлениями своего владельца, Twitter, стал серьезным объектом политических и экономических манипуляций.

Более 5,4 миллионов пользовательских записей Twitter, содержащих закрытую информацию, украденную с помощью уязвимости API, исправленной еще в январе, были бесплатно обнародованы на хакерской площадке.

Как известно, уязвимость позволяла без какой-либо аутентификации получать твиттер-идентификатор (что почти равносильно получению имени пользователя учетной записи) любого пользователя, отправив номер телефона или адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности.

Ошибка была связана с авторизацией на Android-клиенте, в частности, в процессе проверки дублирования учетной записи Twitter.

Багу пофиксили, стороннего исследователя поощрили, но тем не менее данные были раскрыты, так как выяснилось, что одна и та же уязвимость в системе безопасности использовалась несколькими злоумышленниками.

В итоге база была выставлена на продажу в даркнете несколькими селлерами и включала пользовательские аккаунты жителей стран ЕС и США.

Настораживает другое: 5,4 миллиона записей реализуются бесплатно, а с помощью той же уязвимости мог быть создан еще более объемый дамп с десятками миллионов записей с в привязке личным номерам телефонов их владельцев.

По крайней мере, об этом утверждает Чад Лодер, который якобы получил доказательства массовой утечки данных и вскоре после публикации был отстранен от работы. Впоследствии Лодер опубликовал отредактированный образец ранее неизвестного дампа с 1.3 млн. номеров пользователей Франции Mastodon.

Причем ни один из этих номеров не присутствует в исходных данных, проданных в августе, что дает понять, насколько масштабная тогда была утечка и непонятно какой объем, до сих пор циркулирует среди злоумышленников.

Владелец утечки не известен, впрочем как и ее масштаб, но по слухам она может включать до 17 миллионов записей.

Правда, если учесть, что все сенсации стали резко всплывать после прихода Илона Маска - то все слухи могут оказаться лишь частью кампаний по дискредитации Twitter.

Несколько уязвимостей в Cisco Identity Services Engine (ISE) могут позволить удаленным злоумышленникам вводить произвольные команды, обходить существующие средства защиты или выполнять XSS-атаки.

Система управления доступом к сети NAC на основе идентификации и применения политик Cisco ISE позволяет администраторам контролировать доступ к конечным точкам и управлять сетевыми устройствами.

Обнаружено в общей сложности четыре уязвимости, для использования всех из которых злоумышленник должен быть действительным и авторизованным пользователем системы ISE.

Наиболее серьезной из них является CVE-2022-20964 высокой степени серьезности - ошибка внедрения команд в функцию tcpdump веб-интерфейса управления ISE.

Злоумышленник с привилегиями, достаточными для доступа к функции tcpdump, может воспользоваться этой уязвимостью, манипулируя запросами к веб-интерфейсу управления. Успешное использование позволит выполнять произвольные команды в базовой операционной системе.

В сочетании с другими недостатками ошибка может позволить злоумышленнику повысить привилегии до root и потенциально захватить уязвимую систему.

По словам обнаружившего уязвимости исследователя Yoroi Давиде Виррусо, соединяя CVE-2022-20964 с CVE-2022-20959, уязвимостью XSS в ISE, которую компания исправила в октябре, злоумышленник может легко получить удаленную корневую оболочку в уязвимой системе. Жертве достаточно одного клика по ссылке.

Другая CVE-2022-20965 описывается как обход доступа в веб-интерфейсе управления. Проблема с контролем доступа расширяет поверхность атаки связанных эксплойтов, подвергая многих пользователей атакам.

Используя эту уязвимость, аутентифицированный удаленный злоумышленник может выполнять загрузку файлов, сгенерированных функцией, что приводит к раскрытию информации.

Остальные дефекты безопасности — CVE-2022-20966 и CVE-2022-20967 — могут привести к XSS-атакам. Две уязвимости затрагивают функции tcpdump и External RADIUS Server соответственно.

Злоумышленник, использующий эти уязвимости, может сохранить вредоносный HTML-код или код скрипта в интерфейсе приложения и использовать этот код для XSS-атак.

Cisco сообщает, что исправления запланированы на первый квартал 2023 года в виде выпусков Cisco ISE 3.1p6 и 3.2p1, призывая клиентов обращаться за горячими исправлениями.

По словам исследователей, PoC, нацеленный на эти уязвимости, будет опубликован в следующем году после выпуска исправления, о чем Cisco также предупреждает своем бюллетене.

Шпионский скандал в Греции обрастает новыми техническими подробностями.

Репортеры греческого новостного агентства DocumentNews заявили, что идентифицировали сервер, который использовался для заражения телефонов греческих правительственных чиновников и журналистов шпионским ПО Predator.

В целом, обнаружили 498 одинаковых URL-адресов, общий сервер, общий IP-адрес и общее наименование - edolio5[.]com.

Таким образом, журналисты смогли связать атаки на Коукакиса, Карипида и попытку заражения самой известной жертвы - главы оппозиционной левоцентристской партии "Всегреческое социалистическое движение" и депутата Европарламента Никоса Андрулакиса.

Несмотря на то, что список жертв шпионской кампании в стране становится все длиннее, предполагаемый заказчик - премьер-министр Греции Кириакос Мицотакис, в интервью журналистам в очередной раз отверг обвинения в своей причастности к скандалу.

Тем не менее, в отставку уже подал Григорис Димитриадис, его генеральный секретарь, который осуществлял политический надзор за национальной разведывательной службой EYP, а также ее глава - Панагиотис Контолеон.

Учитывая, что непосредственно перед тем, как возглавить EYP, он являлся кадровым сотрудником МИ-6 и занимал должность главы греческого филиала британской частной охранной компании, то заказчика в первую очередь - следует поискать за пределами страны.

🔖 Заметки Blue Team.

Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.

🖖🏻 Приветствую тебя user_name.

• Красная и Синяя команды полностью противоположны друг другу с тактической и поведенческой точки зрения, но именно благодаря этим различиям вместе они образуют здоровое и эффективное целое. Красные атакуют, Синие обороняются, но основная цель у них общая: улучшить показатели безопасности в организации!

• По ссылке ниже ты найдешь отличный репо с полезными заметками для Синей команды. Огромное кол-во информации для изучения, которое будет полезно как новичкам, так и профессионалам: https://github.com/Purp1eW0lf/Blue-Team-Notes

@S.E. #Blue_Team

Acer устранила серьезную уязвимость UEFI, затрагивающую несколько моделей ноутбуков с чипом Trusted Platform Module (TPM), которая могла позволить локальным злоумышленникам деактивировать Secure Boot на целевых системах.

Исследователь ESET Мартин Смолар сообщил, что уязвимость CVE-2022-4020 была обнаружена в драйвере HQSwSmiDxe DXE на некоторых потребительских ноутбуках Acer.

Злоумышленники с высокими привилегиями могут злоупотреблять ошибкой в атаках низкой сложности, которые не требуют вмешательства пользователя для изменения параметров UEFI.

Она позволяет изменить параметры безопасной загрузки путем создания переменных NVRAM (фактическое значение переменной не важно, только наличие проверяется драйверами затронутой прошивки).

Воспользовавшись уязвимостью и отключив безопасную загрузку на уязвимых ноутбуках Acer, злоумышленники могут перехватить процесс загрузки ОС и загрузить неподписанные загрузчики для обхода или отключения средств защиты, а также развертывания вредоносных полезных нагрузок с системными привилегиями.

В числе уязвимых моделей Acer Aspire A315-22, A115-21, A315-22G, Extensa EX215-21 и EX215-21G.

Acer рекомендует обновить BIOS до последней версии, ожидается критическое обновление Windows. В качестве альтернативы клиенты могут установить его вручную на уязвимых системах.

Lenovo, к слову, также исправила аналогичные ошибки UEFI Secure Boot, обнаруженные ESET в моделях ноутбуков ThinkBook, IdeaPad и Yoga, ранее в этом месяце.

В случае Lenovo проблема была вызвана тем, что разработчики включили драйвер ранней разработки в производственные драйверы, которые могли изменить параметры безопасной загрузки из ОС.

Иран и Израиль продолжают кибердуэль.

На этот раз инцидент затронул ведущее иранское информационное агентство Fars News, медийный актив Корпуса стражей исламской революции.

Ответственность за атаку на серверы Fars взяла группа активистов Black Reward.

В результате на сайте агентства появились информационные сообщения в поддержку антиправительственных митингов, которые в последние дни сотрясают Иран.

Fars News и иранские правительственные чиновники подтвердили взлом и возложили ответственность за инцидент на Израиль и ряд других зарубежных государств.

Вероятно, произошедший инцидент мог стать ответной атакой после того, как на прошлой неделе Израиль также заявил о причастности Moses Staff к взлому израильской компании, краже и публикации кадров взрывов, которые произошли на автобусных остановках в Иерусалиме, став новостной сенсацией.

Полагаем, что ответка не заставит себя долго ждать. Но будем посмотреть, конечно.

Обещать - не значит жениться. Защищать - не значит обеспечивать.

Вероятно, таким лозунгом руководствовалась нидерландская компания-разработчик программного обеспечения ENC Security, которая как выяснилось, с мая 2021 года допустила слив важных бизнес-данных.

В чем собственно соль. Когда вы покупаете USB-ключ Sony, Lexar или Sandisk или любое другое устройство хранения, оно как правило поставляется с решением для шифрования и обеспечения безопасности ваших данных.

Так вот, нидерландский поставщик с 12 миллионами пользователей по всему миру предлагает такое решение для «защиты данных военного уровня» с помощью своего популярного программного обеспечения для шифрования DataVault, собственно, чьи файлы конфигурации и сертификаты утекли.

О проблеме сообщили исследователи Cybernews, которые обнаружили просочившиеся данные и забили тревогу, так как такой кладезь - золотая жила для злоумышленников.

Всему виной была неправильная конфигурация стороннего поставщика данные которого хранились внутри уязвимого сервера с учетными данными Simple Mail Transfer Protocol (SMTP) для каналов продаж, ключей Adyen для платежной платформы, ключей API Mailchimp для почтового маркетинга, лицензионные ключи API платежей, коды аутентификации сообщений HMAC, а также открытые и закрытые ключи, хранящиеся в формат .pem.

Данные были доступны с 27 мая 2021 года по 9 ноября 2022 года.

Сервер был закрыт после того, как Cybernews сообщил об уязвимости в ENC Security, но по словам экспертов, доступность данных вызывает серьезное беспокойство, поскольку злоумышленники могли и могут использовать вышеупомянутые данные для различных кибератак — от фишинга и махинаций с подделкой счетов-фактур до атак с ransomware.

В ENC Security заявили, что оперативно предприняли необходимые меры после анализа проблемы и уязвимость, связанная с неправильной настройкой сторонним поставщиком, была устранена, однако имел ли доступ к этому сливу кто-то, кроме Cybernews доподлинно неизвестно.

Mandiant сообщает об обнаружении кампании кибершпионажа, в которой используются USB-устройства в качестве исходного вектора заражения.

Актор сосредоточен на Филиппинах и отслеживается ресерчерами как UNC4191, которого они связывают с КНР. Сама кампания потенциально продолась до сентября 2021 года. 

Операции UNC4191 затронули ряд организаций государственного и частного секторов, в первую очередь в Юго-Восточной Азии, а также в США и Европе, чьи целевые системы оказывались физически расположенными на Филиппинах.

После первоначального заражения через USB-устройства злоумышленник использовал легально подписанные двоичные файлы для загрузки вредоносных программ, включая три новых штамма: MISTCLOAK, DARKDEW и BLUEHAZE, которые отражают фазы общего цикла заражения в рамках этой кампании.

Цепочка заражения начинается, когда пользователь подключает скомпрометированное съемное устройство и вручную запускает переименованный подписанный двоичный файл из корневого каталога тома хранилища.

Исходные двоичные файлы с именами Removable Drive.exe или USB Drive.exe представляют собой версии законно подписанного приложения под названием USB Network Gate, разработанного компанией Electronic Team, Inc. Они используются для боковой загрузки вредоносного ПО MISTCLOAK, которое выдает себя за DLL

MISTCLOAK — это программа запуска, написанная на C++, которая выполняет зашифрованную исполняемую полезную нагрузку, хранящуюся в файле на диске, являясь по факту средством запуска зашифрованного файла usb.ini.

Файл usb.ini содержит зашифрованную полезную нагрузку DLL под названием DARKDEW, дроппер, написанный на C++ и способный заражать съемные носители, реализуя метод саморепликации и передачи файлов.

На последнем этапе задействуется BLUEHAZE, программа запуска, написанная на C/C++, которая запускает копию сетевой утилиты NCAT (написана для Nmap для выполнения широкого спектра задач по обеспечению безопасности и администрированию) для создания оболочки, обратной жестко запрограммированному управлению и управлению (C2), что обеспечивает злоумышленнику бэкдор-доступ.

Таким образом, вредоносное ПО самореплицируется, заражая новые съемные диски, подключенные к скомпрометированной системе, что позволяет вредоносной нагрузке распространяться на дополнительные системы и, возможно, собирать данные из систем с воздушным зазором.

Индикаторы компрометации и YARA представлены в отчете исследователей.

Исследователи Cyble сообщают о таргетировании брокеров начального доступа (IAB) на недавно исправленную критическую уязвимость в продуктах Fortinet.

CVE-2022-40684 затрагивает продукты FortiOS, FortiProxy и FortiSwitchManager и была публично раскрыта в начале октября, когда она уже активно эксплуатировалась в реальных атак.

Проблема заключается в обходе аутентификации, позволяющем удаленному злоумышленнику использовать специально созданные запросы HTTP или HTTPS для выполнения несанкционированных операций в административном интерфейсе уязвимого устройства.

Бага открывает злоумышленнику доступ администратора к SSH на целевом устройстве, позволяя обновить или добавить действительный открытый ключ SSH на устройство и получить полный контроль над ним.

По данным Cyble, в сети доступно более 100 000 брандмауэров FortiGate, при этом любой непропалченный из них вполне может стать целью для хакеров.

Более того, ресерчеры уже обнаружили реализацию доступа к сетям , которые, по всей видимости, были скомпрометированы с помощью CVE-2022-40684.

Один из злоумышленников распрострал множественный доступ к Fortinet VPN в даркнете.

По данным Cyble, атаки на Fortinet продолжаются с 17 октября.

Сам Fortinet в середине прошлого месяца также предупреждал клиентов с растущим числом атак, нацеленных на CVE-2022-40684, а также о публикации для уязвимости соответствующего PoC.

А ресерчеры Greynoise на пару с CISA предупреждают о активизировавшихся с сентября атак с использованием критической уязвимости Oracle Fusion Middleware, которая была исправлена в январе 2022 года.

CVE-2021-35587 в компоненте OpenSSO Agent затрагивает Oracle Access Manager, который предоставляет решение для единого входа (SSO) Oracle Fusion Middleware.

Она позволяет злоумышленнику, не прошедшему проверку подлинности, с сетевым доступом через HTTP получить контроль над ним.

По словам вьетнамских исследователей Jang (VNPT) и Peterjson (VNG Corporation), обнаруживших ошибку, уязвимый продукт используется многими крупными организациями, такими как VMware, Huawei и Qualcomm.

Эксплойты PoC также стали доступны в течение нескольких месяцев, поэтому неудивительно, что злоумышленники предпринимают попытки эксплуатации CVE-2021-35587, которые зафиксировали исследователи Greynoise.

Канадец Эндрю Копп из Эдмонтона обнаружил ошибку в системе безопасности Brinks Home Security для частных домов, которая позволила получить доступ к личной информации других клиентов.

Все произошло после того, как он установил в своем доме экосистему Brinks.

В начале 2022 года, пытаясь устранить проблему с некоторыми дверными датчиками, смог войти в свою онлайн-учетную запись Brinks Home Security, где запечатлел информацию о более чем сотне других клиентов.

Информация, которую Koпп смог просмотреть о других клиентах, включала: имена, адреса, экстренные контакты, номера мобильных телефонов, историю платежей и подробные сведения о продуктах Brinks Home Security в их домах.

Канадец был потрясен и немедленно сообщил о проблеме производителю, полагая, что бага будет оперативно устранена.

Однако, как сообщил CBC, проблема продолжала свое существование и по состоянию на апрель 2022 года.

После чего Копп снова уведомил Brinks о проблеме, и еще однажды в июле 2022 года, но ему даже не перезвонили из службы поддержки клиентов.

Лишь обратившись в СМИ, канадцу удалось склонить Brinks к признанию ошибки.

Правда и тут, производитель сослался на то, что менее 0,01% общей клиентской базы Brinks Home имели возможность просматривать контактную информацию небольшого подмножества других клиентов.

Brinks также отметил, что характер видимых данных не требует уведомления клиента, а всю вину за задержку с подтверждением ошибки компания возложила на нерадивого сотрудника.

При этом Копп был единственным клиентом, по заполнению компании, который имел доступ к информации других клиентов.

При таком подходе и вообще могли бы за неправомерный доступ привлечь.

Технологические скачки Индустрии 4.0 позволили массово создавать сложные продукты с высокой точностью и скоростью, сделав производственное оборудование более эффективным, но одновременно поставив производителей под прицел киберпреступников.

Ресерчеры Trend Micro представили результаты исследования, посвященное рискам, с которыми сталкиваются станки с числовым программным управлением ЧПУ по мере их интеграции в современные и объединенные в сеть производства.

Для исследования были выбраны поставщики, которые распределены географически и секторально, присутствуют на рынке на протяжении не менее десятилетия и с общим годовым доходом не менее миллиарда долларов США.

Исследование включало четырех репрезентативных поставщиков с технологическими разработками, соответствующими парадигме Индустрии 4.0, а также проведение практические атаки на реальные установки.

Потенциальные угрозы, которым подвергается промышленное оборудование с ЧПУ, основной элемент производственных цехов, по мнению ресерчеров, охватывают ряд основных сценариев атак, в том числе:

- атаки, которые могут нанести ущерб: связаны с изменением состояния или параметров внутренней конфигурации станка с ЧПУ;
- атаки отказа в обслуживании: вызывает производственный саботаж посредством вмешательства в функциональные возможности и систему управления станка с ЧПУ;
- угон: манипуляция параметрами компенсации инструмента или логикой параметрических программ для внесения микродефектов;
- кража данных: злоупотребление незащищенными сетевыми протоколами и функциями для кражи конфиденциального программного кода или конфиденциальной производственной информации.

В исследовательском документе представлен обширный технический анализ новых угроз, от которых производителям, возможно, придется защищать свои станки с ЧПУ.

Кроме того, компания выпустила серию видео из пяти частей под названием Индустрия 4.0 под угрозой, в которых исследователи подробно рассмотрели угрозы безопасности для станков с ЧПУ, связанные с внедрением преобразующих технологий.

Для защиты систем с ЧПУ от атак, ресерчеры рекомендуют производственным компаниям:

- использовать контекстно-зависимые промышленные системы предотвращения и обнаружения вторжений IPS/IDS для отслеживания аномалий трафика в режиме реального времени;
- сегментировать сети;
- осуществлять правильное управление исправлениями и обновлениями.

Подробности и результаты первой (из трех) части исследования представлены здесь

Итак, завершается ноябрь, а значит завтра 1 декабря 2022 года. А следовательно с завтрашнего дня мы не сможем писать про некоторые вещи, связанные с информационной безопасностью.

4 ноября был подписан Приказ ФСБ России № 547 "Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации". Приказ расширил аналогичный, принятый в сентябре 2021 года.

В принципе, в новом приказе ФСБ в части инфосека изменился лишь один пункт касающийся информационной безопасности - номер 31, но изменился значительно. Что же нового появилось?

В пункте 31 нарисовались понятия "объектов КИИ", а также "результаты анализа защищенности и реагирования на компьютерные инциденты". Что это означает для нас, как для инфосек канала?

Во-первых, объектов, подпадающих под категории КИИ по России - до ебени матери, серьезно. Во-вторых, запросто допускаем, что наше экспертное мнение о каких-либо проблемах в области ИБ можно запросто записать в "результаты анализа защищенности и реагирования на компьютерные инциденты". Ну а что, вывод сделали? - значит анализ!

(если кто-то сомневается, то вспомните как инженера благовещенского Ростелекома осудили по ст. 274.1 за то, что он переслал файл с адресами БС на свой ящик Gmail, а значит передал информацию иностранным спецслужбам (sic!); есть и более свежий пример с приватным мессенджером)

К примеру, нельзя теперь будет писать, что все российские сегменты SS7 aka сигнальная система дырявые как решето, потому что они принадлежат российским операторам сотовой связи, а те, в свою очередь, являются объектами КИИ. Или про компьютерные атаки иностранных APT на российские госкомпании, те тоже сплошь КИИ. Да и про инфосек Яндекса с VK теперь не напишешь.

Если кто-то думает, что этот приказ касается только внутренней кухни ФСБ, то спешим огорчить. Наш штатный эксперт-параноик Калерия Петровна, знаток тайных заговоров спецслужб, авторитетно утверждает, что данный приказ может служить обоснованием "оказания консультационной или иной помощи иностранному государству, направленной против безопасности Российской Федерации". Или, другими словами, законченного состава преступления по ст. 275 УК РФ "Госизмена".

Как-то так. Теперь будет как в старом анекдоте - "Жопа есть, а слова нету". Одно можем говорить совершенно точно - информационная безопасность в России от этого лучше не станет.

Исследователи раскрыли подробности о новых уязвимостях безопасности, затрагивающих продукты операционных технологий (OT) от CODESYS и Festo, которые могут привести к подделке исходного кода и отказу в обслуживании (DoS).

О проблемах, коих вагон и маленькая тележка, рассказали специалисты Forescout Vedere Labs, причем с львиной долей критики в адрес поставщиков.

Эксперты заявили, что эти проблемы иллюстрируют либо небезопасный подход к проектированию продуктов, когда производители включают опасные функции, доступ к которым можно получить без аутентификации, либо некачественную реализацию средств криптографии и контроля безопасности.

Наиболее критической из уязвимостей является CVE-2022-3270 (оценка CVSS: 9,8), которая затрагивает контроллеры автоматизации Festo, использующие протокол Festo Generic Multicast (FGMC) для перезагрузки устройств без какой-либо аутентификации, что позволяет вызывать отказ в обслуживании.

Другой недостаток DoS также касается контроллеров Festo (CVE-2022-3079, оценка CVSS: 7,5) и связан со возможностью неавторизованного удаленного доступа к недокументированной веб-странице («cec-reboot.php»), которая может быть использована злоумышленником для доступа к ПЛК Festo CPX-CEC-C1 и CPX-CMXX через сеть.

Третья проблема безопасности связана с использованием слабой криптографии в среде выполнения CODESYS V3 для защиты кода загрузки и загрузки приложений.

Ошибка получила идентификатор CVE-2022-4048 и оценку CVSS: 7,7 и позволяет потенциальному злоумышленнику расшифровывать и манипулировать исходным кодом, тем самым подрывая защиту конфиденциальности и целостности.

Forescout заявила, что также обнаружила две ошибки CODESYS, влияющие на контроллеры Festo CPX-CEC-C1 (CVE-2022-31806 и CVE-2022-22515), которые связаны с небезопасной конфигурацией в среде выполнения Control, что также может привести к отказу.

Дабы уменьшить потенциальные угрозы, организациям рекомендуется провести инвентаризацию уязвимых устройств и настроить соответствующие правила управления и сегментации сети, а также отслеживать сетевой трафик на предмет аномальной активности.

Google объявила о выпуске Chrome 108 в стабильном канале с исправлениями 28 уязвимостей, в том числе 22, о которых сообщили внешние исследователи.

Из внешних дефектов безопасности восемь относятся к проблемам высокой степени серьезности, а 14 — к проблемам средней серьезности.

Самая серьезная из этих ошибок — это CVE-2022-4174, проблема путаницы типов в движке JavaScript V8 веб-браузера, которую обнаружил исследователь Чжэнхан Сяо, получивший за нее вознаграждение в размере 15 000 долларов.

Всего же Google выплатил более 70 000 долларов в качестве вознаграждений исследователям, сообщившим об ошибках.

Все остальные уязвимости высокой степени серьезности — это ошибки безопасности памяти, в том числе одна проблема с записью за пределами памяти и шесть проблем с использованием после освобождения.

При том, что Google работает над улучшением безопасности памяти в Chrome уже больше года, в том числе путем перехода с C++ на компилятор Rust.

В Lacros Graphics была обнаружена запись за пределами границ, в то время как недостатки использования после освобождения влияют на такие компоненты, как Camera Capture, Extensions Mojo, Audio и Forms.

14 уязвимостей средней степени серьезности включают недостаточные проблемы с применением политик, недостаточную проверку ненадежных ошибок ввода, неуместные ошибки реализации и дефекты использования после освобождения.

Google не упоминает об использовании каких-либо из этих уязвимостей в атаках.

Последняя Chrome теперь доступна как версия 108.0.5359.71 для Mac и Linux и как версия 108.0.5359.71/72 для Windows.