Кстати про Apple. Вчера вышли апдейты для операционных систем компании, и в документе о фиксах безопасности в iOS /iPadOS 15.2 я насчитал 42 CVE, и упоминание термина kernel 14 раз. Так что вы знаете, что делать :)

https://support.apple.com/en-us/HT212976

С одной стороны, хорошо, что исправляют, а с другой стороны, может, стоит меньше таких вещей допускать?

чтобы вам не казалось, что log4j — это какая-то ерунда, вот вам цитата от директора Агентства по безопасности инфраструктуры и кибербезопасности США (Cybersecurity and Infrastructure Security Agency — CISA) по поводу того, что она думает об этой уязвимости:

“is one of the most serious I’ve seen in my entire career, if not the most serious.”

https://www.cyberscoop.com/log4j-cisa-easterly-most-serious/

ладно, баги багами, фиксы фиксами, но в iOS 15.2 завезли и полезную тему — отчет конфиденциальности приложений.

вот официальный документ по поводу этой фичи (локализацию на русский еще, похоже, не завезли)

https://support.apple.com/en-us/HT212958

но смысл такой, что эта функция позволяет узнать, какие приложения ходят за вашей инфой о геолокации, кто в контакты, кто в фото, кто ходит в сеть и на какие домены обращается, и так далее. Эти отчеты доступны за последние 7 дней. Короче, полезная штука, которая позволяет пользователям узнать, кто на устройстве любит последить, а кто не любит. конфиденциальность, информация безопасносте, и тд. Хотя, уверен, любители теорий заговоров и тут придумают, как эта фича приносит выгоду Эпол.

вот хороший блогпост об этой функции
https://www.intego.com/mac-security-blog/understanding-ios-and-ipados-app-privacy-report/

А вот было очень интересно прочитать новость про NSO Group, которая, судя по всему, как это говорят в мире, "исследует стратегические опции". Собственно, в статье Bloomberg идет речь о том, что компания рассматривает возможность закрытия подразделения Pegasus и продажи всей компании.

Речь идет о том, что потенциальные инвестиционные фонды могли бы приобрести NSO Group, закрыть Pegasus, и влить деньги в превращение компании в приличного "киберзащитника".

https://www.bloomberg.com/news/articles/2021-12-13/spyware-firm-nso-mulls-shutdown-of-pegasus-unit-sale-of-company

Больше уязвимостей в log4j богу уязвимостей!

https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/

Пандемия log4j - красивые графики роста количества атак, вариантов и тд

https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

Йеееее! Правда, непонятно, это боты набежали или что (в последние несколько дней такой плотный прирост был). Тем, кто читает — спасибо! PS боты, изыдите!

так вот откуда новые читатели! Ну велкам, велкам! Баклажанов не обещаю, но скучно тоже не будет — потому что интернет в огне, и мы в огне, и всё в огне... this is fine.jpg

https://xakep.ru/2021/12/08/telegram-for-hackers/

Чтоб вам не казалось, что тут сплошные хихоньки и хахоньки, вот вам лонгрид про FORCEDENTRY - уязвимость, с помощью которой NSO Group ломала iphone еще вот буквально в 2021 году. Сама уязвимость была исправлена в сентябре этого года. Отчёт об её исследовании опубликовали Project Zero при содействии Citizen Lab и специалистов Apple Security Engineering and Architecture (SEAR).

https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

Эксплуатация уязвимости предполагала отправку сообщения жертве, но ей даже не надо было ничего делать - клик по ссылке не требовался. Там интересный момент в том, что при получении гиф-файла, еще до того, как картинка показывалась пользователю в приложении Messages, системой вызывался метод, который копировал гифку для дальнейшего показа. Только вот в файле формата gif может быть совсем не гифка. В итоге специально подготовленный файл вызывал библиотеку ImageIO, который пытался угадать формат файла, и тут уже участниками процесса становились более 20 кодеков изображений. А дальше там уже PDF внутри гифки, который начинает разбирать парсер CoreGraphics, а внутри ПДФ можно засунуть JavaScript…

но на самом деле там идёт речь о формате JBIG2, компрессии символов глифов в этом формате, переполнении буфера памяти и ещё каких-то страшных вещах, которые я в какой-то момент перестал понимать:

JBIG2 doesn't have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That's exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It's not as fast as Javascript, but it's fundamentally computationally equivalent.

Дальше авторы поста обещают продолжение с рассказом, как происходил «побег из песочницы», так что ждём

Как передают из интернетов, патчи не только исправляют уязвимости, но и добавляют новые. И где? В log4j

https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/

Ок, наконец-то полезный сайт в этом вашем интернете
https://log4jmemes.com

Хорошие новости: Facebook расширяет свою программу компенсаций за обнаружение проблем безопасности на случаи сбора — "scraping" — данных). Плохие новости заключаются в том, что, кажется, все, кто хотел, уже оттуда данные собрали.

https://engineering.fb.com/2021/12/15/security/bug-bounty-scraping/

Как когда-то с уязвимостями в процессорах, в случае с log4j пора, кажется, переходить просто на ежедневные дайджесты новостей, иначе поток будет состоять только из апдейтов на тему log4j. Ну, посмотрим. Пока что тут вот интересное: Microsoft уже показывает пальцами на определенные страны оси добра, которые активно эксплуатируют уязвимость CVE-2021-44228 наверняка с какой-нибудь полезной (для себя целью)

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

Интересно, что американская CISA в приказном порядке заставляет все государственные федеральные организации до 24 декабря устранить уязвимости. Приказы, конечно, ускорят процесс.

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

=== РЕКЛАМА ====

Как общаться анонимно в интернете?

Таких площадок всё меньше и меньше: браузер Тор под запретом и там можно вычислить пользователя,а ещё и скоро будет введена обязательная идентификация пользователей мессенджеров по телефонному номеру.

Чтобы общение было безопасным воспользуйтесь новой анонимной сетью «Utopia P2P — Web 3.0» Она построена без использования централизованного сервера для хранения данных — каждый пользователь имеет личный крипто контейнер.

1. Анонимная регистрация. Ваш IP-адрес и личность не будут раскрыты. Мгновенное шифрование текста, голосовой связи и почты.
2. Обширный функционал: мессенджер, емейл, браузер, электронный кошелёк, игры и многое другое
3. Безопасные хранение и передача. Utopia использует скоростное шифрование 256-bit AES и curve25519.

Большое сообщество фанатов экосистемы по всему миру уже оценили преимущества Утопии перед Тором. Присоединяйтесь и вы!

Скачивайте и регистрируйтесь по ссылке — https://u.is/ru

Для тех, кто хотел почитать про эксплоит NSO на русском - вынесу из комментариев

Эксплоиты, программки, которые превращают уязвимости в софте во что-нибудь полезное (для хакера, не для вас) - отдельный вид современного искусства. Не знаю с чем сравнить. Сборка кораблика в бутылке с помощью трехметровой линейки с завязанными глазами? Поездка на машине, от которой вы по ходу дела отломали тормоза, колесо, и пытаетесь ей управлять с помощью лома, резинки от трусов и набора цветных карандашей? Как-то так.

Гугл распотрошил экслоит израильской NSO https://bit.ly/3mabxOl и это замечательная конструкция. Люди посылают друг другу смешные анимированные гифки (хотел бы я рассказать какие гифки есть в нашем секретном партийном чате, но меня тут же забанят). iMessage хочет, чтобы они крутились вечно. Для этого в заголовке GIF нужно поправить флажок, и чтобы не портить файл iMessage делает его копию. Казалось бы, что могло пойти не так?

По ошибке вместо копирования вызывается рендеринг картинок. А он уже на расширения файлов не смотрит. И NSO под видом гифки подсовывает PDF. А внутри PDF-ки картинка JBIG2 - это такой доисторический формат графики для ксероксов. Чтобы файлы получались маленькими, то он режет картинку на кусочки, и если куски, например буква "а" достаточно похожи между собой, то он использует один глиф для всего, как типографскую литеру.

Из-за этого случались многие беды https://bit.ly/3scwDiQ Кодек мог к примеру подумать что цифра 6 достаточно похожа на цифру 8, и заменить ее везде на картинках, чтобы сэконосить место. Потому в формат добавили маски - разницу между "похожим" глифом и тем, что нужно воспроизвести. И эти исправления накладываются на глиф с помощью операций AND, OR, XOR и XNOR. То есть эта штука тьюринг-полная. Любое мыслимое вычисление можно провести с помощью этих операций.

Дальше NSO использовали целочисленное переполнение, чтобы выйти за границы буфера и эта часть напоминает бутылку и кораблик. В результате они получили два основных примитива чтение и запись в произвольные места памяти. Если бы они хотели взломать одну конкретную версию софта, то этого бы хватило, но они захотели все и сразу. Для этого нужно знать, что и куда записывать.

И из доисторического графического формата они собрали полноценный виртуальный микрокомпьютер из 70 000 вентилей (те самые маски).

Нужно еще раз все перечислить, чтобы оценить проделанную NSO работу. Вам приходит гифка, которая на самом деле пдфка, и ее по ошибке, не копируют, а пытаются прочитать, в ней доисторическая картинка в формате ксероксов, которая в результате целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно пропатчить, чтобы убежать из песочницы.

NSO продавали эту изящную вещицу негодяям и убийцам, но то как она сделана!..

не совсем по тематике канала — по крайней мере, напрямую точно нет — но все равно один из моих любимых сайтов в последнее время:

https://web3isgoinggreat.com

как минимум, хотя бы потому, что там постоянно появляются новости о взломах и кражах в мире крипто, DAO, NFT и прочего. В целом, весьма развлекательно это все читать.