Информация опасносте
Написал в твиторе тред про мой опыт с условно «электронным» тестом на Ковид и как производители пользуются каждой возможностью, чтобы собрать персональные данные https://twitter.com/alexmak/status/1473267841461891082?s=21
Кто там хотел про сниффинг траффика теста на Ковид? Интересное совпадение, но тут мне прислали ссылку на отчёт об уязвимости именно этого теста, с подменой результатов. Красота какая. Актуально для андроида, но там нетривиально все. Производитель уже выпустил патч для приложения.
https://labs.f-secure.com/blog/faking-a-positive-covid-test
https://labs.f-secure.com/blog/faking-a-positive-covid-test
😱2
=== РЕКЛАМА ====
Матрица MITRE ATT&CK на русском языке
Слышали о MITRE ATT&CK? По данным Positive Technologies, 67% специалистов по ИБ в России уже используют или планируют начать ее использовать для мониторинга атак и реагирования на них.
Команда Positive Technologies перевела матрицу ATT&CK на русский язык и опубликовала в интерактивном формате.
В адаптированной версии вы сможете увидеть, какие угрозы из международной базы знаний может выявить система анализа трафика PT Network Attack Discovery, и узнать, как она это делает.
Посмотреть матрицу
Матрица MITRE ATT&CK на русском языке
Слышали о MITRE ATT&CK? По данным Positive Technologies, 67% специалистов по ИБ в России уже используют или планируют начать ее использовать для мониторинга атак и реагирования на них.
Команда Positive Technologies перевела матрицу ATT&CK на русский язык и опубликовала в интерактивном формате.
В адаптированной версии вы сможете увидеть, какие угрозы из международной базы знаний может выявить система анализа трафика PT Network Attack Discovery, и узнать, как она это делает.
Посмотреть матрицу
Но есть и хорошие новости: поисковик DDG ставит рекорды
https://www.ghacks.net/2021/12/27/search-engine-duckduckgo-had-another-record-year-in-2021/
https://www.ghacks.net/2021/12/27/search-engine-duckduckgo-had-another-record-year-in-2021/
ghacks.net
Search Engine DuckDuckGo had another record year in 2021
Privacy-focused search engine DuckDuckGo had another record year in 2021, reaching more than 34,5 billion search queries in the year.
Ладно, поскольку мне продолжают присылать инфу о «взломе» госуслуг, то вот.
По ссылке опубликовали информацию, анонсированную как исходный код портала «Госуслуги»
https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html
На самом деле речь идет об утечке исходного кода «Госуслуг» Пензенской области - исходники находились в неправильно сконфигурированном репозитории.
https://www.kommersant.ru/doc/5153297
Утверждается, что пользовательские данные в результате этой утечки (которая содержала и ключи от сертификатов) не затронуты.
По ссылке опубликовали информацию, анонсированную как исходный код портала «Госуслуги»
https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html
На самом деле речь идет об утечке исходного кода «Госуслуг» Пензенской области - исходники находились в неправильно сконфигурированном репозитории.
https://www.kommersant.ru/doc/5153297
Утверждается, что пользовательские данные в результате этой утечки (которая содержала и ключи от сертификатов) не затронуты.
Чтото странные происходит с LastPass - популярным менеджером паролей. Сначала на прошлой неделе появились посты от пользователей о странных несанкционированных логинах (заблокированных сервисом) из Бразилии
https://news.ycombinator.com/item?id=29705957
Сама компания утверждает, что это все боты, в том числе и логины с уже украденными парами логин-пароль:
Nikolett Bacso-Albaum, the senior director of LogMeIn Global PR told The Verge that the alerts users received were related “to fairly common bot-related activity,” involving malicious attempts to log in to LastPass accounts using email addresses and passwords that bad actors sourced from past breaches of third-party services (i.e. not LastPass).
Но самый правильный вывод: срочно настроить 2ФА, если ещё не
https://www.lastpass.com/products/multifactor-authentication
https://news.ycombinator.com/item?id=29705957
Сама компания утверждает, что это все боты, в том числе и логины с уже украденными парами логин-пароль:
Nikolett Bacso-Albaum, the senior director of LogMeIn Global PR told The Verge that the alerts users received were related “to fairly common bot-related activity,” involving malicious attempts to log in to LastPass accounts using email addresses and passwords that bad actors sourced from past breaches of third-party services (i.e. not LastPass).
Но самый правильный вывод: срочно настроить 2ФА, если ещё не
https://www.lastpass.com/products/multifactor-authentication
Lastpass
Multifactor Authentication (Adaptive MFA) - LastPass
Multifactor authentication secured with biometric and contextual factors goes beyond what two-factor authentication can offer. Try free for a month.
LastPass подтвердил, что имело место исключительно credentials stuffing, и что никакого взлома не было:
Update, 12/29/21 8:07 am Eastern: LastPass further investigated the issue and found that the alerts were sent in error. Dan DeMichele, VP of Product Management, LastPass, issued an update statement regarding the issue:
As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.”
Update, 12/29/21 8:07 am Eastern: LastPass further investigated the issue and found that the alerts were sent in error. Dan DeMichele, VP of Product Management, LastPass, issued an update statement regarding the issue:
As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.”
Ох (спасибо читателю за ссылку)
tl;dr доступ к шлагбаумам, в том числе управление ими, а также к персональным данным жильцов, которые пользуются этими шлагбаумами, ну и прочая вакханалия
https://habr.com/ru/company/postuf/blog/596293/
tl;dr доступ к шлагбаумам, в том числе управление ими, а также к персональным данным жильцов, которые пользуются этими шлагбаумами, ну и прочая вакханалия
https://habr.com/ru/company/postuf/blog/596293/
Хабр
Как открыть 1500 шлагбаумов Москвы
Случилось как-то, что рядом с офисом Postuf жильцы соседнего дома поставили себе шлагбаум. С парковкой в центре Москвы и так проблемы, а если еще и офисное здание неподалеку...в общем, жильцов можно...
Я бы и сказал, что информация опасносте в данном случае, но уже все пропало. университет Киото потерял 77ТБ различных исследовательских данных. И прежде чем вы скажете «ну есть же наверняка бэкапы», я скажу, что потеря произошла как раз из-за ошибки системы резервного копирования :( 34 миллиона файлов 14 исследовательских групп - все пропало из-за ошибки в бэкапе суперкомпьютера Hewlett-Packard.
Анонс университета (на японском)
http://www.iimc.kyoto-u.ac.jp/ja/whatsnew/trouble/detail/211216056978.html
Результаты расследования (тоже на японском)
https://www.iimc.kyoto-u.ac.jp/ja/whatsnew/information/detail/211228056999.html
И новость на английском
https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/
Анонс университета (на японском)
http://www.iimc.kyoto-u.ac.jp/ja/whatsnew/trouble/detail/211216056978.html
Результаты расследования (тоже на японском)
https://www.iimc.kyoto-u.ac.jp/ja/whatsnew/information/detail/211228056999.html
И новость на английском
https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/
www.iimc.kyoto-u.ac.jp
【スパコン】ストレージのデータ消失について | 障害情報 | 京都大学情報環境機構
スーパーコンピューティングサービス利用者各位 本日、ストレージシステムのバックアッププログラムの不具合により、/LARGE0 の
Всех подписчиков с Новым годом! Всем новых уязвимостей, взломов, утечек и … ой, подождите, кажется, не то. Ну, короче, чтобы всё!
Ну начнём, пожалуй.
Для старта небольшой лол, что уж там - для перевода сообщений в Телеграм на Андроид сообщения отправляются в Google Translate, что уже само по себе несколько спорно с точки зрения конфиденциальности: во-первых, пользователь об этом ничего не знает (поправка - знает), во-вторых, переводы могут содержать конфиденциальные данные, в-третьих, непонятно, что из этого и как идентифицируется гуглом в процессе. Отдельно доставляет тот факт, что Телеграм делает это все полуофициальным методом, для того, чтобы избежать оплаты за использование API (мессенджер прикидывается разными браузерами, и тд). Пост Дурова о «Что лучше, перевод личных сообщений в Гугле или полная блокировка Телеграм в России?» через 3… 2… 1…
https://danpetrov.xyz/programming/2021/12/30/telegram-google-translate.html
Для старта небольшой лол, что уж там - для перевода сообщений в Телеграм на Андроид сообщения отправляются в Google Translate, что уже само по себе несколько спорно с точки зрения конфиденциальности: во-первых, пользователь об этом ничего не знает (поправка - знает), во-вторых, переводы могут содержать конфиденциальные данные, в-третьих, непонятно, что из этого и как идентифицируется гуглом в процессе. Отдельно доставляет тот факт, что Телеграм делает это все полуофициальным методом, для того, чтобы избежать оплаты за использование API (мессенджер прикидывается разными браузерами, и тд). Пост Дурова о «Что лучше, перевод личных сообщений в Гугле или полная блокировка Телеграм в России?» через 3… 2… 1…
https://danpetrov.xyz/programming/2021/12/30/telegram-google-translate.html
Не могу уже с этих жуликов с их обезьянами
According to reports, roughly $2.2 million worth of Bored Ape Yacht Club (BAYC) and Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFTs) were stolen from a collector. The owner of the NFTs Todd Kramer said the incident was “arguably the worst night” of his life. Furthermore, there’s claims that the NFT marketplace Opensea froze the collectibles, and crypto advocates are complaining about the lack of decentralization.
https://news.bitcoin.com/2-2m-worth-of-bored-ape-yacht-club-nfts-stolen-victim-says-incident-was-arguably-the-worst-night-of-his-life/
According to reports, roughly $2.2 million worth of Bored Ape Yacht Club (BAYC) and Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFTs) were stolen from a collector. The owner of the NFTs Todd Kramer said the incident was “arguably the worst night” of his life. Furthermore, there’s claims that the NFT marketplace Opensea froze the collectibles, and crypto advocates are complaining about the lack of decentralization.
https://news.bitcoin.com/2-2m-worth-of-bored-ape-yacht-club-nfts-stolen-victim-says-incident-was-arguably-the-worst-night-of-his-life/
Anywayкстати, о жуликах. Слышали ли вы о Norton Crypto? А это, между прочим, часть антивируса Norton 360, которая майнит эфирную крипту на компьютерах пользователя, так еще и берет с пользователей 15% за майнинг. Совсем там уже охренели. (пока что только в штатах)
https://twitter.com/doctorow/status/1478479483585933312?s=20
https://community.norton.com/en/forums/faq-norton-crypto
(за ссылку спасибо читателю)
https://twitter.com/doctorow/status/1478479483585933312?s=20
https://community.norton.com/en/forums/faq-norton-crypto
(за ссылку спасибо читателю)
Twitter
Cory Doctorow
This is fucking wild. Norton "Antivirus" now sneakily installs cryptomining software on your computer, and then SKIMS A COMMISSION. community.norton.com/en/forums/faq-…
ОК, хотя многие среди вас там еще отдыхают до 10 числа, у меня уже все равно отпуск закончился, так что периодически будут появляться обновления канала. Но для начала — череда всяких новостей, которые я пропустил за время моего отсутствия, а они мне кажутся интересными с той или иной точки зрения. Итак, поехали!
Помните Log4J, да? Ну еще бы не помнить. там изначально уязвимость обнаружили в компании Alibaba, и сообщили о ней авторам проекта. И что за это получила Alibaba? Приостановку на 6 месяцев контрактов с министерством промышленности и информационных технологий Китая, потому что “надо было сначала своим сообщить о такой уязвимости”.
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud
Помните Log4J, да? Ну еще бы не помнить. там изначально уязвимость обнаружили в компании Alibaba, и сообщили о ней авторам проекта. И что за это получила Alibaba? Приостановку на 6 месяцев контрактов с министерством промышленности и информационных технологий Китая, потому что “надо было сначала своим сообщить о такой уязвимости”.
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud
South China Morning Post
China disciplines Alibaba Cloud for handling of Log4j bug
The Ministry of Industry and Information Technology said it will suspend work with Alibaba Cloud as a cybersecurity threat intelligence partner after the firm reported a critical security flaw to Apache.
А вот еще, помните идиотскую историю про то, как журналист нашел в исходном коде сайта различные персональные данные учителей штата Миссури, а его за это обвинили во взломе и хакерства?
https://t.me/alexmakus/4337
https://t.me/alexmakus/4378
Так они там в своем этом штате Миссури не успокаиваются, и губернатор штата утверждает, что журналисту, скорей всего, грозит предъявление обвинения. Мол, в штате есть закон, который говорит, что человек совершает преступление, если он “сознательно и без разрешения… модифицирует или уничтожает данные, раскрывает или копирует данные, или получает доступ к компьютерной сети и намеренно изучает персональную информацию”.
Естественно, издание, сообщившее об уязвимости, а) вначале сообщило о ней администраторам сайта, б) опубликовало отчет об уязвимости, не раскрывая никакой персональной информации. А вся информация была видна в HTML коде сайта. Даже ФБР говорит, что “не было никакого сетевого взлома”. Но губернатор в этом штате не любит журналистов и поэтому объявил об уголовном преследовании журналиста и издания. Так что не так далек тот день, когда команда “посмотреть исходный код сайта” будет рассматриваться как намеренный взлом и караться по всей строгости закона.
https://www.stltoday.com/news/local/govt-and-politics/parson-says-he-believes-prosecutor-will-bring-charges-in-post-dispatch-case/article_c4d88dae-fbf7-565f-a96c-e3589a626273.html
https://t.me/alexmakus/4337
https://t.me/alexmakus/4378
Так они там в своем этом штате Миссури не успокаиваются, и губернатор штата утверждает, что журналисту, скорей всего, грозит предъявление обвинения. Мол, в штате есть закон, который говорит, что человек совершает преступление, если он “сознательно и без разрешения… модифицирует или уничтожает данные, раскрывает или копирует данные, или получает доступ к компьютерной сети и намеренно изучает персональную информацию”.
Естественно, издание, сообщившее об уязвимости, а) вначале сообщило о ней администраторам сайта, б) опубликовало отчет об уязвимости, не раскрывая никакой персональной информации. А вся информация была видна в HTML коде сайта. Даже ФБР говорит, что “не было никакого сетевого взлома”. Но губернатор в этом штате не любит журналистов и поэтому объявил об уголовном преследовании журналиста и издания. Так что не так далек тот день, когда команда “посмотреть исходный код сайта” будет рассматриваться как намеренный взлом и караться по всей строгости закона.
https://www.stltoday.com/news/local/govt-and-politics/parson-says-he-believes-prosecutor-will-bring-charges-in-post-dispatch-case/article_c4d88dae-fbf7-565f-a96c-e3589a626273.html
Telegram
Информация опасносте
В штате Миссури история. Журналист на одном из правительственных сайтов нашёл информацию о сотрудниках, работающих в сфере обучения - все,включая номера социального страхования. Причём нашёл просто в исходника сайта:
Though no private information was clearly…
Though no private information was clearly…
👍1
После всех приколов с локальными серверами Microsoft Exchange в 2021 году знаменательным стало завершение года, в котором стрельнула бага, которую окрестили 2YK22. Суть такая, что в движке сканирования на спам и вирусы FIP-FS, который включен по умолчанию, обнаружилась бага, в рамках которой дата 1 января 2022 года записывалась в виде значения 2,201,010,001, что больше максимального значения 2,147,483,647, которое выдерживает переменная int32, отвечающая за хранение даты. Упс, и движок не сканирует почту, и почта больше не ходит.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
BleepingComputer
Microsoft Exchange year 2022 bug in FIP-FS breaks email delivery
Microsoft Exchange on-premise servers cannot deliver email starting on January 1st, 2022, due to a "Year 2022" bug in the FIP-FS anti-malware scanning engine.
Полиция Токио потеряла носитель информации с персональными данными на жителей Токио!!! Правда, потеряли они ДВЕ(!) ДИСКЕТЫ(!) с записями на 38 человек - людей, кто подал заявку на госжилье в определенном общежитии. Данные, судя по тексту, надо было передать данные для проверки на принадлежность подававших заявки к ОПГ, а потом полиция данные проверяет. И вот в декабре обнаружилось, что дискеты куда-то исчезли, по всей вероятности их просто выбросили. Полиция Токио очень извиняется перед этими 38 людьми, и пообещала выпустить рекомендации по улучшению обращения с персональными данными. Вот все бы так…
https://mainichi.jp/english/articles/20211227/p2a/00m/0na/072000c
https://mainichi.jp/english/articles/20211227/p2a/00m/0na/072000c
The Mainichi
Tokyo police lose 2 floppy disks containing personal info on 38 public housing applicants
TOKYO -- The Metropolitan Police Department (MPD) has lost two floppy disks containing personal information on 38 people, the department announced on
Интересный эксперимент протяженностью в три года — настроенные приманки из IoT устройств, точнее из эмуляторов таких устройств. Они были настроены таким образом, чтобы выглядеть настоящими устройствами на Shodan и Censys, а к инфраструктуре были подключены также инструменты захвата и анализа данных. Собственно, идея эксперимента заключалась в том, чтобы понять, зачем злоумышленники могут пытаться получать доступ к таким устройствам. Три устройства получили более 22 млн обращений, и большинство из атак предполагали "вербовку" устройств для участия в DDoS атаках, а также чаще всего их заражали вирусом Mirai или устанавливали майнеры криптовалюты.
Большой отчет о проделанной работе тут
https://arxiv.org/pdf/2112.10974.pdf
Собственно, выводы из этого всего простые: менять аккаунты с по умолчанию на что-то уникальное, отделять IoT в отдельные сети, устанавливать апдейты, как только появились, и мониторить устройства на предмет эксплуатации.
Большой отчет о проделанной работе тут
https://arxiv.org/pdf/2112.10974.pdf
Собственно, выводы из этого всего простые: менять аккаунты с по умолчанию на что-то уникальное, отделять IoT в отдельные сети, устанавливать апдейты, как только появились, и мониторить устройства на предмет эксплуатации.