и опять утечка данных через AWS — в этот раз данные различных контракторов из частных компаний, специализирующихся на работе с наемниками http://www.zdnet.com/article/thousands-of-sensitive-mercenary-resumes-exposed-after-server-security-lapse/

а вот тоже из прекрасного, как я люблю. интернет-провайдет AT&T раздает своим пользователям модемы, логин и пароль к которым для доступа по SSH захардкожен в устройстве, что позволяет, используя известную уязвимость, получить рутовый доступ к устройству https://www.nomotion.net/blog/sharknatto/

большая и детальная презентация о взломе "умных" дверных замков https://conference.hitb.org/hitbsecconf2017ams/materials/D2T3%20-%20Slawomir%20Jasek%20-%20Blue%20Picking%20-%20Hacking%20Bluetooth%20Smart%20Locks.pdf

Наверняка же кто-то из Эстонии читает этот канал (как минимум, один человек, который мне уже прислал вопрос "что там с картами резидентов Эстониии — точно читает). Короче, там в национальных ID-картах, которые выдаются электронным резидентам страны (и которые, по сути, являются основным документом), обнаружена потенциальная уязвимость, которая может быть использована злоумышленниками для, как я понимаю, несанкционированного использования карт. Технических деталей о том, что за уязвимость, пока нет, но речь идет о почти 750 тыс картах, выданных с октября 2014 года. Местные политики начали призывать к тому, чтобы отложить местные выборы, назначенные на 16 октября, так как больше трети избирателей голосуют, используя эти ID-карты, но премьер-министр страны говорит о том, что, возможно, они просто запретят использование карт при голосовании. https://www.schneier.com/blog/archives/2017/09/security_flaw_i.html

ESET предупреждает о новой волне интернет-мошенничества. Злоумышленники рассылают фишинговые письма от имени платежной системы Mastercard и используют для кражи данных пользователей взломанный сайт правительства Мексики.

Сообщение спамеров начинается с неперсонализированного приветствия. В тексте письма говорится о блокировке учетной записи в платежной системе. Чтобы восстановить доступ к сервисам Mastercard, пользователю предлагают перейти по ссылке и обновить информацию.

Если жертву не смутит отсутствие личного обращения и адрес отправителя, не имеющий отношения к Mastercard, он перейдет на поддельный сайт. Там, согласно «законам жанра», его ожидает анкета для ввода персональных и платежных данных, включая номер, срок действия и CVV банковской карты.

Заполнив анкету и нажав кнопку «Ввод», пользователь отправит все данные злоумышленникам. Информация может быть использована для списания средств с карты.

Спам-атака могла бы показаться рядовой, если не одна особенность – фишинговая страница размещена на домене .gob.mx, который принадлежит правительству Мексики. Вероятно, злоумышленники получили доступ к учетной записи администратора домена или использовали уязвимость сервера. Специалисты ESET сообщили об инциденте в Центр реагирования на компьютерные угрозы Мексики (СERT-МХ).

Павел Дуров рассказывает, как его склоняли к сотрудничеству агенты ФБР (много текста на английском https://thebaffler.com/salvos/the-crypto-keepers-levine, краткое содержание на русском — тут https://meduza.io/news/2017/09/05/pavel-durov-rasskazal-kak-agenty-fbr-prishli-v-ego-s-emnyy-dom-v-kalifornii-i-predlozhili-sozdat-chernyy-hod-v-telegram)

Друзья, вы когда присылаете мне ссылку, снабжайте её какой-нибудь сопровождающей информацией. а то приходится поднимать VM для того, чтобы открыть одну ссылку (да, я параноик!)

Кстати, об Эстонии. Это как раз из ссылки, присланной читателем — обнаружилось, что Эстония призывает Европейский Союз к тотальной слежке за пользователями в интернете https://edri.org/leaked-document-eu-presidency-calls-for-massive-internet-filtering/

Привет! Нет, не дождётесь, я всё-таки ещё живой, хотя и существенно порезанный после нескольких дней в больнице. Но вчера я всё-таки доехал домой и редакция канала в лице меня постарается возобновить регулярные трансляции из мира информационных опасностей. Самая большая новость за последние несколько дней - это взлом сайта компании Equifax, через который могли утечь данные на 143 миллиона человек в США. Вот анонс от самой компании (https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628), там в осторожных формулировках пока не подтверждается утечка данных на 143 млн человек, но все может быть. Equifax - частная компания, которая собирает данные на американских потребителей, и на основе этих данных банки принимают решение о том, давать ли кредит человеку, открывать банковскую карту, подписывать договор аренды жилья с ним и проч. В потенциально утёкшей базе - ВСЯ ЖИЗНЬ многих американских жителей, начиная от имени и адреса, и заканчивая номером социального страхования, к которому привязано вообще всё! Представьте себе, что утекла вся база Госуслуг, например, да и то оно не описывает масштабов. (Так как я недавно получал кредит на покупку дома, то и мои данные там точно есть. Более того, недавно мне пришли странные письма от банка с формулировкой «мы не можем вам сейчас выдать кредит», и я подозреваю, что эти события могут быть вполне связаны я это выясняю сейчас с банком). В любом случае, утечка очень плохая, но пока что 100% подтверждения ей нет, и всплывающие в интернете пока что оказывались фейками. Есть подозрение, что сайт был взломан с использованием уязвимости CVE-2017-9805 в Apache Struts, которую как раз исправили в начале августа. И ведь дальше будет только хуже :(

Вторая моя любимая история за последние несколько дней - это взлом казино через аквариум. Да-да, я не опечатался: хакеры подключились через интернет к «умным» сенсорам для мониторинга воды в аквариуме, а оттуда получили доступ к сети казино и скачали 10 ГБайт данных. Все как я люблю! https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/

А вот тут ещё какая-то аццкая жопень с уязвимостями, которые могут распространяться в том числе и через Bluetooth, затрагивающая чуть ли не все существующие устройства - телефоны, компьютеры, IoT, даже имя своё заработала - BlueBorne. Шутка ли - потенциально затрагивает 8 млрд устройств! Что-то вроде Broadpwn, но не требует WiFi. https://www.armis.com/blueborne/ (за ссылку в том числе спасибо читателю Артёму)

Хорошие новости, что про уязвимости сообщили крупным вендорам, и там все не так уже и плохо
Google – апдейт вышел 4 сентября
Microsoft – апдейт вышел 12 сентября
Apple – текущая версия не содержит уязвимости
Samsung – ответа не получено
Linux – апдейт должен выйти 12 сентября

вдогонку про Equifax, взлом сайта которой, возможно, привел к утечке персональных данных на 143 млн человек. Сама компания утверждает, что злоумышленники воспользовались уязвимостью в софте сайта — Apache Struts, только CVE-2017-5638, а не то, о чем я писал раньше. проблема в том, что эта уязвимость была исправлена 6 марта этого года. Короче, опять бестолковость подвела. https://www.equifaxsecurity2017.com/

и говоря о бестолковости. В Аргентине сайт местного Equifax тоже хакнули. Ну как хакнули. когда у админского аккаунта логин И пароль admin, то я даже не знаю, считается ли это за хак https://www.bbc.co.uk/news/amp/technology-41257576

В США все никак не отстанут от Лаборатории Касперского. Deparment of HomeLand Security — министерство национальной безопасности — выдало указание всем веткам федеральных органов идентицифировать все места, где используются продукты ЛК, и в течение 90 дней разработать план по прекращению использования продуктов компании. https://www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01

а там еще несколько дней назад была инфа, что крупный ритейлер электроники BestBuy прекратил продажу коробочных продуктов ЛК. Вот ведь прицепились они к Евгению.

кстати, о ЛК. их исследование показывает, что в мире сейчас находится более 1,65млн компьютеров, которые майнят биткойны для кого-то еще. хотя как по мне, их, наверно, на самом деле гораздо больше
https://www.bleepingcomputer.com/news/security/over-1-65-million-computers-infected-with-cryptocurrency-miners-in-2017-so-far/

ну и хорошие новости для Мак-юзеров. многие знают программу LittleSnitch для Мака — файерволл исходящих подключений. Но не все готовы платить за него деньги, которые за него просят. Патрик Вардл, автор блога Objective-See и давно рекомендуемой мной программы Block Block, выпустил _альфа-версию_ аналога LittleSnitch, под названием LuLu. В отличие от других продуктов Патрика, LuLu еще и в open source, что полезно для параноиков, помнящих, что он работал в NSA. Короче, все на ваш страх и риск, но мне кажется, что эта утилита будет полезной многим https://objective-see.com/products/lulu.html

Вспомнил, что хотел спросить. Занимается ли тут кто-то тестированием информационной безопасности компаний? Один из читателей канала заинтересован в подобной услуге. Если кому-то интересно - напишите мне в почту, я передам контакты.

Важный момент: я не знаю, насколько в России отрегулирована эта сфера. Кто его знает, как там взлом от тестирования они отличают в рамках уголовного кодекса. Так что на ваше усмотрение, конечно же.

ни дня без взлома. сегодня это Vevo — популярный онлайн-сервис для хостинга музыкальных видеокликов, доступ к ресурсам которой злоумышленники получили через фишинговую атаку на одного из сотрудников (через LinkedIn). 3,12ТБ данных утекли в интернет. https://gizmodo.com/welp-vevo-just-got-hacked-1813390834

я бы с радостью сказал "у меня для вас хорошие новости", но природа этого канала такова, что новости в основном плохие. Есть такая популярная программа, называется CCleaner, чистит всякий мусор из системы. Говорят, что у них почти 2 млрд скачек — это для понимания масштабов популярности приложения. Короче, несколько серверов, распространяющих дистрибутивы приложения, были взломаны, и на протяжении месяца распространяли улучшенную версию приложения, содержащую в себе вредоносный код. По оценкам экспертов, было заражено 2,27 млн пользователей, однако, похоже, в этот раз обошлось, потому что в рамках исследования был обнаружен метод блокировки вредоносного кода и он ничего плохого не сделал. Подробный отчет от Cisco Talos по ссылке http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

То есть если раньше можно было сказать "не качайте что попало откуда попало, и все будет хорошо", но последние инциденты с заражением легитимных приложений показывают, что качать вообще ничего ниоткуда нельзя. А еще лучше — отказаться от использования интернета вообще.

Кстати, есть подозрение, что, возможно, хакнули EA, по крайней мере, я получил от Origin вот такое письмо о сбросе пароля. Лучше перестраховаться

А вот ещё несколько читателей прислали ссылку про маковский iTerm, который шлёт открытым текстом по сети то, что находится под курсором в DNS, чтобы проверить, не УРЛ ли это. Неприятная штука https://gitlab.com/gnachman/iterm2/issues/6050