Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript 'Safest' security level (supposed to block all JS). PoC: Set the Content-Type of your html/js page to "text/html;/json" and enjoy full JS pwnage. Newly released Tor 8.x is Not affected.— Zerodium (@Zerodium) September 10, 2018
Больше деталей на английском тут
https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/
на русском тут
https://www.securitylab.ru/news/495545.php
Уязвимость исправлена в версии 5.1.8.7
Больше деталей на английском тут
https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/
на русском тут
https://www.securitylab.ru/news/495545.php
Уязвимость исправлена в версии 5.1.8.7
Twitter
Zerodium
Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript 'Safest' security level (supposed to block all JS). PoC: Set the Content-Type of your html/js page to "text/html;/json" and enjoy full JS pwnage. Newly released…
Я писал о приложениях Trend Micro, собирающих историю браузеров у пользователей, установивших эти приложения из Mac App Store, источника, который (чисто теоретически) должен был бы предотвращать попадание туда таких приложений.
Вчера Trend Micro опубликовали ответ, в котором они признали, что их приложения собирали историю из браузеров, но "совсем чуть-чуть", и только один раз — мол, изучить, как там пользователь пересекался с adware.
Apple долго не раздумывала, и выпилила все ранее перечисленные приложения из магазина (остались только те, в которых этой "feature", как сказала Trend Micro, не было):
Теперь компания заявила, что они:
- убрали эту функциональность
- удаляют всю собранную информацию
- и вообще обнаружили корень проблемы (общую для всех приложений библиотеку), и больше так не будут.
Вчера Trend Micro опубликовали ответ, в котором они признали, что их приложения собирали историю из браузеров, но "совсем чуть-чуть", и только один раз — мол, изучить, как там пользователь пересекался с adware.
Apple долго не раздумывала, и выпилила все ранее перечисленные приложения из магазина (остались только те, в которых этой "feature", как сказала Trend Micro, не было):
Теперь компания заявила, что они:
- убрали эту функциональность
- удаляют всю собранную информацию
- и вообще обнаружили корень проблемы (общую для всех приложений библиотеку), и больше так не будут.
200 гигабайт данный на 440 миллионов записей, включая имена и адреса электронной почты — все это лежало в незащищенной базе данных MongoDB (конечно же) в открытом доступе. Компания Veeam, специализация которой — резервные копии и восстановление данных для облачных инфраструктур, оставила открытой базу своих клиентов. молодцы какие.
https://www.linkedin.com/pulse/veeam-inadvertently-exposed-marketing-info-hundreds-its-bob-diachenko/
https://www.linkedin.com/pulse/veeam-inadvertently-exposed-marketing-info-hundreds-its-bob-diachenko/
Я давно говорил, что у канала — лучшие читатели. Один из них, например, прислал вот свой новый проект: сайт поиска по эксплойтам. Чистенько, аккуратненько, есть поиск по модулям metasploit. Если вдруг что, то может оказаться полезным
https://sploitus.com
https://sploitus.com
Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к компьютеру, но тем не менее. Идея в том, что современные компьютеры обычно перезаписывают свою оперативную память при выключении, чтобы данные из нее нельзя было прочитать. Однако, эксперты F-Secure обнаружили способ блокировки этого процесса перезаписи, что в итоге позволяет не только прочесть содержимое в памяти, но и получить доступ к диску.
(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)
Доступ к памяти может позволить злоумышленникам получить ключи шифрования диска, и таким образом подключить защищенный диск, даже если он зашифрован BitLocker или FileVault. Microsoft говорит, что компьютеры с PIN для загрузки защищены от этой атаки, а в случае с Маками можно установить пароль на firmware для дополнительного уровня защиты. Кроме того, новые Маки, у которых есть чип T2, обеспечивающий безопасную загрузку компьютера, тоже не подвержены этой уязвимости.
(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)
Доступ к памяти может позволить злоумышленникам получить ключи шифрования диска, и таким образом подключить защищенный диск, даже если он зашифрован BitLocker или FileVault. Microsoft говорит, что компьютеры с PIN для загрузки защищены от этой атаки, а в случае с Маками можно установить пароль на firmware для дополнительного уровня защиты. Кроме того, новые Маки, у которых есть чип T2, обеспечивающий безопасную загрузку компьютера, тоже не подвержены этой уязвимости.
FYI TWIMC — In approximately 2017, the website for Russian speakers in America known as Russian America suffered a data breach. The incident exposed 183k unique records including names, email addresses, phone numbers and passwords stored in both plain text and as MD5 hashes.
Я вчера писал про обнаруженную в прошивках компьютеров уязвимость, которая позволяет получить доступ не только к содержимому памяти компьютера, но и к содержимому диска компьютера. F-Secure подвезли немножко больше деталей в виде рассказа на сайте, а также опубликовали в твиттере демонстрацию получения ключа от шифрования диска:
https://twitter.com/FSecure/status/1040149572230828032/video/1
Рекомендации со вчера не изменились: если беспокоитесь за свои данные, то а) ограничение физического доступа к компьютеру, плюс б) PIN в BitLocker на компьютере с Windows и пароль в Firmware на Маке.
https://twitter.com/FSecure/status/1040149572230828032/video/1
Рекомендации со вчера не изменились: если беспокоитесь за свои данные, то а) ограничение физического доступа к компьютеру, плюс б) PIN в BitLocker на компьютере с Windows и пароль в Firmware на Маке.
alexmak.net
Уязвимость прошивки современных компьютеров
Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к комп…
Если вам кажется, что в последнее время стало как-то много новостей про безопасность в Маках, то вам не кажется — их действительно почему-то поступает больше, чем обычно. В этот раз уязвимость не в самой macOS, но в приложении, которое безопасность этой самой macOS должно было бы обеспечивать — Webroot SecureAnywhere. Уязвимость CVE-2018-16962 была обнаружена экспертами Trustwave и уже какое-то время назад исправлена, но традиционно осадок остался. Саму уязвимость эксплуатировать не так-то просто, но если получилось, то она приводила к повреждению памяти на уровне ядра системы, и давало потенциальному злоумышленнику полный доступ к операционной системе. Насколько известно, реальных методов эксплуатации этой уязвимости не было, а у сторонников теории, что ПО для безопасности компьютера только увеличивает энтропию во Вселенной, появился еще один аргумент.
Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:
The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.
For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.
Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:
The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.
For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.
Trustwave
CVE-2018-16962: Webroot SecureAnywhere macOS Kernel Level Memory Corruption
Trustwave recently discovered a locally exploitable issue in the macOS version of the Webroot SecureAnywhere solution. The issues root cause is an arbitrary user-supplied pointer being read from and potentially written too. As such, the issue arms an attacker…
Но есть и хорошие новости :) Chrome 70 теперь поддерживает аутентификацию на вебе с помощью Touch ID на Маке и сканера отпечатков пальцев на Android.
https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html
https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html
Chromium Blog
Chrome 70 beta: shape detection, web authentication, and more
Unless otherwise noted, changes described below apply to the newest Chrome Beta channel release for Android, Chrome OS, Linux, macOS, and Wi...
в качестве пятничного бонуса — еще длинная статья на NYT (автору явно платят за знаки) о популярных детских приложениях для iOS и Android, которые сливают информацию о пользователях, включая их местоположение, во всякие рекламные конторы (потенцильно нарушая законодательство о приватности информации о детях)
https://www.nytimes.com/interactive/2018/09/12/technology/kids-apps-data-privacy-google-twitter.html
https://www.nytimes.com/interactive/2018/09/12/technology/kids-apps-data-privacy-google-twitter.html
Nytimes
How Game Apps That Captivate Kids Have Been Collecting Their Data (Published 2018)
A lawsuit by New Mexico’s attorney general accuses a popular app maker, as well as online ad businesses run by Google and Twitter, of violating children’s privacy law.
Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.
Вот, например, список исправлений (https://support.apple.com/en-us/HT209106), касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек (https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea), валящих iPhone даже на iOS 12).
Кроме этого, Apple обновила документ (https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf - PDF), посвященный безопасности iOS. Изменения в этой версии включают в себя дополнения о чипе Secure Enclave, режимах DFU и recovery, функции Screen Time и подсказках Shortcuts. Подсказки, например, генерируются на устройстве с помощью машинных алгоритмов и никакая информация не передается для обработки в Apple, а дата между устройствами синхронизируется через iCloud в зашифрованном виде. Оттуда же интересно было узнать, что добавление "альтернативного вида" в Face ID увеличивает вероятность случайной разблокировки iPhone чужим лицом с 1 из 1 миллиона до 1 из 500 тыс попыток. В общем, полезный документ, если вам хотя бы немного интересно, как устроена безопасность в iOS.
Кроме того, в iOS 12 полно всяких полезных фич для улучшения безопасности:
- одноразовые пароли из SMS теперь видны в подсказках в клавиатуре, что существенно облегчает их ввод
- серьезные ограничения по рекламной слежке в Safari, включая блокировку кнопок шаринга в социальные сети
- Safari практически настаивает на использовании более сложных паролей
- зашифрованные видеочаты, включая групповые (когда они выйдут чуть позже в этом году)
- возможность расшарить информацию о местоположении со службами спасения (доступно в США)
- блокировка USB-аксессуаров при подключении
- проверка паролей на повторное использование во встроенном менеджере паролей в iOS 12
- поддержка автозаполнения паролей в сторонних менеджерах паролей
Так что если вы уже установили iOS 12, вот несколько опций, которые можно включить в настройках для того, чтобы воспользоваться возможностями, предлагаемыми операционной системой для вашей же информационной безопасности (я да:
1. Автоматические обновления
Настройки -> Основные —> Обновление ПО
2. USB-аксессуары
Настройки ->Face ID и код-пароль
(просто проверьте, что опция отключена)
3. Ну и раз уж мы заговорили о безопасности iPhone, самое время настроить:
а) более сложный пароль, чем просто 4 цифры
б) ту самую двухфакторную аутентификацию, предлагаемую Apple
С учетом всего вышесказанного, можно назвать iOS 12 самым безопасным релизом iOS ever, но ведь было бы странно, если бы это было не так?
ЗЫ WTF, при трансляции потерялись ссылки, пардоньте, исправил
Вот, например, список исправлений (https://support.apple.com/en-us/HT209106), касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек (https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea), валящих iPhone даже на iOS 12).
Кроме этого, Apple обновила документ (https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf - PDF), посвященный безопасности iOS. Изменения в этой версии включают в себя дополнения о чипе Secure Enclave, режимах DFU и recovery, функции Screen Time и подсказках Shortcuts. Подсказки, например, генерируются на устройстве с помощью машинных алгоритмов и никакая информация не передается для обработки в Apple, а дата между устройствами синхронизируется через iCloud в зашифрованном виде. Оттуда же интересно было узнать, что добавление "альтернативного вида" в Face ID увеличивает вероятность случайной разблокировки iPhone чужим лицом с 1 из 1 миллиона до 1 из 500 тыс попыток. В общем, полезный документ, если вам хотя бы немного интересно, как устроена безопасность в iOS.
Кроме того, в iOS 12 полно всяких полезных фич для улучшения безопасности:
- одноразовые пароли из SMS теперь видны в подсказках в клавиатуре, что существенно облегчает их ввод
- серьезные ограничения по рекламной слежке в Safari, включая блокировку кнопок шаринга в социальные сети
- Safari практически настаивает на использовании более сложных паролей
- зашифрованные видеочаты, включая групповые (когда они выйдут чуть позже в этом году)
- возможность расшарить информацию о местоположении со службами спасения (доступно в США)
- блокировка USB-аксессуаров при подключении
- проверка паролей на повторное использование во встроенном менеджере паролей в iOS 12
- поддержка автозаполнения паролей в сторонних менеджерах паролей
Так что если вы уже установили iOS 12, вот несколько опций, которые можно включить в настройках для того, чтобы воспользоваться возможностями, предлагаемыми операционной системой для вашей же информационной безопасности (я да:
1. Автоматические обновления
Настройки -> Основные —> Обновление ПО
2. USB-аксессуары
Настройки ->Face ID и код-пароль
(просто проверьте, что опция отключена)
3. Ну и раз уж мы заговорили о безопасности iPhone, самое время настроить:
а) более сложный пароль, чем просто 4 цифры
б) ту самую двухфакторную аутентификацию, предлагаемую Apple
С учетом всего вышесказанного, можно назвать iOS 12 самым безопасным релизом iOS ever, но ведь было бы странно, если бы это было не так?
ЗЫ WTF, при трансляции потерялись ссылки, пардоньте, исправил
Apple Support
About the security content of iOS 12
This document describes the security content of iOS 12.
Уязвимость под невинным названием "Peekaboo" (детская игра в прятки "ку-ку") касается программного обеспечения популярных камер наблюдения и позволяет не только просматривать изображение с них, но и модифицировать записи. Эксперты компании Tenable обнаружили уязвимость в ПО компании NUUO, которая производит камеры наблюдения, широко применяемые в банках, больницах, школах и многих других публичных местах. Используя переполнение буфера в стеке и таким образом раскрывая возможность удаленного исполнения кода, злоумышленники могут получить админский доступ к системе управления камерами (к тому же параметры доступа к камерам хранятся в открытом виде).
Пока что обновления для этой уязвимости нет, исследователи рекомендуют внимательней следить и ограничивать доступ к сети с устройствами.
Пока что обновления для этой уязвимости нет, исследователи рекомендуют внимательней следить и ограничивать доступ к сети с устройствами.
Tenable®
Peekaboo: Don’t Be Surprised by These Not So Candid Cameras
Tenable Research discovered a major software flaw, dubbed Peekaboo, which gives cyber criminals control of certain video surveillance cameras, allowing them to secretly monitor, tamper with and even disable feeds. Here’s a quick look at what we know today.
Из свежих утечек: целый месяц на сайте Newegg.com (популярный онлайн-ритейлер) обнаружил, что целый месяц у них на сайте жило вредоносное ПО, воровавшее данные банковских карточек покупателей. 15 строк кода, данные сливались на сайт с похожим доменным именем, причем у фальшивого сервера был даже сертификат HTTPS. Использован был все тот же Magecart, который отметился на сайте British Airways — об этом инциденте можно почитать тут
https://twitter.com/Newegg/status/1042466284577779712
Детали взлома можно почитать тут
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-newegg/
Информации о количестве пострадавших пользователей нет, хотя учитывая масштабы ритейлера (около 3 млрд долл выручки в год), количество может измеряться в миллионах.
Вот тут еще очень интересный твит по этому поводу
https://twitter.com/Viss/status/1042453549806870528
https://twitter.com/Newegg/status/1042466284577779712
Детали взлома можно почитать тут
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-newegg/
Информации о количестве пострадавших пользователей нет, хотя учитывая масштабы ритейлера (около 3 млрд долл выручки в год), количество может измеряться в миллионах.
Вот тут еще очень интересный твит по этому поводу
https://twitter.com/Viss/status/1042453549806870528
Twitter
Newegg
Yesterday we learned one of our servers had been injected with malware which was identified and removed from our site. We’re conducting extensive research to determine exactly what info was obtained and are sending emails to customers potentially impacted.…
Данные на 14 млн клиентов утекли с сайта GovPayNow.com, который отвечает за оплату различных сервисов в тысячах государственных организаций США (как локальных, так и федеральных). Сервисы включали в себя оплату различных штрафов и другие виды транзакций. Утекшие данные включают в себя 4 последние цифры номеров банковских карточек, имена, номера телефонов, адреса. Данные можно было получить, подменяя цифры в адресной строке онлайн-чека, который выдает сервис при оплате.
https://krebsonsecurity.com/2018/09/govpaynow-com-leaks-14m-records/ -
https://krebsonsecurity.com/2018/09/govpaynow-com-leaks-14m-records/ -
На глаза попался очень интересный твит со списком информации, добытой с iPhone 6S.
Есть версия, что эти данные были вынуты из iPhone с помощью "коробочки" для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.
Есть версия, что эти данные были вынуты из iPhone с помощью "коробочки" для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.
