Известная исследователь(ка) SandboxEscaper (известная прежде всего тем, что выкладывает zero-day уязвимости для Windows, не уведомляя об этом Microsoft), strikes again! Local privelege escalation на Win 10, может быть портирована вплоть до XP, эксплуатирует дыру в Task Scheduler.
https://web.archive.org/web/20190522011933/https://github.com/SandboxEscaper/polarbearrepo/tree/master/bearlpe
https://web.archive.org/web/20190522011933/https://github.com/SandboxEscaper/polarbearrepo/tree/master/bearlpe
GitHub
SandboxEscaper/polarbearrepo
Contribute to SandboxEscaper/polarbearrepo development by creating an account on GitHub.
я удивлен, что эта новость не набрала большего внимания в прессе, но тут The Intercept пишет, как Facebook передает мобильным операторам в разных странах данные о пользователях, которые компания собирает из мобильных приложений Facebook, Messenger, Instagram на iOS и Android. Статистика по использованию мобильных сетей и сетей WiFi, местоположение, интересы и тд.
https://theintercept.com/2019/05/20/facebook-data-phone-carriers-ads-credit-score/
https://theintercept.com/2019/05/20/facebook-data-phone-carriers-ads-credit-score/
The Intercept
Thanks to Facebook, Your Cellphone Company Is Watching You More Closely Than Ever
Legal experts believe Facebook profiling may run afoul of federal law on credit checks.
Я просто оставлю это здесь
https://www.rbc.ru/technology_and_media/23/05/2019/5ce53a039a79471bde8de739
https://www.rbc.ru/technology_and_media/23/05/2019/5ce53a039a79471bde8de739
РБК
Российские сим-карты запустят на чипах Samsung
Сим-карты с отечественным шифрованием, переход на которое может начаться уже в декабре, будут работать на импортных чипах. Разработчик уже тестирует чипы от Samsung, хотя сначала планировалось использ
Читатель прислал ссылку на изучение некоторых недостатков портала ГосУслуги. К сожалению, подобное характерно для многих крупных сайтов, не только государственных, и не только в России
https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23
ЗЫ к материалу есть смысл относиться несколько скептично, и есть альтернативные мнения по этому поводу
https://twitter.com/_paly4_/status/1131612012620996608?s=12
https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23
ЗЫ к материалу есть смысл относиться несколько скептично, и есть альтернативные мнения по этому поводу
https://twitter.com/_paly4_/status/1131612012620996608?s=12
Telegraph
⚡️ Внутренние документы портала «ГосУслуги» оказались в открытом доступе
Как известно, российские власти активно продвигают портал «ГосУслуги», на разработку которого было потрачено более 495 миллионов (полмиллиарда!) рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами…
История о том, как сотрудники Snapchat использовали внутренний инструмент для просмотра данных пользователей сервиса, включая информацию о местоположении, номер телефона и адрес электронной почты.
https://www.vice.com/en_us/article/xwnva7/snapchat-employees-abused-data-access-spy-on-users-snaplion
https://www.vice.com/en_us/article/xwnva7/snapchat-employees-abused-data-access-spy-on-users-snaplion
VICE
Snapchat Employees Abused Data Access to Spy on Users
Multiple sources and emails also describe SnapLion, an internal tool used by various departments to access Snapchat user data.
Joomla опубликовала интересный постмортем о взломе инфраструктуры компании, в результате чего на одном из серверов был установлен криптомайнер. Пользовательские данные не пострадали
https://community.joomla.org/blogs/leadership/jed-server-security-incident-report.html
https://community.joomla.org/blogs/leadership/jed-server-security-incident-report.html
Joomla! Community Portal
JED Server Security Incident Report
Following a server level compromise of the Joomla! Extensions Directory (JED), we would like to provide our community a postmortem summary of the events leading to this issue, the response from the...
Всего лишь на прошлой неделе я публиковал заметку о том, как были обнаружены некие внутренние документы портала Госуслуг путём перебора идентификаторов документов в ссылке. Я еще тогда написал, что такое бывает часто, и не только в России (пусть даже в том конкретном случае речь шла о несекретных данных). И вот вдогонку новость о том, как банк First American, который осуществляет страхование права собственности при сделках по недвижимости, допустил похожую ошибку. Только в этот раз доступными были данные о номерах банковских счетов, водительские удостоверения и налоговые формы, номера социального страхования и многое другое, что представляет собой критические персональные данные о пользователях. Любой, зная УРЛ, мог без пароля, перебирая цифры в адресе, получать данные на пользователей. Речь идёт о 885 миллионах записях, уходящих в далекий 2003 год. Пока что речь идет о том, что данные были доступны, а вот воспользовался ли кто-то этой информацией, чтобы скачать её, неизвестно. Банк подтвердил, что начал расследование со своей стороны, чтобы проверить, не было ли подобного несанкционированного доступа.
https://krebsonsecurity.com/2019/05/first-american-financial-corp-leaked-hundreds-of-millions-of-title-insurance-records/
https://krebsonsecurity.com/2019/05/first-american-financial-corp-leaked-hundreds-of-millions-of-title-insurance-records/
Интересная тема о фингерпринтинге смартфонов на базе данных гироскопа, акселлерометра и магнитометра. Apple подкрутила фикс для этого в iOS 12.3, в случае с Android там немного сложнее - часть моделей, которые проверили исследователи, подвержена атаке, часть нет. Google исследует проблему.
https://sensorid.cl.cam.ac.uk/
https://sensorid.cl.cam.ac.uk/
Статья из NYT, которую за последние несколько дней мне прислали неоднократно. Статья рассказывает о том, как американский город Балтимор страдает от хакерской атаки, которая использует вредоносное ПО, написанное на базе уязвимости EternalBlue. О которой мир узнал благодаря хакерам Shadow Brokers, опубликовавшим информацию о ней. Которая, в свою очередь, узнала об этом из утечки материалов NSA (правда, есть слухи, что уязвимость фигурировала и раньше, но это не суть). Суть статьи, в основном, в том, что “вот плохие NSA, которые сидели на этой уязвимости много лет, и не раскрывали её Microsoft”, и только после того, как инфа утекла, Microsoft начала делать фиксы. В общем-то, ничего нового (конечно, NSA будет зажимать такую инфу, у них работа такая. Процесс разглашения уязвимостей — дело секретное, мутное и вообще “Такая корова нужна самому”.). Меня же во всей этой истории удивило, что сейчас, два года спустя после утечки, после всех историй про вымогательские атаки, и после апдейтов Microsoft, есть компы, на которых нет нужных апдейтов. Так-то, конечно, можно винить NSA, но было бы неплохо для начала апдейты вовремя ставить.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html
NY Times
In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc (Published 2019)
American cities are being hijacked with an N.S.A. cyberweapon that has already done billions of dollars in damage overseas. The N.S.A. will say nothing.
а вот еще интересная статья. Washington Post опубликовали материал о том, как приложения для iPhone под покровом ночи стучат куда-то там на сервера и что-то там передают компаниям, о которых владелец телефона зачастую даже не слышал. “Айфон напичкан тысячами трекеров”, пишут журналисты. Забывая, правда, при этом уточнить, что большинство этих “трекеров” — это инструменты аналитики приложений, используемые разработчиками для анализа работы приложений и последующих улучшений этих приложений. Эти инструменты получают данные в анонимном виде, без персональной информации пользователя. Многие приложения, по сути, работающие с облачными сервисами, делают это, потому что это их единственный метод работы. Есть, конечно, и повод для беспокойства: многие приложения не раскрывают подобный сбор информации, и журналисты призывают как-то централизовать этот процесс, чтобы пользователь был лучше в курсе ситуации.
https://www.washingtonpost.com/technology/2019/05/28/its-middle-night-do-you-know-who-your-iphone-is-talking/
Но я вообще об этом хотел сказать немного в другом разрезе. Когда заходишь на сайте Washington Post для того, чтобы почитать эту статью, как минимум 25 внешних доменов передают какую-то информацию о пользователе, просматривающем эту статью, включая IP-адрес и другие уникальные идентификаторы. Обладая этой и другой информацией, вполне можно в итоге вычислить и конкретного пользователя, который читает эту статью (чтобы показать ему, разумеется, рекламу поэффективней).
https://twitter.com/pinboard/status/1133430057802915843
https://www.washingtonpost.com/technology/2019/05/28/its-middle-night-do-you-know-who-your-iphone-is-talking/
Но я вообще об этом хотел сказать немного в другом разрезе. Когда заходишь на сайте Washington Post для того, чтобы почитать эту статью, как минимум 25 внешних доменов передают какую-то информацию о пользователе, просматривающем эту статью, включая IP-адрес и другие уникальные идентификаторы. Обладая этой и другой информацией, вполне можно в итоге вычислить и конкретного пользователя, который читает эту статью (чтобы показать ему, разумеется, рекламу поэффективней).
https://twitter.com/pinboard/status/1133430057802915843
The Washington Post
Perspective | It’s the middle of the night. Do you know who your iPhone is talking to?
We ran a privacy experiment to see how many hidden trackers are running from the apps on our iPhone. The tally is astounding.
Ссылка от читателя о новой волне вредоносных расширений для Firefox
https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/
(очень это невовремя, на волне новостей о том, что Google чтото там мутит с адблокерами в Chrome и клятвами пользователей навсегда перейти на Firefox)
https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/
(очень это невовремя, на волне новостей о том, что Google чтото там мутит с адблокерами в Chrome и клятвами пользователей навсегда перейти на Firefox)
используйте голосовые помощники, говорили они. Это удобно и почти безопасно, говорили они. Тут вот наисследовали, что амазоноские Echo сохраняют данные о детях и их запросах к голосовому помощнику(це) Alexa даже после того, как родители начинают пытаться удалить данные (данные для рекламы лишними не бывают)
https://www.echokidsprivacy.com
https://www.echokidsprivacy.com
меня тут читатели пинают уже, что новости о взломе два дня как, а я еще ни разу о ней не написал. Виноват, да. Flipboard, новостной агрегатор и инструмент для шаринга новостей, сбросил всем пользоваелям (десятки миллионов человек) пароли, после того, как оказалось, что злоумышленники получали за последние 9 месяцев неоднократно доступ к системам сервиса (включая, как оказалось, и данные учетных записей пользователей)
https://about.flipboard.com/support-information-incident-May-2019/
https://about.flipboard.com/support-information-incident-May-2019/
а вот пользователи камер Theta360 (производитель компания Ricoh) могли узнать, что фотографии, снятые их камерами, включая те, что были отмечены как приватные, доступны в интернете кому угодно. Фотки заливаются в облако, предоставленное производителем, и вот оказалось, что база данных была доступна в сети без соответствующей защиты. Классика рубрики “никогда такого не было, и вот опять”
https://www.vpnmentor.com/blog/report-theta360-leak/
https://www.vpnmentor.com/blog/report-theta360-leak/
vpnMentor
Report: Theta360 Data Breach Leaks Millions of Private Photographs
vpnMentor's research team has discovered that Theta360 experienced a huge data breach.
Hacktivists from our research team, Noam Rotem and Ran Locar, found the breach in Theta360's
Hacktivists from our research team, Noam Rotem and Ran Locar, found the breach in Theta360's
Microsoft тут всячески призывает не затягивать с установкой апдейта против уязвимости в Remote Desktop Services (та самая CVE-2019-0708, для которой недавно вышел апдейт для Windows, включая XP). Microsoft говорит, что эксплойт существует и применяется (читательница канала даже присылала мне ссылку на proof of concept для эксплуатации уязвимости), поэтому ставьте апдейты, пока не началось! Говорят, что в сети насчитывается еще более 1 миллиона компьютеров, которые уязвимы к этой баге.
https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/
https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/
Британская разведка продолжает настаивать, что было бы неплохо добавить их джеймсовбондов в виде “пользователя-привидения” в зашифрованные протоколы переписки сообщениями для проследующей прослушки и мониторинга переписки. Открытое письмо, подписанное 47 компаниями и организациями (Apple, Google, WhatsApp, Tor, Microsoft) и массой экспертов по безопасности, призывает британскую разведку узбагоиться и не гневить богов инфосека, потому что это может привести и к проблемам систем аутентификации, и к непредсказуемым уязвимостям. Как будто утечки инструментов ЦРУ и NSA происходили в какой-то другой вселенной.
Ссылки по теме: статья о предложении разведки https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate
само письмо с призывами https://regmedia.co.uk/2019/05/30/letter_to_gchq_ghost_user_cryptobusting_plan.pdf
Ссылки по теме: статья о предложении разведки https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate
само письмо с призывами https://regmedia.co.uk/2019/05/30/letter_to_gchq_ghost_user_cryptobusting_plan.pdf
Default
Principles for a More Informed Exceptional Access Debate
This is part of a series of essays from the Crypto 2018 Workshop on Encryption and Surveillance.
In any discussion of cyber security, details matter.
In any discussion of cyber security, details matter.
Ссылка от читателя про RCE в nginx
https://twitter.com/alisaesage/status/1134400428899127296?s=19
Ещё интересное
Nginx web server security executive summary
- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private
https://twitter.com/alisaesage/status/1134400428899127296?s=19
Ещё интересное
Nginx web server security executive summary
- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private
Twitter
Alisa Esage Шевченко
Got teaser pics, too :P
A lawyer for Facebook argued in court Wednesday that the social media site’s users “have no expectation of privacy.”
According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.
“There is no invasion of privacy at all, because there is no privacy,” Snyder said.
According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.
“There is no invasion of privacy at all, because there is no privacy,” Snyder said.