Приложение для дронов DJI, как оказалось, содержит в себе, по сути, бэкдор. За обфусцированным кодом скрывается функциональность по скрытному закачиванию файлов апдейта с домашних серверов мимо Google Play, что вкупе с обширными правами приложения, даёт ему почти полный контроль над устройством. Кроме того, приложение собирает массу информации с телефона, и не выключается в фоне, а продолжает отправлять запросы на сервер. Подобной функциональности нет в версии для iOS
Сразу два отчета об этом приложении от исследователей безопасности.
https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html
https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html
Сразу два отчета об этом приложении от исследователей безопасности.
https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html
https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html
Synacktiv
DJI Android GO 4 application security analysis
Drones are currently one of the most dynamic products, with multiple use cases across sectors such as personal and commercial videography, farming and land surveying, law enforcement and national secu
======РЕКЛАМА======
В этом выпуске "ИБшника на удаленке" говорим про форензику - что это, зачем она нужна и в каких ситуациях применяется, - а также про тренировки red и blue teams в России. Делимся методиками, примерами и результатами.
⏰Присоединяйся к стриму через 15 минут⏰
======РЕКЛАМА======
В этом выпуске "ИБшника на удаленке" говорим про форензику - что это, зачем она нужна и в каких ситуациях применяется, - а также про тренировки red и blue teams в России. Делимся методиками, примерами и результатами.
⏰Присоединяйся к стриму через 15 минут⏰
======РЕКЛАМА======
А тем временем у Garmin- производителя навигационного оборудования, фитнес-трекеров, велокомпьютеров и прочего оборудования для фитнеса и спорта - проблемы. Компания стала жертвой нападения софта-вымогателя, и как результат - зашифрованы многие компьютеры внутренних сетей, а также на производстве. Какое-то время это все не будет работать:
«shutting down its official website, the Garmin Connect user data-syncing service, Garmin's aviation database services, and even some production lines in Asia.»
https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack/
«shutting down its official website, the Garmin Connect user data-syncing service, Garmin's aviation database services, and even some production lines in Asia.»
https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack/
ZDNET
Garmin services and production go down after ransomware attack
Smartwatch and wearable maker Garmin planning multi-day maintenance window to deal with ransomware incident.
Тут, кстати, пока что неофициальное подтверждение о том, что атака на Гармин - это таки вымогательство, требуют 10 млн долларов, используется WastedLocker, а компьютеры и сервисы отключены для того, чтобы предотвратить дальнейшее заражение
https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/
https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/
BleepingComputer
Garmin outage caused by confirmed WastedLocker ransomware attack
Wearable device maker Garmin today had to shut down some of its connected services and call centers following what the company calls a worldwide outage.
Forwarded from БлоGнот
Каждый день узнаешь что-то новое. Например, то, что у такой организации, как Совет национальной безопасности и обороны Украины имеется национальный координационный центр кибербезопасности, и в нем даже есть какие-то специалисты, которые знают про существование Cloudflare и dark web.
А дальше пойдет старое, точнее, новое только для этих специалистов — оказывается, в дарквебе есть список из 3 миллионов сайтов, защищенных Cloudflare, где указаны реальные IP адреса этих сайтов, что делает их в принципе уязвимыми для DDOS-атак. И теперь специалисты ведут работу по оповещению владельцев сайтов — по крайней мере, тех, которые относятся к государственным ресурсам и объектам критической инфраструктуры.
Отдельно можно оценить заголовок «Выявлена утечка данных из сервиса Cloudflare», который, в отличие от большей части текста заметки, является полной ерундой и неправдой.
Дело в том, что Cloudflare работает очень просто — вы указываете его сервера имен для своего домена, после чего он начинает выдавать какой-то из своих IP адресов как публичный IP-адрес вашего сайта, а вы ему указываете, на какой реальный IP отправлять посетителей после их проверки системой защиты. Разумеется, всё это работает тогда, когда никто, кроме Cloudflare, не знает этого реального адреса — иначе он просто пойдёт напрямик и фильтры Cloudlfare его не увидят. Именно поэтому практически обязательным шагом при переходе под защиту антиDDOS-сервиса (не только Cloudlfare), что, как правило, случается в ходе уже имеющейся атаки — это сменить реальный IP адрес.
Но многие этого не делают — поскольку Cloudflare еще и CDN, удобный сервис и в принципе многие и не планируют защищаться от атак, которых никогда на их сайты не производилось. Поэтому, когда такой домен указывал на один IP, а потом сменился на принадлежащий сети Cloudflare, с большой вероятностью предыдущий IP остался реальным и по нему домен доступен напрямую.
Поэтому Cloudflare рекомендует хотя бы ограничить доступ к серверу с реальным IP, чтобы он оставался доступен исключительно из сети Cloudflare. Правда, с масштабной атакой файрволл среднего сервера все равно может не справиться, но шансы выше.
Но комизм ситуации не в том, что никакой утечки не было и базу собирали именно такой историей изменений в DNS, а в том, что этой базе лет 5 или 6 и с ней прекрасно знакомы старые пользователи Cloudflare. Даже не надо ходить в дарквеб — кто-то даже поднимал быстрый поиск по этой базе и я им пользовался для проверки, что у моих проектов там если и есть IP, то он давно не является реальным.
В очередной раз печально, что у воющей страны такие «специалисты» по кибербезопасности. И смутный оптимизм, что, видимо, у «той стороны» ненамного лучше.
https://www.rnbo.gov.ua/ua/Diialnist/4651.html
А дальше пойдет старое, точнее, новое только для этих специалистов — оказывается, в дарквебе есть список из 3 миллионов сайтов, защищенных Cloudflare, где указаны реальные IP адреса этих сайтов, что делает их в принципе уязвимыми для DDOS-атак. И теперь специалисты ведут работу по оповещению владельцев сайтов — по крайней мере, тех, которые относятся к государственным ресурсам и объектам критической инфраструктуры.
Отдельно можно оценить заголовок «Выявлена утечка данных из сервиса Cloudflare», который, в отличие от большей части текста заметки, является полной ерундой и неправдой.
Дело в том, что Cloudflare работает очень просто — вы указываете его сервера имен для своего домена, после чего он начинает выдавать какой-то из своих IP адресов как публичный IP-адрес вашего сайта, а вы ему указываете, на какой реальный IP отправлять посетителей после их проверки системой защиты. Разумеется, всё это работает тогда, когда никто, кроме Cloudflare, не знает этого реального адреса — иначе он просто пойдёт напрямик и фильтры Cloudlfare его не увидят. Именно поэтому практически обязательным шагом при переходе под защиту антиDDOS-сервиса (не только Cloudlfare), что, как правило, случается в ходе уже имеющейся атаки — это сменить реальный IP адрес.
Но многие этого не делают — поскольку Cloudflare еще и CDN, удобный сервис и в принципе многие и не планируют защищаться от атак, которых никогда на их сайты не производилось. Поэтому, когда такой домен указывал на один IP, а потом сменился на принадлежащий сети Cloudflare, с большой вероятностью предыдущий IP остался реальным и по нему домен доступен напрямую.
Поэтому Cloudflare рекомендует хотя бы ограничить доступ к серверу с реальным IP, чтобы он оставался доступен исключительно из сети Cloudflare. Правда, с масштабной атакой файрволл среднего сервера все равно может не справиться, но шансы выше.
Но комизм ситуации не в том, что никакой утечки не было и базу собирали именно такой историей изменений в DNS, а в том, что этой базе лет 5 или 6 и с ней прекрасно знакомы старые пользователи Cloudflare. Даже не надо ходить в дарквеб — кто-то даже поднимал быстрый поиск по этой базе и я им пользовался для проверки, что у моих проектов там если и есть IP, то он давно не является реальным.
В очередной раз печально, что у воющей страны такие «специалисты» по кибербезопасности. И смутный оптимизм, что, видимо, у «той стороны» ненамного лучше.
https://www.rnbo.gov.ua/ua/Diialnist/4651.html
сайты, собирающие информацию о ДНК и генеалогии, подверглись атакам, и данные пользователей, ранее спрятанные от запросов правоохранительных оранов, стали публично доступны
https://www.buzzfeednews.com/article/peteraldhous/hackers-gedmatch-dna-privacy
https://www.buzzfeednews.com/article/peteraldhous/hackers-gedmatch-dna-privacy
BuzzFeed News
A Security Breach Exposed More Than One Million DNA Profiles On A Major Genealogy Database
First GEDmatch, the DNA database that helped identify the Golden State Killer, was hacked. Then email addresses from its users were used in a phishing attack on another leading genealogy site.
Интересная уязвимость в некоторых приложениях для macOS об обходе встроенного карантина файлов (за ссылку спасибо читателю)
https://medium.com/@metnew/exploiting-popular-macos-apps-with-a-single-terminal-file-f6c2efdfedaa
https://medium.com/@metnew/exploiting-popular-macos-apps-with-a-single-terminal-file-f6c2efdfedaa
Medium
Exploiting popular macOS apps with a single “.terminal” file.
A story about macOS File Quarantine, 10years old bug, OneDrive entitlements and UX Security in apps.
Интересная тема про уязвимость в чипе Secure Enclave Processor, который обеспечивает безопасность iOS устройств и работу Face ID, Touch ID. Команда Team Pangu, которая занимается разработкой джейлбрейков для устройств Apple, продемонстрировали уязвимость в SEP, которую невозможно исправить (поскольку она аппаратная). Команда планирует продать информацию об уязвимости в Apple, а критики утверждают, что ценность самой уязвимости не такая высокая, так как её природа не даёт возможности использовать её для джейлбрейка с помощью приложения или через веб (только при наличии физического доступа и устройства в DFU). Более того, последние устройства Apple с процессорами А12 и А13 не содержат в себе эксплойта BOOTROM, который нужен для эксплуатации уязвимости.
https://androidrookies.com/team-pangu-demonstrates-unpatchable-secure-enclave-processor-sep-chip-vulnerability-in-ios/
https://androidrookies.com/team-pangu-demonstrates-unpatchable-secure-enclave-processor-sep-chip-vulnerability-in-ios/
Давненько у нас тут новостей про Zoom не было. Перебор паролей без ограничений в Зуме, дефолтный пароль из 6 цифр - что могло пойти не так?
https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/
https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/
Помните WannaCry и NotPetya? Тут подъехали санкции от ЕС физлицами и организациям по этому поводу, и в списке, в дополнение к двум китайцам, есть также
Alexey Valeryevich MININ
Aleksei Sergeyvich MORENETS
Evgenii Mikhaylovich SEREBRIAKOV
Oleg Mikhaylovich SOTNIKOV
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32020D1127&from=EN
Alexey Valeryevich MININ
Aleksei Sergeyvich MORENETS
Evgenii Mikhaylovich SEREBRIAKOV
Oleg Mikhaylovich SOTNIKOV
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32020D1127&from=EN
История, так сказать, в двух скриншотах. Забавно, что уведомление от HIBP пришло на два дня раньше, чем от самого взломанного сайта.
БРЕЙКИНГ НЬЮС — арестовали человека, который ответственнен за взлом Твиттера 15 июля. Им оказался 17-летний подросток из Флориды. (а столько было разговоров о том, что это злодеи то из Северной Кореи, то из России, то еще откудато).
https://www.wfla.com/news/hillsborough-county/tampa-teen-accused-of-being-mastermind-behind-twitter-hack-that-targeted-high-profile-accounts/
Кстати, вот еще апдейт от Твиттера по поводу того, что же происходило во время взлома и как это случилось
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
https://www.wfla.com/news/hillsborough-county/tampa-teen-accused-of-being-mastermind-behind-twitter-hack-that-targeted-high-profile-accounts/
Кстати, вот еще апдейт от Твиттера по поводу того, что же происходило во время взлома и как это случилось
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
Twitter
An update on our security incident
An update on our security incident and what we know so far.
ага, взломщиков Твиттера трое, 19, 22 и 17 лет
Mason Sheppard, aka “Chaewon,” 19, Великобритания
Nima Fazeli, aka “Rolex,” 22, Орландо, Флорида
Третьего не идентифицируют, потому что малолетний
https://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
Mason Sheppard, aka “Chaewon,” 19, Великобритания
Nima Fazeli, aka “Rolex,” 22, Орландо, Флорида
Третьего не идентифицируют, потому что малолетний
https://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
www.justice.gov
Three Individuals Charged For Alleged Roles In Twitter Hack
«Неавторизованный доступ» к аккаунтам в Zello
https://support.zello.com/hc/en-us/articles/360046709192-Zello-Security-Notice-July-31-2020
https://support.zello.com/hc/en-us/articles/360046709192-Zello-Security-Notice-July-31-2020
Zello Support
Zello Security Notice – July 31, 2020
On July 8, 2020, we discovered unusual activity on one of our servers. We immediately initiated an investigation, notified law enforcement and engaged a leading independent forensics firm to help. ...