Microsoft удалила из Гитхаба PoC кода для взлома Exchange. Опенсорс, говорили они! Гитхаб это свобода, говорили они…

"We understand that the publication and distribution of proof of concept exploit code has educational and research value to the security community, and our goal is to balance that benefit with keeping the broader ecosystem safe,"

как бы можно понять, с учетом еще тысяч непроапдейченных серверов, но все равно осадочек останется.

https://www.vice.com/en/article/n7vpaz/researcher-publishes-code-to-exploit-microsoft-exchange-vulnerabilities-on-github

Дополнение: да, действительно, правилами формально запрещена публикация кода для уязвимостей, которые на момент публикации активно эксплуатируются.

Статистика по странам, где всё ещё куча непропатченных серверов Exchange
https://twitter.com/dangoodin001/status/1370182388429385728

Также бесплатная тулза для сканирования сервера Exchange для проверки на наличие бэкдоров и для их удаления (бэкдоры могут оставаться даже после обновления Microsoft Exchange)

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

Verkada с её камерами взломали, а тут даже взламывать ничего не надо

https://www.kommersant.ru/doc/4723145

быстро они там
https://www.vice.com/en/article/z3vaew/hacker-who-broke-into-ai-surveillance-company-raided-by-police

=== РЕКЛАМА ===
Хотите сами разобраться в облачных базах данных вашего бизнеса и научиться работать с ними?

На тренинге «Основы работы с данными в Azure» эксперты расскажут об основных концепциях работы с облачными базами данных и покажут наиболее популярные подходы к работе с ними. А ещё у вас будет возможность подготовиться и пройти сертификационный экзамен DP-900.

Записаться на курс⚡️

Я понимаю, что, возможно, тема Exchange надоела,но на 9 марта в интернете из 400 тысяч активных систем только 100 тысяч получили обновление. Тем временем, на сервера начались атаки вымогательнрго вредоносного ПО. Пока что весело. Интересно, как это скажется на репутации Microsoft? Хотя они давно говорили «все в облако, все в облако!»

https://twitter.com/msftsecintel/status/1370236539427459076?s=21

https://www.microsoft.com/security/blog/2021/03/12/protecting-on-premises-exchange-servers-against-recent-attacks/

А на фоне всего этого Microsoft еще расследует, не ликнул ли кто-то из важных клиентов или партнеров информацию об уязвимости раньше времени. Там, как оказалось, некоторые получили информацию об уязвимости вместе с PoC еще 23 февраля.
https://www.wsj.com/articles/microsoft-probing-whether-leak-played-role-in-suspected-chinese-hack-11615575793

А кто помнит Spectre? нет, не фильм о Джеймсе Бонде, а уязвимость в современных процессорах, о которой стало известно три года назад. Meltdown и Spectre — близнецы братья, уязвимости в том, как работают современные процессоры на принципиальном уровне, что теоретически может приводить к утечкам данных между приложениями, работающими на компьютере.

В общем, команда Google Security — молодцы, потому что провели исследование о том, как подобная уязвимость может быть использована в браузере против пользователей, и даже опубликовали PoC на JavaScript, который демонстрирует возможность утечки информации из памяти пользователя. И что интересно, никто не в безопасности:

The demonstration website can leak data at a speed of 1kB/s when running on Chrome 88 on an Intel Skylake CPU. Note that the code will likely require minor modifications to apply to other CPUs or browser versions; however, in our tests the attack was successful on several other processors, including the Apple M1 ARM CPU, without any major changes.

Очень страшно жить
https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html

И моя любимая тема — прайваси (она же — конфиденциальность). CNBC поговорила с несколькими бывшими сотрудниками Facebook, которые рассказали, как именно Facebook пострадает после того, как Apple выкатит свои изменения в iOS. Там, напомню, для различных социально-рекламных сетей появится правило, что пользователь должен будет согласиться на трекинг его информации между приложениями и сайтами (Фейсбук уже пару недель активно крутит по телевизору в США рекламу, которая рассказывает, что таргетированная реклама — это очень хорошо. Кто ж спорит с этим простым утверждением? Вопрос в том, как это таргетирование достигается). Но неважно, короче, в iOS приложения будут запрашивать согласие у пользователя, и Facebook от этого очень сильно припекает. Короче, хорошее объяснение почему так. в двух словах — потеря возможности замеров «просмотр-конверсия», когда реклама в ФБ приводит через какоето время к покупке на сайте.

https://www.cnbc.com/2021/03/11/why-facebook-is-so-upset-about-apple-idfa-change-insiders-spill.html

=== РЕКЛАМА ===
18 марта в 16:00 приглашаем вас на вебинар, посвященный практике защиты сред Microsoft 365.

Внедрение Microsoft 365 - масштабный проект, кардинально меняющий ИТ-ландшафт организации. Из понятной контролируемой зоны внутренней сети обработка данных перемещается куда-то в облако. Насколько это безопасно, остается открытым вопросом для большинства ИТ и ИБ-специалистов.

Эксперт компании «Инфосистемы Джет» на живых кейсах расскажет о всех нюансах защиты сервисов и пользователей вне периметра организации.

Кому будет полезно?
Всем, кто занимается эксплуатацией Microsoft 365 или только планирует переход в облако.

Регистрация на мероприятие

Деньги опасносте, но отличное информационное расследование, показывающее, что информация опасносте давно и все потеряно

https://tjournal.ru/stories/343427-kak-ya-popalsya-na-oflayn-razvod-v-tindere-a-zatem-vyyasnil-kto-za-etim-stoit

ОК, когда-нибудь сага с Exchange закончится, но не сегодня. Microsoft выпустила утилитку, которая одним кликом установить обновления и изменить соответствующие настройки для минимизации ущерба от уязвимости Microsoft Exchange. Специально для тех, у кого нет команды IT для подобных вещей. (может быть, тогда у них не должно быть и своего сервера on-prem, я не знаю)

https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/

Но тут гораздо интересней история про уязвимость в системах пересылки текстовых сообщений. И речь как бы не совсем о технической уязвимости. В двух словах: это эксплуатация системы Sakari, сервиса пересылки текстовых сообщений, которая позволяет различным компаниям рассылать СМС-напоминания, подтверждения, уведомления и рекламу. Создание учетной записи там бесплатно, и самый дешевый тариф — всего лишь 16 долларов. После этого у владельца учетной записи есть «право» переключать номера телефонов, что дает возможность прописать там телефон жертвы и получать текстовые сообщения, предназначенные жертве, даже без её ведома. Технически Sakari получает возможность контроля над перенаправлением текстовых сообщений от компании под названием Bandwidth. Та, в свою очередь, управляет назначением номеров еще через другую компанию — NetNumber. У NetNumber есть своя собственная централизованная база данных Override Service Registry, которую использует большое количество игроков (короче, иголка в яйце).

Насколько этот метод используется для атак сегодня — неизвестно. Но компаний, подобных Sakari, полно, и некоторые уже подтверждают, что они замечают подозрительную активность и блокируют таких пользователей. Очень хочется надеяться, что это может быть последним гвоздем в гроб аутентификации через получение SMS (например, при всем моем желании от него отказаться, есть сервисы, где подтверждение не получить никаким другим способом, кроме СМС — включая банковские). Но рекомендация общая: если есть возможность не получать код через SMS — не получайте, настраивайте TOTP/OTP пароли, это гораздо лучше, чем SMS.

Пост от журналиста Motherboard:
https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber

пост от исследователя, который демонстрировал ему уязвимость
https://lucky225.medium.com/its-time-to-stop-using-sms-for-anything-203c41361c80

Инструмент для проверки, не зарегистрировал ли кто-то где-то ваш номер для каких-то своих дел (от компании, где работает Lucky225)
https://okeymonitor.com

Вот, кстати, тоже интересная история про опасности даже с обычными, «не смарт» телефонами от читателя канала. Жаль, тайна так и осталась нераскрытой. Но все равно берегите бабушек!

https://tjournal.ru/351729

=== РАБОТА ===

#вакансия #удалённо #job #remote #parttime #преподаватель #devsecops

Компания: Otus расширяет команду курса и ищет руководителя и преподавателя он-лайн курса

Devsecops

Otus не обучает с нуля, а предлагает углубленные знания для опытных разработчиков. У нас более 60 авторских курсов.

Ты будешь:
✔️Проводить живые вебинары с учениками (1-2 раза в неделю по вечерам по 1.5 часа);
✔️Перерабатывать материал под себя;
✔️Проверять домашние задания.

Работа с нами:
✔️Возможность научиться: работать с аудиторией, давать обратную связь, публично выступать и структурировать свои знания;
✔️Удобное совмещение с текущей фул-тайм загрузкой: график можно выстроить индивидуально;
✔️Делиться знаниями из любой точки мира;
✔️Взаимодействие с сильной технической командой, которая уже обучила около 10000 студентов.

Условия:
✔️Полностью удаленно, от 1 раза в неделю, вечером с 20 до 21:30 по мск.
✔️Скидка 50% на любой курс otus.ru

Узнать подробнее о преподавании в Otus можно тут

Рада ответить на любые ваши вопросы!
Контакты: @Elena_Munirova
e.munirova@otus.ru

ссылка для регистрации

iPhone, как известно, не умеет записывать телефонные разговоры, да и приложений к нему, которые могли бы напрямую их писать, тоже нет. Поэтому существуют некоторые сервисы с мобильными приложениями, которые, по сути, гоняют через себя звонок, передавая его на iPhone пользователю, и у себя его зписывают. Казалось бы, что может пойти не так? В сервисе была обнаружена уязвимость, которая позволяла запросить номер телефона пользователя и в ответ получить информацию о том, где хранились записи без какой-либо дополнительной верификации. Плюс история звонков. А тем временем это было одно из самых популярных приложений в категории Бизнес в App Store

https://www.pingsafe.ai/blog/how-we-could-have-listened-to-anyones-call-recordings?=7194ef805fa2d04b0f7e8c9521f97343

Из редкой, но не менее любимой рубрики «преступление и наказание»: хакер, который взломал в прошлом году Твиттер (на самом деле методом социальной инженерии получил доступ к контрольной панели одного из сотрудников) — когда многие популярные аккаунты начали твитить про биткойны, согласился на три года заключения в тюрьме для молодежи. Ему всего 17 лет, иначе бы грозил срок 10 лет. всю криптовалюту он передал правоохранительным органам, ему запрещено пользоваться компьютерами без разрешения и соответствующего наблюдения, и он должен передать пароли ко всем своим учетным записям.

https://www.tampabay.com/news/crime/2021/03/16/tampa-twitter-hacker-agrees-to-three-years-in-prison-in-plea-deal/

Ну и, конечно, если у вас есть желание и соответствующий уровень английского языка, рекомендую почитать не очень длинный документ, который совместно опубликовали министерство юстиции США и министерство национальной безопасности США, включая ФБР, и агентство по кибербезопасности и безопасности инфраструктуры. В документе изложены ключевые факты, обнаруженные в результате исследования утверждений о взломах избирательной инфраструктуры в США во время выборов президента в 2020 году. В частности, расследовались заявления про то, что различные правительства других стран якобы контролировали инфраструктуру, используемую в выборах, применяли схемы по манипуляции этой инфраструктурой, а также якобы могли менять или манипулировать другим образом подсчетом голосов. Наверно, не будет сюрпризом, если я заспойлерю, что в результате расследования эти заявления оказались голословными и не соответствовали действительности. В некоторых случаях были замечены действия российских, иранских и китайских оперативников, но они не повлияли существенным образом на результаты выборов. В некоторых случаях утверждения о взломах и изменении результатов распространялись самими группировками, при этом не соответствовали действительности.

(PDF)
https://www.justice.gov/opa/press-release/file/1376761/download

=== РАБОТА ===

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:


⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru!