читатель прислал ссылку с хорошей компиляцией информации по log4j
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

а тут просто хорошее описание проблемы
https://www.lunasec.io/docs/blog/log4j-zero-day/

=== РЕКЛАМА ====

14 декабря в 14:00 Positive Technologies презентует PT XDR — новое решение для обнаружения киберугроз и реагирования на них

В честь этого Positive Technologies приглашает всех, кто интересуется рынком ИБ, на презентацию решения в онлайн-формате.

Эксперты расскажут и продемонстрируют, что такое XDR и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Также компания анонсирует финальный элемент XDR-решения — продукт для защиты конечных точек.

Кстати, узнать о том, что такое XDR можно из YouTube-ролика: https://www.youtube.com/watch?v=kdBwKcGhVNA

Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы.

Программа мероприятия, а также «позитивная» версия любимой аналоговой игры по ссылке

Когда Apple запустила свои трекеры AirTag, то у пользователей Android не было нормальной возможности узнать о том, что за ними могут следить с помощью такого трекера. Теперь Apple выпустила приложение для пользователей Android, которое делает именно это:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect

https://www.cnet.com/tech/mobile/apple-launches-airtags-and-find-my-detector-app-for-android-in-effort-to-boost-privacy/

(Ну, за исключением того, что теперь всем пользователям Андроид надо это приложение поставить, а что делать тем, у кого нет смартфона - вообще непонятно

Кстати про Apple. Вчера вышли апдейты для операционных систем компании, и в документе о фиксах безопасности в iOS /iPadOS 15.2 я насчитал 42 CVE, и упоминание термина kernel 14 раз. Так что вы знаете, что делать :)

https://support.apple.com/en-us/HT212976

С одной стороны, хорошо, что исправляют, а с другой стороны, может, стоит меньше таких вещей допускать?

чтобы вам не казалось, что log4j — это какая-то ерунда, вот вам цитата от директора Агентства по безопасности инфраструктуры и кибербезопасности США (Cybersecurity and Infrastructure Security Agency — CISA) по поводу того, что она думает об этой уязвимости:

“is one of the most serious I’ve seen in my entire career, if not the most serious.”

https://www.cyberscoop.com/log4j-cisa-easterly-most-serious/

ладно, баги багами, фиксы фиксами, но в iOS 15.2 завезли и полезную тему — отчет конфиденциальности приложений.

вот официальный документ по поводу этой фичи (локализацию на русский еще, похоже, не завезли)

https://support.apple.com/en-us/HT212958

но смысл такой, что эта функция позволяет узнать, какие приложения ходят за вашей инфой о геолокации, кто в контакты, кто в фото, кто ходит в сеть и на какие домены обращается, и так далее. Эти отчеты доступны за последние 7 дней. Короче, полезная штука, которая позволяет пользователям узнать, кто на устройстве любит последить, а кто не любит. конфиденциальность, информация безопасносте, и тд. Хотя, уверен, любители теорий заговоров и тут придумают, как эта фича приносит выгоду Эпол.

вот хороший блогпост об этой функции
https://www.intego.com/mac-security-blog/understanding-ios-and-ipados-app-privacy-report/

А вот было очень интересно прочитать новость про NSO Group, которая, судя по всему, как это говорят в мире, "исследует стратегические опции". Собственно, в статье Bloomberg идет речь о том, что компания рассматривает возможность закрытия подразделения Pegasus и продажи всей компании.

Речь идет о том, что потенциальные инвестиционные фонды могли бы приобрести NSO Group, закрыть Pegasus, и влить деньги в превращение компании в приличного "киберзащитника".

https://www.bloomberg.com/news/articles/2021-12-13/spyware-firm-nso-mulls-shutdown-of-pegasus-unit-sale-of-company

Больше уязвимостей в log4j богу уязвимостей!

https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/

Пандемия log4j - красивые графики роста количества атак, вариантов и тд

https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

Йеееее! Правда, непонятно, это боты набежали или что (в последние несколько дней такой плотный прирост был). Тем, кто читает — спасибо! PS боты, изыдите!

так вот откуда новые читатели! Ну велкам, велкам! Баклажанов не обещаю, но скучно тоже не будет — потому что интернет в огне, и мы в огне, и всё в огне... this is fine.jpg

https://xakep.ru/2021/12/08/telegram-for-hackers/

Чтоб вам не казалось, что тут сплошные хихоньки и хахоньки, вот вам лонгрид про FORCEDENTRY - уязвимость, с помощью которой NSO Group ломала iphone еще вот буквально в 2021 году. Сама уязвимость была исправлена в сентябре этого года. Отчёт об её исследовании опубликовали Project Zero при содействии Citizen Lab и специалистов Apple Security Engineering and Architecture (SEAR).

https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

Эксплуатация уязвимости предполагала отправку сообщения жертве, но ей даже не надо было ничего делать - клик по ссылке не требовался. Там интересный момент в том, что при получении гиф-файла, еще до того, как картинка показывалась пользователю в приложении Messages, системой вызывался метод, который копировал гифку для дальнейшего показа. Только вот в файле формата gif может быть совсем не гифка. В итоге специально подготовленный файл вызывал библиотеку ImageIO, который пытался угадать формат файла, и тут уже участниками процесса становились более 20 кодеков изображений. А дальше там уже PDF внутри гифки, который начинает разбирать парсер CoreGraphics, а внутри ПДФ можно засунуть JavaScript…

но на самом деле там идёт речь о формате JBIG2, компрессии символов глифов в этом формате, переполнении буфера памяти и ещё каких-то страшных вещах, которые я в какой-то момент перестал понимать:

JBIG2 doesn't have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That's exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It's not as fast as Javascript, but it's fundamentally computationally equivalent.

Дальше авторы поста обещают продолжение с рассказом, как происходил «побег из песочницы», так что ждём

Как передают из интернетов, патчи не только исправляют уязвимости, но и добавляют новые. И где? В log4j

https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/

Ок, наконец-то полезный сайт в этом вашем интернете
https://log4jmemes.com

Хорошие новости: Facebook расширяет свою программу компенсаций за обнаружение проблем безопасности на случаи сбора — "scraping" — данных). Плохие новости заключаются в том, что, кажется, все, кто хотел, уже оттуда данные собрали.

https://engineering.fb.com/2021/12/15/security/bug-bounty-scraping/

Как когда-то с уязвимостями в процессорах, в случае с log4j пора, кажется, переходить просто на ежедневные дайджесты новостей, иначе поток будет состоять только из апдейтов на тему log4j. Ну, посмотрим. Пока что тут вот интересное: Microsoft уже показывает пальцами на определенные страны оси добра, которые активно эксплуатируют уязвимость CVE-2021-44228 наверняка с какой-нибудь полезной (для себя целью)

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

Интересно, что американская CISA в приказном порядке заставляет все государственные федеральные организации до 24 декабря устранить уязвимости. Приказы, конечно, ускорят процесс.

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

=== РЕКЛАМА ====

Как общаться анонимно в интернете?

Таких площадок всё меньше и меньше: браузер Тор под запретом и там можно вычислить пользователя,а ещё и скоро будет введена обязательная идентификация пользователей мессенджеров по телефонному номеру.

Чтобы общение было безопасным воспользуйтесь новой анонимной сетью «Utopia P2P — Web 3.0» Она построена без использования централизованного сервера для хранения данных — каждый пользователь имеет личный крипто контейнер.

1. Анонимная регистрация. Ваш IP-адрес и личность не будут раскрыты. Мгновенное шифрование текста, голосовой связи и почты.
2. Обширный функционал: мессенджер, емейл, браузер, электронный кошелёк, игры и многое другое
3. Безопасные хранение и передача. Utopia использует скоростное шифрование 256-bit AES и curve25519.

Большое сообщество фанатов экосистемы по всему миру уже оценили преимущества Утопии перед Тором. Присоединяйтесь и вы!

Скачивайте и регистрируйтесь по ссылке — https://u.is/ru