Для тех, кто хотел почитать про эксплоит NSO на русском - вынесу из комментариев
👍1
Forwarded from RUH8
Эксплоиты, программки, которые превращают уязвимости в софте во что-нибудь полезное (для хакера, не для вас) - отдельный вид современного искусства. Не знаю с чем сравнить. Сборка кораблика в бутылке с помощью трехметровой линейки с завязанными глазами? Поездка на машине, от которой вы по ходу дела отломали тормоза, колесо, и пытаетесь ей управлять с помощью лома, резинки от трусов и набора цветных карандашей? Как-то так.
Гугл распотрошил экслоит израильской NSO https://bit.ly/3mabxOl и это замечательная конструкция. Люди посылают друг другу смешные анимированные гифки (хотел бы я рассказать какие гифки есть в нашем секретном партийном чате, но меня тут же забанят). iMessage хочет, чтобы они крутились вечно. Для этого в заголовке GIF нужно поправить флажок, и чтобы не портить файл iMessage делает его копию. Казалось бы, что могло пойти не так?
По ошибке вместо копирования вызывается рендеринг картинок. А он уже на расширения файлов не смотрит. И NSO под видом гифки подсовывает PDF. А внутри PDF-ки картинка JBIG2 - это такой доисторический формат графики для ксероксов. Чтобы файлы получались маленькими, то он режет картинку на кусочки, и если куски, например буква "а" достаточно похожи между собой, то он использует один глиф для всего, как типографскую литеру.
Из-за этого случались многие беды https://bit.ly/3scwDiQ Кодек мог к примеру подумать что цифра 6 достаточно похожа на цифру 8, и заменить ее везде на картинках, чтобы сэконосить место. Потому в формат добавили маски - разницу между "похожим" глифом и тем, что нужно воспроизвести. И эти исправления накладываются на глиф с помощью операций AND, OR, XOR и XNOR. То есть эта штука тьюринг-полная. Любое мыслимое вычисление можно провести с помощью этих операций.
Дальше NSO использовали целочисленное переполнение, чтобы выйти за границы буфера и эта часть напоминает бутылку и кораблик. В результате они получили два основных примитива чтение и запись в произвольные места памяти. Если бы они хотели взломать одну конкретную версию софта, то этого бы хватило, но они захотели все и сразу. Для этого нужно знать, что и куда записывать.
И из доисторического графического формата они собрали полноценный виртуальный микрокомпьютер из 70 000 вентилей (те самые маски).
Нужно еще раз все перечислить, чтобы оценить проделанную NSO работу. Вам приходит гифка, которая на самом деле пдфка, и ее по ошибке, не копируют, а пытаются прочитать, в ней доисторическая картинка в формате ксероксов, которая в результате целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно пропатчить, чтобы убежать из песочницы.
NSO продавали эту изящную вещицу негодяям и убийцам, но то как она сделана!..
Гугл распотрошил экслоит израильской NSO https://bit.ly/3mabxOl и это замечательная конструкция. Люди посылают друг другу смешные анимированные гифки (хотел бы я рассказать какие гифки есть в нашем секретном партийном чате, но меня тут же забанят). iMessage хочет, чтобы они крутились вечно. Для этого в заголовке GIF нужно поправить флажок, и чтобы не портить файл iMessage делает его копию. Казалось бы, что могло пойти не так?
По ошибке вместо копирования вызывается рендеринг картинок. А он уже на расширения файлов не смотрит. И NSO под видом гифки подсовывает PDF. А внутри PDF-ки картинка JBIG2 - это такой доисторический формат графики для ксероксов. Чтобы файлы получались маленькими, то он режет картинку на кусочки, и если куски, например буква "а" достаточно похожи между собой, то он использует один глиф для всего, как типографскую литеру.
Из-за этого случались многие беды https://bit.ly/3scwDiQ Кодек мог к примеру подумать что цифра 6 достаточно похожа на цифру 8, и заменить ее везде на картинках, чтобы сэконосить место. Потому в формат добавили маски - разницу между "похожим" глифом и тем, что нужно воспроизвести. И эти исправления накладываются на глиф с помощью операций AND, OR, XOR и XNOR. То есть эта штука тьюринг-полная. Любое мыслимое вычисление можно провести с помощью этих операций.
Дальше NSO использовали целочисленное переполнение, чтобы выйти за границы буфера и эта часть напоминает бутылку и кораблик. В результате они получили два основных примитива чтение и запись в произвольные места памяти. Если бы они хотели взломать одну конкретную версию софта, то этого бы хватило, но они захотели все и сразу. Для этого нужно знать, что и куда записывать.
И из доисторического графического формата они собрали полноценный виртуальный микрокомпьютер из 70 000 вентилей (те самые маски).
Нужно еще раз все перечислить, чтобы оценить проделанную NSO работу. Вам приходит гифка, которая на самом деле пдфка, и ее по ошибке, не копируют, а пытаются прочитать, в ней доисторическая картинка в формате ксероксов, которая в результате целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно пропатчить, чтобы убежать из песочницы.
NSO продавали эту изящную вещицу негодяям и убийцам, но то как она сделана!..
👍1
не совсем по тематике канала — по крайней мере, напрямую точно нет — но все равно один из моих любимых сайтов в последнее время:
https://web3isgoinggreat.com
как минимум, хотя бы потому, что там постоянно появляются новости о взломах и кражах в мире крипто, DAO, NFT и прочего. В целом, весьма развлекательно это все читать.
https://web3isgoinggreat.com
как минимум, хотя бы потому, что там постоянно появляются новости о взломах и кражах в мире крипто, DAO, NFT и прочего. В целом, весьма развлекательно это все читать.
Web3Isgoinggreat
Web3 is Going Just Great
A timeline recording only some of the many disasters happening in crypto, decentralized finance, NFTs, and other blockchain-based projects.
Я уже сбился со счета, но, кажется, очередная уязвимость в Log4j, приводящая к DoS. Затрагивает только некоторые нестандартные конфигурации, но уязвимость - это уязвимость.
https://logging.apache.org/log4j/2.x/security.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
Подарки на Рождество в этом году включают в себя 2 RCE и 2 DoS, и бессонные ночи админов
https://logging.apache.org/log4j/2.x/security.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
Подарки на Рождество в этом году включают в себя 2 RCE и 2 DoS, и бессонные ночи админов
cve.mitre.org
CVE -
CVE-2021-45105
CVE-2021-45105
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Bloomberg рассказывает об истории 10-летней давности, где Huawei загрузил в свое телекоммуникационное оборудование обновление с вредоносным кодом. Взлом и последовавший за этом сбор разведывательной информации подтверждают представители различных правоохранительных организаций Австралии. Видимо, выпиливание по возможности оборудования Huawei из телекомов в последние несколько лет — не такая уж плохая идея, бэкдоры должны быть свои, а не китайские!
(при этом не могу не напомнить, что Bloomberg — это издание, которое опубликовало материал о китайском взломе серверов для Amazon, Apple и других компаний. Это та история, где якобы китайские чипы были сразу вшиты в материнки серверов, стоявших в американских дата-центрах. Историю опровергли все потенциальные участники процесса, доказательств bloomberg так и не предоставили)
https://www.bloomberg.com/news/articles/2021-12-16/chinese-spies-accused-of-using-huawei-in-secret-australian-telecom-hack
(при этом не могу не напомнить, что Bloomberg — это издание, которое опубликовало материал о китайском взломе серверов для Amazon, Apple и других компаний. Это та история, где якобы китайские чипы были сразу вшиты в материнки серверов, стоявших в американских дата-центрах. Историю опровергли все потенциальные участники процесса, доказательств bloomberg так и не предоставили)
https://www.bloomberg.com/news/articles/2021-12-16/chinese-spies-accused-of-using-huawei-in-secret-australian-telecom-hack
Bloomberg.com
Chinese Spies Accused of Using Huawei in Secret Australia Telecom Hack
Software update loaded with malicious code is key evidence in years-long push to block Huawei, officials say
Тоже интересная история с прошлой недели — про Facebook, который забллокировал 1500 учетных записей, связанных с различными компаниями, занимающимися кибершпионажем. В частности, компаний, которые разрабатывают сервисы, используемые для шпионского наблюдения за активистами, диссидентами, журналистами и тд. Сами учетные записи использовались для наблюдения за жертвами, попыток заманить их в специальные сайты-ловушки, отправки им сообщений для последующего взлома, и тд. Среди таких компаний — компании из Израиля, Китая, Индии и... неожиданно, Северной Македонии. ФБ также планирует разослать предупреждения более 50 тысяч человек, которые могли стать жертвами этих компаний. Среди этих компаий — уже известная читателям этого канала компания NSO Group, также несколько других компаний, основанных или базированных в Израиле —Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI.
https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/
полная версия отчета ФБ об этой отрасли (PDF)
https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf
https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/
полная версия отчета ФБ об этой отрасли (PDF)
https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf
Meta Newsroom
Taking Action Against the Surveillance-For-Hire Industry
We disabled seven surveillance-for-hire entities who targeted people across the internet in over 100 countries.
Написал в твиторе тред про мой опыт с условно «электронным» тестом на Ковид и как производители пользуются каждой возможностью, чтобы собрать персональные данные
https://twitter.com/alexmak/status/1473267841461891082?s=21
https://twitter.com/alexmak/status/1473267841461891082?s=21
Twitter
Очумелая COBRA20
Сейчас будет небольшой, но, возможно, познавательный тред про ненужную электронизацию, создание электронного мусора, а также ненужный сбор персональных данных
Кстати, редакция канала в лице меня уезжает в небольшой отпуск, и апдейты, возможно, будут не такими регулярными, как обычно. Я бы сказал «не сломайте интернет, пока меня не будет», но он уже сломан, поэтому бей, ломай, круши. И берегите себя и близких!
👍2🎉2
Информация опасносте
Написал в твиторе тред про мой опыт с условно «электронным» тестом на Ковид и как производители пользуются каждой возможностью, чтобы собрать персональные данные https://twitter.com/alexmak/status/1473267841461891082?s=21
Кто там хотел про сниффинг траффика теста на Ковид? Интересное совпадение, но тут мне прислали ссылку на отчёт об уязвимости именно этого теста, с подменой результатов. Красота какая. Актуально для андроида, но там нетривиально все. Производитель уже выпустил патч для приложения.
https://labs.f-secure.com/blog/faking-a-positive-covid-test
https://labs.f-secure.com/blog/faking-a-positive-covid-test
😱2
=== РЕКЛАМА ====
Матрица MITRE ATT&CK на русском языке
Слышали о MITRE ATT&CK? По данным Positive Technologies, 67% специалистов по ИБ в России уже используют или планируют начать ее использовать для мониторинга атак и реагирования на них.
Команда Positive Technologies перевела матрицу ATT&CK на русский язык и опубликовала в интерактивном формате.
В адаптированной версии вы сможете увидеть, какие угрозы из международной базы знаний может выявить система анализа трафика PT Network Attack Discovery, и узнать, как она это делает.
Посмотреть матрицу
Матрица MITRE ATT&CK на русском языке
Слышали о MITRE ATT&CK? По данным Positive Technologies, 67% специалистов по ИБ в России уже используют или планируют начать ее использовать для мониторинга атак и реагирования на них.
Команда Positive Technologies перевела матрицу ATT&CK на русский язык и опубликовала в интерактивном формате.
В адаптированной версии вы сможете увидеть, какие угрозы из международной базы знаний может выявить система анализа трафика PT Network Attack Discovery, и узнать, как она это делает.
Посмотреть матрицу
Но есть и хорошие новости: поисковик DDG ставит рекорды
https://www.ghacks.net/2021/12/27/search-engine-duckduckgo-had-another-record-year-in-2021/
https://www.ghacks.net/2021/12/27/search-engine-duckduckgo-had-another-record-year-in-2021/
ghacks.net
Search Engine DuckDuckGo had another record year in 2021
Privacy-focused search engine DuckDuckGo had another record year in 2021, reaching more than 34,5 billion search queries in the year.
Ладно, поскольку мне продолжают присылать инфу о «взломе» госуслуг, то вот.
По ссылке опубликовали информацию, анонсированную как исходный код портала «Госуслуги»
https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html
На самом деле речь идет об утечке исходного кода «Госуслуг» Пензенской области - исходники находились в неправильно сконфигурированном репозитории.
https://www.kommersant.ru/doc/5153297
Утверждается, что пользовательские данные в результате этой утечки (которая содержала и ключи от сертификатов) не затронуты.
По ссылке опубликовали информацию, анонсированную как исходный код портала «Госуслуги»
https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html
На самом деле речь идет об утечке исходного кода «Госуслуг» Пензенской области - исходники находились в неправильно сконфигурированном репозитории.
https://www.kommersant.ru/doc/5153297
Утверждается, что пользовательские данные в результате этой утечки (которая содержала и ключи от сертификатов) не затронуты.
Чтото странные происходит с LastPass - популярным менеджером паролей. Сначала на прошлой неделе появились посты от пользователей о странных несанкционированных логинах (заблокированных сервисом) из Бразилии
https://news.ycombinator.com/item?id=29705957
Сама компания утверждает, что это все боты, в том числе и логины с уже украденными парами логин-пароль:
Nikolett Bacso-Albaum, the senior director of LogMeIn Global PR told The Verge that the alerts users received were related “to fairly common bot-related activity,” involving malicious attempts to log in to LastPass accounts using email addresses and passwords that bad actors sourced from past breaches of third-party services (i.e. not LastPass).
Но самый правильный вывод: срочно настроить 2ФА, если ещё не
https://www.lastpass.com/products/multifactor-authentication
https://news.ycombinator.com/item?id=29705957
Сама компания утверждает, что это все боты, в том числе и логины с уже украденными парами логин-пароль:
Nikolett Bacso-Albaum, the senior director of LogMeIn Global PR told The Verge that the alerts users received were related “to fairly common bot-related activity,” involving malicious attempts to log in to LastPass accounts using email addresses and passwords that bad actors sourced from past breaches of third-party services (i.e. not LastPass).
Но самый правильный вывод: срочно настроить 2ФА, если ещё не
https://www.lastpass.com/products/multifactor-authentication
Lastpass
Multifactor Authentication (Adaptive MFA) - LastPass
Multifactor authentication secured with biometric and contextual factors goes beyond what two-factor authentication can offer. Try free for a month.
LastPass подтвердил, что имело место исключительно credentials stuffing, и что никакого взлома не было:
Update, 12/29/21 8:07 am Eastern: LastPass further investigated the issue and found that the alerts were sent in error. Dan DeMichele, VP of Product Management, LastPass, issued an update statement regarding the issue:
As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.”
Update, 12/29/21 8:07 am Eastern: LastPass further investigated the issue and found that the alerts were sent in error. Dan DeMichele, VP of Product Management, LastPass, issued an update statement regarding the issue:
As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.”