это очень хорошо. плохо, конечно, но хорошо!
я давно говорил, что это организация в первую очередь должна заботиться о защите пользователей от получения фишинга, а не тренировать их как собак павлова — куда кликать или не кликать. самое слабое звено.

FORCEDENTRY vs Log4j
https://twitter.com/int0x80/status/1471506464904671242

Я уже сбился со счета, но, кажется, очередная уязвимость в Log4j, приводящая к DoS. Затрагивает только некоторые нестандартные конфигурации, но уязвимость - это уязвимость.

https://logging.apache.org/log4j/2.x/security.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

Подарки на Рождество в этом году включают в себя 2 RCE и 2 DoS, и бессонные ночи админов

Вот читатель прислал

Bloomberg рассказывает об истории 10-летней давности, где Huawei загрузил в свое телекоммуникационное оборудование обновление с вредоносным кодом. Взлом и последовавший за этом сбор разведывательной информации подтверждают представители различных правоохранительных организаций Австралии. Видимо, выпиливание по возможности оборудования Huawei из телекомов в последние несколько лет — не такая уж плохая идея, бэкдоры должны быть свои, а не китайские!

(при этом не могу не напомнить, что Bloomberg — это издание, которое опубликовало материал о китайском взломе серверов для Amazon, Apple и других компаний. Это та история, где якобы китайские чипы были сразу вшиты в материнки серверов, стоявших в американских дата-центрах. Историю опровергли все потенциальные участники процесса, доказательств bloomberg так и не предоставили)

https://www.bloomberg.com/news/articles/2021-12-16/chinese-spies-accused-of-using-huawei-in-secret-australian-telecom-hack

Тоже интересная история с прошлой недели — про Facebook, который забллокировал 1500 учетных записей, связанных с различными компаниями, занимающимися кибершпионажем. В частности, компаний, которые разрабатывают сервисы, используемые для шпионского наблюдения за активистами, диссидентами, журналистами и тд. Сами учетные записи использовались для наблюдения за жертвами, попыток заманить их в специальные сайты-ловушки, отправки им сообщений для последующего взлома, и тд. Среди таких компаний — компании из Израиля, Китая, Индии и... неожиданно, Северной Македонии. ФБ также планирует разослать предупреждения более 50 тысяч человек, которые могли стать жертвами этих компаний. Среди этих компаий — уже известная читателям этого канала компания NSO Group, также несколько других компаний, основанных или базированных в Израиле —Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI.

https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/

полная версия отчета ФБ об этой отрасли (PDF)
https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf

Написал в твиторе тред про мой опыт с условно «электронным» тестом на Ковид и как производители пользуются каждой возможностью, чтобы собрать персональные данные

https://twitter.com/alexmak/status/1473267841461891082?s=21

Кстати, редакция канала в лице меня уезжает в небольшой отпуск, и апдейты, возможно, будут не такими регулярными, как обычно. Я бы сказал «не сломайте интернет, пока меня не будет», но он уже сломан, поэтому бей, ломай, круши. И берегите себя и близких!

Кто там хотел про сниффинг траффика теста на Ковид? Интересное совпадение, но тут мне прислали ссылку на отчёт об уязвимости именно этого теста, с подменой результатов. Красота какая. Актуально для андроида, но там нетривиально все. Производитель уже выпустил патч для приложения.

https://labs.f-secure.com/blog/faking-a-positive-covid-test

=== РЕКЛАМА ====

Матрица MITRE ATT&CK на русском языке

Слышали о MITRE ATT&CK? По данным Positive Technologies, 67% специалистов по ИБ в России уже используют или планируют начать ее использовать для мониторинга атак и реагирования на них.

Команда Positive Technologies перевела матрицу ATT&CK на русский язык и опубликовала в интерактивном формате.

В адаптированной версии вы сможете увидеть, какие угрозы из международной базы знаний может выявить система анализа трафика PT Network Attack Discovery, и узнать, как она это делает.

Посмотреть матрицу

Но есть и хорошие новости: поисковик DDG ставит рекорды

https://www.ghacks.net/2021/12/27/search-engine-duckduckgo-had-another-record-year-in-2021/

Ладно, поскольку мне продолжают присылать инфу о «взломе» госуслуг, то вот.

По ссылке опубликовали информацию, анонсированную как исходный код портала «Госуслуги»
https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html

На самом деле речь идет об утечке исходного кода «Госуслуг» Пензенской области - исходники находились в неправильно сконфигурированном репозитории.
https://www.kommersant.ru/doc/5153297

Утверждается, что пользовательские данные в результате этой утечки (которая содержала и ключи от сертификатов) не затронуты.

Чтото странные происходит с LastPass - популярным менеджером паролей. Сначала на прошлой неделе появились посты от пользователей о странных несанкционированных логинах (заблокированных сервисом) из Бразилии

https://news.ycombinator.com/item?id=29705957

Сама компания утверждает, что это все боты, в том числе и логины с уже украденными парами логин-пароль:
Nikolett Bacso-Albaum, the senior director of LogMeIn Global PR told The Verge that the alerts users received were related “to fairly common bot-related activity,” involving malicious attempts to log in to LastPass accounts using email addresses and passwords that bad actors sourced from past breaches of third-party services (i.e. not LastPass).

Но самый правильный вывод: срочно настроить 2ФА, если ещё не
https://www.lastpass.com/products/multifactor-authentication

LastPass подтвердил, что имело место исключительно credentials stuffing, и что никакого взлома не было:

Update, 12/29/21 8:07 am Eastern: LastPass further investigated the issue and found that the alerts were sent in error. Dan DeMichele, VP of Product Management, LastPass, issued an update statement regarding the issue:

As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.”

Ох (спасибо читателю за ссылку)

tl;dr доступ к шлагбаумам, в том числе управление ими, а также к персональным данным жильцов, которые пользуются этими шлагбаумами, ну и прочая вакханалия

https://habr.com/ru/company/postuf/blog/596293/

Я бы и сказал, что информация опасносте в данном случае, но уже все пропало. университет Киото потерял 77ТБ различных исследовательских данных. И прежде чем вы скажете «ну есть же наверняка бэкапы», я скажу, что потеря произошла как раз из-за ошибки системы резервного копирования :( 34 миллиона файлов 14 исследовательских групп - все пропало из-за ошибки в бэкапе суперкомпьютера Hewlett-Packard.

Анонс университета (на японском)
http://www.iimc.kyoto-u.ac.jp/ja/whatsnew/trouble/detail/211216056978.html

Результаты расследования (тоже на японском)
https://www.iimc.kyoto-u.ac.jp/ja/whatsnew/information/detail/211228056999.html

И новость на английском
https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/