Information Security дайджест #1: Электронное декларирование - … и в продакшн, принцип нулевой ответственности для картодержателей, серьезная уязвимость в сервисах Киевстар
В выпуске: баги и фичи системы электронного декларирования, интересные новости для держателей платежных карт, скрипт-кидди-пентест для Киевстар, дефейс сайта МИД Украины, обход SQRL-аутентификации, голосовая верификация клиентов, след спецслужб во взломе Telegram, удар Анонимного Интернационала по Ростелекому, неизвестный вирус шагает по планете и многое другое.
Инциденты и угрозы ИБ
Ввод в эксплуатацию (?) системы электронного декларирования, которая в свою очередь является достаточно статусным и стратегическим проектом, породил целую бурю скандалов и обсуждение на профильном ресурсе (есть толковые комментарии), с разбором кода и уязвимостей. Проблема, прежде всего, кроется в выполненных «не в полном объеме» требованиях регулятора к информационной безопасности. ГСССЗИ Украины не дает соответствующий аппрув, СМИ массово пишут противоречивые статьи, чиновники дают сумбурные и смешные комментарии, волна дошла аж до СНБО. Сочувствующие разделились на два лагеря: в одном те, кто считает действия заинтересованных при власти — саботажем. Другие справедливо кивают на значительные недостатки системы. Затем зашевелились стейкхолдеры. Истина, как всегда, где-то посередине и, наверное, каждый вынес что-то для себя из этой истории.
Энтузиаст выявил серьезную уязвимость в веб-сервисе оператора Киевстар, позволяющую достаточно просто получить полный контроль над управлением номерами других абонентов через личный кабинет. История породила философию об отсутствии вайтхетов в Украине, с комментарием инсайдера компании и обещанием bug bounty-программы. Ответ на утверждение о вайтхетах не заставил себя долго ждать.
Побег из тюрьмы Microsoft. Неустранимая фича в механизме Secure Boot позволяет полностью его обойти. Описание выложили исследователи на специальном сайте. Профильная новость тут.
ProjectSauron aka Strider — мощная таргетированная атака класса APT будоражит лучшие умы, исследовательские изыскания растут, как грибы после дождя.
Новые горизонты для хакеров из pravy sector. На этот раз, целью стал медицинский центр урологии, расположенный в Огайо, США. О причинах выбора цели атаки можно только догадываться (равно как и о будущих жертвах). Украдено более двухсот гигабайт конфиденциальной информации, впоследствии размещенной в публичный доступ.
Тем временем, группа Анонимный Интернационал неустанно бьет по больным местам российских чиновников и владельцев российского бизнеса. На этот раз скомпрометированы данные личной переписки одного из ТОП-ов компании Ростелеком (бывшего замминистра связи РФ). Следующим под удар попал член правления ПАО Россети, массив деловой (и не только) переписки которого был так же выставлен на продажу. В далекой Сызрани, а точнее — в городском управлении по молодежной политике и туризму, тоже не все ладно.
Вражеские хакеры не в ударе: самым большим их достижением стал кратковременный дефейс одного из разделов сайта МИД Украины, с размещением там сообщений уровня «заборной» лексики.
О крупном взломе мессенджера Telegram сообщили эксперты по кибербезопасности. В результате раскрыты порядка 15 миллионов телефонных номеров пользователей в Иране. В самой компании прокомментировали инцидент, указав на не критичность раскрытых данных, и сообщили о закрытии уязвимости. Исследователи полагают, что реализация механизма раскрытия номеров пользователей невозможна без взаимодействия мобильных операторов конкретной страны с государственными органами.
Аутентификация с использованием SQRL небезопасна. Технические детали о новом векторе атаки с помощью социальной инженерии QRLJacking можно найти на OWASP.
Уязвимость сервиса card2card банка Tinkoff позволяла получать данные о состоянии баланса карточного счета клиентов. Разбор полетов дает повод задуматься о должном обеспечении секьюрности наших собственных конфиденциальных данных теми сторонами и поставщиками услуг, которым мы эти данные доверяем.
Эксплоиты EPICBANANA и ExtraBacon позволяют эксплуатировать уязвимости в межсетевых экранах Cisco и выполнить произвольный код в системе.
Новый метод атаки на кеш ARM-процессоров, использующихся в Android-устройствах, позволяет обойти защиту ARM TrustZone и произвести перехват нажатий на экран владельцев смартфонов и планшетов на Android. По ссылке доступен соответствующий доклад.
Спуфинг в Chrome и Firefox: обнаруженная в браузерах уязвимость дает возможность подменять URL в адресной строке.
Проблема «FalseCONNECT»: ошибки в реализации процедур прокси-аутентификации различных вендоров позволяют осуществлять MitM-атаку и перехватывать HTTPS-трафик. Наличие проблемы признали Apple, Oracle, Opera и Microsoft.
Через уязвимость в vBulletin похищены некоторые данные (среди которых логины, хеши паролей и адреса электронной почты) порядка двух миллионов пользователей форума Dota 2 Dev. Новость об этом опубликовала администрация ресурса.
Околосекьюрные новости
С 1 августа в Украине начал действовать принцип «нулевой ответственности» для держателей банковских карт. Что об этом нужно знать клиенту? Подробности на сайте украинской межбанковской Ассоциации членов платежных систем.
Институт стандартов и технологий США (NIST) выступил за отказ от использования SMS-сообщений в качестве этапа двухфакторной аутентификации: такой способ будет запрещен стандартом Digtial Authentication Guideline как небезопасный. Учитывая авторитет данного стандарта и его использование многими госучреждениями США, этот факт может повлиять на подходы к построению систем ИБ в ближайшей перспективе.
Платежное мошенничество в Украине: в виде инфографики опубликованы статистические данные за второй квартал 2016 года.
Департамент киберполиции Национальной полиции Украины сообщает о раскрытии группировки мошенников, создававших фиктивные интернет-магазины, задержании кардеров в Одесской области и ликвидации очередной сети порностудий.
Процесс внедрения голосовой биометрии в одном из банков — для подтверждения личностей клиентов при обращении по телефону — описан в интересной статье. Приведена архитектура решения, особенности и ошибки внедрения, борьба с фродом и процесс регистрации и верификации голосового эталона.
Pandalabs выпустила отчет за второй квартал 2016. Согласно документу, шифровальщики возглавляют список кибер-атак.
Полезности безопаснику
На конференции Black Hat представлен набор инструментов, упрощающих жизнь злоумышленникам и не только, использующим социальную инженерию. Datasploit в автоматическом режиме ищет максимум данных потенциальной жертвы в открытых источниках.
Системы обработки данных при проведении тестов на проникновение: обзор специализированных фреймворков для пентестеров доступен в статье.
Бесплатный инструмент для восстановления доступа к данным, зашифрованным зловредами-вымогателями.
Вишинг: приемы телефонных мошенников и как им противостоять. Занимательная инфографика от ЕМА.
Анонсы мероприятий
Конференция по информационной безопасности Security BSides пройдет в Одессе 27 августа. Подробности мероприятия в календаре и на официальном сайте. Мероприятие бесплатно для посетителей.
Однодневный workshop IT Security Talk состоится в Харькове. Детали о мероприятии на сайте и в календаре DOU.
Юмор
Описанием интереснейшего кросс-платформенного вируса, который не обнаруживается распространенным антивирусным ПО, поделился читатель DOU. Активация зловреда происходит при скачивании любого файла из Сети. Вирус немедленно деактивирует текущее Wi-Fi-соединение, подменяет нажатия клавиш, самостоятельно заполняет данными поля ввода на формах и Бог знает что делает еще: реверс-инжиниринг пока не дал полной картины. Эксперты полагают, что вирус записывается прямо в сигнальные дорожки на клавиатуре.
«Bluetooth-вибраторы шпионят за пользователями и докладывают производителю»: под таким заголовком вышла статья на одном из специализированных ресурсов. О подверженных атакам интимных устройствах можно узнать в опубликованном материале.
Коротко о карьере безопасника:
← Предыдущий выпуск: Information Security дайджест #0.