Information Security дайджест #5: неудержимое возвращение
00h > Интро
В выпуске: ханипоты по-нашему, отшумел UISGCON13, разведение кроликов, WPA садись Два, NoNameCon спойлеры, очередное решето в MS Office и многое другое. Здравствуйте, друзья!
01h > Горячее
Как всегда, неожиданно, 24 октября, произошла атака вируса шифровальщика версии Diskcoder.D (Bad Rabbit) на инфраструктуру государственных (в большей степени) и частных (в значительно меньшей) компаний. СБУ, КиберПолиция, CERT-UA тут же наплодили отчетов, разной степени вменяемости и не похожих друг на друга. Причем сначала писали почему-то про Locky и ботнет Necurs, потом посмотрели аналитику ESET, CISCO TALOS и других взрослых, ну и решили поддержать тренд. На самом деле даже средней руки ресечер может провести явные параллели с атакой от 27 июня, маскировкой вектора под «drive-by-download» тогда и сейчас, сложить 1+1 и понять, что целью была именно Украина, атаку реализовала одна и та же группа, а реальный вектор до сих пор неизвестен. Кстати, табличка, как вишенка на торте. Ня ^_^!
02h > Околосекурити
Долго сомневался, что же вынести в ТОП рубрики. Прежде всего, это собственно про сам дайджест: мы вернулись. Я говорю мы, потому как теперь пишу этот материал в соавторстве с киберсекьюрити специалистом — Павлом.
Ханипоты. У ребят, известных под названием CERT-UA, есть свой рецепт по наливанию меда в горшочки. Они оставили учетные данные к своему SMTP серверу в открытом виде. Пароль легко «угадывался между строк», скажем так. Основное обсуждение крутилось на Facebook. Стоит отдать должное самому CERT-UA: они хоть и с небольшим опозданием, но опубликовали новость об инциденте, с пояснением что к чему. И да, это был не ханипот.
В Киеве состоялась очередная, ежегодная конференция по информационной и кибербезопасности, UISGCON13. Было здорово, как всегда. Выступала тетя Ким Зеттер (написавшая книжку про Stuxnet), дядьки из CISCO TALOS (которые дезинтегрировали атаку NotPetya на молекулы) и другие. По горячим следам вышел уютный репортажик. Говорят, под конец w8hat пили на брудершафт с блэками, но это не точно.
Лаборатория Касперского, в очередной раз, оказалась в центре международного шпионско-хакерского скандала. Подробнее глядите в статье NYT. Спецслужбы Израиля поймали за руку обруганцев. Сам Евгений сообщил, что случайно получилось. И еще раз сообщил в стиле #ихтамнет. Думается, что после всего этого, путь продукта Касперского на рынки США и Европы «заказан».
Некие организаторы заспойлерили подготовку новой, тематической конфы. Пока известно только вот. Похоже, это будет гремучая смесь BruCON и Defcon. Два дня, в формате одного потока, с разбивкой на «защиту-нападение». Без лирики, много практики и воркшопов. В Украине? Да.
Не только лишь все пойдут на мероприятие от OWASP Lviv chapter, 18 ноября. Говорить будут про интересное, детали можно найти тут.
03h > Статьи
Google Project Zero продолжает радовать отличными техническими статьями. На этот раз продолжение цикла «Over The Air», эксплуатация уязвимостей в Wi-Fi стеке девайсов Apple. Всячески рекомендуем этот ресурс.
Довольно любопытный материал про эксплуатацию BLE в игрушках для взрослых. Авторы вводят новый термин «screwdriving», цитата: «hunting for Bluetooth adult toys = screwdriving». Готовящимся к сдаче CEHv10 стоит взять на заметку новый термин, а любителям хай-енд девайсов для пикантных развлечений — начинать искать контакты консультантов по ИБ. Кстати! Представляете спрос в магазинах «интим» у метро, когда там появятся «защищенные» девайсы? Я просто не могу удержать в голове волну идей для страп... сорри, стартапов на этой невспаханной почве.
Решения в области информационной безопасности тоже могут быть не вполне безопасными. Например, в этой статье рассказывают о том, как можно узнать IP сервера, спрятанного за CloudFlare.
04h > Уязвимости & эксплоиты
Целый ряд уязвимостей WPA2 был опубликован исследователем Mathy Vanhoef, техника эксплуатации данных уязвимостей названа KRACK.
В продуктах от Microsoft найдены неприятные уязвимости, так MS Outlook не шифровал отправляемые S/MIME письма, подробнее тут. А в MS Office обнаружена опасная RCE. Важно отметить, что в Outlook эта DDE атака тоже интересно реализовывается. Тема очень актуальна прямо сейчас, юзерам указанных продуктов есть от чего напрягаться.
В MSF добавлен эксплоит под Apache Tomcat, позволяющий выполнять произвольный код на уязвимом сервере, что несомненно будет «радовать» коллег из Индии еще не один месяц.
Новенький LPE эксплоит под ядро Linux 4.14.0-rc4+ может помочь таки получить вожделенный «uid=0(root)» начинающим скрипткидди и прочим советникам.
05h > Фан
Мировое сообщество активно и с юмором отреагировало на приключения ЛК в сетях NSA, нам больше всего понравился этот пост.
Маленькие любители анархии и хактивизма уже начали смотреть новый сезон Mr. Robot, стартовавший в октябре 2017, обещающий быть не менее интересным и трешовым.
Иранские хакеры атаковали Deloitte через фейковый профиль тян в Facebook. Вообще данный прием пользуется популярностью не только у хакеров, но также и сотрудников «органов» различных сортов, будьте бдительны.
06h > Аутро
Хотим сказать большое спасибо всем читателям! Если у вас есть замечания, предложения к формату дайджеста или интересный материал, который вы бы хотели видеть в следующих выпусках — пишите в комментариях или в личных сообщениях. Будем рады конструктивному общению ;)
← Предыдущий выпуск: Information Security дайджест #4.