Information Security дайджест #6: F*ck Responsible Disclosure
Дайджест создан в соавторстве с Егором Папышевым.
00h > Интро
В выпуске: #F*ckResponsibleDisclosure, нескончаемые баги в новой MacOS, критическая уязвимость в Exim, уязвимости в сетевых устройствах, взломы популярных сервисов, ивенты OWASP в Украине.
01h > Горячее
Самое яркое событие на ИБ сцене Украины за прошедший месяц — происходящая сейчас акция Украинского киберальянса — #F*ckResponsibleDisclosure. В ходе акции хактивисты публикуют найденные в важных инфраструктурных объектах Украины уязвимости (факапы), и если кратко: все очень плохо. Масса подробностей тут и здесь. Черные и белые бухгалтерии коммерческих структур, многочисленные компрометации государственных ресурсов, служебная переписка «Энергоатома», технические планы «Киевстара», схемы тоннелей спецсвязи от МЧС и многое другое. Выводы неутешительны.
02h > Около секьюрити
Состоялись митапы OWASP Ukraine 2017 Lviv и OWASP Kyiv Meetup Winter 2017, народ общался на достаточно интересные и актуальные темы. По ссылкам уже доступны и видео докладов. Отмечу два явных тренда: аудитория увеличивается и молодеет, качество материалов реально повышается.
Более 2 миллионов аутентификационных данных (email и хэши паролей) пользователей были получены в ходе взлома популярного сервиса Imgur в 2014, и это было в секрете до недавнего времени. По-нашему мнению, это серьезный инцидент, который должен был получить огласку, как только он подтвердился, потому как пользователи часто используют один и тот же email & пароль для множества сервисов.
Но этот инцидент меркнет в сравнении со взломом Uber, в ходе которого злоумышленники получили личные данные более 57М пользователей данного сервиса.
Достаточно печальная и поучительная история одной женщины о том, как данные, которые мы оставляем в сети могут быть использованы против нас в повседневной жизни была опубликована в Wired. Рекомендуем к прочтению.
Все это заставляет задуматься, насколько небезопасным может быть использование популярных сервисов и какие личные данные стоит им доверять.
03h > Интересное
Ресечеры с Privacy Lab и Exodus Privacy нашли более 44 трекеров в 300 приложениях под Android, взятых с Google Play. Задача — сбор самых различных данных о пользователях. Трекеры обнаружены в таких приложениях, как Tinder, AccuWeather, Spotify, Microsoft Outlook.
Обойти Voice Recognition от Amazon и Google оказалось не так уж и сложно, эта фича может использоваться для получения доступа злоумышленниками к различным сервисам упомянутых вендоров. Подробнее тут.
Власти многих стран с каждым годом хотят все больше контролировать как сеть, так и свободу своих граждан. Ярким тому примером есть последнее предложение: один из представителей власти призывает внедрить бэкдор в каждое цифровое устройство.
Проснулся ботнет Satori, который насчитывает более 280К ботов и ведет активное сканирование девайсов, предположительно — с целью их дальнейшей эксплуатации. Подробности тут.
Силовики Беларуси отчитались о задержании Сергея Ярец, в андеграунде известного под ником Ar3s, по подозрению в создании и распространении вредоносного ПО и одного из самых больших ботнетов — Andromeda.
04h > Уязвимости && Эксплоиты
Забавный баг был найден в MacOS High Sierra 10.13.(1-2) версиях, позволяющий любому пользователю войти в систему как root, введя пустой пароль. Проблема решается установкой соответствующего патча. На нашей памяти High Sierra — один из самых нестабильных релизов MacOS за последние несколько лет.
Более 400K серверов, на которых установлен уязвимый Exim, могут быть взломаны через RCE уязвимость и PoC достаточно простой. То есть сделать полноценный «боевой» эксплоит на его основе — тривиальная задача. Вы спрашиваете, зачем нужен Shodan?
Сетевые девайсы не исключения, и в этом месяце появился свежий эксплойт под
05h > Фан
Twitter «Поліція Київщини» был взломан неизвестными активистами, которые разместили шуточный пост для привлечения внимания к проблеме информационной безопасности, хранению паролей вида mvd123 в текстовых файлах на виндовых шарах and so on. Для справедливости следует отметить, что полиция адекватно отреагировала на инцидент.
В связи с последними багами в MacOS High Sierra, ребята сделали свой high-end фаззер под целевую операционную систему. Детальнее тут.
Когда наконец-то смог получить meterpreter shell.
Если вы вдруг заметили, что ваш коллега или близкий начал употреблять слова VPN\Tor\Telegram, либо увлекается солями для ванн и любит быстро ездить, можете попробовать узнать, кто его дилер.
06h > Аутро
В качестве аутро хотим обратить внимание наших читателей на проблему массовых утечек информации с популярных сервисов, критических элементов государственной инфраструктуры, повсеместному трекингу пользователей вендорами. Все то, о чем раньше предупреждали эксперты, стало реальностью. Пора надевать шапочку из фольги задуматься о собственной цифровой гигиене и безопасности в киберпространстве :)
← Предыдущий выпуск: Information Security дайджест #5.