Information Security дайджест #6: F*ck Responsible Disclosure

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

В выпуске: #F*ckResponsibleDisclosure, нескончаемые баги в новой MacOS, критическая уязвимость в Exim, уязвимости в сетевых устройствах, взломы популярных сервисов, ивенты OWASP в Украине.

01h > Горячее

Самое яркое событие на ИБ сцене Украины за прошедший месяц — происходящая сейчас акция Украинского киберальянса — #F*ckResponsibleDisclosure. В ходе акции хактивисты публикуют найденные в важных инфраструктурных объектах Украины уязвимости (факапы), и если кратко: все очень плохо. Масса подробностей тут и здесь. Черные и белые бухгалтерии коммерческих структур, многочисленные компрометации государственных ресурсов, служебная переписка «Энергоатома», технические планы «Киевстара», схемы тоннелей спецсвязи от МЧС и многое другое. Выводы неутешительны.

02h > Около секьюрити

Состоялись митапы OWASP Ukraine 2017 Lviv и OWASP Kyiv Meetup Winter 2017, народ общался на достаточно интересные и актуальные темы. По ссылкам уже доступны и видео докладов. Отмечу два явных тренда: аудитория увеличивается и молодеет, качество материалов реально повышается.

Более 2 миллионов аутентификационных данных (email и хэши паролей) пользователей были получены в ходе взлома популярного сервиса Imgur в 2014, и это было в секрете до недавнего времени. По-нашему мнению, это серьезный инцидент, который должен был получить огласку, как только он подтвердился, потому как пользователи часто используют один и тот же email & пароль для множества сервисов.

Но этот инцидент меркнет в сравнении со взломом Uber, в ходе которого злоумышленники получили личные данные более 57М пользователей данного сервиса.

Достаточно печальная и поучительная история одной женщины о том, как данные, которые мы оставляем в сети могут быть использованы против нас в повседневной жизни была опубликована в Wired. Рекомендуем к прочтению.

Все это заставляет задуматься, насколько небезопасным может быть использование популярных сервисов и какие личные данные стоит им доверять.

03h > Интересное

Ресечеры с Privacy Lab и Exodus Privacy нашли более 44 трекеров в 300 приложениях под Android, взятых с Google Play. Задача — сбор самых различных данных о пользователях. Трекеры обнаружены в таких приложениях, как Tinder, AccuWeather, Spotify, Microsoft Outlook.

Обойти Voice Recognition от Amazon и Google оказалось не так уж и сложно, эта фича может использоваться для получения доступа злоумышленниками к различным сервисам упомянутых вендоров. Подробнее тут.

Власти многих стран с каждым годом хотят все больше контролировать как сеть, так и свободу своих граждан. Ярким тому примером есть последнее предложение: один из представителей власти призывает внедрить бэкдор в каждое цифровое устройство.

Проснулся ботнет Satori, который насчитывает более 280К ботов и ведет активное сканирование девайсов, предположительно — с целью их дальнейшей эксплуатации. Подробности тут.

Силовики Беларуси отчитались о задержании Сергея Ярец, в андеграунде известного под ником Ar3s, по подозрению в создании и распространении вредоносного ПО и одного из самых больших ботнетов — Andromeda.

04h > Уязвимости && Эксплоиты

Забавный баг был найден в MacOS High Sierra 10.13.(1-2) версиях, позволяющий любому пользователю войти в систему как root, введя пустой пароль. Проблема решается установкой соответствующего патча. На нашей памяти High Sierra — один из самых нестабильных релизов MacOS за последние несколько лет.

Более 400K серверов, на которых установлен уязвимый Exim, могут быть взломаны через RCE уязвимость и PoC достаточно простой. То есть сделать полноценный «боевой» эксплоит на его основе — тривиальная задача. Вы спрашиваете, зачем нужен Shodan?

Сетевые девайсы не исключения, и в этом месяце появился свежий эксплойт под D-Link DIR-850L. Также найдены многочисленные CVE-2017-822(1-5) уязвимости в Wireless IP Camera (P2P) WIFICAM, RCE. Во избежание записи хоум видео с вашим участием посторонними лицами, рекомендуем хотя бы раз в квартал обновлять прошивки ваших девайсов.

05h > Фан

Twitter «Поліція Київщини‏» был взломан неизвестными активистами, которые разместили шуточный пост для привлечения внимания к проблеме информационной безопасности, хранению паролей вида mvd123 в текстовых файлах на виндовых шарах and so on. Для справедливости следует отметить, что полиция адекватно отреагировала на инцидент.

В связи с последними багами в MacOS High Sierra, ребята сделали свой high-end фаззер под целевую операционную систему. Детальнее тут.

Когда наконец-то смог получить meterpreter shell.

Если вы вдруг заметили, что ваш коллега или близкий начал употреблять слова VPN\Tor\Telegram, либо увлекается солями для ванн и любит быстро ездить, можете попробовать узнать, кто его дилер.

06h > Аутро

В качестве аутро хотим обратить внимание наших читателей на проблему массовых утечек информации с популярных сервисов, критических элементов государственной инфраструктуры, повсеместному трекингу пользователей вендорами. Все то, о чем раньше предупреждали эксперты, стало реальностью. Пора надевать шапочку из фольги задуматься о собственной цифровой гигиене и безопасности в киберпространстве :)


← Предыдущий выпуск: Information Security дайджест #5.

Похожие статьи:
[От редакции: автор статьи попросил сохранить его анонимность] Рабочий день закончился, ты чувствуешь себя вполне уставшим, пытаешься...
Какие угрозы таит быстрый вывод новых продуктов на рынок, нелепые ошиби разработчиков, способные подставить под удар любую систему,...
Ссылки, на которые лучше таки нажать (по мнению автора), отмечены знаком (!) Java Next (!) Вышла JDK 10, и это значит, что ваша Java 9 уже...
Всем привет! После небольшого затишья, вызванного сменой работы автора, PM дайджест возвращается. О том, как стать немного...
Щомісяця ми дивимося, що відбувалося на jobs.dou.ua з вакансіями, відгуками та активністю компаній. Найцікавіше...
Яндекс.Метрика