Information Security дайджест #7: насколько вы доверяете вендорам?

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

Приветствуем! В этом выпуске: уязвимости в продуктах известных вендоров, организаторы NoNameCon запускают CFP, M.E.Doc снова в центре внимания.

01h > Горячее

Однозначно самое знаменательное и отчасти скандальное событие в отрасли информационной безопасности — обнародование уязвимостей в современных процессорах: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754. И публикация вариантов их эксплуатации (PDF): Meltdown, Spectre. Более подробно со всем этим можно разобраться, прочитав статью ребят из Project Zero. С наглядной демонстрацией использования Meltdown можно ознакомиться тут.

Отдельно стоит рассказать о драме, которая развернулась в сети после предложенных патчей, которые затрагивают производительность системы в целом. Очень много людей жаловалось на то, что после применения патчей совсем невозможно играть\работать\открыть терминал или упал сервер на AWS\Azure. Если некоторые жалобы были обоснованы лишь паникой и суетой, то патчи от Microsoft сделали свое темное дело, вследствие чего пропатченные OC перестали работать на старых процессорах AMD, как собственно перестали грузиться и некоторые виртуалки на Azure.

02h > Около секьюрити

Организаторы NoNameCon начали поиск докладчиков, открыв официальный CFP. Конференция обещает быть крутой, так что откладываем всё и спешим отправлять заявки! ;)

Все большее количество людей начинает интересовать приватность личных данных в сети, появляется много вендоров, которые обещают помочь в этом нелегком деле. Для того чтобы не запутаться во всем этом многообразии, рекомендуем посетить ресурс privacytools. Там можно найти описание продуктов, на которые стоит обратить внимание при выборе тех или иных технических средств.

Уже стало доброй традицией, что Россия оказывается в центре международного скандала с хакерами, взломом и экстрадицией.

Достаточно забавная новость о том, что ребята, которые разрабатывали криптолокеры, переходят на майнинг Monero, что в принципе не удивительно. На данный момент достаточно большое количество взломанных серверов, веб-ресурсов, персональных компьютеров устанавливают различные виды майнеров криптовалют.

Я думаю, что большинство наших читателей помнят плачевную ситуацию вокруг M.E.Doc и роли этого вендора в масштабной атаке на инфраструктуру Украины. Судя по посту Sean Townsend — урок так и не был извлечен. У нас всего один вопрос: «Доколе?».

03h > Интересное

Пользователь Twitter YoptaScript пишет, что разработал 0-Day RCE эксплойт под Google Chrome. Если это правда, то стоимость этого инструмента на черном рынке может достичь сумм c 5-ю нулями.

Если раньше через поисковые системы находили админки IP камер, то с развитием технологий IoT будет не удивительным, если в ближайшее время можно будет заказать еду для человека, живущего на другом континенте, через открытую админпанель холодильника, которую проиндексировал Google, как, например, сейчас можно мониторить состояния системы терморегуляции помещения.

Очень интересный материал о нахождении и эксплуатации 15-летней уязвимости в MacOS. Всячески рекомендуем ко вдумчивому прочтению. Сложно представить, сколько еще багов с многолетней историей таится в недрах операционных систем.

04h > Уязвимости && Эксплоиты

Появилась свеженькая RCE в Oracle Weblogic, основанная на уязвимости в механизмах десериализации.

Также исследователи не обошли стороной и продукты Cisco, в результате чего выкатили в свет замечательную RCE под Cisco IOS.

LPE на Linux системах через уязвимость в VMWare Workstation.

В современном мире, наверное, уже никого не удивить различными backdoor в продуктах мировых брендов. На этот раз оный был найден в D-Link DNS-320.

Уязвимость в ОС Sony PS4 версии 4.05 позволяет сделать джейлбрейк и обойти механизмы защиты контента.

05h > Фан

Свой антивирус для родителей предложил один из пользователей Twitter. Мы уверены, что в наших реалиях это также подойдет большинству пользователей ПК.

На фоне бурного обсуждения, какие CPU уязвимы к Spectre & MeltDown, а какие нет, эта картинка предельно просто проясняет ситуацию.

06h > Аутро

Мы наблюдаем забавную тенденцию увеличения количества уязвимостей, эксплоитов, проблем с кибербезопасностью в продуктах известных брендов, которые годами могли бы эксплуатироваться злоумышленниками, организациями, государствами. Неужели в скором времени наш мир будет находиться в состоянии перманентной и всепоглощающей кибервойны на всех уровнях и во всех сферах жизни человека?


← Предыдущий выпуск: Information Security дайджест #6.

Похожие статьи:
В рубрике DOU Проектор все желающие могут презентовать свой продукт (как стартап, так и ламповый pet-проект). Если вам есть о чем...
15 лютого в офіс ІТ-компанії MacPaw і будинок її засновника Олександра Косована прийшли з обшуками, які тривали майже весь...
Від групи компаній EVO-Rozetka в окрему компанію відділився цифровий сервіс «Вчасно» та майданчик для закупівель ZakupkiProm....
Компания TSMC заявила, что работает вместе с ARM над 7-нм технологией производства процессоров FinFET. Она, как ожидается,...
Writing essays can be a difficult process, mainly because writers haven’t properly followed good practice when embarking on their essay. So, with this in mind, here are some tips to make your essay as good...
Яндекс.Метрика