Information Security дайджест #7: насколько вы доверяете вендорам?

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

Приветствуем! В этом выпуске: уязвимости в продуктах известных вендоров, организаторы NoNameCon запускают CFP, M.E.Doc снова в центре внимания.

01h > Горячее

Однозначно самое знаменательное и отчасти скандальное событие в отрасли информационной безопасности — обнародование уязвимостей в современных процессорах: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754. И публикация вариантов их эксплуатации (PDF): Meltdown, Spectre. Более подробно со всем этим можно разобраться, прочитав статью ребят из Project Zero. С наглядной демонстрацией использования Meltdown можно ознакомиться тут.

Отдельно стоит рассказать о драме, которая развернулась в сети после предложенных патчей, которые затрагивают производительность системы в целом. Очень много людей жаловалось на то, что после применения патчей совсем невозможно играть\работать\открыть терминал или упал сервер на AWS\Azure. Если некоторые жалобы были обоснованы лишь паникой и суетой, то патчи от Microsoft сделали свое темное дело, вследствие чего пропатченные OC перестали работать на старых процессорах AMD, как собственно перестали грузиться и некоторые виртуалки на Azure.

02h > Около секьюрити

Организаторы NoNameCon начали поиск докладчиков, открыв официальный CFP. Конференция обещает быть крутой, так что откладываем всё и спешим отправлять заявки! ;)

Все большее количество людей начинает интересовать приватность личных данных в сети, появляется много вендоров, которые обещают помочь в этом нелегком деле. Для того чтобы не запутаться во всем этом многообразии, рекомендуем посетить ресурс privacytools. Там можно найти описание продуктов, на которые стоит обратить внимание при выборе тех или иных технических средств.

Уже стало доброй традицией, что Россия оказывается в центре международного скандала с хакерами, взломом и экстрадицией.

Достаточно забавная новость о том, что ребята, которые разрабатывали криптолокеры, переходят на майнинг Monero, что в принципе не удивительно. На данный момент достаточно большое количество взломанных серверов, веб-ресурсов, персональных компьютеров устанавливают различные виды майнеров криптовалют.

Я думаю, что большинство наших читателей помнят плачевную ситуацию вокруг M.E.Doc и роли этого вендора в масштабной атаке на инфраструктуру Украины. Судя по посту Sean Townsend — урок так и не был извлечен. У нас всего один вопрос: «Доколе?».

03h > Интересное

Пользователь Twitter YoptaScript пишет, что разработал 0-Day RCE эксплойт под Google Chrome. Если это правда, то стоимость этого инструмента на черном рынке может достичь сумм c 5-ю нулями.

Если раньше через поисковые системы находили админки IP камер, то с развитием технологий IoT будет не удивительным, если в ближайшее время можно будет заказать еду для человека, живущего на другом континенте, через открытую админпанель холодильника, которую проиндексировал Google, как, например, сейчас можно мониторить состояния системы терморегуляции помещения.

Очень интересный материал о нахождении и эксплуатации 15-летней уязвимости в MacOS. Всячески рекомендуем ко вдумчивому прочтению. Сложно представить, сколько еще багов с многолетней историей таится в недрах операционных систем.

04h > Уязвимости && Эксплоиты

Появилась свеженькая RCE в Oracle Weblogic, основанная на уязвимости в механизмах десериализации.

Также исследователи не обошли стороной и продукты Cisco, в результате чего выкатили в свет замечательную RCE под Cisco IOS.

LPE на Linux системах через уязвимость в VMWare Workstation.

В современном мире, наверное, уже никого не удивить различными backdoor в продуктах мировых брендов. На этот раз оный был найден в D-Link DNS-320.

Уязвимость в ОС Sony PS4 версии 4.05 позволяет сделать джейлбрейк и обойти механизмы защиты контента.

05h > Фан

Свой антивирус для родителей предложил один из пользователей Twitter. Мы уверены, что в наших реалиях это также подойдет большинству пользователей ПК.

На фоне бурного обсуждения, какие CPU уязвимы к Spectre & MeltDown, а какие нет, эта картинка предельно просто проясняет ситуацию.

06h > Аутро

Мы наблюдаем забавную тенденцию увеличения количества уязвимостей, эксплоитов, проблем с кибербезопасностью в продуктах известных брендов, которые годами могли бы эксплуатироваться злоумышленниками, организациями, государствами. Неужели в скором времени наш мир будет находиться в состоянии перманентной и всепоглощающей кибервойны на всех уровнях и во всех сферах жизни человека?


← Предыдущий выпуск: Information Security дайджест #6.

Похожие статьи:
Я — Маріанна Гринишин, засновниця і керівниця рекрутингового агентства AboutHR. З 2014 року я з командою підбираю розробників від мідлів...
Співробітникам ІТ-компанії SQUAD повідомили, що команду відправляють в оплачувану відпустку на два тижні. Про це написало джерело...
Міністерство з питань стратегічних галузей промисловості розширило перелік критеріїв, які дають підставу для бронювання від 50%...
Найбільша у світі компанія-виробник напівпровідникових елементів та пристроїв Intel остаточно зупиняє свою діяльність у росії...
По просьбе DOU IT-специалисты поделились ошибками, с которыми приходилось сталкиваться, в построении архитектуры ПО, выборе...
Яндекс.Метрика