Information Security дайджест #7: насколько вы доверяете вендорам?
Дайджест создан в соавторстве с Егором Папышевым.
00h > Интро
Приветствуем! В этом выпуске: уязвимости в продуктах известных вендоров, организаторы NoNameCon запускают CFP, M.E.Doc снова в центре внимания.
01h > Горячее
Однозначно самое знаменательное и отчасти скандальное событие в отрасли информационной безопасности — обнародование уязвимостей в современных процессорах: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754. И публикация вариантов их эксплуатации (PDF): Meltdown, Spectre. Более подробно со всем этим можно разобраться, прочитав статью ребят из Project Zero. С наглядной демонстрацией использования Meltdown можно ознакомиться тут.
Отдельно стоит рассказать о драме, которая развернулась в сети после предложенных патчей, которые затрагивают производительность системы в целом. Очень много людей жаловалось на то, что после применения патчей совсем невозможно играть\работать\открыть терминал или упал сервер на AWS\Azure. Если некоторые жалобы были обоснованы лишь паникой и суетой, то патчи от Microsoft сделали свое темное дело, вследствие чего пропатченные OC перестали работать на старых процессорах AMD, как собственно перестали грузиться и некоторые виртуалки на Azure.
02h > Около секьюрити
Организаторы NoNameCon начали поиск докладчиков, открыв официальный CFP. Конференция обещает быть крутой, так что откладываем всё и спешим отправлять заявки! ;)
Все большее количество людей начинает интересовать приватность личных данных в сети, появляется много вендоров, которые обещают помочь в этом нелегком деле. Для того чтобы не запутаться во всем этом многообразии, рекомендуем посетить ресурс privacytools. Там можно найти описание продуктов, на которые стоит обратить внимание при выборе тех или иных технических средств.
Уже стало доброй традицией, что Россия оказывается в центре международного скандала с хакерами, взломом и экстрадицией.
Достаточно забавная новость о том, что ребята, которые разрабатывали криптолокеры, переходят на майнинг Monero, что в принципе не удивительно. На данный момент достаточно большое количество взломанных серверов, веб-ресурсов, персональных компьютеров устанавливают различные виды майнеров криптовалют.
Я думаю, что большинство наших читателей помнят плачевную ситуацию вокруг M.E.Doc и роли этого вендора в масштабной атаке на инфраструктуру Украины. Судя по посту Sean Townsend — урок так и не был извлечен. У нас всего один вопрос: «Доколе?».
03h > Интересное
Пользователь Twitter YoptaScript пишет, что разработал
Если раньше через поисковые системы находили админки IP камер, то с развитием технологий IoT будет не удивительным, если в ближайшее время можно будет заказать еду для человека, живущего на другом континенте, через открытую админпанель холодильника, которую проиндексировал Google, как, например, сейчас можно мониторить состояния системы терморегуляции помещения.
Очень интересный материал о нахождении и эксплуатации
04h > Уязвимости && Эксплоиты
Появилась свеженькая RCE в Oracle Weblogic, основанная на уязвимости в механизмах десериализации.
Также исследователи не обошли стороной и продукты Cisco, в результате чего выкатили в свет замечательную RCE под Cisco IOS.
LPE на Linux системах через уязвимость в VMWare Workstation.
В современном мире, наверное, уже никого не удивить различными backdoor в продуктах мировых брендов. На этот раз оный был найден в
Уязвимость в ОС Sony PS4 версии 4.05 позволяет сделать джейлбрейк и обойти механизмы защиты контента.
05h > Фан
Свой антивирус для родителей предложил один из пользователей Twitter. Мы уверены, что в наших реалиях это также подойдет большинству пользователей ПК.
На фоне бурного обсуждения, какие CPU уязвимы к Spectre & MeltDown, а какие нет, эта картинка предельно просто проясняет ситуацию.
06h > Аутро
Мы наблюдаем забавную тенденцию увеличения количества уязвимостей, эксплоитов, проблем с кибербезопасностью в продуктах известных брендов, которые годами могли бы эксплуатироваться злоумышленниками, организациями, государствами. Неужели в скором времени наш мир будет находиться в состоянии перманентной и всепоглощающей кибервойны на всех уровнях и во всех сферах жизни человека?
← Предыдущий выпуск: Information Security дайджест #6.