Information Security дайджест #8: ”Новая Почта”, Memcached, PS4, Apple
Дайджест создан в соавторстве с Егором Папышевым.
00h > Интро
В выпуске: фейковый мобильный банкинг, таргеритующий пользователей украинских банков, компрометация базы клиентов «Новой Почты» с их персональными данными, очередные баги в продуктах Apple и прочие интересности.
01h > Горячее
В феврале этого года в Google Play появилось вредоносное приложение «Универсальный мобильный банкинг». Целью мошенников были клиенты крупных украинских банков. С разбором инцидента от специалистов Cys Centrum можно ознакомиться тут.
Также в начале месяца всплыл факт компрометации базы клиентов компании «Новая Почта», которая продавалась неизвестными злоумышленниками за символическую сумму. Но, судя по всему, лица, продававшие базу с персональными данными, были наказаны.
Разного рода скандалы вокруг качества программного обеспечения Apple в последнее время стали доброй традицией. Так например, сообщения, содержащие специально созданный текст, отправили в нокаут не одну сотню яблочных девайсов. Подробнее о баге — на The Verge.
02h > Около секьюрити
На тему необходимости обеспечения приватности в сети, как и безопасности электронной почты, написали ребята из ProtonMail. На данный момент у них есть несколько бесплатных сервисов, включая EMail и VPN. Если вам необходим бесплатный VPN или защищенная почта, рекомендуем обратить внимание на эти сервисы.
Внезапно ники пользователей XBox были заменены реальными именем и фамилией. Подробнее на Kotaku.
The Los Angeles Times стал жертвой злоумышленников, используя неправильно сконфигурированный S3. Майнер был размещен в одном из скриптов новостного сайта.
Любителям Raspberry Pi будет интересна инструкция по настройке Pi-Hole и OpenVPN на своем девайсе.
Материал о применении искусственного интеллекта для противодействия кибератакам.
03h > Интересное
Популярный инструмент для исследования исполняемых бинарных файлов IDA содержал уязвимость, позволяющую выполнять произвольный код на целевой системе.
Интересный материал об обходе ASLR на Linux написал исследователь @blackzert из PTSecurity. Рекомендуем к обязательному ознакомлению.
Анализ бэкдора Coldroot под OSX. Да-да, читатель, для твоего любимого MacBook также существует различного рода вредоносное программное обеспечение.
Пример статического анализа и распаковки малвари. В данном материале фигурирует бэкдор, таргетирующий пользователей бразильских банков.
В Skype была найдена уязвимость, которую будет сложно исправить без полного аудита кода.
04h > Уязвимости && Эксплоиты
Замечательный врайтап по нахождению и эксплуатации уязвимостей в PS4. Части материала: первая, вторая, третья.
Еще один врайтап по эксплуатации PS4. На этот раз через уязвимость в WebKit.
Пример эксплойта под Metasploit на редко встречающуюся в наше время уязвимость «Stack-Based Buffer OverFlow» в CloudMe Sync.
Мисконфигурация сервера memcached позволяет злоумышленникам использовать сервер для амплификации DDoS-атак. Эксплойт.
Множественные уязвимости в Trend Micro Email Encryption Gateway.
05h > Фан
Когда собрался написать эксплойт уровня ядра, но не знаешь с чего начать.
Когда решил заняться багбаунти, но хакнул не того вендора.
06h > Аутро
В этом выпуске вместо аутро мы хотим порекомендовать к прочтению «Don’t click shit» от Volodymyr Styran. Данный текст содержит много полезной информации о личной безопасности в информационном пространстве.
← Предыдущий выпуск: Information Security дайджест #7.
