Information Security дайджест #9: Rabota.ua, NoNameCon, GDPR, Nintendo Switch

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

Друзья, просим прощения за длительное отсутствие. Были в преддверии GDPR очень заняты — уверены, вы понимаете, о чем мы :) Надеемся вам понравится выпуск, поехали!

01h > Горячее

25-го мая 2018 года вступает в силу GDPR. Помимо увеличения количества бумажной работы для отделов ИБ, некоторые компании сворачивают свой бизнес в EU, потому как не могут выполнить требования регламента.

Интересный способ хранения паролей придумали ребята из Rabota.ua. Как вы могли догадаться, предложенная выборка паролей была успешно расшифрована энтузиастом. Однако в итоге история завершилась хорошо.

Известная команда специалистов кибербеза MalwareHauterTeam опубликовала у себя в Twitter информацию о том, что украинский государственный ресурс «Национальная школа судей» уже 2 года как хостит фишинговую страницу.

Забавный инцидент произошел с ресурсом Министерства энергетики и угольной промышленности Украины. Есть информация о том, что он был взломан школьником из Марокко, как и ряд других ресурсов *.gov.ua.

На следующей неделе состоится одна из топовых в Украине конференций по информационной безопасности NoNameCon.

02h > Около секьюрити

Простой и понятный материал от ребят из ProtonMail о том, как сделать свою электронную почту безопасней. Кстати, лишний повод напомнить вам об этом сервисе с юрисдикцией в Швейцарии.

Вариант майнинга криптовалюты Monero. На этот раз с использованием RPC в торрент-клиенте rTorrent. Способ не замысловатый, но сама идея интересная :)

Любимый многими нашими коллегами дистр Kali Linux теперь доступен в Microsoft App Store.

Один из судов России таки постановил заблокировать кроссплатформенный мессенджер Telegram. Но в неравной борьбе Telegram VS РКН побеждает первый. На данный момент ситуация примерно такая.

Прикольный комикс о том, как работает и зачем нужен HTTPS. Нам понравился :)

03h > Интересное

Интересный репозиторий на GitHub с коллекцией кампаний APT-групп и киберкриминала. Ценный как для ознакомления, так и для детального анализа.

Рассказ одного парня о том, как он смог обойти двухфакторную аутентификацию Google и заработать шальных деньжат.

Идея захвата управления над сетевыми устройствами не нова, но в этот раз, в ходе масштабной APT кампании по имплантам в роутерах Mikrotik, она заиграла новыми красками.

По традиции немного реверс-инженерии. На этот раз небольшой и простой материал о Linux и ARM64, рекомендуем к прочтению тем, кто только начинает свой путь в этом направлении.

Новая кампания нелегального майнинга криптовалюты Electroneum, интересная тем, что для захвата вычислительных мощностей используется уязвимость в IIS 6.0 годичной давности.

Интересный материал о том, что даже самые безопасные (по заверениям создателей и мнению комьюнити) приложения могут не очень приятно удивлять, как это сделал Signal.

В Nintendo Switch нашли серьезную хардварную уязвимость, которую невозможно запатчить. В подтверждение своих слов исследователи запустили Linux на хакнутой Switch.

04h > Уязвимости && Эксплоиты

Новенький LPE эксплоит под Ubuntu 16.04 c ядром < 4.4.0. Не забываем патчить :)

Эксплойт под новую версию прошивки PS4, многие уже не дождутся, когда же можно будет снимать DRM. Возможно, это дело обозримого будущего, хотя мы сомневаемся.

Была найдена критическая уязвимость в одной из популярных CMS Drupal. Последующая волна взломов была названа DrupalGeddon.

Интересный баг с integer overflow в движке V8 Google Chrome.

05h > Фан

Тот случай, когда был несколько часов погружен в работу и отвлекся на пару секунд.

Когда в очередной раз приложение крашится во время security assessment.

Что нас ждет после вступления в силу GDPR.

06h > Аутро

В качестве аутро хотим сообщить о создании локального комьюнити DefCon Group Kiev DC8044. Движ уже начался — присоединяйтесь.

Спасибо, что остаетесь с нами и успехов! ;)


← Предыдущий выпуск: Information Security дайджест #8.

Похожие статьи:
Щомісяця редакція публікує у Стрічці понад 40 статей, які збирають близько 1 мільйона переглядів. Нам цікаво дізнатися, що вам...
Компания Fujitsu представила новое производительное устройство 2-в-1 STYLISTIC R726, сочетающее в себе преимущества ноутбука и...
[DOU Hobby — рубрика о нетехнических проектах IT-специалистов: творчество, интересное хобби и другие lifestyle-достижения....
Южнокорейская компания LG Electronics объявила о достижении в прошедшем четвертом квартале 2015 года операционной...
[Об авторе: Владимир Железняк — пишет код, управляет проектами. Два раза дауншифтился с менеджерских...
Яндекс.Метрика