Information Security дайджест #10: скандальный №6688, конференции, атака на Proton, сбой Slack и Chromecast
Дайджест создан в соавторстве с Павлом Кривко.
00h > Интро
Многие ждали сакральную дату, годовщину «НеПети»...
01h > Горячее
Щедро поливая соусом борьбы с вирусами и киберугрозами, некоторые депутаты пытаются протолкнуть законопроект № 6688, на самом деле обеспечивающий мощную поддержку и развитие цензуры Интернета в Украине. Авторами являются Тымчук, Винник и Татьяна Черновол. Один из авторов поспешил рассказать, как нужен и важен этот закон, и что проводились консультации с экспертным сообществом. В то же самое время все экспертное сообщество выступило единым фронтом против такого законотворчества (раз, два, три, четыре). Кто оказывал консультационную поддержку депутату Тымчуку выяснить так и не смогли. Пресса тоже не обошла тему стороной (тут и вот тут, например). Последовало и заявление от общественных организаций. Пока нет понимания, чем закончится эта история, однако понятно, что тревожный звоночек превратился в паровозный гудок.
Уже началась подготовка самой взрослой и ожидаемой ежегодной конференции по информационной безопасности — UISGCON 14. В этом году конференция состоится 26 октября в центре Киева, в Украинском доме. Обновился и дополнился состав организационного комитета, расширился состав программного комитета. С точки зрения организаторов, это поможет подобрать максимально полезный, актуальный и качественный контент. Также орги вернулись к практике проведения CTF, в организации которого им помогает лаборатория университета Stony Brook, USA. Поиск спикеров начался не так давно и вы можете успеть подать свою заявку — CFP открыт!
В этом году команда BsidesUkraine радует нас, как никогда. Совсем скоро состоится BsidesOdessa, а уже в октябре, сразу после UISGCON, стартует BsidesKyiv Autumn. Подготовка только начинается, но нам уже известно, что формат проведения схож с Одессой — 24 часа нон-стоп практических докладов, воркшопов и конкурсов, неформальное общение и отдых в одном из лучших особняков в Киеве. CFP будет открыт 7 июля, и любой потенциальный спикер сможет принять участие. А вот попасть на конференцию будет сложнее, так как она предполагает приватный статус и систему инвайтов, но это не значит что у тех, кто не получит инвайт, совсем нет шансов! Чтобы быть в курсе подготовки, вы можете следить за процессом и новостями в FB и на сайте, который будет обновлён 7 июня.
02h > Около секьюрити
Сразу несколько популярных сервисов рапортовали о проблемах 27 июня. Например, Proton заявил о DDoS атаке на свою инфраструктуру, Slack информировал о масштабном сбое в работе всех аккаунтов, а следом за этим пользователи по всему миру временно утратили доступ к Google Home и Chromecast. О серьезном сбое в работе своего сервиса в этот же день отмолчался и Telegram — пользователи в США, Европе, Азии и Африке не могли воспользоваться этим сервисом.
Глава департамента киберполиции Украины, Сергей Демедюк, рассказал в эксклюзивном интервью агентству Reuters о готовящейся массивной кибератаке со стороны России, по масштабам сравнимой с прошлогодней. Однако конкретики или технических деталей не привел, поэтому тема, «в чем уязвимость атаки», осталась нераскрытой.
Украинский хакер с ником Михаил Петровский взломал сайт российской певицы Чичериной с последующим размещением на нем провокационных материалов. Также взлому подверглись почтовые ящики ее продюсера и их аккаунты в социальных сетях.
Взлом популярного генеалогического сервиса MyHeritage привел к утечке 92 миллионов учетных записей, включая почтовые адреса и хеши паролей. Со стороны самого сервиса принят комплекс мер, связанных с инцидентом. Интересно, что данная утечка включает в себя и информацию о ДНК некоторых пользователей.
Вышел в релиз Tor Browser 7.5.6.
Немного подробностей о грядущем WPA3, который принесет новый механизм надежной аутентификации и стойкой криптографии в такой небезопасный Wi-Fi.
Firefox внедряет сервис HIBP (Have I Been Pwned) в качестве инструмента безопасности Firefox Monitor и будет уведомлять пользователя о появлении его пароля в свежих ликах.
Сайт Министерства финансов Украины был взломан турецкими хакерами, и defaced-страница электронного журнала «Финансы Украины» провисела в таком состоянии более месяца. После размещения информации в паблике, инцидентом заинтересовалась «Служба безудержных улыбок» и последствия взлома оперативно устранили.
В последний раз о «НеПете», но это не точно :) метрики год спустя.
В очередной раз ребята с Proton не остаются в стороне и публично говорят о проблеме государственных бекдоров.
03h > Интересное
Как известно, WPA3 — это дело уже ближайшего будущего. Кому интересно, чего стоит ожидать от нового протокола, — тыц.
Интересный материал о нашумевшем брутфорсе пасскода в iOS.
Прикольный репозиторий с врайтапами по найденным в последнее время уязвимостям в iOS.
Канал крутого специалиста с целой кучей видео по решению различных CTF.
Известный исследователь кибербезопасности Florian Roth написал интересный материал, который можно условно назвать «таксономией APT-групп». Более детальная информация тут.
Агентство национальной безопасности США опубликовало в открытый доступ свои красочные постеры
04h > Уязвимости && Эксплоиты
Врайтап по DOM XSS в Google VRView библиотеке.
MacOS в очередной раз за последний год радует нас новыми секьюрити багами. На этот раз дело в фиче «Quick Look», которая делает снепшот файлов, в том числе находящихся в крипторазделах. Детальнее тут.
По утверждению исследователей каждый Android девайс за последние 6 лет с памятью LPDDR2, LPDDR3, or LPDDR4 имеет уязвимость, позволяющую получить полный доступ к устройству.
Найденная опасная LPE уязвимость в продуктах линейки SafeGuard от вендора Sophos ставит под удар компании, выбравшие это решение для своей безопасности.
Активация учетной записи пользователя в личном кабинете Укрпошты происходила путем передачи пароля открытым текстом прямо в строке адреса браузера. После возмущения общественности, уязвимость была устранена (но, возможно, есть проблема небезопасного хранения паролей в базе).
05h > Фан
Малварщики тоже люди и им хочется обнимашек. Так, например, разработчик из Турции пытается найти себе девушку.
Не перестают удивлять искрометным юмором и наши, близкие к государственному аппарату, эксперты. Например, одно из недавних интервью уже разбирают на цитаты в профильном комьюнити.
БД — это не всегда про базу данных, а такое себе сокращенное название веселой истории о совместной операции ФБР и киевской прокуратуры по поимке злых хакеров.
SecureMurMur? Новый подкаст на тему кибербеза растормошил украинское комьюнити. «Желчь, ненависть и злоба индустрии кибербезопасности Украины» и довольно милый контент. Что это: чья-то шутка или анонсированный киберудар Кремля? :)
06h > Аутро
...А «НеПетя» взял и не пришел.
← Предыдущий выпуск: Information Security дайджест #9.
