Information Security дайджест #10: скандальный №6688, конференции, атака на Proton, сбой Slack и Chromecast

Дайджест создан в соавторстве с Павлом Кривко.

00h > Интро

Многие ждали сакральную дату, годовщину «НеПети»...

01h > Горячее

Щедро поливая соусом борьбы с вирусами и киберугрозами, некоторые депутаты пытаются протолкнуть законопроект № 6688, на самом деле обеспечивающий мощную поддержку и развитие цензуры Интернета в Украине. Авторами являются Тымчук, Винник и Татьяна Черновол. Один из авторов поспешил рассказать, как нужен и важен этот закон, и что проводились консультации с экспертным сообществом. В то же самое время все экспертное сообщество выступило единым фронтом против такого законотворчества (раз, два, три, четыре). Кто оказывал консультационную поддержку депутату Тымчуку выяснить так и не смогли. Пресса тоже не обошла тему стороной (тут и вот тут, например). Последовало и заявление от общественных организаций. Пока нет понимания, чем закончится эта история, однако понятно, что тревожный звоночек превратился в паровозный гудок.

Уже началась подготовка самой взрослой и ожидаемой ежегодной конференции по информационной безопасности — UISGCON 14. В этом году конференция состоится 26 октября в центре Киева, в Украинском доме. Обновился и дополнился состав организационного комитета, расширился состав программного комитета. С точки зрения организаторов, это поможет подобрать максимально полезный, актуальный и качественный контент. Также орги вернулись к практике проведения CTF, в организации которого им помогает лаборатория университета Stony Brook, USA. Поиск спикеров начался не так давно и вы можете успеть подать свою заявку — CFP открыт!

В этом году команда BsidesUkraine радует нас, как никогда. Совсем скоро состоится BsidesOdessa, а уже в октябре, сразу после UISGCON, стартует BsidesKyiv Autumn. Подготовка только начинается, но нам уже известно, что формат проведения схож с Одессой — 24 часа нон-стоп практических докладов, воркшопов и конкурсов, неформальное общение и отдых в одном из лучших особняков в Киеве. CFP будет открыт 7 июля, и любой потенциальный спикер сможет принять участие. А вот попасть на конференцию будет сложнее, так как она предполагает приватный статус и систему инвайтов, но это не значит что у тех, кто не получит инвайт, совсем нет шансов! Чтобы быть в курсе подготовки, вы можете следить за процессом и новостями в FB и на сайте, который будет обновлён 7 июня.

02h > Около секьюрити

Сразу несколько популярных сервисов рапортовали о проблемах 27 июня. Например, Proton заявил о DDoS атаке на свою инфраструктуру, Slack информировал о масштабном сбое в работе всех аккаунтов, а следом за этим пользователи по всему миру временно утратили доступ к Google Home и Chromecast. О серьезном сбое в работе своего сервиса в этот же день отмолчался и Telegram — пользователи в США, Европе, Азии и Африке не могли воспользоваться этим сервисом.

Глава департамента киберполиции Украины, Сергей Демедюк, рассказал в эксклюзивном интервью агентству Reuters о готовящейся массивной кибератаке со стороны России, по масштабам сравнимой с прошлогодней. Однако конкретики или технических деталей не привел, поэтому тема, «в чем уязвимость атаки», осталась нераскрытой.

Украинский хакер с ником Михаил Петровский взломал сайт российской певицы Чичериной с последующим размещением на нем провокационных материалов. Также взлому подверглись почтовые ящики ее продюсера и их аккаунты в социальных сетях.

Взлом популярного генеалогического сервиса MyHeritage привел к утечке 92 миллионов учетных записей, включая почтовые адреса и хеши паролей. Со стороны самого сервиса принят комплекс мер, связанных с инцидентом. Интересно, что данная утечка включает в себя и информацию о ДНК некоторых пользователей.

Вышел в релиз Tor Browser 7.5.6.

Немного подробностей о грядущем WPA3, который принесет новый механизм надежной аутентификации и стойкой криптографии в такой небезопасный Wi-Fi.

Firefox внедряет сервис HIBP (Have I Been Pwned) в качестве инструмента безопасности Firefox Monitor и будет уведомлять пользователя о появлении его пароля в свежих ликах.

Сайт Министерства финансов Украины был взломан турецкими хакерами, и defaced-страница электронного журнала «Финансы Украины» провисела в таком состоянии более месяца. После размещения информации в паблике, инцидентом заинтересовалась «Служба безудержных улыбок» и последствия взлома оперативно устранили.

В последний раз о «НеПете», но это не точно :) метрики год спустя.

В очередной раз ребята с Proton не остаются в стороне и публично говорят о проблеме государственных бекдоров.

03h > Интересное

Как известно, WPA3 — это дело уже ближайшего будущего. Кому интересно, чего стоит ожидать от нового протокола, — тыц.

Интересный материал о нашумевшем брутфорсе пасскода в iOS.

Прикольный репозиторий с врайтапами по найденным в последнее время уязвимостям в iOS.

Канал крутого специалиста с целой кучей видео по решению различных CTF.

Известный исследователь кибербезопасности Florian Roth написал интересный материал, который можно условно назвать «таксономией APT-групп». Более детальная информация тут.

Агентство национальной безопасности США опубликовало в открытый доступ свои красочные постеры 50-х, 60-х годов. Эта графика использовалась для тогдашнего внутреннего security awareness персонала самого АНБ. Удивительно, но многие не потеряли актуальность и сегодня.

04h > Уязвимости && Эксплоиты

Врайтап по DOM XSS в Google VRView библиотеке.

MacOS в очередной раз за последний год радует нас новыми секьюрити багами. На этот раз дело в фиче «Quick Look», которая делает снепшот файлов, в том числе находящихся в крипторазделах. Детальнее тут.

По утверждению исследователей каждый Android девайс за последние 6 лет с памятью LPDDR2, LPDDR3, or LPDDR4 имеет уязвимость, позволяющую получить полный доступ к устройству.

Найденная опасная LPE уязвимость в продуктах линейки SafeGuard от вендора Sophos ставит под удар компании, выбравшие это решение для своей безопасности.

Активация учетной записи пользователя в личном кабинете Укрпошты происходила путем передачи пароля открытым текстом прямо в строке адреса браузера. После возмущения общественности, уязвимость была устранена (но, возможно, есть проблема небезопасного хранения паролей в базе).

05h > Фан

Малварщики тоже люди и им хочется обнимашек. Так, например, разработчик из Турции пытается найти себе девушку.

Не перестают удивлять искрометным юмором и наши, близкие к государственному аппарату, эксперты. Например, одно из недавних интервью уже разбирают на цитаты в профильном комьюнити.

БД — это не всегда про базу данных, а такое себе сокращенное название веселой истории о совместной операции ФБР и киевской прокуратуры по поимке злых хакеров.

SecureMurMur? Новый подкаст на тему кибербеза растормошил украинское комьюнити. «Желчь, ненависть и злоба индустрии кибербезопасности Украины» и довольно милый контент. Что это: чья-то шутка или анонсированный киберудар Кремля? :)

06h > Аутро

...А «НеПетя» взял и не пришел.


← Предыдущий выпуск: Information Security дайджест #9.

Похожие статьи:
Наприкінці року DOU проаналізував, які події і теми найбільше цікавили ІТ-спільноту. Також пропонуємо разом пригадати найважливіші...
Существует стойкий миф о том, что программисты — интроверты, отстраненные и нелюдимые существа, которые общаются между собой...
Моя історія переїзду доволі проста. Компанія Conscensia, де я займаю посаду Head of Delivery (львівського офісу), відкрила новий...
Наряду с Nexus 5X производства LG, компания Google также представила фаблет Nexus 6P от Huawei, обладающий более продвинутыми...
Megogo превратился из стартапа в один из крупнейших видеосервисов в странах Восточной Европы и СНГ. За это...
Яндекс.Метрика