Information Security дайджест #11: взлом Facebook, лик в Telegram, уязвимая macOS Mojave, месяц кибербеза в Украине
Дайджест создан в соавторстве с Егором Папышевым.
00h > Интро
Всем привет, мы вернулись после небольшого летнего перерыва с интересными новостями о событиях в области кибербеза в Украине и мире. Приятного погружения.
01h > Горячее
Топовой новостью, конечно, стал взлом Facebook. Утекли сессионные ключи плюс-минус
Увлекательное интервью Арескина (Сергея, который Ar3s), в силу обстоятельств — человека, давно известного всей хакерской сцене на пост-СНГ и не только. Рассказ о том, как все здорово в итоге обошлось с его арестом и последующим следствием. Чудо.
Исследователь кибербезопасности Dhiraj Mishra обнаружил интересный лик в некоторых десктопных версиях мессенджера Telegram, позволяющий вычислить собеседника по IP. После поднявшейся шумихи, не заставил себя ждать комментарий Дурова о том, что критичность уязвимости несколько преувеличена. Тем не менее ресерчер получил за находку вознаграждение 2000 евро (что эквивалентно примерно сорока критическим уязвимостям в инфраструктуре «Киевстар», которые эта телеком компания оценивает в 50 долларов ведро).
02h > Около секьюрити
Небольшой скандал возник вокруг размещенных в AppStore приложений известного в мире инфобеза вендора TrendMicro. Это случилось после вскрытия факта отправки этими приложениями персональных данных на сервера в Китае.
В Украине самый настоящий месяц кибербезопасности. Октябрь выдался богатым на профильные конференции. Из ближайших следует отметить ежегодную UISGCON14 и приватную BSides Kyiv Autumn, в формате нон-стоп пати с контентом без цензуры. Следом за ними после небольшой передышки состоится OWASP Ukraine.
Отличный материал про кархакинг: ребята хакнули Tesla Model S. По их словам машины других вендоров, таких как McLaren, могут иметь схожие проблемы.
Год условно: таков приговор за взлом и несанкционированный доступ к базе пропусков в зону АТО (кстати, владельцем этого массива информации выступает СБУ). Детали вот тут и еще тут.
03h > Интересное
Небольшой ресерч на тему DevOoops, а именно открытым /.git/* на веб-серверах.
В большой семье Cobalt, Fin7, MoneyTaker и прочих карбанаков — пополнение. Русскоязычная группировка Silence, состоящая из бывших вайтхетов и разочарованных пентестеров, успешно атакует банки в разных странах.
Концерт популярной группы Imagine Dragons в Киеве был омрачен кибер-скандалом. Злоумышленники с помощью фишингового сайта реализовали порядка полутора тысяч фейковых билетов, с которыми люди пришли на мероприятие. Тем не менее топорная и грубая работа начинающих фишеров вылезла им боком: в итоге всех повязали киберкопы.
Спустя примерно месяц после презентации нового iPhone XS появилось сообщение об успешном джейлбрейке, реализованном китайской командой Pangu. Джейлбрейк работает через обход функции PAC, реализованной на новом чипе А12 Bionic.
Небольшая подборка полезностей для начинающего исследователя дарк веба.
Аппаратная закладка в виде едва заметной микросхемы найдена на системных платах серверов Elemental Technologies, которые использовали в Apple и Amazon. Поставку серверов с аппаратным бэкдором осуществляла известная компания Super Micro, а точнее — ее китайское подразделение. После публикации материала в Bloomberg, акции Super Micro тотчас рухнули в цене. Упоминается, что серверы с подарком от китайских хакеров поставлялись и в правительственные организации США.
04h > Уязвимости && Эксплоиты
ESET задетектили первую в мире вредоносную кампанию с использованием руткита UEFI. Он входит в набор инструментов для установки на атакуемые устройства вредоносных обновлений прошивки и последующего внедрения малвари на более глубоком уровне. Исходя из анализа активности, руткит используется группой APT28 (известной под названиями Sofacy и Fancy Bear).
В новой macOS Mojave обнаружили уязвимость, позволяющую обойти ограничения безопасности и получить доступ к приватным данным, например к контактам в адресной книге. Исследователь Patrick Wardle, обнаруживший проблему, представит подробный доклад о ней на конференции Mac Security в ноябре.
В Твиттере компании Zerodium появилась информация о серьезной уязвимости нулевого дня в браузере Tor 7.x, которую, собственно, компания Zerodium и перепродала правительственным заказчикам. Настораживает, и вот почему.
Новенький LPE эксплойт под актуальные версии ОС Windows был релизнут в паблик c не очень лестными заявлениями в сторону Microsoft. Автор эксплойта на данный момент ищет компаньона для путешествий, если верить его... её блогу.
05h > Фан
Что нужно знать про Боба, это то что, не стоит быть таким, как Боб :)
Немного про логику создания сложных паролей.
Армия без солдат. Про кибербез в Украине.
06h > Аутро
dHV0IG5pY2hlZ28gbmV0IGtyb21lIE5vcmZvbGs3
aHR0cHM6Ly9wcml2bm90ZS5jb20vWDlpdGFBMXg=
← Предыдущий выпуск: Information Security дайджест #10.
Следующий выпуск: Information Security дайджест #12 →