Information Security дайджест #15: DC8044 Blackout, мега-утечка в СБРФ, интервью Мухи
00h > Интро
Привет! Здорово бы начать этот дайджест с подборки тематического музла, как мы начинали прошлый. Под музычку ведь клево заходит? Поэтому предлагаем вам, друзья, отличнейшую подборку с нашумевшего мероприятия Blackout, которое на днях провел киевский чаптер Defcon. Плейлист ивента доступен в Телеге, на Ютубе, Санудклауд и даже Дизер. Респекты Паше за подбор треков, а Легиону за реализацию на популярных платформах. Ключ на старт, поехали.
01h > Горячее
DC8044 провели большой контентный ивент в Киеве. Комьюнити разрослось почти под тысячу человек и формат митапов стал немного тесноват. Короче. Программа была такой, фотки с мероприятия можно поглядеть тут, а видосов не будет, пушо киевский Дефкон принципиально их не записывает и не стримит. Доклады были огненные: специально выделить какой либо один достаточно тяжело.
Рассказывали об атаках на виндовс системы с оркестрацией через CobaltStrike. Отламывали лицензию от популярного текстового редактора (саблайм) с ликбезом о том, как писать кейгены, и последующим пулянием собственно кейгена в паблик. Было несколько топовых багхантеров с годнейшими докладами по своим темам. Запомнился также невероятно качественный спич по боевому OSINT с живыми примерами и лулзами. Ярко зашли темы оффенсив использования .NET, Android апсек, тщательный и «по полочкам» доклад по секьюрити код ревью.
На улице разместилась арт-зона, где один из лучших граффити-художников Европы показывал мастер-класс и круто забомбил плоскость под стиль ивента: результаты его работы есть в инсте. Душевно прошли два квеста, от chM00D Team и от ребят из компании Hacken. Порадовал LockF#ck виладж, где можно было курочить сейфы и попячить разного рода замки, в т.ч. сувальдные. На демозоне от Integrity Vision каждому предлагалось потыкать CheckPoint фаерволл и посмотреть, как он детектит малварь.
Был реально фановый андерграунд движ, большая толпа народа из разных городов и стран, прикладной и полезный контент, атмосферный нетворкинг, вкусная пицца, и все это — бесплатно. Организаторы анонсировали ежегодный Blackout и хотят собрать порядка семисот человек на аналогичном ивенте в следующем году, оставаясь вне коммерции и сохраняя концепцию бесплатных ивентов для всех посетителей.
Не отстают ребята со Львов-сити, и просто когда вы читаете эти строки, происходит ежегодная конференция по апсеку, OWASP Ukraine.
Жесть какой горячей новостью оказалась история про утечку клиентских данных из Сбербанка РФ, который, как известно, вкладывает десятки миллионов долларов в свою кибербезопасность. Исследователи анализировали информацию о продаже клиентской базы Сбера в 60 миллионов записей, вброшенную на одном из форумов, и чекали у продавцов другие данные из этой базы на валид (кстати, успешно). В то же время в самом Сбере пока подтвердили лишь массив из двухсот банковских карт с клиентскими данными (который прилагается селлерами в качестве пруфа) и сетуют на инсайдера. Как бы там ни было — потрачено.
Подождите, чуть не забыл. Ежегодная киевская general-конфа по кибербезопасности, UISGCON, объявила CFP. Сама конфа анонсирована на шестое декабря, так что есть повод собраться снова. Может даже заспикать? О чем это я.
Тут еще новый формат подвезли: антикон. Безопасность с человеческим лицом, — такой слоган я бы запилил. Атмосфера обещает быть ламповой, примерно полтора промилле.
Тот самый случай, когда рождается качественный контент: в апреле вышел первый (после пилотного) выпуск Academic Security подкаста. А за сентябрь и октябрь вышло еще четыре эпизода. Рекомендуем подписываться, внизу есть кнопы, чтобы переключаться между выпусками.
02h > Около секьюрити
Вы еще не читаете Кробера? Этот ярчайший представитель цифрового андерграунда пилит достаточно угарный контент. Отдельного внимания заслуживает недавно опубликованное интервью с Мухой, который отсидел срок за кардинг. Сам Муха (в миру — Серега) является достаточно известным персонажем, даже Кребс о нем пишет. В общем, enjoy cybercrime.
Киберкопы в деле, а непохеки их Харькова видимо сядут на бутылку. Это вам некий контраст кардерской романтике из предыдущего поста с интервью.
ProZorro кстати похекали, не в курсе? Да ладно, речь про их нашумевший выход на багбаунти. Движ был результативным и азартным, есть фотографии, презентации и видос.
Рекомендуем к просмотру документальный сериал «Холивар» авторства Андрея Лошака, про становление Инета на постсоветском пространстве. Очень здорово получилось, вышло уже пять эпизодов. Первый тут, второй там, остальные небось и сами найдете.
Амбассадоры DC8044 спиратили для вас нашумевшую книгу Даниила Туровского «Вторжение. Краткая история русских хакеров» и выложили ее в приемлемом для чтения качестве (pdf). Скачать можно тут. Ой, по этому поводу ржака вышла, требующая отдельного рассказа: подробности и лулзы у Кробера.
Не так давно, кстати, немножко потрогали Оранту. Что из этого вышло и каким бывает IDOR (insecure direct object references), исследователь рассказал в этой статье.
Слыхали про СОРМ? А про Nokia? Утечка и ... Pen Pineapple Apple Pen.
Коты пустыни и Служба госбезопасности Узбекистана. Казалось бы, в чем связь? Но она есть. Просто регай домены на свои военные базы и лей самописную малварь на Виртотал: рецепт успеха от узбекских хекеров, от плова до АРТ.
03h > Интересное
Отсниффать блютуз вам поможет вот эта тулза.
Неплохая для начинающих статья по анализу угроз, реализуемых через PowerShell.
Пентестишь хардварь? Тебе вполне может зайти такой вот гайд. Пока вышла только первая часть и есть надежда увидеть вторую.
Материал от исследователя, известного под ником prsecurity, о собственном опыте создания red team команды.
Читшит на тему MitM может даже оказаться кому-то полезным.
Говорят, накрыли KV Solutions и КиберБункер. Булетпруф хостингов таким образом резко поубавилось.
А вы уже смотрели доклады с BlackHat USA? Видосы лежат тут.
От CheckPoint вышел объемный рисорч и меппинг по экосистеме российских АРТ группировок и используемого ими инструментария. Хорошее, качественное исследование.
04h > Уязвимости && Эксплоиты
От скули до RCE: короткий, но интересный howto от Efren Diaz.
Зиродей от команды Project Zero: под угрозой многие девайсы на платформе Android. Первый и второй Пиксели тоже в зоне риска и ждут апдейтов. Подробности.
RCE уязвимость в популярнейшей платформе для создания форумов, vBulletin активно эксплуатируется и наделала много шороху. Кстати, вот полезная тулза для поиска уязвимых к CVE-2019-16759 ресурсов.
Аноним в Telegram? Ты не поставил юзернейм, не пишешь своё настоящее имя. Правда, номер твоего телефона легко узнать, стоит тебе что-то написать. А ребята из одной политической организации поставили деанон буквально на поток.
Неплохая статья на Хабре по МакОсь и соседский вайфай.
Независимый ресерчер с ником Awakened сообщил об обнаруженной в мессенджере WhatsApp уязвимости, позволяющей полностью скомпрометировать переписку на удаленном устройстве. Для реализации RCE жертве пересылается заряженный .gif файл, уязвимы версии приложения работающие на Android 8.1 и Android 9. Разбор полетов туточки.
Проверенная коллекция сплойтов под Linux kernel.
05h > Фан
История одной атаки.
В Стиме игруха релизнулась, типа противостояние ред тим и блу тим. Играли, кто-то даже хвалит.
Залипуха на тему Fallout 3 позволяет почувствовать себя в роли взломщика терминалов.
Подписывайтесь на фид DC8044 в телеге, закидывайте годноту в предложку.
06h > Аутро
До новых встреч, славный ктобытынибыл. И будь здоров!
P. S.: плейлист все-таки клевый, ага?)
← Предыдущий выпуск: Information Security дайджест #14.