Cybersecus дайджест #78

1. Прекрасная по своей трагичности история про студента, который использовал устройство USB killer (флешка, которая вставляется в USB-порт, и приводит к преждевременной смерти компьютера) для того, чтобы нанести вред колледже, в котором он учился. Он воткнул флешку в 66 компьютеров на кампусе, и наверняка получил от этого какое-то удовлетворение. Вреда на 58 тыс долларов, а штраф светит до 250 тыс долларов, плюс еще до 10 лет тюрьмы. Мотивация такого поступка что-то не очень ясна.
Тут можно почитать больше про эти самые USB Killer
https://arstechnica.com/information-technology/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
О признании вины студента
https://www.justice.gov/usao-ndny/pr/former-student-pleads-guilty-destroying-computers-college-st-rose

2.Помните WannaCry? ((если не помните, то можно освежить память поиском по каналу запросами WCry, WannaCry, WannaCrypt, ETERNALBLUE). Короче, страшный вирус-вымогатель, эпидемию которого удалось остановить только благодаря тому, что в коде нашли незарегистрированный домен для kill-switch.

Герой, который остановил эту эпидемию — Marcus Hutchins, британский исследователь, которого потом неожиданно арестовали в Лас Вегасе на конференции Def Con в 2017 году. В итоге оказалось, что он в свое время написал ПО для воровства данных к банковским учетным записям. На прошлой неделе он признал свою вину по двум инцидентам, и теперь ему светит до 5 лет тюрьмы за каждый инцидент, и до 250 тыс долларов штрафа. Забавно, что после этого в infosec-сообществе развернулось бурное обсуждение на тему “кто из нас в детстве не был хакером, взламывающим банки”, но, кажется, все остались при своем мнении (и со своими скелетами в шкафах).
https://www.malwaretech.com/public-statement

3. О том, какие пароли не надо выбирать. Британский National Cyber Security Center проанализировали данные из утечек, хранящихся в Have I Been Pwned, и вот топ 10 самых популярных паролей оттуда
123456
123456789
qwerty
password
1111111
12345678
abc123
1234567
password1
12345
Рука, лицо, вот это все.

А вот список популярных вымышленных героев, имена которых используют в качестве паролей:
superman (333139)
naruto (242749)
tigger (237290)
pokemon (226947)
batman (203116)

По ссылке еще немножко паролей. В общем, гигиена паролей вас спасет!
https://www.ncsc.gov.uk/news/most-hacked-passwords-revealed-as-uk-cyber-survey-exposes-gaps-in-online-security

4. Французское правительство запустило мессенджер с оконечным шифрованием для конфиденциальной переписки между служащими правительства:
https://www.numerique.gouv.fr/espace-presse/lancement-de-tchap-la-messagerie-instantanee-des-agents-de-letat/
и в нем тут же обнаружили уязвимость, позволявшую зарегистрироваться в сервисе любому человеку:
https://twitter.com/fs0c131y/status/1118791420624687104

5. Из смешного. Апдейт прошивки к Nokia 9 PureView, у которой сканер отпечатков пальцев встроен в экран, улучшил функциональность распознавания отпечатков так, что разблокировать телефон можно было практически чем угодно.
https://www.zdnet.com/article/nokia-9-buggy-update-lets-anyone-bypass-fingerprint-scanner-with-a-pack-of-gum/

6. Утечка хакерских инструментов группировки APT34 (за ссылку спасибо читателю)
https://malware-research.org/apt34-hacking-tools-leak/