Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: “can i log in?”

server: “no. you need a password.”

me: “hacker voice i’m in”

server: “login successful. you’re in”

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

Еще в июле я писал об этом в Телеграм-канале. Далее привожу текст из поста, на случай, если у вас нет Телеграма:
Continue reading →

Из категории “хорошие новости в мире инфосека”. Я неоднократно писал о проблемах роутеров MikroTik (раз, два, три), которые доставляют неудобства уязвимостями своим владельцам. Как правило, проблемы уязвимостей чинятся установкой обновленной прошивки, но большинство пользователей этого, к сожалению, не делает.

Поэтому за дело взялись специалисты. ZDNet пишет о русскоязычном хакере Алексее, который патчит роутеры, оставленные без присмотра. Он подключается к уязвимым роутерам и добавляет правило на firewall для блокировки внешних подключений. В статье говорится, что он уже исправил правила на более чем 100 тысячах роутеров, из чего я делаю вывод, что, скорей всего, это доброе дело за него делает какой-то скрипт. Также в материале рассказывается, что пользователи, которым он рассказал об этом в телеграм-канале, посвященном безопасности роутеров MikroTik, в основном расстроились такими действиями добровольца. Еще ни одно доброе дело не осталось безнаказанным!

– Пентагон заявил о взломе информационной системы, вследствие чего, похоже, утекли данные на 30 тысяч сотрудников военного ведомства, включая имена и данные кредитных карт военного и гражданского персонала:

http://apnews.com/7f6f4db35b0041bdbc5467848225e67d

— Европейское расследование Твиттера по сбору информации через ссылки для сокращения адресов (GDPR такой GDPR)
http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

– Устанавливаете дома камеры наблюдения для собственной безопасности? Учтите, что правоохранительные органы могут запросить у разработчика камер данные, хранящиеся в облаке, так что лучше вам под камерами не заниматься ничем предосудительным или нарушающим закон. Первый такой случай, когда данные были переданы (камера Nest, данные, соответственно, у Google), появился в США. А вообще Nest получила уже более 300 подобных запросов, так что практика вполне жива.

– много интересной информации о черве CRASHOVERRIDE, он же известен как “Industroyer”. Отчет Dragos об угрозе и возможных путях защиты от вредоносного ПО, направленного на нанесение ущерба электросети.
https://dragos.com/blog/crashoverride/

И в рамках пятницы картинка о том, почему информационная безопасность касается каждого!

несколько интересных ссылок по теме канала на почитать:

1. [Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
https://habr.com/post/416835/
(спасибо читателю канала)

2. Отчет агентства по ответственности правительства (US Government Accountability Office) о состоянии цифровой безопасности Министерства обороны США (по результатам “учений”, в которых специально отобранные хакеры пытались взламывать – вполне успешно – различные системы министерства). Публичная версия отчета не содержит в себе конкретных технических деталей, но все равно интересно почитать:
https://www.gao.gov/products/GAO-19-128

3. Еще одна фитнес-компания не уберегла данные своих пользователей, оставив базу открытой на AWS:
https://www.infosecurity-magazine.com/news/fitmetrix-exposes-millions-of/

4. Украденные Apple ID используются для воровства денег у пользователей Alipay и WeChat (я так понимаю, там все завязано на том, что Apple ID требует в Китае номера телефона, а потом получается привязка к реальным аккаунтам платежных систем. Как-то сложно, но, видимо, работает):
https://www.reuters.com/article/us-china-alipay-apple/chinas-alipay-says-stolen-apple-ids-behind-thefts-of-users-money-idUSKCN1ML0QO

5. Про пароль Kanye West
https://motherboard.vice.com/en_us/article/j53n87/kanye-west-worst-iphone-passcode