Cybersecus новости из России

Кажется, в России пришли за VPN. Роскомнадзор направил требования о необходимости подключения к государственной информационной системе (ФГИС) владельцам 10 VPN-сервисов.

Соответствующие уведомления были направлены в адрес сервисов NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. Согласно Федеральному закону «Об информации..» указанные сервисы обязаны подключиться к ФГИС Роскомнадзора в течение 30 рабочих дней с момента направления требований.

https://rkn.gov.ru/news/rsoc/news66248.htm

В России еще и IoT не дает покоя властям. Минкомсвязь планирует одобрить концепцию развития в России интернета вещей (IoT). Она предусматривает, что правоохранительные органы смогут получать доступ к информации, хранящейся на IoT-платформах, а для защиты российского сегмента интернета вещей на территории страны будет создана его замкнутая сеть. У участников рынка остались вопросы к концепции: помимо подключения к СОРМ, их беспокоят перспективы импортозамещения в условиях нехватки отечественного оборудования.

https://www.kommersant.ru/doc/3924324

Cybersecus дайджест #67

Апдейт про ASUS
Еще 9 месяцев назад кто-то озадачился странным апдейтом с сервера компании, но тогда этому не придали особого значения.
ASUS подтвердили историю в пресс-релизе, сказав, что целями атаки было небольшое количество определенных пользователей.

Кстати, интересный твит про таргетинг этой атаки:

Также ASUS выпустила инструмент для проверки (хотя с ними теперь никогда не знаешь, а вдруг это опять враги?)

Проверка от ЛК на предмет того, был ли ваш MAC-адрес целью этой атаки (скорей всего, нет, но можно и провериться).

И еще немного разнообразия:
– Уволенный сотрудник компании, недовольный увольнением (после 4 недель работы в компании), снес 23 сервера компании на AWS. Теперь посидит, подумает.
https://nakedsecurity.sophos.com/2019/03/22/sacked-it-guy-annihilates-23-of-his-ex-employers-aws-servers/

– Тут оказалось, что вживленные дефибрилляторы компании Medtronic подвержены хакерской атаке, в результате которой злоумышленник может получить полный контроль над устройством (ой). Никакого шифрования, никакой аутентификации, и другие неприятные мелочи. Но риски жизни без устройства еще выше, поэтому госорганы рекомендуют продолжать использовать их, и ждать исправления.
https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

– Обнаружилась очередная компания с программным продуктом для слежки мониторинга детей и супругов, которая умудрилась тысячи изображений и записей аудио выложить на доступный всем сервер в интернете. Компания Mobiispy.com так и не ответила на письма экспертов, обнаруживших проблему, поэтому все закончилось тем, что хостинговая компания, на сервере которой хранились эти данные, была вынуждена погасить сервер, чтобы убрать данные из доступности. Помните о том, что за последние пару лет огромное количество этих “мониторинговых” сервисов продемонстрировали полное наплевательство по отношению к пользовательским данным, когда решите чем-то таким воспользоваться
https://motherboard.vice.com/en_us/article/j573k3/spyware-data-leak-pictures-audio-recordings
https://motherboard.vice.com/en_us/article/7xnybe/hosting-provider-takes-down-spyware-mobiispy

– Помните хакера с почти миллиардом свежих записей с логинами и паролями? В очередном (четвертом) раунде раздачи данных он предложил еще 26 миллионов пользовательских записей, куда вошли уже менее известные сервисы, такие как GameSalad, Estante Virtual, Coubic, LifeBear, Bukalapak, YouthManual (часть из Бразилии, часть из Индонезии).
https://www.zdnet.com/article/round-4-hacker-returns-and-puts-26mil-user-records-for-sale-on-the-dark-web/

Бэкдор через ASUS

Совершенно адовейшая история о производителе компьютеров ASUS — между прочим, один из крупнейших мировых производителей! Исследователи из Лаборатории Касперского обнаружили, что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, и, что самое ужасное — подписанный настоящим сертификатом ASUS, так что файл выглядел абсолютно легитимно для пользователей.

Этот файл распространялся на протяжении (как минимум) 5 месяцев, и, по некоторым оценкам, был установлен на около 500 тысяч компьютеров с Windows. Предполагается, что злоумышленники поставили себе целью скомпрометировать с помощью вредоносного ПО около 600 целей, которые идентифицировались по MAC-адресам компьютеров. Интересно, что большинство зараженных машин, обнаруженных ПО от Лаборатории Касперского, находились в России (около 18%). По информации от Symantec, это вредоносное ПО было у 15% пользователей Symantec в США. ЛК обнаружила взлом сервера в январе, и планирует рассказать об этом в деталях в апреле на Security Analyst Summit. Сама компания ASUS, по словам представителей ЛК, была достаточно некоммуникабельна и пока что не проинформировала своих пользователей об этой проблеме. Более того, ASUS до сих пор не признал недействительным два скомпроментированых сертификата, что означает, что злоумышленники, имеющие доступ к этим сертификатам, могут подписать свое ПО с его помощью, и это ПО будет выглядеть как легитимное ПО ASUS.

https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

Cybersecus дайжест #66

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/

Facebook и пароли в plain-text

С новостями из мира Facebook очень сложно фейспалмами не разбить лицо. Последняя новость из мира социальной сети, о которой рассказала сама компания — во время внутреннего аудита обнаружилось, что пароли “некоторых пользователей” хранились в открытом виде во внутренней системе, и были доступны для просмотра сотрудниками компании. Несмотря на то, что аудит показал, что вроде как к данным никто (кроме 2 тысяч сотрудников) доступа не имел, в предупредительных целях компания напишет затронутым пользователям о том, что неплохо бы изменить пароль.

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

А теперь разберемся с термином “некоторые пользователи”. Туда входят:
– сотни миллионов пользователей Facebook Lite
– десятки миллионов пользователей Facebook
– десятки тысяч пользователей Instagram.

примерно как “во время Второй мировой войны некоторые участники боевых действий и некоторые гражданские лица погибли”. Пора заводить хэштэг #facebookкаквсегда

Дополнительные материалы по теме:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

Cybersecus дайджест #65

Привет, новости из мира инфосека одной (ну почти) строкой.

Производитель алюминия Norsk Hydro оказался жертвой атаки вредоносного ПО-вымогателя LockerGoga
https://newsweb.oslobors.no/message/472389
https://www.facebook.com/norskhydroasa/posts/2214813535207638
https://www.zdnet.com/article/aluminium-producer-switches-to-manual-operations-after-extensive-cyber-attack/

Помните Ghidra (тоже Гидра, но другая)? Тот самый инструмент NSA для reverse engineering и уязвимость в нем? Теперь есть proof-of-concept, показывающий, как эту уязвимость можно эксплуатировать:
https://threatpost.com/nsa-ghidra-bug-rce/142937/

Прекрасная история о том, что вся музыка, залитая на Myspace в период с 2003 по 2015 год, была утеряна.
https://www.reddit.com/r/technology/comments/b2381s/myspace_lost_all_music_uploaded_from_2003_to_2015/
Continue reading

Cybersecus дайджест #64

Компания GearBest, китайский онлайн-ритейлер, как оказалось, хранит данные своих клиентов совсем не так, как обещает. Исследователи компании vpnMentor опубликовали материал расследования, в котором обнаружилось, что:
– политика компании о конфиденциальности пользовательских данных не соответствует действительности
– в базе хранятся личные данные покупателей, включая имейл и пароли, которые никак не шифруются. Кроме этого, магазин хранит информацию, которая необязательна для хранения, как, например, IP-адрес
– в базе также хранятся платежные данные, в том числе и о виртуальных картах платежной системы из Бразилии, а также банковские данные пользователей.
Как это часто бывает, сервер Elasticsearch без пароля.
https://www.vpnmentor.com/blog/gearbest-hack/
https://techcrunch.com/2019/03/14/gearbest-orders-exposed/
https://vc.ru/trade/61307-hakery-nashli-uyazvimost-na-serverah-gearbest-vse-dannye-klientov-onlayn-magazina-hranyatsya-v-otkrytom-vide
PS Спасибо всем читателям, которые прислали мне ссылки на эту историю

2/3 антивирусных приложений для Android — обман
https://www.zdnet.com/article/two-thirds-of-all-android-antivirus-apps-are-frauds/

Adware (рекламное ПО) в сотнях приложений для Android, с общей суммой установок более 150 млн. Там все хорошо: вредоносное ПО, маскирующееся под рекламную сеть, закачивало через бэкдор дополнительный модуль, который прятал свою иконку и работал в фоне, загружаясь на старте приложения. А дальше показ рекламы в фоне с целью генерации фейковых просмотров.
https://www.documentcloud.org/documents/5766854-SimBad-AppList-Package.html

Я писал ранее на этой неделе о том, как недавно обнаружилась неприятная лажа с плохо настроенным сервером Box для общего доступа к файлам, из-за чего некоторые компании случайно сделали доступными свои файлы, в том числе и конфиденциальные. Так вот, Box выкатил тут полезные изменения, которые должны будут в будущем предотвратить подобные лажи:
https://blog.box.com/blog/improvements-sharing-securely-box

Cybersecus дайджест #63

После небольшого затишья редакция снова выходит на связь с очередной коллекцией того, как в мире все плохо.

• Apple
• Amadeus
• Discovery
• Edelman
• Herbalife
• Schneider Electric
• PointCare
• Opportunity International
• Box
Что объединяет эти компании? Все они настроили свои корпоративные папки на файловом сервисе несколько неудачно, что позволило исследователям обнаружить внутренние файлы компаний, включая даже критические корпоративные данные.
https://www.adversis.io/research/pandorasbox

В России продолжается борьба с почтой ProtonMail, по ссылкам, присланным читателями, хорошее резюме ситуации
https://roskomsvoboda.org/45632/
https://habr.com/ru/company/tm/blog/443222/
Continue reading

Cybersecus дайджест, #62

как это иногда бывает, некогда объяснять, сегодня ссылки, зато много и интересных!

800 миллионов адресов электронной почты в 150ГБ незащищенной MongoDB. Часть записей также содержала дополнительную персональную информацию, включая адреса и номера телефонов, а также пол, дату рождения, привязанные аккаунты социальных сетей, и проч. Компания Verifications.io, молодцы какие.
https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

Программа NSA, в рамках которой организация следила за звонками и текстовыми сообщениями американцев, кажется, закрывается:
https://www.nytimes.com/2019/03/04/us/politics/nsa-phone-records-program-shut-down.html

Очень интересная статья о том, как хакеры добывают прототипы iPhone (у которых некоторые средства безопасности отключены), для дальнейшего исследования на предмет поиска уязвимостей:
https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days

Кстати, о 0-day. Комбинация все еще неисправленной уязвимости в Windows и уязвимости в Chrome, которую Google исправила на прошлой неделе, позволяет злоумышленникам выйти из песочницы браузера.
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html

Crowdfense, компания, которая скупает уязвимости нулевого дня и продает их правительственным организациям, объявила о том, что в 2019 году выделила общий фонд на покупку уязвимостей в размере 15 млн долларов. Интересно то, что в этом году, кроме телефонов и компьютеров, Crowdfense покупает эксплойты для роутеров и прочих сетевых устройств.
https://www.crowdfense.com/bug-bounty-program.html

Баг в Facebook Messenger, позволявший видеть веб-сайтам информацию о том, с кем переписывался пользователь (уже исправлена). Вроде как затрагивает только Windows 7.
https://www.imperva.com/blog/mapping-communication-between-facebook-accounts-using-a-browser-based-side-channel-attack/

История о двух популярных производителях автосигнализаций — Pandora и Viper, уязвимости в которых позволяли с помощью манипуляций в серверных API, следить за перемещением автомобилей, а также удаленно управлять сигнализациями, установленными на автомобилях (включая удаленную блокировку двигателя)
https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms/

Citrix сообщает о том, что компания расследует неавторизованный доступ к внутренней сети компании (о котором компании сообщили в ФБР). Вроде как злоумышленники получили доступ к бизнес-документам компании, но деталей пока нет.
https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/

Cybersecus дайджест #61

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra

Кстати, Microsoft не стала сидеть, сложа руки, и тоже выпустила в открытом исходном коде один свой важнейший продукт:
https://blogs.windows.com/buildingapps/2019/03/06/announcing-the-open-sourcing-of-windows-calculator/