Tag Archives: cybersecus

Cybersecus дайжест #66

Posted on by
Reply

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/

Facebook и пароли в plain-text

Posted on by
Reply

С новостями из мира Facebook очень сложно фейспалмами не разбить лицо. Последняя новость из мира социальной сети, о которой рассказала сама компания — во время внутреннего аудита обнаружилось, что пароли “некоторых пользователей” хранились в открытом виде во внутренней системе, и были доступны для просмотра сотрудниками компании. Несмотря на то, что аудит показал, что вроде как к данным никто (кроме 2 тысяч сотрудников) доступа не имел, в предупредительных целях компания напишет затронутым пользователям о том, что неплохо бы изменить пароль.

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

А теперь разберемся с термином “некоторые пользователи”. Туда входят:
– сотни миллионов пользователей Facebook Lite
– десятки миллионов пользователей Facebook
– десятки тысяч пользователей Instagram.

примерно как “во время Второй мировой войны некоторые участники боевых действий и некоторые гражданские лица погибли”. Пора заводить хэштэг #facebookкаквсегда

Дополнительные материалы по теме:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

Cybersecus дайджест #63

Posted on by
Reply

После небольшого затишья редакция снова выходит на связь с очередной коллекцией того, как в мире все плохо.

• Apple
• Amadeus
• Discovery
• Edelman
• Herbalife
• Schneider Electric
• PointCare
• Opportunity International
• Box
Что объединяет эти компании? Все они настроили свои корпоративные папки на файловом сервисе несколько неудачно, что позволило исследователям обнаружить внутренние файлы компаний, включая даже критические корпоративные данные.
https://www.adversis.io/research/pandorasbox

В России продолжается борьба с почтой ProtonMail, по ссылкам, присланным читателями, хорошее резюме ситуации
https://roskomsvoboda.org/45632/
https://habr.com/ru/company/tm/blog/443222/
Continue reading

Cybersecus дайджест, #62

Posted on by
Reply

как это иногда бывает, некогда объяснять, сегодня ссылки, зато много и интересных!

800 миллионов адресов электронной почты в 150ГБ незащищенной MongoDB. Часть записей также содержала дополнительную персональную информацию, включая адреса и номера телефонов, а также пол, дату рождения, привязанные аккаунты социальных сетей, и проч. Компания Verifications.io, молодцы какие.
https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

Программа NSA, в рамках которой организация следила за звонками и текстовыми сообщениями американцев, кажется, закрывается:
https://www.nytimes.com/2019/03/04/us/politics/nsa-phone-records-program-shut-down.html

Очень интересная статья о том, как хакеры добывают прототипы iPhone (у которых некоторые средства безопасности отключены), для дальнейшего исследования на предмет поиска уязвимостей:
https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days

Кстати, о 0-day. Комбинация все еще неисправленной уязвимости в Windows и уязвимости в Chrome, которую Google исправила на прошлой неделе, позволяет злоумышленникам выйти из песочницы браузера.
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html

Crowdfense, компания, которая скупает уязвимости нулевого дня и продает их правительственным организациям, объявила о том, что в 2019 году выделила общий фонд на покупку уязвимостей в размере 15 млн долларов. Интересно то, что в этом году, кроме телефонов и компьютеров, Crowdfense покупает эксплойты для роутеров и прочих сетевых устройств.
https://www.crowdfense.com/bug-bounty-program.html

Баг в Facebook Messenger, позволявший видеть веб-сайтам информацию о том, с кем переписывался пользователь (уже исправлена). Вроде как затрагивает только Windows 7.
https://www.imperva.com/blog/mapping-communication-between-facebook-accounts-using-a-browser-based-side-channel-attack/

История о двух популярных производителях автосигнализаций — Pandora и Viper, уязвимости в которых позволяли с помощью манипуляций в серверных API, следить за перемещением автомобилей, а также удаленно управлять сигнализациями, установленными на автомобилях (включая удаленную блокировку двигателя)
https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms/

Citrix сообщает о том, что компания расследует неавторизованный доступ к внутренней сети компании (о котором компании сообщили в ФБР). Вроде как злоумышленники получили доступ к бизнес-документам компании, но деталей пока нет.
https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/

ДВЕСТИ ШЕСТЬДЕСЯТ ДВЕ ТЫСЯЧИ СЕМЬСОТ СЕМЬДЕСЯТ ЧЕТЫРЕ

Posted on by
Reply

Шикарная ссылка, которую прислал читатель канала. Вполне приличный и безопасный на вид пароль ji32k7au4a83 оказывается на поверку, если я правильно понял, транслитом с китайского по системе Чжуинь фухао, переводится как “my password”, и встречается в различных утечках аж 141 раз.
https://gizmodo.com/why-ji32k7au4a83-is-a-remarkably-common-password-1833045282

И тут с подачи читателя, в кои-то веки пришла в голову идея. Наберем в https://haveibeenpwned.com/Passwords “мойпароль” в латинской раскладке — vjqgfhjkm, и получим 9635 использований в различных взломах. Неплохо, да.

Еще больше упростим задачу, и наберем слово “пароль” — gfhjkm.

Oh no — pwned!
This password has been seen 262,774 times before
This password has previously appeared in a data breach and should never be used. If you’ve ever used it anywhere before, change it!

ДВЕСТИ ШЕСТЬДЕСЯТ ДВЕ ТЫСЯЧИ СЕМЬСОТ СЕМЬДЕСЯТ ЧЕТЫРЕ ИСПОЛЬЗОВАНИЯ

ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА

Facebook и номер телефона

Posted on by
Reply

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами “Никогда такого не было, и вот опять”. Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.
Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/

Cybersecus дайджест #60

Posted on by
Reply

В интернете обнаружили базу на 364 млн частных сообщений пользователей китайских сетей WeChat и QQ, которая также содержала в себе ИНН граждан, фотографиии, адреса, информацию о геолокации, и информацию об использованных устройствах. Похоже, что эту информацию (включая приватные сообщения, которые вообще-то не должны быть доступны третьим сторонам), собирают правоохранительные органы на граждан страны.
https://twitter.com/0xDUDE/status/1101909112131080192

Ссылка от читателя о том, как мэрия Москвы следит за перемещениями горожан с помощью данных, которые мэрии продают мобильные операторы (молодцы какие). Там, конечно, обещают обезличенность данных, и все такое, но мы-то знаем, чего стоят и эти обещания, и обезличенность при больших объемах данных.
https://www.vedomosti.ru/technology/articles/2019/03/03/795527-moskvichi

Пару недель назад я писал про исследователя, обнаружившего уязвимость в Связке Ключей в macOS, но отказывавшегося делиться информацией с Apple, потому что у компании отсутствует программа вознаграждения за уязвимости в macOS? Он решил не ждать, пока компания найдет в себе силы такую программу запустить, и отправил информацию об уязвимости в Apple
https://twitter.com/LinusHenze/status/1101223563581943808

Говоря об уязвимостях в macOS. Google Project Zero обнаружил критическую ошибку в программном обеспечении ядра macOS, позволяющую получить доступ к компьютеру пользователя без его ведома. Ошибка была обнаружена еще в ноябре прошлого года, но тогда Apple не отреагировала. По прошествии 90 дней GPZ раскрыли информацию об уязвимости, и в Купертино наконец-то зашевелились. Обещают в будущем апдейте ошибку исправить.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q=

Про уязвимость в WinRAR

Posted on by
Reply

Вчера в дайджесте я упоминал про обнаруженную 19-летнюю уязвимость в WinRAR. Сегодня пришло письмо от читателя (пожелавшего остаться анонимным), который разобрался чуть более детально в информации об уязвимости, и, мне кажется, это может быть интересно другим читателям ресурса.
——-

Если вам интересно: я тестировал эту уязвимость сразу, как только услышал о ней. Я внимательно прочитал оригинальную статью, и отделил зёрна от плевел:

1) Несмотря на то, что методом атаки на архиватор был fuzzing, в сущности уязвимость представляет из себя просто распаковку файла по абсолютному пути. Это не связано с memory-related багами архиватора (то есть это НЕ переполнение буфера памяти, НЕ исполнение произвольного кода в контекста процесса), которые обычно обнаруживаются фаззингом.
2) Для фактической эксплуатации уязвимости, нужно создать ACE архив стандартным способом, а потом просто бинарно изменить в нём прописанный путь к файлу. Чтобы после этого архив воспринимался как корректный, нужно пересчитать контрольную CRC сумму в заголовках. Автор статьи не показал прямой код пересчёта, но следуя комментариям в исходниках Python-библиотеки по ссылке – я разобрался и сам, подбором найдя подходящую инициализацию crc32, которая генерирует валидные хеши. В итоге, моя собственная программа для восстановления контрольной суммы оказалась весьма тривиальной.
Continue reading

Cybersecus дайджест #58

Posted on by
1

1. NSA планирует в марте выложить в открытом исходном коде свой инструмент Hydra для reverse engineering, поэтому на страничке проекта периодически появляются обновления:
https://www.nsa.gov/resources/everyone/ghidra/

2. ICANN пишет о том, что на инфраструктуру DNS идет серьезная атака и призывает DNS сервисы переходить на использование DNSSEC как можно скорее:
https://www.icann.org/news/announcement-2019-02-22-en

3. В 4G и 5G обнаружены три новые уязвимости, которые могут позволить злоумышленникам перехватывать звонки и следить за местоположением пользователей. Это первые уязвимости, которые одновременно затрагивают стандарты 4G и 5G. Названия там у атак хорошие: Torpedo, Piercer и IMSI-Cracking. Исследователи утверждают, что в США все мобильные операторы уязвимы против Torpedo, которую можно провести с помощью оборудования стоимостью 200 долл. Информация об уязвимостях была передана в GSMA, но информации о том, когда они будут исправлены (и будут ли вообще), нет.
https://www.documentcloud.org/documents/5749002-4G-5G-paper-at-NDSS-2019.html
Continue reading

Facebook и данные о менструациях

Posted on by
Reply

Из категории “никогда такого не было, и вот опять!”. WSJ сообщает о том, что Facebook получал массу персональной информации о пользователях, которую те вводили в сторонние приложения. Facebook в свою очередь тут же получал эти данные от приложений, чтобы улучшать таргетирование рекламой. В данном случае речь идет о приложениях для слежения за физической активностью и здоровьем, и информация могла включать весьма персональную информацию, например, о цикле овуляции пользователя (пользовательки?) и намерении забеременеть.

Интересно то, что для передачи данных в FB пользователю приложения даже не нужно было логиниться в аккаунт FB в приложении или даже обладать аккаунтом в социальной сети (shadow profiles, вот это все). Apple и Google не требуют от разработчиков приложений раскрывать, с кем разработчик делится информацией из приложения. В итоге, например, такие приложения как Instant Heart Rate: HR Monitor и Flo Period & Ovulation Tracker отправляли в Facebook, соответственно, данные о пульсе и данные о менструальном цикле. Приложение Realtor.com отправляло в Facebook данные о местоположении и цене объектов недвижимости, которые просматривал пользователь. Ни в одном из проверенных приложений журналисты WSJ не обнаружили возможности отказаться от передачи данных в Facebook.
Continue reading