Привет, это техотдел Роскомсвободы. Мы решили запилить свой канал об информационной безопасности, приватности, анонимности и свободе слова в России и в мире. Здесь мы хотим писать о событиях, которые нас интересуют, с технической точки зрения и с техническими подробностями, и хотим, чтобы этот канал полюбили айтишники. Если у вас есть идеи и отзывы по формату и темам, пишите в личку, будем обсуждать.
Поехали!
Поехали!
👍2❤1
«Бывший сотрудник с доступами смог скачать логи почтового сервера»
Леонид Волков в эфире "Дождя" прокомментировал, как случилась утечка базы имейлов подписчиков сайта "Свободу Навальному!". Волков говорит, что данные украл бывший сотрудник, у которого после увольнения не забрали доступ к логам почтового сервера, и атакующие собрали имейлы из почтовых логов, а других персональных данных там просто не было.
Почтовый сервер - это сервис Mailgun, который использовался на сайте для рассылки имейлов подписчикам, и который позавчера комментировал РБК, что сломали не их. "Наша команда выяснила, что для доступа к данным с нашей платформы были использованы действительные API-ключи и учетные данные пользователя."
То есть версии, например, такие:
• атакующий влез в контрольную панель Mailgun при помощи валидной учетки;
• атакующий забрал логи с Mailgun по API при помощи валидного ключа;
• админы сайта куда-то еще в другое место выгружали эти логи и их украли уже оттуда;
• данные логировали на сервере еще до отправки через Mailgun.
Пока непонятно. Будем ждать более подробного отчета об инциденте, который обещает Волков. Из других технических подробностей известен самой размер базы (529 тысяч адресов имейл с диапазоном дат с 22 марта по 2 апреля 2021 года) и домен, с которого атакующие рассылали сообщения подписчикам сайта (navalnyfail.online, зарегистрирован на reg.ru 15 апреля этого года, MX-запись у них на сегодня - emx.mail.ru, это доменная почта на Mail.ru).
А еще "Дождь" пишет, что их корреспондент сегодня ночью получил от организаторов слива второе письмо, где были его личные данные: дата рождения, ФИО и адрес регистрации. Возможных объяснений много (например, персональные данные к имейлу нашли по открытым источникам и разослали нескольким "важным" людям типа корреспондентов "Дождя"), но информации для надежной гипотезы мало.
Леонид Волков в эфире "Дождя" прокомментировал, как случилась утечка базы имейлов подписчиков сайта "Свободу Навальному!". Волков говорит, что данные украл бывший сотрудник, у которого после увольнения не забрали доступ к логам почтового сервера, и атакующие собрали имейлы из почтовых логов, а других персональных данных там просто не было.
Почтовый сервер - это сервис Mailgun, который использовался на сайте для рассылки имейлов подписчикам, и который позавчера комментировал РБК, что сломали не их. "Наша команда выяснила, что для доступа к данным с нашей платформы были использованы действительные API-ключи и учетные данные пользователя."
То есть версии, например, такие:
• атакующий влез в контрольную панель Mailgun при помощи валидной учетки;
• атакующий забрал логи с Mailgun по API при помощи валидного ключа;
• админы сайта куда-то еще в другое место выгружали эти логи и их украли уже оттуда;
• данные логировали на сервере еще до отправки через Mailgun.
Пока непонятно. Будем ждать более подробного отчета об инциденте, который обещает Волков. Из других технических подробностей известен самой размер базы (529 тысяч адресов имейл с диапазоном дат с 22 марта по 2 апреля 2021 года) и домен, с которого атакующие рассылали сообщения подписчикам сайта (navalnyfail.online, зарегистрирован на reg.ru 15 апреля этого года, MX-запись у них на сегодня - emx.mail.ru, это доменная почта на Mail.ru).
А еще "Дождь" пишет, что их корреспондент сегодня ночью получил от организаторов слива второе письмо, где были его личные данные: дата рождения, ФИО и адрес регистрации. Возможных объяснений много (например, персональные данные к имейлу нашли по открытым источникам и разослали нескольким "важным" людям типа корреспондентов "Дождя"), но информации для надежной гипотезы мало.
"Коммерсантъ" сегодня пишет, что открытые данные российских компаний "оказались" в открытом доступе, потому что эти компании держали их на публичных досках Trello. А по факту эти компании или их сотрудники сами положили свои данные в открытый доступ, когда поменяли выбранную в Trello по умолчанию настройку доски "Рабочее пространство" на "Публичную", а потом Google это все проиндексировал, потому что у него работа такая. А ребята из Infosecurity, которые поговорили с "Коммерсантом", похоже, почитали этот старый материал секьюрити блогера Брайана Креббса или этот совсем старый материал на Медузе и тоже решили попробовать искать в Гугле что-то типа:
inurl:trello.com 'название компании и другие интересные ключевые слова'.
Что тут сказать, если у вас есть секреты, не выкладывайте их в открытый доступ. В Trello у каждой доски есть настройка "Изменение видимости", и, если вы держите в этом сервисе конфиденциальные данные, сегодня отличный день, чтобы ее проверить.
inurl:trello.com 'название компании и другие интересные ключевые слова'.
Что тут сказать, если у вас есть секреты, не выкладывайте их в открытый доступ. В Trello у каждой доски есть настройка "Изменение видимости", и, если вы держите в этом сервисе конфиденциальные данные, сегодня отличный день, чтобы ее проверить.
Разработчик защищенного мессенджера Signal Мокси Марлинспайк выпустил второй пост о том, как устроена программа израильской фирмы Cellebrite, которая поддерживает извлечение данных из Signal. Он рассказывает, что шел по улице, а тут программно-аппаратный комплекс Cellebrite прямо перед ним упал с грузовика, а он его нашел и исследовал. Ну и в посте он над израильтянами издевается, потому что в их программе дырявый ffmpeg 2012 года и, предположительно, использованный без разрешения код Apple.
А еще он объясняет, что "поддержка Signal" Cellebrite-ом - это не удаленный взлом шифрования или доступ к данным, то есть израильтяне вообще ничего не взломали, и эту штуку не может использовать ваш сотовый оператор или провайдер где-нибудь у себя. Их программа, которая называется Physical Analyzer, анализирует незашифрованный файл резервной копии смартфона на Android или IOS, то есть для работы ей вначале нужен физический доступ к разблокированному телефону или незашифрованному бэкапу. Если есть такой доступ, говорит Мокси, можно было бы просто открыть Signal на этом телефоне и делать скриншоты чатов, и программа Cellebrite просто автоматизирует эту работу - достает данные Signal из бэкапа сразу в красивом читаемом виде, потому что каким-нибудь правоохранителям это удобно.
Мокси, должно быть, было очень неприятно, когда СМИ в декабре прошлого года начали писать, что израильские хакеры взломали Signal. Теперь он рассказывает пользователям Signal, чего действительно стоит опасаться, а чего нет, и заодно портит репутацию Cellebrite в глазах потенциальных клиентов.
А еще он объясняет, что "поддержка Signal" Cellebrite-ом - это не удаленный взлом шифрования или доступ к данным, то есть израильтяне вообще ничего не взломали, и эту штуку не может использовать ваш сотовый оператор или провайдер где-нибудь у себя. Их программа, которая называется Physical Analyzer, анализирует незашифрованный файл резервной копии смартфона на Android или IOS, то есть для работы ей вначале нужен физический доступ к разблокированному телефону или незашифрованному бэкапу. Если есть такой доступ, говорит Мокси, можно было бы просто открыть Signal на этом телефоне и делать скриншоты чатов, и программа Cellebrite просто автоматизирует эту работу - достает данные Signal из бэкапа сразу в красивом читаемом виде, потому что каким-нибудь правоохранителям это удобно.
Мокси, должно быть, было очень неприятно, когда СМИ в декабре прошлого года начали писать, что израильские хакеры взломали Signal. Теперь он рассказывает пользователям Signal, чего действительно стоит опасаться, а чего нет, и заодно портит репутацию Cellebrite в глазах потенциальных клиентов.
Signal
Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective
Cellebrite makes software to automate physically extracting and indexing data from mobile devices. They exist within the grey – where enterprise branding joins together with the larcenous to be called “digital intelligence.” Their customer list has included…
👍1
С начала недели новый вирус-вымогатель Qlocker шифрует данные на сетевых хранилищах NAS производителя QNAP.
История интересна тем, что это - реальный вымогатель "из говна и палок": программисты в его создании, похоже, вообще не участвовали. Его авторы прочитали описание уязвимости на официцальном сайте, поняли, как она устроена, сравнив последнее вышедшее обновление безопасности с предыдущей версией, нашли чем-нибудь типа поисковой системы Shodan.io IP-адреса устройств QNAP, к которым есть доступ из интернет (на сегодня их там 9000+), "натравили" на эти адреса скрипт (уязвимость это sql-инъекция, поэтому в принципе мог подойти стандартный sqlmap), и, если взлом удался (а значит, если пользователь еще не установил последнее обновление), положили на устройства текстовый файл с требованием заплатить, и запустили шифровать данные стандартным архиватором 7zip с паролем!!!
Несмотря на простое устройство вымогателя, на сегодня уже больше 500 человек заплатили им выкуп по 0.01 BTC, то есть в общем это около $260 000. А вчера QNAP выпустил инструкцию, как расшифровать данные, и она такая же нехитрая, как и сам вымогатель. Пользователям предлагается при помощи стандартной в linux команды ps найти на устройствах процесс, который шифрует файлы, и скопировать пароль из найденной строки типа:
"/usr/local/sbin/7z a -mx=0 -sdel -pCcrP7PCP1euF0MBjD2C866YYi388m9jD"
Эта история - пример очень распространенного сейчас способа взлома: злоумышленники следят за вышедшими обновлениями ПО, выясняют, что изменилось, и атакуют тех, кто не обновился. Мораль простая: чем быстрее вы установили обновления безопасности, тем меньшее время вы уязвимы. Ну и да, бэкапить важные данные по-прежнему обязательно, а устройства, к которым есть доступ из интернет, иногда ломают.
История интересна тем, что это - реальный вымогатель "из говна и палок": программисты в его создании, похоже, вообще не участвовали. Его авторы прочитали описание уязвимости на официцальном сайте, поняли, как она устроена, сравнив последнее вышедшее обновление безопасности с предыдущей версией, нашли чем-нибудь типа поисковой системы Shodan.io IP-адреса устройств QNAP, к которым есть доступ из интернет (на сегодня их там 9000+), "натравили" на эти адреса скрипт (уязвимость это sql-инъекция, поэтому в принципе мог подойти стандартный sqlmap), и, если взлом удался (а значит, если пользователь еще не установил последнее обновление), положили на устройства текстовый файл с требованием заплатить, и запустили шифровать данные стандартным архиватором 7zip с паролем!!!
Несмотря на простое устройство вымогателя, на сегодня уже больше 500 человек заплатили им выкуп по 0.01 BTC, то есть в общем это около $260 000. А вчера QNAP выпустил инструкцию, как расшифровать данные, и она такая же нехитрая, как и сам вымогатель. Пользователям предлагается при помощи стандартной в linux команды ps найти на устройствах процесс, который шифрует файлы, и скопировать пароль из найденной строки типа:
"/usr/local/sbin/7z a -mx=0 -sdel -pCcrP7PCP1euF0MBjD2C866YYi388m9jD"
Эта история - пример очень распространенного сейчас способа взлома: злоумышленники следят за вышедшими обновлениями ПО, выясняют, что изменилось, и атакуют тех, кто не обновился. Мораль простая: чем быстрее вы установили обновления безопасности, тем меньшее время вы уязвимы. Ну и да, бэкапить важные данные по-прежнему обязательно, а устройства, к которым есть доступ из интернет, иногда ломают.
Пару недель назад компания Traced.app выпустила отчет о сайтах и приложениях, которые позволяют отслеживать, когда у других пользователей открыт Whatsapp, и таким образом за ними следить. Речь идет не о "большом Брате", а скорее о слежке за супругами и партнерами, и о том, что называется "сталкинг". А сегодня на Хабре вышел перевод материала, как написать такую систему самому.
Идея там такая: в Whatsapp есть настройка, кому пользователь хочет показывать свое время последнего посещения. А еще есть статус Онлайн, который виден всей сети, и чтобы его проверять, вообще не нужно быть в контактах у пользователя. У Whatsapp в FAQ написано, что это не баг, а фича: "Имейте в виду, что скрыть статус «в сети» невозможно." И Whatsapp никак не мешает одним пользователям массово проверять статус других: исследователь, который написал оригинал статьи с Хабра, в течение месяца непрерывно проверял онлайн статус 5000 пользователей с одного аккаунта, и ничего.
В результате можно загуглить что-то вроде Whatsapp status check, скачать готовую программу на смартфон или пойти на сайт, вбить туда телефон пользователя, и потом накапливать информацию о том, в какие промежутки времени у того было открыто окно Whatsapp, а потом делать выводы, когда он лег спать, вышел с работы и так далее. А еще есть готовые приложения, которые за деньги умеют делать то же самое для пары пользователей, чтобы можно было подтвердить гипотезу, переписываются ли они между собой. В отзывах пишут, помогло уличить кого-то там в измене. Защитники приватности говорят, что это способ слежки и надо такие аппы и сайты запрещать, и жалуются в Google и Whatsapp, но приложения по прежнему есть в магазинах и по-прежнему работают.
Современные способы слежки часто основаны как раз на анализе метаданных, то есть не содержания разговоров, а дополнительной служебной информации, например о том, кто, когда, с кем говорил. У мессенджеров чаще обсуждают шифрование, но у Whatsapp и Signal математика шифрования вообще одинаковая, а метаданные они защищают и противодействуют слежке по-разному: у Signal вообще нет статуса онлайн и информации о времени последнего посещения.
Идея там такая: в Whatsapp есть настройка, кому пользователь хочет показывать свое время последнего посещения. А еще есть статус Онлайн, который виден всей сети, и чтобы его проверять, вообще не нужно быть в контактах у пользователя. У Whatsapp в FAQ написано, что это не баг, а фича: "Имейте в виду, что скрыть статус «в сети» невозможно." И Whatsapp никак не мешает одним пользователям массово проверять статус других: исследователь, который написал оригинал статьи с Хабра, в течение месяца непрерывно проверял онлайн статус 5000 пользователей с одного аккаунта, и ничего.
В результате можно загуглить что-то вроде Whatsapp status check, скачать готовую программу на смартфон или пойти на сайт, вбить туда телефон пользователя, и потом накапливать информацию о том, в какие промежутки времени у того было открыто окно Whatsapp, а потом делать выводы, когда он лег спать, вышел с работы и так далее. А еще есть готовые приложения, которые за деньги умеют делать то же самое для пары пользователей, чтобы можно было подтвердить гипотезу, переписываются ли они между собой. В отзывах пишут, помогло уличить кого-то там в измене. Защитники приватности говорят, что это способ слежки и надо такие аппы и сайты запрещать, и жалуются в Google и Whatsapp, но приложения по прежнему есть в магазинах и по-прежнему работают.
Современные способы слежки часто основаны как раз на анализе метаданных, то есть не содержания разговоров, а дополнительной служебной информации, например о том, кто, когда, с кем говорил. У мессенджеров чаще обсуждают шифрование, но у Whatsapp и Signal математика шифрования вообще одинаковая, а метаданные они защищают и противодействуют слежке по-разному: у Signal вообще нет статуса онлайн и информации о времени последнего посещения.
Два дня назад закончилась история ботнета и малвари Emotet, перехваченного у хозяев в результате международной спецоперации. В январе киберполицейские перехватили у хозяев ботнета центры управления их сетью, а потом разослали обновление, которое 25 апреля в полдень удалило малварь со всех зараженных компьютеров. А сегодня владелец известного сервиса проверки взломанных аккаунтов https://haveibeenpwned.com Трой Хант пишет, что ФБР отдало ему 4.3 миллиона имейлов, логинов и паролей, которые использовались для распространения этой малвари, либо хранились сохраненными в браузерах на зараженных машинах, чтобы он помог уведомить владельцев аккаунтов.
В отличие от основного массива данных на HaveIBeenPwned, эти данные совсем свежие, там могут могут быть даже январские пароли, поэтому в общую выдачу на сайте они не попадают и по API не выдаются. Но можно проверить себя через их сервис подписки https://haveibeenpwned.com/NotifyMe, где надо сначала подтвердить, что email - реально твой, либо проверить пользователей своих доменов через интерфейс для админов https://haveibeenpwned.com/DomainSearch.
Обычно безопасникам Dehashed.com интереснее, чем HaveIbeenPwned: у первых все за денежку, но Dehashed выдают в поисковой выдаче сами пароли или их хеши. Но тут особенный случай: январская утечка, данные собраны малварью из браузеров, поэтому пароли могут быть от разных сервисов, и пока проверить можно только на HaveIBeenPwned или на сайте полиции Нидерландов.
В общем, самое время подписаться на рассылку обновлений о своих email адресах https://haveibeenpwned.com/NotifyMe, если вы еще не подписаны.
В отличие от основного массива данных на HaveIBeenPwned, эти данные совсем свежие, там могут могут быть даже январские пароли, поэтому в общую выдачу на сайте они не попадают и по API не выдаются. Но можно проверить себя через их сервис подписки https://haveibeenpwned.com/NotifyMe, где надо сначала подтвердить, что email - реально твой, либо проверить пользователей своих доменов через интерфейс для админов https://haveibeenpwned.com/DomainSearch.
Обычно безопасникам Dehashed.com интереснее, чем HaveIbeenPwned: у первых все за денежку, но Dehashed выдают в поисковой выдаче сами пароли или их хеши. Но тут особенный случай: январская утечка, данные собраны малварью из браузеров, поэтому пароли могут быть от разных сервисов, и пока проверить можно только на HaveIBeenPwned или на сайте полиции Нидерландов.
В общем, самое время подписаться на рассылку обновлений о своих email адресах https://haveibeenpwned.com/NotifyMe, если вы еще не подписаны.
Troy Hunt
Data From The Emotet Malware is Now Searchable in Have I Been Pwned, Courtesy of the FBI and NHTCU
Earlier this year, the FBI in partnership with the Dutch National High Technical Crimes Unit (NHTCU), German Federal Criminal Police Office (BKA) and other international law enforcement agencies brought down what Europol rereferred to as the world's most…
👍1
Коммерсантъ сегодня пишет, что сайты десятков российских банков на стандартной CMS "1С-Битрикс" имеют уязвимость, которая позволяет злоумышленникам использовать ссылки с открытыми редиректами типа https://bank.ru/redirect.php?goto=https://rublacklist.net Безопасники из компании StopPhish взяли с сайта ЦБ список из 358 банков, прошлись скриптом по всем сайтам, из них 140 работают на "1С-Битрикс", а 27 поддерживают открытые редиректы. Идея в том, что злоумышленники могут делать такие ссылки, рассылать их пользователям, и пользователи будут по ним переходить на фишинговые сайты, потому что их научили сначала проверять домен в ссылках, а домен правильный.
Вот здесь казахские айтишники обсуждали эту же проблему у казахского банка в 2015 году. А история с редиректами касается не только банков, а всех сайтов на этой CMS, которых в российском интернете около 13.4%. В админке "1С-Битрикс" есть настройка "Защита редиректов", у кого она отключена, у того такие редиректы работают, причем в последней версии она включена по умолчанию. На форумах пишут, что пару лет назад по умолчанию все было выключено, клиенты жаловались, а техподдержка предлагала включать.
Ну что, если вы пользователь - проверяйте ссылки не только до перехода по ним, но и после)) Если вы админ "1С-Битрикс" и редиректы для вас вообще проблема - лезьте в админки проверять, и, кстати, убедите клиентов продолжать покупать обновления безопасности, которые у Битрикс платные по подписке. А если вы безопасник - это история о том, как безопасность продукта определяется не возможностями его настраивать, а тем, как разработчик выбрал настройки по умолчанию пять версий назад.
Вот здесь казахские айтишники обсуждали эту же проблему у казахского банка в 2015 году. А история с редиректами касается не только банков, а всех сайтов на этой CMS, которых в российском интернете около 13.4%. В админке "1С-Битрикс" есть настройка "Защита редиректов", у кого она отключена, у того такие редиректы работают, причем в последней версии она включена по умолчанию. На форумах пишут, что пару лет назад по умолчанию все было выключено, клиенты жаловались, а техподдержка предлагала включать.
Ну что, если вы пользователь - проверяйте ссылки не только до перехода по ним, но и после)) Если вы админ "1С-Битрикс" и редиректы для вас вообще проблема - лезьте в админки проверять, и, кстати, убедите клиентов продолжать покупать обновления безопасности, которые у Битрикс платные по подписке. А если вы безопасник - это история о том, как безопасность продукта определяется не возможностями его настраивать, а тем, как разработчик выбрал настройки по умолчанию пять версий назад.
Коммерсантъ
Совет редиректоров
С банковских сайтов открылся путь к мошенникам
Bi.zone, дочка Сбербанка в сфере кибербезопасности, поговорила с РБК о статистике, как у их российских клиентов ломают аккаунты. На первом месте (46%) перебор паролей по словарю и последствия использования одинаковых паролей в разных сервисах, а на втором (34%) - фишинг, то есть вместе эти два способа дают 80% инцидентов.
Проценты немного странные, потому что всего четыре способа атак (атаки на пароли 46% + фишинг 34% + уязвимости ПО и сервисов 17% + инсайдерские атаки 3%), вместе дают 100%. Но это все-таки РБК, так что похоже, что в основе этого материала лежит настоящая статистика инцидентов, а не просто марекетинговая брошюра. Тогда это - ценная информация о том, что сейчас наиболее вероятно "в среднем по больнице". А дальше есть немного пользователей, которые понимают про себя, что их ситуация особенная и их угрозы другие. И есть очень и очень много пользователей, для которых в этом материале говорится примерно следующее:
Хочешь примерно в четыре раза снизить риск взлома своих аккаунтов?
• Используй для важных аккаунтов сложные уникальные пароли (снижает риск почти вдвое).
• Разберись, что такое фишинг и настрой двухфакторную (снижает риск на треть).
Проценты немного странные, потому что всего четыре способа атак (атаки на пароли 46% + фишинг 34% + уязвимости ПО и сервисов 17% + инсайдерские атаки 3%), вместе дают 100%. Но это все-таки РБК, так что похоже, что в основе этого материала лежит настоящая статистика инцидентов, а не просто марекетинговая брошюра. Тогда это - ценная информация о том, что сейчас наиболее вероятно "в среднем по больнице". А дальше есть немного пользователей, которые понимают про себя, что их ситуация особенная и их угрозы другие. И есть очень и очень много пользователей, для которых в этом материале говорится примерно следующее:
Хочешь примерно в четыре раза снизить риск взлома своих аккаунтов?
• Используй для важных аккаунтов сложные уникальные пароли (снижает риск почти вдвое).
• Разберись, что такое фишинг и настрой двухфакторную (снижает риск на треть).
РБК
Простые пароли назвали главной причиной взлома компьютеров в России
Киберпреступники все чаще взламывают компьютеры из-за того, что россияне используют слишком простые пароли, считает «дочка» Сбербанка в сфере кибербезопасности. Проблемы возникают также из-за