Я не лезу в политику. Цель моих статей – это поиск интересных событий и возможность рассказать о базовых аспектах информационной безопасности. Поэтому сегодняшняя новость именно об этом.
В Интернете появилась публикация с ироничным названием "How Trump’s Twitter account was hacked – again". В статье рассказывается об очередном взломе твиттера Дональда Трампа руководителем организации GDI.foundation Виктора Геверса.
На самом деле, ничего криминального не случилось, так как компания GDI.foundation как раз занимается тем, что следит за надёжностью паролей и возможными каналами утечки информации. По этой причине, Геверс опубликовал твит, ссылающийся на фейковые новости, от имени Трампа и попытался связаться с администрацией президента США, чтобы указать на проблему.
Проблем, в сущности, оказалось две – это простой пароль "maga2020", который расшифровывается, как "make America great again 2020" и отключенная двухфакторная аутентификация. И здесь есть вопросы к обеим проблемам.
Во-первых, пароль оказался действительно простым. Геверс утверждает, что перебрал его с шестой попытки. Не знаю, насчёт такой скорости перебора, но догадаться действительно возможно.
Во-вторых, статья не просто так говорит о повторном взломе твиттера Трампа. Четыре года назад команда Геверса уже подбирала пароль от его аккаунта и указывала на отсутствие "двухфакторки", то есть на то, что для авторизации в социальной сети достаточно просто угадать пароль, не подтверждая личность дополнительным кодом, который приходит по SMS.
Специалисты считают, что усиленный механизм авторизации был отключен в период госпитализации Трампа с тем, чтобы пресс-служба могла продолжать вести работу в отсутствие президента.
На данный момент пароль от аккаунта изменён, двухфакторная аутентификация возвращена, а с Геверсом связались служба безопасности Дональда Трампа. Иными словами, проблема решена.
Так к чему я это всё рассказываю? Во-первых, чтобы на примере показать, что такое двухфакторная аутентификация и почему она важна. А во-вторых, эта история отлично показывает, что люди готовы идти на снижение уровня защиты под влиянием внешних обстоятельств ради наиболее простого решения своих проблем. Не даром, причиной успешных атак, в более чем 90% случаев становится именно человеческий фактор.
В Интернете появилась публикация с ироничным названием "How Trump’s Twitter account was hacked – again". В статье рассказывается об очередном взломе твиттера Дональда Трампа руководителем организации GDI.foundation Виктора Геверса.
На самом деле, ничего криминального не случилось, так как компания GDI.foundation как раз занимается тем, что следит за надёжностью паролей и возможными каналами утечки информации. По этой причине, Геверс опубликовал твит, ссылающийся на фейковые новости, от имени Трампа и попытался связаться с администрацией президента США, чтобы указать на проблему.
Проблем, в сущности, оказалось две – это простой пароль "maga2020", который расшифровывается, как "make America great again 2020" и отключенная двухфакторная аутентификация. И здесь есть вопросы к обеим проблемам.
Во-первых, пароль оказался действительно простым. Геверс утверждает, что перебрал его с шестой попытки. Не знаю, насчёт такой скорости перебора, но догадаться действительно возможно.
Во-вторых, статья не просто так говорит о повторном взломе твиттера Трампа. Четыре года назад команда Геверса уже подбирала пароль от его аккаунта и указывала на отсутствие "двухфакторки", то есть на то, что для авторизации в социальной сети достаточно просто угадать пароль, не подтверждая личность дополнительным кодом, который приходит по SMS.
Специалисты считают, что усиленный механизм авторизации был отключен в период госпитализации Трампа с тем, чтобы пресс-служба могла продолжать вести работу в отсутствие президента.
На данный момент пароль от аккаунта изменён, двухфакторная аутентификация возвращена, а с Геверсом связались служба безопасности Дональда Трампа. Иными словами, проблема решена.
Так к чему я это всё рассказываю? Во-первых, чтобы на примере показать, что такое двухфакторная аутентификация и почему она важна. А во-вторых, эта история отлично показывает, что люди готовы идти на снижение уровня защиты под влиянием внешних обстоятельств ради наиболее простого решения своих проблем. Не даром, причиной успешных атак, в более чем 90% случаев становится именно человеческий фактор.
Vrij Nederland
How Trump’s Twitter account was hacked - again
Four years ago, three Dutch hackers gained access to Donald Trump’s Twitter account. This week one of them managed to gain access to the account – yet again.
Сегодня снова хочу дать несколько практических советов для таких же параноиков, как я сам. Вряд ли кто-то из читателей этого канала допускает, что современные гаджеты не собирают информацию о своих владельцах. Наоборот, мы живём в мире, в котором этот факт является очевидным.этой лаконичной статьи
Если ты не готов мириться с таким раскладом вещей, поговорим немного о том, как отучить твой смартфон шпионить за тобой.
Авторы
дают 15 советов и рекомендаций, которые я бы разделил на три основные группы.VirusTotal
Первая -- это защита на человеческом уровне. Иными словами, эти меры безопасности можно свести к одному важному правилу - "не давай другим пользоваться твоим смартфоном". Телефон, попавший в чужие руки, может намеренно или непредумышленно оказаться скомпрометированным. Неконтроллируемая установка приложений или доступ к личной информации в такой ситуации явление весьма распространённое.
Вторая группа - это механизмы, которые рекомендуется настроить в смартфоне. Здесь спектр мер несколько интереснее.
Во-первых, сюда относится бдительное отношение к тем приложениям, которые ты используешь. Даже установленное из доверенных магазинов приложение может нехило тащить твою личную информацию в маркетинговых или более тёмных целях. Однако, все хотелки каждой приблуды обязательно описываются в «Terms & Conditions», с которым стоит ознакомиться, преодолевая бескрайнюю лень. Фонарик, которому нужен доступ к микрофону, наверняка вызовет подозрение. И не зря! К работе с приложениями относится и совет по регулярному обновлению, поскольку сознательные разработчики стараются следить за безопасностью своего продукта.
Во-вторых, имеет смысл озаботиться именно вопросами защиты от непосредственно злоумышленников. Поставь на смартфон антивирус, выбери браузер, который хотя бы пытается не собирать информацию о тебе (что-то типа Brave, DuckDuckGo и Firefox Focus). И ещё, не забудь освоить и настроить механизмы защиты, которым заботливо научили твой смартфон его создатели. Пин-код, отпечаток пальца, Face ID - все средства хороши. Главное, не забудь ключ, не работай на пилораме и не делай пластику.
Ну а третья группа советов для параноиков - это список ограничений, к которым нужно приучить свой телефон и самого себя. Спектр запретов весьма широк, но не безынтересен.
Например, не подключай телефон к публичным сетям без особой надобности. Злоумышленник может как минимум прикинуться точкой доступа и ждать, когда невнимательные пользователи подключатся к нему.
И вообще, старайся не держать дополнительные модули беспроводной связи смартфона постоянно включенными. Мало того, что в каком-нибудь торговом центре к тебе по Bluetooth может прилететь раздражающая реклама акций, так ещё и сам смартфон не замедлит приконнектиться к открытой общедоступной сети по Wi-Fi.
IT-маркетинг и IT-шпионаж - это две стороны одной IT-медали. Так что, будучи озабоченным сбором информации о себе, старайся отключать в соцсетях услужливые опции по поиску наиболее подходящего для тебя контента. Эта информация ведь тоже куда-то передаётся. Поисковики и приложения, кстати, тоже завязаны на персонализацию, которую можно отключить.
Надо ли говорить, что все странные файлы, обнаруженные на телефоне, тебе следует удалять? И что ходить по ссылкам, которые тебе присылают в соцсетях, нужно с максимальной осторожностью, по возможности, проверяя их на
.
Ну и, если уж ты понял, что подставился по крупному, то остаётся только одно - самое тяжёлое решение. Да да, мой параноидальный друг. В таком случае, ты обязан откатить свой смартфон до заводских настроек и начать его жизнь с нуля. Конфиденциальность в наше время - это роскошь, за которую тяжело платить!
Telegraph
В этой статье были перечислены основные способы, о которых нужно знать для защиты телефона от шпионажа.
1. Никогда не оставляйте свой телефон без присмотра Первое и самое главное: постоянно следите и никогда не оставляйте телефон на столике в кафе, на скамейке в парке и других общедоступных местах, поскольку некоторые злоумышленники специализируются на кражах…
Пиу-пиу, не знаешь, чем занять себя на ночь глядя?
Приложи свои руки к правильному делу — открывай новую статью на хабре от моих коллег
Приложи свои руки к правильному делу — открывай новую статью на хабре от моих коллег
Хабр
Maltego Часть 7. DarkNet matter
DarkNet. О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dar...
Forwarded from Код Дурова
⚡ Мошенники украли доступ у крупного русскоязычного Telegram-канала. При этом, аккаунт основателя канала взлому не подвергался, ибо защищён 2FA.
Рассказываем всю историю произошедшей ситуации:
https://kod.ru/ukrali-telegram-channel-reddit-nov-2020/
Рассказываем всю историю произошедшей ситуации:
https://kod.ru/ukrali-telegram-channel-reddit-nov-2020/
Если ты самоизолируешься в свое удовольствие на удаленке с корпоративной рабочей машинкой, то наверняка проходишь утренние обеденные предработные ритуалы логина в корпоративный домен. А значит, тебе будет интересен один из способов, как могут увести твою учетку во время этого нехитрого процесса.
Если ты сидишь за своим собственным армом, все равно прочитай пост, но можешь сделать это без уважения.
Начнём с того, что учётная запись, под которой ты заходишь на свой компьютер, может быть двух типов. Если это твое локальное устройство, то скорее всего, и учётка у тебя локальная — заведённая прямо на твоей машинке. Если же логин и пароль выданы тебе в большой компании, в которой ты работаешь, то такая учётка будет являться доменной, то есть заведённой в рамках некоторой рабочей группы.
Доменные учётные записи удобно создавать именно для больших сетей, в которых выделяются целые группы пользователей (привет, безмолвные корпоративные ноунеймы) с различными правами доступа. Придуман такой механизм для упрощения управления большим количеством пользователей. Добавил нового админа в группу "Admins", и все необходимые доступы и права на всех машинках у него уже есть.
Только что я попытался на пальцах и очень кратко описать принцип работы службы MS Active Directory. В самой службе за разделение компьютеров по группам-доменам отвечают контроллеры доменов (domain controller) и они же следят за аутентификацией и последующим выделением прав пользователям, подключающимся к этой группе.
Но как контроллер домена узнает, что ты пытаешься авторизоваться на одном из компьютеров его группы? Для этих целей в MS WIndows есть служба Netlogon, которая забирает учётные данные, введённые на конкретной машинке, доносит их по шифрованному каналу до контроллера домена, а после проверки возвращает по тому же каналу права доступа, выданные пользователю.
А тут нас поджидает опасность! И собственно инфоповод вспомнить про AD. В августе Microsoft выкатили заплатку для новой уязвимости, известной как Zerologon (CVE-2020-1472). Уровень кошмарности у этой дыры был оценён на все 10 ужасов параноика из 10.
Сама идея уязвимости кроется в её названии — спасибо всем ценителям каламбуров. Дело в том, что злоумышленник может инициировать соединение по Netlogon`у с помощью определённой последовательности символов, начинающейся с нулей. Эта неочевидная хитрость собъёт с толку контроллер домена, который наделит атакующего правами привелигированного аккаунта SYSTEM и разрешит сбивать пароли на админских учётках.
Наивно ожидалось, что заплатку от мелкомягких быстро-решительно поставят все и сразу. Но оказалось, что это не так. Microsoft бъёт тревогу. Заплатки поставили далеко не все. Невероятно, но факт!
Кстати, нынешняя заплатка от CVE-2020-1472 — это именно костыль, который блокирует использование конкретной реализации атаки. При этом, он допускает подключение к контроллеру домена машинок со старыми (legacy) системами. Однако в журналах аудита подключений на контроллерах эти небезопасные соединения фиксируются и учитываются.
К 9 февраля 2021 года Microsoftпроведет разъяснительно-карательную беседу о необходимости устанавливать обновления и патчи выпустит полную версию патча для защиты от Zerologon, в котором, кроме всего прочего, будет вообще запрещено использование старых версий службы. Раунд!
И к этому тоже надо быть готовыми.
Кстати, если ты пользуешься исключительно локальными учётками, то эта уязвимость тебе не страшна. Можешь воспринимать эту статью, как исключительно просветительскую.
Если ты сидишь за своим собственным армом, все равно прочитай пост, но можешь сделать это без уважения.
Начнём с того, что учётная запись, под которой ты заходишь на свой компьютер, может быть двух типов. Если это твое локальное устройство, то скорее всего, и учётка у тебя локальная — заведённая прямо на твоей машинке. Если же логин и пароль выданы тебе в большой компании, в которой ты работаешь, то такая учётка будет являться доменной, то есть заведённой в рамках некоторой рабочей группы.
Доменные учётные записи удобно создавать именно для больших сетей, в которых выделяются целые группы пользователей (привет, безмолвные корпоративные ноунеймы) с различными правами доступа. Придуман такой механизм для упрощения управления большим количеством пользователей. Добавил нового админа в группу "Admins", и все необходимые доступы и права на всех машинках у него уже есть.
Только что я попытался на пальцах и очень кратко описать принцип работы службы MS Active Directory. В самой службе за разделение компьютеров по группам-доменам отвечают контроллеры доменов (domain controller) и они же следят за аутентификацией и последующим выделением прав пользователям, подключающимся к этой группе.
Но как контроллер домена узнает, что ты пытаешься авторизоваться на одном из компьютеров его группы? Для этих целей в MS WIndows есть служба Netlogon, которая забирает учётные данные, введённые на конкретной машинке, доносит их по шифрованному каналу до контроллера домена, а после проверки возвращает по тому же каналу права доступа, выданные пользователю.
А тут нас поджидает опасность! И собственно инфоповод вспомнить про AD. В августе Microsoft выкатили заплатку для новой уязвимости, известной как Zerologon (CVE-2020-1472). Уровень кошмарности у этой дыры был оценён на все 10 ужасов параноика из 10.
Сама идея уязвимости кроется в её названии — спасибо всем ценителям каламбуров. Дело в том, что злоумышленник может инициировать соединение по Netlogon`у с помощью определённой последовательности символов, начинающейся с нулей. Эта неочевидная хитрость собъёт с толку контроллер домена, который наделит атакующего правами привелигированного аккаунта SYSTEM и разрешит сбивать пароли на админских учётках.
Наивно ожидалось, что заплатку от мелкомягких быстро-решительно поставят все и сразу. Но оказалось, что это не так. Microsoft бъёт тревогу. Заплатки поставили далеко не все. Невероятно, но факт!
Кстати, нынешняя заплатка от CVE-2020-1472 — это именно костыль, который блокирует использование конкретной реализации атаки. При этом, он допускает подключение к контроллеру домена машинок со старыми (legacy) системами. Однако в журналах аудита подключений на контроллерах эти небезопасные соединения фиксируются и учитываются.
К 9 февраля 2021 года Microsoft
И к этому тоже надо быть готовыми.
Кстати, если ты пользуешься исключительно локальными учётками, то эта уязвимость тебе не страшна. Можешь воспринимать эту статью, как исключительно просветительскую.
Threat Post
Microsoft Warns Threat Actors Continue to Exploit Zerologon Bug
Tech giant and feds this week renewed their urge to organizations to update Active Directory domain controllers.
Я бы мог сказать, что делаю рекламу этому новому каналу в телеге, потому что всем новоприбывшим привет. Но нет. Есть такие паблики, которые в рекламе не нуждаются. Просто роскомнадзор в тг. 2020-й грозит сдвинуть Землю с оси.
Forwarded from Листок бюрократической защиты информации
РКН и Telegram
У Роскомнадзора появился официальный канал в Telegram, подписаться на который можно здесь.
У Роскомнадзора появился официальный канал в Telegram, подписаться на который можно здесь.
Сегодняшний пост я хотел бы посвятить прошедшей Чёрной пятнице и всем грядущим массовым онлайн-мероприятиям. А какие же они сейчас ещё могут быть. Только онлайн.
В условиях прошедшей недели распродаж как-то с опозданием вышла прогностическая статья, в которой давалась оценка возможных ловушек для покупателей. А поскольку впереди новогодние праздники, да и эпидемиологическая ситуация не сильно улучшается, актуальность темы сохраняется и дальше. Поэтому, давай немного обсудим её.
Как ты знаешь, в историях с разнообразными злодеями обязательно наступает момент, когда все они объединяются против хороших парней. И в этом смысле Чёрная пятница полностью оправдывает своё название. Дело в том, что именно в дни массовых или даже глобальных распродаж, атаки, связанные с человеческим фактором, поджидают нас на каждом шагу.
Риск заражения во время пандемии привёл к тому, что толпы любителей скидок в этом году штурмуют не супермаркеты, а интернет-магазины. Да и даже розничные торговцы вынужденно уходят в онлайн и стараются привлечь внимание к своим площадкам. Такая ситуация порождает массовые рассылки с информацией об акциях и скидках. И в этих условиях отличить настоящее приглашение от фишинговой атаки довольно непросто.
По части фишинга традиционно частыми и в прошлые годы были атаки с подделкой доменных имён (а ты думал, adidas и abibas — это не про хакеров?!) и аккаунтов в социальных сетях. Здесь незадачливого покупателя ждёт целый букет опасностей — от кражи персональных и банковских данных до загрузки вредоносного ПО самого разного профиля.
Появляются на этом поле и такие откровенные негодяи, как рефандеры (fake refund), обычно терроризирующие как раз онлайн-магазины. В обычное время их активность сводится к умышленному повреждению онлайн-покупок и получении компенсации от магазинов. Но сейчас они действуют в обе стороны, связываясь с покупателями от имени онлайн-площадок якобы из-за отсутствия заказанного товара на складе и предлагая возместить оплату, если жертва назовёт свои банковские данные.
Другим видом фишинга опасны площадки, на которых разные магазины могут вывешивать информацию об акциях или прямые ссылки на конкретные товары. В таком случае, покупатели могут довериться самой площадке и не забыв о мерах предосторожности пройти по никем не проверенным ссылкам.
В общем, такая активность мошенников легко объяснима тремя вещами: особенно массовым уходом торговли в онлайн, жаждой мгновенной халявы у покупателей и слепым доверием к брендам.
Но не так страшен злоумышленник, как кажется! По сути, чтобы не попасться в ловушку, достаточно просто каждый раз перед переходом по ссылке давать себе некоторое время на размышление, ведь именно спешка заставляет нас совершать поступки (и, кстати, покупки), о которых мы потом жалеем. Стоит приглядеться к ссылке и убедиться, что в ней нет подозрительных ошибок. Если подозрение осталось, ты всегда можешь сам связаться с интересующим тебя магазином и проверить, верна ли информация. Какие-то пять минут на обдумывание надёжно защитят тебя от неприятных последствий.
В условиях прошедшей недели распродаж как-то с опозданием вышла прогностическая статья, в которой давалась оценка возможных ловушек для покупателей. А поскольку впереди новогодние праздники, да и эпидемиологическая ситуация не сильно улучшается, актуальность темы сохраняется и дальше. Поэтому, давай немного обсудим её.
Как ты знаешь, в историях с разнообразными злодеями обязательно наступает момент, когда все они объединяются против хороших парней. И в этом смысле Чёрная пятница полностью оправдывает своё название. Дело в том, что именно в дни массовых или даже глобальных распродаж, атаки, связанные с человеческим фактором, поджидают нас на каждом шагу.
Риск заражения во время пандемии привёл к тому, что толпы любителей скидок в этом году штурмуют не супермаркеты, а интернет-магазины. Да и даже розничные торговцы вынужденно уходят в онлайн и стараются привлечь внимание к своим площадкам. Такая ситуация порождает массовые рассылки с информацией об акциях и скидках. И в этих условиях отличить настоящее приглашение от фишинговой атаки довольно непросто.
По части фишинга традиционно частыми и в прошлые годы были атаки с подделкой доменных имён (а ты думал, adidas и abibas — это не про хакеров?!) и аккаунтов в социальных сетях. Здесь незадачливого покупателя ждёт целый букет опасностей — от кражи персональных и банковских данных до загрузки вредоносного ПО самого разного профиля.
Появляются на этом поле и такие откровенные негодяи, как рефандеры (fake refund), обычно терроризирующие как раз онлайн-магазины. В обычное время их активность сводится к умышленному повреждению онлайн-покупок и получении компенсации от магазинов. Но сейчас они действуют в обе стороны, связываясь с покупателями от имени онлайн-площадок якобы из-за отсутствия заказанного товара на складе и предлагая возместить оплату, если жертва назовёт свои банковские данные.
Другим видом фишинга опасны площадки, на которых разные магазины могут вывешивать информацию об акциях или прямые ссылки на конкретные товары. В таком случае, покупатели могут довериться самой площадке и не забыв о мерах предосторожности пройти по никем не проверенным ссылкам.
В общем, такая активность мошенников легко объяснима тремя вещами: особенно массовым уходом торговли в онлайн, жаждой мгновенной халявы у покупателей и слепым доверием к брендам.
Но не так страшен злоумышленник, как кажется! По сути, чтобы не попасться в ловушку, достаточно просто каждый раз перед переходом по ссылке давать себе некоторое время на размышление, ведь именно спешка заставляет нас совершать поступки (и, кстати, покупки), о которых мы потом жалеем. Стоит приглядеться к ссылке и убедиться, что в ней нет подозрительных ошибок. Если подозрение осталось, ты всегда можешь сам связаться с интересующим тебя магазином и проверить, верна ли информация. Какие-то пять минут на обдумывание надёжно защитят тебя от неприятных последствий.
Threat Post
Scams Ramp Up Ahead of Black Friday Cybercriminal Craze
With more online shoppers this year due to COVID-19, cybercriminals are pulling the trigger on new scams ahead of Black Friday and Cyber Monday.
Forwarded from Хакер — Xakep.RU
Zoom будет предупреждать пользователей о возможных атаках троллей
Невзирая на то, что разработчики Zoom давно ввели обязательные пароли для всех конференций, а также добавили возможность жаловаться на пользователей, на платформе по-прежнему процветает так называемый Zoom-Bombing, с которым компания продолжает бороться.
https://xakep.ru/2020/11/17/antizoombombing/
Невзирая на то, что разработчики Zoom давно ввели обязательные пароли для всех конференций, а также добавили возможность жаловаться на пользователей, на платформе по-прежнему процветает так называемый Zoom-Bombing, с которым компания продолжает бороться.
https://xakep.ru/2020/11/17/antizoombombing/
Если бы я предлагал формат наказания для пойманных хакеров, это бы точно были исправительные работы. Похоже, в Твиттере решили так же. Никто его не ловил, он сам пришёл, хотя, как говорится, who knows.
Ты должен был бороться со злом, а не примкнуть к нему. И ты это сделал.
Ты должен был бороться со злом, а не примкнуть к нему. И ты это сделал.
Decrypt
Twitter Hires Hacker Pieter 'Mudge' Zatko as Head of Security
After the summer’s large-scale hack, the social network recruits a famed hacker with DARPA and Google experience to run security.
Недавно мы с тобой уже говорили об уязвимостях в Active Directory. Сегодня я хочу, некоторым образом, продолжить этот разговор.
Дело в том, что в основе работы механизма аутентификации в AD используется протокол Kerberos, устройству и работе которого, пожалуй, нужно будет посвятить отдельную статью. А может быть, и не одну!
Но эта статья посвящена новости о том, как Microsoft выпустила ноябрьские обновления с порцией заплаток от различных уязвимостей. В частности, обновления содержали патч от уязвимости CVE-2020-17049, которая, как и большинство уязвимостей Kerberos, позволяет злоумышленнику удалённо обзавестись правами, которые ему не положены.
И на этом новость могла бы закончиться. Если бы не оказалось, что новая заплатка становится причиной новых ошибок аутентификации на контроллерах домена.
Общий смысл этих проблем сводится к нестыковкам в работе контроллеров домена с установленным обновлением и без него или же попросту с очень старыми версиями операционной системы. Среди нестыковок — невозможность выполнения задач по расписанию и бизнес-приложений, отказ в авторизации невиндовых машин и отказ в продлении для тех учётных записей, которые были созданы в ещё не обновлённой системе и многие другиt радости жизни.
Сейчас Microsoft усиленно работает над ошибками, но многие сознательные пользователи уже накатили ноябрьский пакет обновлений и получили проблемы на свою голову.
На самом деле, эта история парадоксальным образом увязывается с недавней новостью про Zerologon и нежеланием пользователей сразу применять все новые патчи от Microsoft. Если так подумать, может и не надо сразу бросаться обновляться, а немного подождать?
Дело в том, что в основе работы механизма аутентификации в AD используется протокол Kerberos, устройству и работе которого, пожалуй, нужно будет посвятить отдельную статью. А может быть, и не одну!
Но эта статья посвящена новости о том, как Microsoft выпустила ноябрьские обновления с порцией заплаток от различных уязвимостей. В частности, обновления содержали патч от уязвимости CVE-2020-17049, которая, как и большинство уязвимостей Kerberos, позволяет злоумышленнику удалённо обзавестись правами, которые ему не положены.
И на этом новость могла бы закончиться. Если бы не оказалось, что новая заплатка становится причиной новых ошибок аутентификации на контроллерах домена.
Общий смысл этих проблем сводится к нестыковкам в работе контроллеров домена с установленным обновлением и без него или же попросту с очень старыми версиями операционной системы. Среди нестыковок — невозможность выполнения задач по расписанию и бизнес-приложений, отказ в авторизации невиндовых машин и отказ в продлении для тех учётных записей, которые были созданы в ещё не обновлённой системе и многие другиt радости жизни.
Сейчас Microsoft усиленно работает над ошибками, но многие сознательные пользователи уже накатили ноябрьский пакет обновлений и получили проблемы на свою голову.
На самом деле, эта история парадоксальным образом увязывается с недавней новостью про Zerologon и нежеланием пользователей сразу применять все новые патчи от Microsoft. Если так подумать, может и не надо сразу бросаться обновляться, а немного подождать?
Docs
Windows release health
Quickly find official information on Windows updates and servicing milestones. Access resources, tools, and news about known issues and safeguards to help you plan your next update. Want the latest Windows release health updates? Follow @WindowsUpdate on…
Купила баба порося...
Сегодня я хочу поговорить с тобой про суровые будни пользователя интернета вещей. Причём, говорить буду о собственном опыте, которые приобрёл буквально на днях.
Сама история довольно проста. Сначала, у меня была умная колонка от Яндекса, которая отзывается на "Алису". Не спрашивайте, зачем, так надо. Благодаря ей я совершенно обленился и решил, что хочу не только слушать музыку и переключать каналы, не делая вообще никаких движений, но и пылесосить хочу точно так же.
Так у меня появился пылесос от Xiaomi, с которым, как говорят, Алиса прекрасно дружит. Кстати, и правда хорошо. Но кто знал, что начало этих отношений даётся с таким трудом!
После покупки пылесоса, я выяснил, что для управления им нужно поставить на смартфон приложение Mi Home, которое у китайцев должно отвечать за управление умным домом. Не знаю, как у китайцев, а я бы всю эту технологию умной никак не назвал! Сразу после установки приложения я попытался добавить туда свой пылесос. Включил на нём режим подключения и нажал в Mi Home на кнопочку "Добавить устройство", а после стал ждать. На экране крутился индикатор состояния поиска, пылесос терпеливо ждал сигналов. Но ничего не происходило. Я ждал. Но всё оставалось по-прежнему. Вообще-то, я терпеливый — мало ли, сколько времени надо двум железкам, чтобы подружиться. Но ничего не происходило слишком долго, и я полез гуглить.
Оказалось, что в отличие от самих железок, приложения у Xiaomi получаются не слишком здорово. И главная их проблема — это адский пинг, который не позволяет подключать новые устройства к новому дому. А причина здесь очень простая — подавляющее большинство серверов компании находится непосредственно в Китае. Китайская политика закрытого интернета известна ещё с 2003 года и, спойлер, с того времени она никуда не делась. Поэтому пакетики из других стран, не всегда долетают внутрь "периметра" КНР. Мой вот, например, подобно варварам полторы тысячи лет назад, явно бились о Великий китайский фаервол и дальше не шли.
Но было одно "но", вселяющее надежду на успех. Якобы из Германии или Сингапура сигнал проходит лучше. Не долго думая, я запустил на смартфоне VPN через Германию, и вот тогда случилось чудо.
Практически сразу Mi Home на смартфоне увидел полный перечень устройств, к которым он умеет подключаться. Был в этом списке и мой гаджет. Сам процесс знакомства приложения и пылесоса состоял из подключения к его точке доступа (да-да! пылесос тоже раздаёт Wi-Fi, правда, без доступа в интернет), прописывания пароля от домашней сети, знакомство с третьим участником — домашним роутером. На самом деле, вся эта процедура получилась у меня не с первого раза. Пылесос периодически отваливался и приходилось начинать по-новой. И вот, когда все, наконец, стали друзьями, а пылесос даже выполнил тестовый круг почёта по периметру комнаты и записал свою первую карту местности, пришло время подключать Алису.
Но как только я зашёл в приложение Яндекса, оно начало вести себя ровно так же, как до этого Mi Home. Приложение просто отказалось "узнавать" меня и давать доступ к меню, в котором надо указывать Mi-аккаунт с привязанными к нему устройствами.
Но здесь я уже не растерялся! Было очевидно, что отечественная Алиса не собирается иметь никаких отношений с иностранными агентами. Я отключил VPN и сменил регион с Германии на Россию. После чего, Яндекс сразу же признал во мне своего пользователя и дал доступ к настройкам колонки.
Так я научился дружить между собой колонку и пылесос простым переключением региона. Но самый ужас ждал меня впереди.
Обрадованный успехом, я скомандовал: "Алиса, уберись!". В ответ на мои слова, пылесос послушно зашумел и поехал по комнате. Продолжая проверку, я сказал: "Алиса, выключи пылесос!". На что умная колонка ответила мне: "Не вижу в этом смысла".
Логично завершая 2020-й год, начиналось восстание машин...
Сегодня я хочу поговорить с тобой про суровые будни пользователя интернета вещей. Причём, говорить буду о собственном опыте, которые приобрёл буквально на днях.
Сама история довольно проста. Сначала, у меня была умная колонка от Яндекса, которая отзывается на "Алису". Не спрашивайте, зачем, так надо. Благодаря ей я совершенно обленился и решил, что хочу не только слушать музыку и переключать каналы, не делая вообще никаких движений, но и пылесосить хочу точно так же.
Так у меня появился пылесос от Xiaomi, с которым, как говорят, Алиса прекрасно дружит. Кстати, и правда хорошо. Но кто знал, что начало этих отношений даётся с таким трудом!
После покупки пылесоса, я выяснил, что для управления им нужно поставить на смартфон приложение Mi Home, которое у китайцев должно отвечать за управление умным домом. Не знаю, как у китайцев, а я бы всю эту технологию умной никак не назвал! Сразу после установки приложения я попытался добавить туда свой пылесос. Включил на нём режим подключения и нажал в Mi Home на кнопочку "Добавить устройство", а после стал ждать. На экране крутился индикатор состояния поиска, пылесос терпеливо ждал сигналов. Но ничего не происходило. Я ждал. Но всё оставалось по-прежнему. Вообще-то, я терпеливый — мало ли, сколько времени надо двум железкам, чтобы подружиться. Но ничего не происходило слишком долго, и я полез гуглить.
Оказалось, что в отличие от самих железок, приложения у Xiaomi получаются не слишком здорово. И главная их проблема — это адский пинг, который не позволяет подключать новые устройства к новому дому. А причина здесь очень простая — подавляющее большинство серверов компании находится непосредственно в Китае. Китайская политика закрытого интернета известна ещё с 2003 года и, спойлер, с того времени она никуда не делась. Поэтому пакетики из других стран, не всегда долетают внутрь "периметра" КНР. Мой вот, например, подобно варварам полторы тысячи лет назад, явно бились о Великий китайский фаервол и дальше не шли.
Но было одно "но", вселяющее надежду на успех. Якобы из Германии или Сингапура сигнал проходит лучше. Не долго думая, я запустил на смартфоне VPN через Германию, и вот тогда случилось чудо.
Практически сразу Mi Home на смартфоне увидел полный перечень устройств, к которым он умеет подключаться. Был в этом списке и мой гаджет. Сам процесс знакомства приложения и пылесоса состоял из подключения к его точке доступа (да-да! пылесос тоже раздаёт Wi-Fi, правда, без доступа в интернет), прописывания пароля от домашней сети, знакомство с третьим участником — домашним роутером. На самом деле, вся эта процедура получилась у меня не с первого раза. Пылесос периодически отваливался и приходилось начинать по-новой. И вот, когда все, наконец, стали друзьями, а пылесос даже выполнил тестовый круг почёта по периметру комнаты и записал свою первую карту местности, пришло время подключать Алису.
Но как только я зашёл в приложение Яндекса, оно начало вести себя ровно так же, как до этого Mi Home. Приложение просто отказалось "узнавать" меня и давать доступ к меню, в котором надо указывать Mi-аккаунт с привязанными к нему устройствами.
Но здесь я уже не растерялся! Было очевидно, что отечественная Алиса не собирается иметь никаких отношений с иностранными агентами. Я отключил VPN и сменил регион с Германии на Россию. После чего, Яндекс сразу же признал во мне своего пользователя и дал доступ к настройкам колонки.
Так я научился дружить между собой колонку и пылесос простым переключением региона. Но самый ужас ждал меня впереди.
Обрадованный успехом, я скомандовал: "Алиса, уберись!". В ответ на мои слова, пылесос послушно зашумел и поехал по комнате. Продолжая проверку, я сказал: "Алиса, выключи пылесос!". На что умная колонка ответила мне: "Не вижу в этом смысла".
Логично завершая 2020-й год, начиналось восстание машин...
Кстати, на Хабре пишут, что у VPN-сервисов все чаще запрашивают пользовательские данные.
На часах воскресенье, а значит время уборки. А значит, тема восстания машин.
Любой безопасник, запустивший кататься по своей квартире робота-пылесоса, обязательно задумывался о том, что вот сейчас этот недо-r2d2 с выходом на внешние серверы считывает периметр каждой комнаты, а хуже того — вращает "башкой" по сторонам и разглядывает своим "глазом" объекты от ножек стульев и кошек до вполне человеческих ног, техники и всего другого. Неужели где-то там, по ту сторону этого лазерного глаза-лидара не притаился мошенник, который преспокойно следит за тобой и, зараза, ухмыляется?
На самом деле, после появления роботов-пылесосов техническая реализация такой атаки оставалась исключительно вопросом времени. И это время пришло.
На днях ИБ-сегмент интернет облетела статья с описанием атаки LidarPhone. Суть этой атаки как раз и заключается в том, что лидар, этот самый лазерный дальномер, с помощью которого пылесос сканирует пространство вокруг себя, может быть переоборудован, например, в лазерный микрофон. Устройство лидара позволяет наводить небольшие колебания в предметах, которые пылесос встречает на своём пути. Отражённый от предметов сигнал возвращает в пылесос информацию о характеристиках предмета, в которые входят и иные колебания, одним из которых является звук.
Получается, что в данном случае пылесос, главным образом, подслушивает за своими владельцами. По характеру акустических колебаний его "мозг" может не только различать голоса, но и разбирать содержание речи с точностью около 90%. Кроме того, пылесос может слить информацию о гендерной принадлежности своего владельца по тембру голоса и даже узнать, за кого голосует объект на выборах, услышав информацию из включённой передачи.
Однако, у этой атаки есть и затрудняющие её моменты. Во-первых, чтобы подчинить пылесос себе, злоумышленнику нужно вмешаться в процесс обновления ПО на нём, а здесь единого решения не существует. Во-вторых, владельцам пылесосов с лидарами известно, что этот самый лидар отчаянно вращается для считывания окружающей среды со всех сторон. Поэтому, чтобы сфокусироваться на конкретном объекте, "глаз" робота должен остановиться, что как минимум вызовет некоторые подозрения.
В любом случае, мирно стоящий на базе пылесос можно отлично собирать информацию обо всём, что происходит вокруг него, и оставаться при этом абсолютно незамеченным.
И тут я подумал — а ведь вот оно, роботы только вошли в нашу повседневную жизнь, а первый закон робототехники уже не работает. И своими действиями роботы приносят вредкожаным мешкам человекам.
Любой безопасник, запустивший кататься по своей квартире робота-пылесоса, обязательно задумывался о том, что вот сейчас этот недо-r2d2 с выходом на внешние серверы считывает периметр каждой комнаты, а хуже того — вращает "башкой" по сторонам и разглядывает своим "глазом" объекты от ножек стульев и кошек до вполне человеческих ног, техники и всего другого. Неужели где-то там, по ту сторону этого лазерного глаза-лидара не притаился мошенник, который преспокойно следит за тобой и, зараза, ухмыляется?
На самом деле, после появления роботов-пылесосов техническая реализация такой атаки оставалась исключительно вопросом времени. И это время пришло.
На днях ИБ-сегмент интернет облетела статья с описанием атаки LidarPhone. Суть этой атаки как раз и заключается в том, что лидар, этот самый лазерный дальномер, с помощью которого пылесос сканирует пространство вокруг себя, может быть переоборудован, например, в лазерный микрофон. Устройство лидара позволяет наводить небольшие колебания в предметах, которые пылесос встречает на своём пути. Отражённый от предметов сигнал возвращает в пылесос информацию о характеристиках предмета, в которые входят и иные колебания, одним из которых является звук.
Получается, что в данном случае пылесос, главным образом, подслушивает за своими владельцами. По характеру акустических колебаний его "мозг" может не только различать голоса, но и разбирать содержание речи с точностью около 90%. Кроме того, пылесос может слить информацию о гендерной принадлежности своего владельца по тембру голоса и даже узнать, за кого голосует объект на выборах, услышав информацию из включённой передачи.
Однако, у этой атаки есть и затрудняющие её моменты. Во-первых, чтобы подчинить пылесос себе, злоумышленнику нужно вмешаться в процесс обновления ПО на нём, а здесь единого решения не существует. Во-вторых, владельцам пылесосов с лидарами известно, что этот самый лидар отчаянно вращается для считывания окружающей среды со всех сторон. Поэтому, чтобы сфокусироваться на конкретном объекте, "глаз" робота должен остановиться, что как минимум вызовет некоторые подозрения.
В любом случае, мирно стоящий на базе пылесос можно отлично собирать информацию обо всём, что происходит вокруг него, и оставаться при этом абсолютно незамеченным.
И тут я подумал — а ведь вот оно, роботы только вошли в нашу повседневную жизнь, а первый закон робототехники уже не работает. И своими действиями роботы приносят вред
Forwarded from Тупой татарский пиарщик
Журналистская тусовка сейчас гудит после вчерашнего наблюдательного совета в Иннополисе, где, оказывается, произошел инцидент. Там во время презентации робота для дезинфекции помещений как-то лишнего распылили специальной жижи и пожгли корреспондентам глаза. Говорят, что уже несколько человек обратились в больницу за помощью из-за проблем с сетчаткой.
Судя по официальным данным, в медицинском центре Иннополиса презентовали робота MedBot М-304, куда и позвали СМИ. Плохо некоторым стало уже вчера, начались рези в глазах, а сегодня кто-то поехал в больничку за помощью.
Похоже, как-то плохо настроили своего робота-деструктора, что он решил уничтожать людей. На самом деле, это совсем не смешно. Интересно, кто будет отвечать за произошедшее. Надеюсь, что никаких серьезных последствий для здоровья у журналистов не будет.
Но объясниться за это явно кому-то придется. Может что-то внятное по этому поводу есть у Минцифры Татарстана, которое было ответственно за мероприятие.
Судя по официальным данным, в медицинском центре Иннополиса презентовали робота MedBot М-304, куда и позвали СМИ. Плохо некоторым стало уже вчера, начались рези в глазах, а сегодня кто-то поехал в больничку за помощью.
Похоже, как-то плохо настроили своего робота-деструктора, что он решил уничтожать людей. На самом деле, это совсем не смешно. Интересно, кто будет отвечать за произошедшее. Надеюсь, что никаких серьезных последствий для здоровья у журналистов не будет.
Но объясниться за это явно кому-то придется. Может что-то внятное по этому поводу есть у Минцифры Татарстана, которое было ответственно за мероприятие.
Ты все еще тешишь себя надеждой сохранить приватность в социальных сетях? Не то чтобы тебе это удастся, но тут мои коллеги опубликовали интересный материал про то, как настройки приватности могут повлиять на OSINT подручными средствами. Энджой.
Хабр
Настройки приватности Facebook VS OSINT
Уже достаточно много статей я разбирал OSINT и поиск в соцсетях с помощью Maltego. Сегодня же давайте поговорим о настройках приватности в их аккаунтах. Когда...