Forwarded from Хакер — Xakep.RU
Самая масштабная атака в истории Twitter: взломаны аккаунты звезд, компаний и криптовалютных бирж
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Среди пострадавших числятся Билл Гейст, Илон Маск, Джефф Безос, Барак Обама, CoinDesk, Binance, Apple. Неизвестные злоумышленники устроили фальшивую раздачу биткоинов от лица взломанных учетных записей и «заработали» около 120 000 долларов.
https://xakep.ru/2020/07/16/twitter-hacked/
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Среди пострадавших числятся Билл Гейст, Илон Маск, Джефф Безос, Барак Обама, CoinDesk, Binance, Apple. Неизвестные злоумышленники устроили фальшивую раздачу биткоинов от лица взломанных учетных записей и «заработали» около 120 000 долларов.
https://xakep.ru/2020/07/16/twitter-hacked/
Пока в твиттере смешались отечественные митушники и поломанные селебрити с биткойнами, наша команда подготовила большой дайджест про фишинг учетных данных Windows.
Read. Enjoy. Use (только в пентесте, разумеется).
https://habr.com/ru/company/tomhunter/blog/511286/
Read. Enjoy. Use (только в пентесте, разумеется).
https://habr.com/ru/company/tomhunter/blog/511286/
Хабр
Фишинг учетных данных Windows
В первом квартале 2020 года число фишинговых атак на пользователей по всему миру выросло вдвое по сравнению с аналогичным периодом 2019 года — с 9% до 18%. Так...
Сидельцы дома
Хотя повсеместно снимаются ограничения от вроде бы отступившей пандемии, если ты, конечно, не чувствуешь себя на 65+ лет, отголоски ковидных времен все еще достаточно осязаемые. Я обещал, что буду периодически рассказывать новости о самоизоляции. Вот ещё одна.
В мае этого года Управление "К" при содействии Group-IB задержало мошенника, который воровал деньги при помощи специального приложения для интернет-банкинга.
Приложение было замаскировано под единую точку входа в систему быстрых платежей основных банков России. На деле же, программка отправляла информации по карточкам пользователей своему хозяину. Далее, зная все данные, вплоть до cvv, мошенники выводили средства относительно небольшими суммами. Ты спросишь, а как же код подтверждения по SMS? Здесь у злоумышленников всё было продумано. Фальшивый банковский агрегатор, установленный на телефон жертвы, блокировал смски от банка и отсылал код подтверждения сам-понимаешь-кому.
Создание ложных приложений не единственный источник дохода мошенников в сфере банковского обслуживания. Есть масса примеров того, как злоумышленники создавали собственные онлайн-магазины или фишинговые версии известных компаний. Цель, однако, всегда одинаковая — украсть данные с твоей карточки, а затем втихаря списать оттуда деньги.
За время эпидемии количество таких атак выросло в десятки раз (до 400-600 за месяц). Сюда, конечно, относятся и уязвимости в протоколах электронных платежей, но главная причина такого бешенного роста состоит в том, что "спрос рождает предложение". Ушедшие на самоизоляцию люди, стали гораздо больше пользоваться онлайн-сервисами оплаты и, как следствие, гораздо чаще попадаться на удочку злоумышленников.
Кстати, подробнее почитать про мошенничество в системе дистанционного банковского обслуживания можно в материале от Group-IB. Я не жадничаю на ссылки на блоги других компаний, потому что считаю распространение полезной информации гораздо важнее коммерческих условностей. Все равно же вы это прочитаете, если будете интересоваться. Так почему бы не узнать последние новости от меня?
Хотя повсеместно снимаются ограничения от вроде бы отступившей пандемии, если ты, конечно, не чувствуешь себя на 65+ лет, отголоски ковидных времен все еще достаточно осязаемые. Я обещал, что буду периодически рассказывать новости о самоизоляции. Вот ещё одна.
В мае этого года Управление "К" при содействии Group-IB задержало мошенника, который воровал деньги при помощи специального приложения для интернет-банкинга.
Приложение было замаскировано под единую точку входа в систему быстрых платежей основных банков России. На деле же, программка отправляла информации по карточкам пользователей своему хозяину. Далее, зная все данные, вплоть до cvv, мошенники выводили средства относительно небольшими суммами. Ты спросишь, а как же код подтверждения по SMS? Здесь у злоумышленников всё было продумано. Фальшивый банковский агрегатор, установленный на телефон жертвы, блокировал смски от банка и отсылал код подтверждения сам-понимаешь-кому.
Создание ложных приложений не единственный источник дохода мошенников в сфере банковского обслуживания. Есть масса примеров того, как злоумышленники создавали собственные онлайн-магазины или фишинговые версии известных компаний. Цель, однако, всегда одинаковая — украсть данные с твоей карточки, а затем втихаря списать оттуда деньги.
За время эпидемии количество таких атак выросло в десятки раз (до 400-600 за месяц). Сюда, конечно, относятся и уязвимости в протоколах электронных платежей, но главная причина такого бешенного роста состоит в том, что "спрос рождает предложение". Ушедшие на самоизоляцию люди, стали гораздо больше пользоваться онлайн-сервисами оплаты и, как следствие, гораздо чаще попадаться на удочку злоумышленников.
Кстати, подробнее почитать про мошенничество в системе дистанционного банковского обслуживания можно в материале от Group-IB. Я не жадничаю на ссылки на блоги других компаний, потому что считаю распространение полезной информации гораздо важнее коммерческих условностей. Все равно же вы это прочитаете, если будете интересоваться. Так почему бы не узнать последние новости от меня?
Хабр
Схемы хищений в системах ДБО и пять уровней противодействия им
В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков...
Заходите, гости дорогие.
Сегодня я думал над тем, что бы тебе рассказать такого, чтобы не очень сильно заморачиваться. Воскресным летним днём не очень хочется зацикливаться на чём-то сложном. А потом увидел, что не только я в один прекрасный момент решил не париться.
Как известно, кибервойна — это тоже война. И, кроме выведенных из строя электростанций и взломанных аккаунтов известных политиков, там происходят и довольно курьёзные вещи.
Например, на днях стало известно, что исследователи из IBM X-Force Incident Response Intelligence Services, ковыряясь на облачном сервере иранской группировки ITG18, обнаружили практически в открытом доступе архив информации примерно в 40 Гб.
Разбор архива показал, что там хранились видеоуроки по взлому учётных записей на различных платформах, сами скомпрометированные учётные записи и инструкции по централизованному управлению хакнутыми почтовыми ящиками.
В ходе исследования, нашлись и взломанные аккаунты представителей вооружённых сил США и Греции, а их владельцы были оповещены о том, что их успешно прослушивают.
Причиной доступности этой хакерской информации стала неправильная конфигурация сервера, в результате которой закрытые обучающие уроки оказались незащищены. Т.е. вы понимаете, насколько лень было этой группировке защитить свое нечестно нажитое добро?
У этой истории не будет морали. Это просто очень забавно.
Сегодня я думал над тем, что бы тебе рассказать такого, чтобы не очень сильно заморачиваться. Воскресным летним днём не очень хочется зацикливаться на чём-то сложном. А потом увидел, что не только я в один прекрасный момент решил не париться.
Как известно, кибервойна — это тоже война. И, кроме выведенных из строя электростанций и взломанных аккаунтов известных политиков, там происходят и довольно курьёзные вещи.
Например, на днях стало известно, что исследователи из IBM X-Force Incident Response Intelligence Services, ковыряясь на облачном сервере иранской группировки ITG18, обнаружили практически в открытом доступе архив информации примерно в 40 Гб.
Разбор архива показал, что там хранились видеоуроки по взлому учётных записей на различных платформах, сами скомпрометированные учётные записи и инструкции по централизованному управлению хакнутыми почтовыми ящиками.
В ходе исследования, нашлись и взломанные аккаунты представителей вооружённых сил США и Греции, а их владельцы были оповещены о том, что их успешно прослушивают.
Причиной доступности этой хакерской информации стала неправильная конфигурация сервера, в результате которой закрытые обучающие уроки оказались незащищены. Т.е. вы понимаете, насколько лень было этой группировке защитить свое нечестно нажитое добро?
У этой истории не будет морали. Это просто очень забавно.
Forwarded from Раньше всех. Ну почти.
Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе
Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».
Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».
Буквально новость-огонь про то, как беспроводная зарядка гробит гаджеты не из-за технологического недосмотра, а исключительно в корыстных целях.
TechRadar
This dangerous quick-charge vulnerability could burn your phone
Tencent Security finds many fast-charging devices had safety issues which could damage smartphones or laptops.
Будущее наступило
Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.
Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.
Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)
Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.
Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.
Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.
Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.
Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.
Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.
Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.
Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.
Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)
Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.
Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.
Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.
Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.
Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.
Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.
Хабр
Как генеалогические сайты облегчают поимку убийц
Чем больше людей закачивают свою ДНК на веб-сайты с родословными, тем легче становится находить преступников За последние шесть месяцев небольшой открытый сайт...
За открытое хранение данных ДНК в сети?
Anonymous Poll
27%
Нет
27%
Нет, конечно
5%
Конечно, нет
41%
Ищу троюродного дядю-миллионера
Вечерело. А меня все не отпускал тема последствий удалёнки. Сегодня снова немного поговорим о том, как мошенники пользуются доверием к знаменитым брендам.
Специалистами Лаборатории Касперского было установлено, что с 2019 года количество фишинговых атак, в которых упоминался стриминговый сервис Netflix, составило более 22 000.
Аналогичные атаки зафиксированы и с упоминанием онлайн-кинотеатров Hulu, Disney +, Apple TV Plus, Amazon Prime Video.
Злоумышленники создают рекламные ссылки и файлы, добавляя туда названия сервисов и сериалов. В частности, наиболее часто упоминаются "Мандалорец", "Ведьмак", "Очень странные дела", "Половое воспитание", "Оранжевый — хит сезона".
Прошедшего по ссылке пользователя обычно ждёт не онлайн-сервис, а троян, блокирующий данные, или программа-шпион, ворующая платёжные данные.
Как известно, спрос рождает предложение. Сидящий на удалёнке народ с радостью потребляет большое количество развлекательных шоу. Скачать сериал на халяву хочется многим, а, как известно, скупой платит дважды.
Ты можешь сказать, что сейчас уже никто не переходит по странным баннерам, но почти шесть тысяч пользователей антивируса Касперского, попавшие под "сериальные" атаки, с тобой не согласятся.
Специалистами Лаборатории Касперского было установлено, что с 2019 года количество фишинговых атак, в которых упоминался стриминговый сервис Netflix, составило более 22 000.
Аналогичные атаки зафиксированы и с упоминанием онлайн-кинотеатров Hulu, Disney +, Apple TV Plus, Amazon Prime Video.
Злоумышленники создают рекламные ссылки и файлы, добавляя туда названия сервисов и сериалов. В частности, наиболее часто упоминаются "Мандалорец", "Ведьмак", "Очень странные дела", "Половое воспитание", "Оранжевый — хит сезона".
Прошедшего по ссылке пользователя обычно ждёт не онлайн-сервис, а троян, блокирующий данные, или программа-шпион, ворующая платёжные данные.
Как известно, спрос рождает предложение. Сидящий на удалёнке народ с радостью потребляет большое количество развлекательных шоу. Скачать сериал на халяву хочется многим, а, как известно, скупой платит дважды.
Ты можешь сказать, что сейчас уже никто не переходит по странным баннерам, но почти шесть тысяч пользователей антивируса Касперского, попавшие под "сериальные" атаки, с тобой не согласятся.
Kaspersky
Press Releases & News | Kaspersky
When it comes to disguising malicious files under the names of popular streaming platforms and their content, cybercriminals most frequently use Netflix and The Mandalorian (a Disney + original) as a lure.
Сегодня воскресенье, а значит не время говорить о серьезных вещах. Время гифок. Уверен, что в какой-то выходной точно так же подумали ребята из следующей истории.
В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего ботнета Emotet. Проснувшийся зловред распространяется посредством рассылки писем-приманок с вложенными файлами MS Office, либо ссылками на них.
Жертва, скачавшая и открывшая файл не становится сразу заражённой. Для дальнейшей работы зловреда нужно, чтобы пользователь ответил утвердительно на запрос о включении макросов. И вот тогда, на машину жертвы загружается пейлоад ("полезная" нагрузка, осуществляющая дальнейшее развитие зловреда — установку программ, ворующих данные, майнеров, шифровальщиков и т.д.).
В основном, ссылки, которые рассылает Emotet, ведут на предварительно взломанные ресурсы на базе WordPress. Доступ к этим сайтам злоумышленники выстраивают через веб-шелл. И, как установили специалисты, при этом, всегда используют один и тот же пароль.
А вот теперь, сам курьёз. Анекдот. Хохма. Прибаутка. Я не знаю более подходящих слов к чувсву юмора этих товарищей, но...
Неизвестные хакеры смогли узнать этот пароль и начали подменять файлы загрузки гифками. Таким образом, жертвы Emotet не получают пейлоады на свои машины, а эффективность самого ботнета существенно снижается.
Пока нельзя сказать точно, кто именно стоит за этими "контратаками", но чувство юмора у него все-таки есть — одной из загруженных гифок оказался Хакермен из нашумевшего несколько лет назад короткометражного комедийного боевика "Kung Fury".
Возможно, таким комичным образом происходит передел рынка, в ходе которого работа одного из самых активных ботнетов 2019 года уже снизилась в четыре раза, а возможно, в дело вмешались хорошие парни, пожелавшие до поры оставаться неизвестными.
Так или иначе, шалость удалась.
В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего ботнета Emotet. Проснувшийся зловред распространяется посредством рассылки писем-приманок с вложенными файлами MS Office, либо ссылками на них.
Жертва, скачавшая и открывшая файл не становится сразу заражённой. Для дальнейшей работы зловреда нужно, чтобы пользователь ответил утвердительно на запрос о включении макросов. И вот тогда, на машину жертвы загружается пейлоад ("полезная" нагрузка, осуществляющая дальнейшее развитие зловреда — установку программ, ворующих данные, майнеров, шифровальщиков и т.д.).
В основном, ссылки, которые рассылает Emotet, ведут на предварительно взломанные ресурсы на базе WordPress. Доступ к этим сайтам злоумышленники выстраивают через веб-шелл. И, как установили специалисты, при этом, всегда используют один и тот же пароль.
А вот теперь, сам курьёз. Анекдот. Хохма. Прибаутка. Я не знаю более подходящих слов к чувсву юмора этих товарищей, но...
Неизвестные хакеры смогли узнать этот пароль и начали подменять файлы загрузки гифками. Таким образом, жертвы Emotet не получают пейлоады на свои машины, а эффективность самого ботнета существенно снижается.
Пока нельзя сказать точно, кто именно стоит за этими "контратаками", но чувство юмора у него все-таки есть — одной из загруженных гифок оказался Хакермен из нашумевшего несколько лет назад короткометражного комедийного боевика "Kung Fury".
Возможно, таким комичным образом происходит передел рынка, в ходе которого работа одного из самых активных ботнетов 2019 года уже снизилась в четыре раза, а возможно, в дело вмешались хорошие парни, пожелавшие до поры оставаться неизвестными.
Так или иначе, шалость удалась.
ZDNET
Meet the white-hat group fighting Emotet, the world's most dangerous malware
A private group of 20+ security researchers and system administrators have been waging a silent war against Emotet, today's most dangerous malware operation.
Forwarded from Раньше всех. Ну почти.
ЦБ проводит проверку в Альфа-Банке, речь идет об утечках данных клиентов. Хакеры могли получать доступ к базе клиентских данных Альфа-банка, используя принципиально новый тип уязвимости — Readovka
T.Hunter
Сегодня воскресенье, а значит не время говорить о серьезных вещах. Время гифок. Уверен, что в какой-то выходной точно так же подумали ребята из следующей истории. В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего…
Свежайшее чтиво от CheckPoint. Статистика, отчет, показатели, все как мы любим.
Пандемия несёт в себе не только ограничения, но и новые возможности. И не только для простых граждан, но и для хакеров.
Так вот, CheckPoint опубликовал полугодовой отчёт по трендам кибератак 2020, из которого видно, как режим изоляции сказался на распространении киберугроз.
Помимо махинаций с сервисами онлайн-оплаты, злоумышленники часто атакуют облачные среды, пользуясь ошибками в настройке серверов или пытаясь скомпрометировать самих провайдеров облачных сервисов. Примечательно, что делают они это сообща. Например, вымогатели проникают в сеть своих жертв через арендованные ботнеты. Глобализация во всей ее красе.
Выросло и количество атак на мобильные устройства.
В список лидеров вошли так же "атаки с трамплина". Такой тип используется, когда злоумышленник не может действовать успешно "в лоб" и ищет путь обхода. Например, компрометация внешнего сервиса, которым пользуется жертва, может помочь злоумышленнику попасть в её инфраструктуру.
В отчёте CheckPoint так же перечислены и самые активные в России зловреды. И первое место занимает атакованный гифками Emotet, который мы вспоминали на прошлых выходных. Далее идут: набор эксплойтов RigEK, майнер XMRig, RAT-троян, шпионящий за жертвой, Agent Tesla и виндовый червяк Phorpiex.
Этот отчёт в очередной раз показывает, что жизнь меняется очень динамично, а вместе с ней и способы кражи информации.
Пандемия несёт в себе не только ограничения, но и новые возможности. И не только для простых граждан, но и для хакеров.
Так вот, CheckPoint опубликовал полугодовой отчёт по трендам кибератак 2020, из которого видно, как режим изоляции сказался на распространении киберугроз.
Помимо махинаций с сервисами онлайн-оплаты, злоумышленники часто атакуют облачные среды, пользуясь ошибками в настройке серверов или пытаясь скомпрометировать самих провайдеров облачных сервисов. Примечательно, что делают они это сообща. Например, вымогатели проникают в сеть своих жертв через арендованные ботнеты. Глобализация во всей ее красе.
Выросло и количество атак на мобильные устройства.
В список лидеров вошли так же "атаки с трамплина". Такой тип используется, когда злоумышленник не может действовать успешно "в лоб" и ищет путь обхода. Например, компрометация внешнего сервиса, которым пользуется жертва, может помочь злоумышленнику попасть в её инфраструктуру.
В отчёте CheckPoint так же перечислены и самые активные в России зловреды. И первое место занимает атакованный гифками Emotet, который мы вспоминали на прошлых выходных. Далее идут: набор эксплойтов RigEK, майнер XMRig, RAT-троян, шпионящий за жертвой, Agent Tesla и виндовый червяк Phorpiex.
Этот отчёт в очередной раз показывает, что жизнь меняется очень динамично, а вместе с ней и способы кражи информации.
Checkpoint
Cyber Security Trends Mid-Year Report | Check Point Software
The new normal created cyber security challenges as the world shifted to working, and living online. Infrastructure changes to empower a remote workforce opened new arenas for threat actors. Read Cyber Security Trends: Mid-Year Report.
Пишут, что это вещь дня, правда вчерашего. Мультитул от "российкого техноэнтузиаста" для пентестеров.
Wylsacom
Вещь дня: «тамагочи для хакеров», созданный российским энтузиастом, взорвал Kickstarter
Российский техноэнтузиаст Павел Жовнер вместе со своими друзьями создал то, что он называет «тамагочи для хакеров».
Для тех, кто не расстается с мобильными телефонами, но и пентест тоже не забрасывает, полезный материал от моих коллег. Можно даже сказать, тьюториал. Но, разумеется, исключительно в образовательных целях.
Хабр
Kali Linux NetHunter на Android Ч.3: нарушение дистанции
Статьи из цикла Kali Linux NetHunter на Android: зачем и как установить Kali Linux NetHunter на Android Ч.2: атаки на беспроводные сети Kali...
Сегодня мы поговорим о вещах, которые касаются буквально каждого из нас. О загрузчиках операционных систем.
Как ты знаешь, процессу загрузки ОС на твоём компьютере предшествует запуск программы-загрузчика, которая и должна определить параметры загрузки операционки.
Одним из широко распространённых загрузчиков является GRUB, который стал таким распространенным благодаря возможности выбирать между загрузками разных ОС. GRUB умеет не только сам запускать ряд систем (Linux, BSD, Solaris), но и передавать "по цепочке" работу другим загрузчикам. Таким образом, ты мог заметить, что если поставить на одну машинку сначала винду, а потом, ещё и Linux, у тебя появится возможность выбрать операционку при загрузке. А вот, если сделать наоборот, загружаться будет только винда.
GRUB является довольно древней разработкой (выпущен в 1995 году). С тех пор его, конечно же, полностью переписали для достижения модульности и переносимости. Так появился GRUB 2.
И вот, 29 июля этого года компания Eclypsium рассказала об уязвимости, названной ими "Дырка в башмаке" (от одинакового написания слов "загружать"/to boot и "башмак"/boot).
Суть уязвимости, которой присвоен индекс CVE-2020-10713, состоит в том, что получивший админский доступ к системе злоумышленник может изменить конфигурационный файл grub.cfg таким образом, что при следующем запуске GRUB 2 столкнётся с переполнением буфера и загрузит скомпрометированную версию ОС, вместо ожидаемой.
Вместе с тем, поломанный GRUB 2 может спровоцировать проблемы и с виндовыми дистрибутивами, поскольку защитный механизм загрузки Secure Boot, проверяющий, можно ли доверять конкретной версии стороннего загрузчика (получен сертификат Microsoft или нет), не смотрит на содержимое grub.cfg.
Эта уязвимость навела довольно много шуму, несмотря на то, что злоумышленнику всё равно придётся сначала получать рутовые права в "чистой" операционке. Microsoft и линуксовые вендоры бросились разрабатывать патчи. И спешка уже привела к факапам, когда, например, дистрибутивы Red Hat перестали запускаться после применения патчей. Зато, попутно были найдены ещё около семи уязвимостей в GRUB 2.
Как ты знаешь, процессу загрузки ОС на твоём компьютере предшествует запуск программы-загрузчика, которая и должна определить параметры загрузки операционки.
Одним из широко распространённых загрузчиков является GRUB, который стал таким распространенным благодаря возможности выбирать между загрузками разных ОС. GRUB умеет не только сам запускать ряд систем (Linux, BSD, Solaris), но и передавать "по цепочке" работу другим загрузчикам. Таким образом, ты мог заметить, что если поставить на одну машинку сначала винду, а потом, ещё и Linux, у тебя появится возможность выбрать операционку при загрузке. А вот, если сделать наоборот, загружаться будет только винда.
GRUB является довольно древней разработкой (выпущен в 1995 году). С тех пор его, конечно же, полностью переписали для достижения модульности и переносимости. Так появился GRUB 2.
И вот, 29 июля этого года компания Eclypsium рассказала об уязвимости, названной ими "Дырка в башмаке" (от одинакового написания слов "загружать"/to boot и "башмак"/boot).
Суть уязвимости, которой присвоен индекс CVE-2020-10713, состоит в том, что получивший админский доступ к системе злоумышленник может изменить конфигурационный файл grub.cfg таким образом, что при следующем запуске GRUB 2 столкнётся с переполнением буфера и загрузит скомпрометированную версию ОС, вместо ожидаемой.
Вместе с тем, поломанный GRUB 2 может спровоцировать проблемы и с виндовыми дистрибутивами, поскольку защитный механизм загрузки Secure Boot, проверяющий, можно ли доверять конкретной версии стороннего загрузчика (получен сертификат Microsoft или нет), не смотрит на содержимое grub.cfg.
Эта уязвимость навела довольно много шуму, несмотря на то, что злоумышленнику всё равно придётся сначала получать рутовые права в "чистой" операционке. Microsoft и линуксовые вендоры бросились разрабатывать патчи. И спешка уже привела к факапам, когда, например, дистрибутивы Red Hat перестали запускаться после применения патчей. Зато, попутно были найдены ещё около семи уязвимостей в GRUB 2.
Eclypsium | Supply Chain Security for the Modern Enterprise
There's a Hole in the Boot - Eclypsium | Supply Chain Security for the Modern Enterprise
The BootHole vulnerability in the GRUB2 bootloader opens up Windows and Linux devices using Secure Boot to attack. The majority of laptops, desktops, servers and workstations are affected, as well as network appliances and other special purpose equipment
Как я уже много раз говорил, информационная безопасность не является узкой темой, доступной только крутым специалистам. Эта сфера касается абсолютно всех. И вот тебе ещё один пример.
Китай — страна со сложной культурой и идиологией. В этой стране проживают несколько миллионов католиков. Власти Китая, по историческим и политическим причинам, католиков недолюбливают. Поэтому, в Китае есть две католические церкви — Патриотическая (лояльная правительству) и "подземная" (лояльная исключительно Ватикану).
Многие десятилетия Китай занимается тем, что активно поддерживает Патриотическую церковь, пытаясь срастить её с коммунистической партией (где-то крутанулся вокруг своей оси Карл Маркс), и, в то же время, выискивает прихожан церкви подземной, считая их, по сути, иностранными агентами.
С 2018 года Китай и Ватикан договорились о "перемирии", условием которого является совместный отбор епископов для Патриотической церкви. В этом году срок действия соглашения истекает, поэтому на сентябрь назначена новая встреча по обсуждению и продлению сотрудничества.
Однако, как говорится в докладе Recorded Future, уже с мая внутренняя сеть Ватикана подвергалась атакам китайской прогосударственной группировки RedDelta. И, в итоге, атаки достигли своей цели, когда руководитель католической исследовательской (дипломатической) миссии в Гонгконге открыл электронные письма, тщательно замаскированные под сообщения из Ватикана.
Сразу после открытия вложенного документа Word руководитель миссии Хавьер Короне Эррера подцепил троян-шпион PlugX. Этот троян так же известен своей "паранойей". Во-первых, PlugX загружает себя на компьютер жертвы, только убедившись, что не попал на ханипот. Во-вторых, он старательно по нескольку раз затирает следы своей деятельности в системе. PlugX и ранее был замечен на службе у китайских хакеров.
По мнению специалистов, за то время, пока троян действовал незамеченным, он успел утащить достаточно информации о настоящих планах Ватикана по деятельности в Китае и сведения о прихожанах "подземной" церкви. Как именно Китай распорядится этой информацией скоро станет понятно.
Ватикан, кстати, уже подвергался хакерской атаке, когда были взломаны "умные" чётки. О них я тоже рассказывал. Так что даже в духовных вопросах информационная безопасность никуда не девается.
Китай — страна со сложной культурой и идиологией. В этой стране проживают несколько миллионов католиков. Власти Китая, по историческим и политическим причинам, католиков недолюбливают. Поэтому, в Китае есть две католические церкви — Патриотическая (лояльная правительству) и "подземная" (лояльная исключительно Ватикану).
Многие десятилетия Китай занимается тем, что активно поддерживает Патриотическую церковь, пытаясь срастить её с коммунистической партией (где-то крутанулся вокруг своей оси Карл Маркс), и, в то же время, выискивает прихожан церкви подземной, считая их, по сути, иностранными агентами.
С 2018 года Китай и Ватикан договорились о "перемирии", условием которого является совместный отбор епископов для Патриотической церкви. В этом году срок действия соглашения истекает, поэтому на сентябрь назначена новая встреча по обсуждению и продлению сотрудничества.
Однако, как говорится в докладе Recorded Future, уже с мая внутренняя сеть Ватикана подвергалась атакам китайской прогосударственной группировки RedDelta. И, в итоге, атаки достигли своей цели, когда руководитель католической исследовательской (дипломатической) миссии в Гонгконге открыл электронные письма, тщательно замаскированные под сообщения из Ватикана.
Сразу после открытия вложенного документа Word руководитель миссии Хавьер Короне Эррера подцепил троян-шпион PlugX. Этот троян так же известен своей "паранойей". Во-первых, PlugX загружает себя на компьютер жертвы, только убедившись, что не попал на ханипот. Во-вторых, он старательно по нескольку раз затирает следы своей деятельности в системе. PlugX и ранее был замечен на службе у китайских хакеров.
По мнению специалистов, за то время, пока троян действовал незамеченным, он успел утащить достаточно информации о настоящих планах Ватикана по деятельности в Китае и сведения о прихожанах "подземной" церкви. Как именно Китай распорядится этой информацией скоро станет понятно.
Ватикан, кстати, уже подвергался хакерской атаке, когда были взломаны "умные" чётки. О них я тоже рассказывал. Так что даже в духовных вопросах информационная безопасность никуда не девается.
СМИ пишут про базу голосовавших в электронном виде по поправкам в Конституцию. Важный дисклеймер дает Коммерсант, подрезали не все данные, а только паспортные данные. Вот и отдавай после этого гражданский долг по последнему слову техники (на самом деле никакому не последнему).
Коммерсантъ
База данных пошла на второй тур
Личная информация избирателей поступила к хакерам в обработку
Утро субботы, пожалуй, одна из самых тяжёлых частей рабочей недели. Поэтому я не стану грузить тебя сложными темами и атаками.
На днях было объявлено о решении проблемы "evil cursor" в Firefox. Назвать "злой курсор" уязвимостью в полной мере нельзя, так как, в основном, он используется не для кражи информации или нанесения какого-либо ущерба, а просто не даёт пользователю покинуть мошеннический ресурс.
В основе "злого курсора" лежит вполне легитимное и осознанное разрешение браузера на модификацию стандартного курсора мышки, например, для игровых или VR-ресурсов.
Но злоумышленники ещё в 2010 году сообразили, что если заменить курсор на изображение, идентичное стандартному, вписанное в прозрачный квадрат, пользователь, зашедший на вредоносный ресурс, не сможет навести курсор активной частью на, например, кнопку выхода.
И, поскольку, запретить саму возможность создания кастомных курсоров было нельзя, потребовалось довольно много времени на решение этой проблемы. Первыми от "злого курсора" избавились разработчики Google Chrome, добавив возврат к стандартному курсору в момент, когда пользователь проводит им над клавишами управления сайтом.
Несмотря на то, что разработчики самых распространённых браузеров закрыли этот неприятный баг, встретить "злой курсор" всё ещё возможно. Поэтому, никогда не забывай про волшебное сочетание клавиш Alt+F4.
Ну а раз уж мы заговорили про курсоры, вот тебе ролик с самой первой презентации мышки:
https://www.youtube.com/watch?v=B6rKUf9DWRI
На днях было объявлено о решении проблемы "evil cursor" в Firefox. Назвать "злой курсор" уязвимостью в полной мере нельзя, так как, в основном, он используется не для кражи информации или нанесения какого-либо ущерба, а просто не даёт пользователю покинуть мошеннический ресурс.
В основе "злого курсора" лежит вполне легитимное и осознанное разрешение браузера на модификацию стандартного курсора мышки, например, для игровых или VR-ресурсов.
Но злоумышленники ещё в 2010 году сообразили, что если заменить курсор на изображение, идентичное стандартному, вписанное в прозрачный квадрат, пользователь, зашедший на вредоносный ресурс, не сможет навести курсор активной частью на, например, кнопку выхода.
И, поскольку, запретить саму возможность создания кастомных курсоров было нельзя, потребовалось довольно много времени на решение этой проблемы. Первыми от "злого курсора" избавились разработчики Google Chrome, добавив возврат к стандартному курсору в момент, когда пользователь проводит им над клавишами управления сайтом.
Несмотря на то, что разработчики самых распространённых браузеров закрыли этот неприятный баг, встретить "злой курсор" всё ещё возможно. Поэтому, никогда не забывай про волшебное сочетание клавиш Alt+F4.
Ну а раз уж мы заговорили про курсоры, вот тебе ролик с самой первой презентации мышки:
https://www.youtube.com/watch?v=B6rKUf9DWRI
Mozilla
Security Vulnerabilities fixed in Firefox 79
Сегодняшняя новость посвящена истории о том, что, как бы много сил ты ни прикладывал к работе над защитой информации, всегда может найтись простой, но очень опасный метод обойти твою защиту.
На днях в сети заговорили о довольно смешном фишинге через Telegram.
Среди разнообразных функций мессенджера есть возможность отправлять переписку с другими пользователями, статьи или собственные заметки в Saved Messages (Избранное), которые устроены по принципу обычного чата.
Злоумышленнику, который хочет собрать конфиденциальную информацию о потенциальной жертве, нужно завести себе аккаунт с названием "Избранное" и поставить на аватарку такой же значок.
Дальше, с созданного аккаунта нужно написать жертве любое сообщение и сразу же его удалить. Таким образом, в списке недавних переписок атакуемого появится ссылка на подставные "Saved Messages". И если жертва будет не достаточно внимательна, именно туда она и начнёт копировать личную информацию.
Конечно, описанный метод хорош далеко не во всём. Во-первых, жертва может длительное время ничего не сохранять для себя и просто не увидеть недавно появившийся фейковый аккаунт. Во-вторых, сохраняемая информация почти наверняка окажется абсолютно бесполезной для дальнейшей компрометации.
Но, тем не менее, сама возможность так легко и просто шпионить за другими пользователями в серьёзно защищённом мессенджере не может не удивлять.
На днях в сети заговорили о довольно смешном фишинге через Telegram.
Среди разнообразных функций мессенджера есть возможность отправлять переписку с другими пользователями, статьи или собственные заметки в Saved Messages (Избранное), которые устроены по принципу обычного чата.
Злоумышленнику, который хочет собрать конфиденциальную информацию о потенциальной жертве, нужно завести себе аккаунт с названием "Избранное" и поставить на аватарку такой же значок.
Дальше, с созданного аккаунта нужно написать жертве любое сообщение и сразу же его удалить. Таким образом, в списке недавних переписок атакуемого появится ссылка на подставные "Saved Messages". И если жертва будет не достаточно внимательна, именно туда она и начнёт копировать личную информацию.
Конечно, описанный метод хорош далеко не во всём. Во-первых, жертва может длительное время ничего не сохранять для себя и просто не увидеть недавно появившийся фейковый аккаунт. Во-вторых, сохраняемая информация почти наверняка окажется абсолютно бесполезной для дальнейшей компрометации.
Но, тем не менее, сама возможность так легко и просто шпионить за другими пользователями в серьёзно защищённом мессенджере не может не удивлять.
SecurityLab.ru
Обнаружен способ перехвата сообщений через подделку «Избранного» в Telegram
Пока команда мессенджера Telegram никак не реагирует на ситуацию.