Что-то давно у нас не было новостей про дырки в ZOOM. Так ребята исправились, молодцы.
Вчера Cisco Talos сообщили о двух новых уязвимостях в ZOOM, которые потенциально позволяют удаленное выполнение кода на атакуемой машине.
Одна из уязвимостей заключается в некорректной обработке изображений GIF, что может привести к записи сформированного злоумышленником файла с правами пользователя ZOOM.
Вторая ошибка заключается в некорректной обработке сообщений клиентом ZOOM, в силу чего хакер может послать в чат специальное сообщение и добиться удаленного выполнения кода (правда для этого требуется некое "целевое взаимодействие" с атакуемым пользователем).
Проблемы были обнаружены в мае и к данному моменту разработчики приложения выпустили соответствующие обновления. Так что рекомендация стандартная - срочно обновить свой клиент ZOOM.
Вчера Cisco Talos сообщили о двух новых уязвимостях в ZOOM, которые потенциально позволяют удаленное выполнение кода на атакуемой машине.
Одна из уязвимостей заключается в некорректной обработке изображений GIF, что может привести к записи сформированного злоумышленником файла с правами пользователя ZOOM.
Вторая ошибка заключается в некорректной обработке сообщений клиентом ZOOM, в силу чего хакер может послать в чат специальное сообщение и добиться удаленного выполнения кода (правда для этого требуется некое "целевое взаимодействие" с атакуемым пользователем).
Проблемы были обнаружены в мае и к данному моменту разработчики приложения выпустили соответствующие обновления. Так что рекомендация стандартная - срочно обновить свой клиент ZOOM.
Разработчики мессенджера Signal решили половить хайп.
Они заявили, что поддерживают уличные протесты в США, поскольку "считают, что что-то в Америке должно измениться, пусть даже не знают точно как".
В целях сохранения анонимности уличных демонстрантов в Signal появилась функция, которая автоматически размывает лица в пересылаемых фотографиях. Короче, Fuck the police!
Это достаточно смелый поступок, поскольку Signal разрабатывается американской организацией Open Whisper Systems, базирующейся в Калифорнии, в силу чего может получить ответку от американских федералов.
С другой стороны, возможно именно это и является причиной такого демарша разработчиков, так как Калифорнией заправляют представители Демпартии, находящиеся в оппозиции Белому Дому и в данной ситуации действующие по принципу "Чем лучше - тем хуже".
Они заявили, что поддерживают уличные протесты в США, поскольку "считают, что что-то в Америке должно измениться, пусть даже не знают точно как".
В целях сохранения анонимности уличных демонстрантов в Signal появилась функция, которая автоматически размывает лица в пересылаемых фотографиях. Короче, Fuck the police!
Это достаточно смелый поступок, поскольку Signal разрабатывается американской организацией Open Whisper Systems, базирующейся в Калифорнии, в силу чего может получить ответку от американских федералов.
С другой стороны, возможно именно это и является причиной такого демарша разработчиков, так как Калифорнией заправляют представители Демпартии, находящиеся в оппозиции Белому Дому и в данной ситуации действующие по принципу "Чем лучше - тем хуже".
Signal
Blur tools for Signal
Right now, people around the world are marching and protesting against racism and police brutality, outraged by the most recent police murders of George Floyd and Breonna Taylor. At Signal, we support the people who have gone into the streets to make their…
Что-то давно не писали ничего про коронавирус.
Как мы уже говорили, за этой гадостью мы следим давно, аж с конца января. И уже тогда нам стало понятно, что математика у COVID-19 крайне нехорошая. А в феврале мы всем кагалом уже закупались респираторами, полумасками, защитными очками и прочими тушенками, чтобы достойно пережить надвигающийся вирусный апокалипсис.
Правда, затухание вспышки вируса в Ухане вселило было надежду, но последующие события в Европе и далее везде показали, что до этого мы видели лишь афишу, а цирк-то еще только подъезжает.
К чему мы все это? А к тому, что у нас математика опять не сходится. И уже давно. Но, слава Богу, не сходится она в лучшую сторону.
При тех исходных данных по контагиозности COVID-19 (R0 от 4 до 6) и отсутствию иммунитета, которые публикуются, у нас (да и во всем мире) должен быть Адъ и Израиль, а не преферансъ с куртизанками и ослаблением карантинного режима.
И мы говорим сейчас не про "ложь кровавого режима и занижение количества заболевших на 146%", а про настоящую жесть - с трупами на улицах, с Чумными Докторами и с забитыми фанерой этажами в подъездах, потому что все проживавшие там умерли.
По крайней мере, по математике выходит примерно так. Да и мадам Ракова намедни призналась, что власти ожидали 10-20 тыс. госпитализаций в Москве ежедневно при наихудшем сценарии развития эпидемии.
И те жалкие 17,5% носителей антител к COVID-19, о которых нам сообщает ИНВИТРО, картину существенно не могут поменять, ибо остается еще 80%+ жителей, беззащитных перед заразой.
И вот мы нашли таки материал, который может объяснить такое протекание эпидемии. Упоминания про него мы видели еще недели две-три назад, но ссылку на оригинал получили только сейчас (спасибо Aftershock'у).
Вот эта статья -Targets of T Cell Responses to SARS-CoV-2 Coronavirus in Humans with COVID-19 Disease and Unexposed Individuals (https://www.cell.com/cell/pdf/S0092-8674(20)30610-3.pdf) за авторством американских исследователей из La Jolla Institute for Immunology.
Если в двух словах, то в статье описываются исследования клеточного иммунитета к COVID-19. Это другой вид иммунитета, отличающийся от гуморального (антительного) и, насколько мы поняли, намного менее изученный. Чем объясняется малое количество исследований по этой теме, потому что ученые традиционно исследуют в первую очередь то, в чем лучше разбираются.
Так вот, как утверждают американцы, они обнаружили специфичные CD8+ и CD4+ Т-клетки у переболевших коронавирусом пациентов в 70% и 100% случаев соответственно. Но интересно другое, что по оценке ученых у не переболевших COVID-19 людей в 40-60% случаев также имеются CD4+ Т-клетки, которые могут бороться с COVID-19. Исследователи связывают это с тем, что, возможно, клеточный иммунитет натренировался на общих признаках (таких как белок spike, тот самый шип) коронавирусов и теперь способен бороться и с COVID-19.
Если все так, то количество иммунных людей (имеющих клеточный + гуморальный иммунитет) в той же Москве - от 55 до 80%, что ведет к постепенному затуханию вспышки коронавируса.
Мы не утверждаем, что это абсолютно верные данные. Но они, по крайней мере, могут объяснить видимое протекание эпидемии COVID-19.
И еще одно - мы не призываем к отказу от разумных мер самоизоляции. Потому что даже если у 60 процентов иммунитет уже есть, то оставшиеся 40% все равно жалко.
Как мы уже говорили, за этой гадостью мы следим давно, аж с конца января. И уже тогда нам стало понятно, что математика у COVID-19 крайне нехорошая. А в феврале мы всем кагалом уже закупались респираторами, полумасками, защитными очками и прочими тушенками, чтобы достойно пережить надвигающийся вирусный апокалипсис.
Правда, затухание вспышки вируса в Ухане вселило было надежду, но последующие события в Европе и далее везде показали, что до этого мы видели лишь афишу, а цирк-то еще только подъезжает.
К чему мы все это? А к тому, что у нас математика опять не сходится. И уже давно. Но, слава Богу, не сходится она в лучшую сторону.
При тех исходных данных по контагиозности COVID-19 (R0 от 4 до 6) и отсутствию иммунитета, которые публикуются, у нас (да и во всем мире) должен быть Адъ и Израиль, а не преферансъ с куртизанками и ослаблением карантинного режима.
И мы говорим сейчас не про "ложь кровавого режима и занижение количества заболевших на 146%", а про настоящую жесть - с трупами на улицах, с Чумными Докторами и с забитыми фанерой этажами в подъездах, потому что все проживавшие там умерли.
По крайней мере, по математике выходит примерно так. Да и мадам Ракова намедни призналась, что власти ожидали 10-20 тыс. госпитализаций в Москве ежедневно при наихудшем сценарии развития эпидемии.
И те жалкие 17,5% носителей антител к COVID-19, о которых нам сообщает ИНВИТРО, картину существенно не могут поменять, ибо остается еще 80%+ жителей, беззащитных перед заразой.
И вот мы нашли таки материал, который может объяснить такое протекание эпидемии. Упоминания про него мы видели еще недели две-три назад, но ссылку на оригинал получили только сейчас (спасибо Aftershock'у).
Вот эта статья -Targets of T Cell Responses to SARS-CoV-2 Coronavirus in Humans with COVID-19 Disease and Unexposed Individuals (https://www.cell.com/cell/pdf/S0092-8674(20)30610-3.pdf) за авторством американских исследователей из La Jolla Institute for Immunology.
Если в двух словах, то в статье описываются исследования клеточного иммунитета к COVID-19. Это другой вид иммунитета, отличающийся от гуморального (антительного) и, насколько мы поняли, намного менее изученный. Чем объясняется малое количество исследований по этой теме, потому что ученые традиционно исследуют в первую очередь то, в чем лучше разбираются.
Так вот, как утверждают американцы, они обнаружили специфичные CD8+ и CD4+ Т-клетки у переболевших коронавирусом пациентов в 70% и 100% случаев соответственно. Но интересно другое, что по оценке ученых у не переболевших COVID-19 людей в 40-60% случаев также имеются CD4+ Т-клетки, которые могут бороться с COVID-19. Исследователи связывают это с тем, что, возможно, клеточный иммунитет натренировался на общих признаках (таких как белок spike, тот самый шип) коронавирусов и теперь способен бороться и с COVID-19.
Если все так, то количество иммунных людей (имеющих клеточный + гуморальный иммунитет) в той же Москве - от 55 до 80%, что ведет к постепенному затуханию вспышки коронавируса.
Мы не утверждаем, что это абсолютно верные данные. Но они, по крайней мере, могут объяснить видимое протекание эпидемии COVID-19.
И еще одно - мы не призываем к отказу от разумных мер самоизоляции. Потому что даже если у 60 процентов иммунитет уже есть, то оставшиеся 40% все равно жалко.
Исследователь Google's Threat Analysis Group (TAG) Шейн Хантли сообщает о фишинговых атаках на избирательные штабы Байдена и Трампа.
На сотрудников штаба Байдена нацелилась APT 31, она же ZIRCONIUM и BRONZE VINEWOOD. Эта группа раньше была замечена на атаках на гонконгских оппозиционеров , а также подозревалась во взломе норвежской ИТ-компании Visma. Считается, что она работает на китайское правительство.
Кстати, интересный факт. При расследовании взлома Visma американские исследователи чуть не поругались. Recorded Future утверждала, что за атакой стоит китайская же APT 10, работающая на МГБ КНР. А Microsoft заявляла, что это ни хрена не так и кибероперация принадлежит APT 31.
За атакой на штаб Трампа стоит APT 35, она же Newcaster Team, которая занимается киберразведкой в интересах иранского правительства.
Вот такие интересные расклады всплывают в ходе анализа деятельности прогосударственных хакерских групп. Китай большей угрозой считает Байдена, несмотря на воинственную риторику Трампа в отношении Пекина, а Ирану действующий американский президент не мил, потому что активизирует санкционный режим. А казалось бы, геополитические союзники...
На сотрудников штаба Байдена нацелилась APT 31, она же ZIRCONIUM и BRONZE VINEWOOD. Эта группа раньше была замечена на атаках на гонконгских оппозиционеров , а также подозревалась во взломе норвежской ИТ-компании Visma. Считается, что она работает на китайское правительство.
Кстати, интересный факт. При расследовании взлома Visma американские исследователи чуть не поругались. Recorded Future утверждала, что за атакой стоит китайская же APT 10, работающая на МГБ КНР. А Microsoft заявляла, что это ни хрена не так и кибероперация принадлежит APT 31.
За атакой на штаб Трампа стоит APT 35, она же Newcaster Team, которая занимается киберразведкой в интересах иранского правительства.
Вот такие интересные расклады всплывают в ходе анализа деятельности прогосударственных хакерских групп. Китай большей угрозой считает Байдена, несмотря на воинственную риторику Трампа в отношении Пекина, а Ирану действующий американский президент не мил, потому что активизирует санкционный режим. А казалось бы, геополитические союзники...
Twitter
Shane Huntley
Recently TAG saw China APT group targeting Biden campaign staff & Iran APT targeting Trump campaign staff with phishing. No sign of compromise. We sent users our govt attack warning and we referred to fed law enforcement. https://t.co/ozlRL4SwhG
По данным SecurityWeek, ресерчеры из немецкой компании ProtectEM в июле прошлого года обнаружили, что светофоры австрийской компании SWARCO могут быть взломаны.
Уязвимость CVE-2020-12493, которая была исправлена производителем только в апреле этого года, затрагивала контроллер светофора CPU LS4000 SWARCO. Светофор имел открытый порт отладки, предоставлявший рутовый доступ без пароля, что могло позволить злоумышленнику отключать светофоры или управлять ими, например включить одновременно зеленый свет на всем перекрестке.
Из пояснений немецких исследователей следует, что точка входа из Интернета отсутствовала, но можно было подключиться физически к одному из устройств, а потом получить доступ ко всей городской светофорной сети.
Интересно, а у нас кто-нибудь проводит аудит информационной безопасности городской дорожной инфраструктуры? Нам кажется это необходимым. Потому что, например, SWARCO поставляет светофоры более чем в 70 стран мира. И вполне возможно, что такие же светофоры стоят на московских перекрестках.
Уязвимость CVE-2020-12493, которая была исправлена производителем только в апреле этого года, затрагивала контроллер светофора CPU LS4000 SWARCO. Светофор имел открытый порт отладки, предоставлявший рутовый доступ без пароля, что могло позволить злоумышленнику отключать светофоры или управлять ими, например включить одновременно зеленый свет на всем перекрестке.
Из пояснений немецких исследователей следует, что точка входа из Интернета отсутствовала, но можно было подключиться физически к одному из устройств, а потом получить доступ ко всей городской светофорной сети.
Интересно, а у нас кто-нибудь проводит аудит информационной безопасности городской дорожной инфраструктуры? Нам кажется это необходимым. Потому что, например, SWARCO поставляет светофоры более чем в 70 стран мира. И вполне возможно, что такие же светофоры стоят на московских перекрестках.
SecurityWeek
Critical Vulnerability Could Have Allowed Hackers to Disrupt Traffic Lights
A critical vulnerability affecting traffic light controllers made by SWARCO could have been exploited by hackers to disrupt a city’s traffic lights.
У нас очередная новость, которая, вполне возможно, будет иметь далекоидущие последствия.
Американский военный подрядчик Westech International был взломан оператором ransomware Maze, в результате чего конфиденциальные данные были зашифрованы и скопированы хакерами. Подтверждения утечки уже размещены в сети.
И все бы ничего, в конце концов Westech International это не первый американский военный подрядчик, попавший под ransomware, да вот только эта компания занимается непосредственно обслуживанием ядерных ракет Minuteman III, стоящих на вооружении США. Кроме этого Westech International имеет еще ряд военных контрактов, например, на работы с американской системой противоракетной обороны или на субподряды Northrup Grumman.
А вот разработчики Maze, вероятно, имеют отношение к СНГ. По крайней мере, эта рансомварь не проявляет активность на машинах, на которых установлены языки стран СНГ, а также сербский язык, для чего вредонос после попадания в зараженную систему проводит специальную проверку. Кроме того, ряд управляющих центров Maze имел российские IP-адреса (хотя, по большому счету, это ни о чем особо не свидетельствует).
Поэтому обвинения в адрес России в кибератаке на американские ракетные силы, по нашему мнению, пока не появились исключительно потому, что в США сейчас веселые уличные гуляния и всем просто нет дела до чего-то еще.
Американский военный подрядчик Westech International был взломан оператором ransomware Maze, в результате чего конфиденциальные данные были зашифрованы и скопированы хакерами. Подтверждения утечки уже размещены в сети.
И все бы ничего, в конце концов Westech International это не первый американский военный подрядчик, попавший под ransomware, да вот только эта компания занимается непосредственно обслуживанием ядерных ракет Minuteman III, стоящих на вооружении США. Кроме этого Westech International имеет еще ряд военных контрактов, например, на работы с американской системой противоракетной обороны или на субподряды Northrup Grumman.
А вот разработчики Maze, вероятно, имеют отношение к СНГ. По крайней мере, эта рансомварь не проявляет активность на машинах, на которых установлены языки стран СНГ, а также сербский язык, для чего вредонос после попадания в зараженную систему проводит специальную проверку. Кроме того, ряд управляющих центров Maze имел российские IP-адреса (хотя, по большому счету, это ни о чем особо не свидетельствует).
Поэтому обвинения в адрес России в кибератаке на американские ракетные силы, по нашему мнению, пока не появились исключительно потому, что в США сейчас веселые уличные гуляния и всем просто нет дела до чего-то еще.
Sky News
Hackers steal secrets from US nuclear missile contractor Cyber extortionists have stolen sensitive data from a company which supports…
Cyber extortionists have stolen sensitive data from a company which supports the US Minuteman III nuclear deterrent.
Группа исследователей из Флоридского технологического института нашла уязвимости в механизмах аутентификации "умных" камер и дверных видеозвонков разных производителей, которые позволяют получать посторонним лицам доступ к аудио и видео данным.
Суть ошибки в том, что при удалении одного из аккаунтов его владелец может продолжать получать доступ к видеопотоку в течение неопределенного срока через мобильное приложение. То есть если некое лицо имело когда-либо доступ к устройству, то хозяин устройства ничего не сможет сделать, чтобы прекратить возможность использования устройства этим лицом.
И, как оказалось, среди уязвимых гаджетов есть весьма распространенные - например, Samsung Camera, мобильное приложение которой загружено более 100 миллионов раз. Или Canary Camera, которая рекомендуется в сети для организации "умного дома".
Полный список уязвимых устройств:
- Canary Camera;
- Geeni Mini Camera;
- Geeni Doorbell;
- Geeni Pan/Tilt Camera;
- Merkury Camera;
- NightOwl Doorbell;
- Samsung Camera;
- Tend Secure Camera.
Кроме того, два устройства производства компании SimpliSafe - Camera и Doorbell - позволяют просматривать видеопоток после смены пароля (устройства не поддерживают мультиакк).
Рекомендуем любителям "умных домов" обратить внимание.
Суть ошибки в том, что при удалении одного из аккаунтов его владелец может продолжать получать доступ к видеопотоку в течение неопределенного срока через мобильное приложение. То есть если некое лицо имело когда-либо доступ к устройству, то хозяин устройства ничего не сможет сделать, чтобы прекратить возможность использования устройства этим лицом.
И, как оказалось, среди уязвимых гаджетов есть весьма распространенные - например, Samsung Camera, мобильное приложение которой загружено более 100 миллионов раз. Или Canary Camera, которая рекомендуется в сети для организации "умного дома".
Полный список уязвимых устройств:
- Canary Camera;
- Geeni Mini Camera;
- Geeni Doorbell;
- Geeni Pan/Tilt Camera;
- Merkury Camera;
- NightOwl Doorbell;
- Samsung Camera;
- Tend Secure Camera.
Кроме того, два устройства производства компании SimpliSafe - Camera и Doorbell - позволяют просматривать видеопоток после смены пароля (устройства не поддерживают мультиакк).
Рекомендуем любителям "умных домов" обратить внимание.
Это наверняка уже многие видели, поскольку вчера новость широко разошлась по ресурсам, но мы просто не могли пройти мимо.
В языке программирования Go, который разработала и продвигает компания Google, принято изменение, убирающее из исходных текстов и документации неполиткорректные термины whitelist/blacklist и master/slave. Их заменили на allowlist/blocklist, а master и slave в зависимости от контекста на process, pty, proc и control.
И если master и slave уже похерены в Python и Redis пару лет назад, то до whitelist и blacklist докопались впервые. Как говорят толерантные существа (ну не называть же их парнями и девушками, в самом деле, в этом слишком много шовинизма) из Google - "Для избавления от нежелательных терминов достаточно самого факта наличия людей, которых данные фразы обижают, заставляют чувствовать ущемлёнными и навевают воспоминания о былой дискриминации".
Ну и поскольку термин бинарность унижает всех представителей третьего, четвертого и т.д. гендеров, таких как гендерфлюиды или травести n-b, требуем срочно удалить это шовинистическое выражение из области программирования вообще! На очереди оператор not, потому что он несет в себе негативный посыл.
В языке программирования Go, который разработала и продвигает компания Google, принято изменение, убирающее из исходных текстов и документации неполиткорректные термины whitelist/blacklist и master/slave. Их заменили на allowlist/blocklist, а master и slave в зависимости от контекста на process, pty, proc и control.
И если master и slave уже похерены в Python и Redis пару лет назад, то до whitelist и blacklist докопались впервые. Как говорят толерантные существа (ну не называть же их парнями и девушками, в самом деле, в этом слишком много шовинизма) из Google - "Для избавления от нежелательных терминов достаточно самого факта наличия людей, которых данные фразы обижают, заставляют чувствовать ущемлёнными и навевают воспоминания о былой дискриминации".
Ну и поскольку термин бинарность унижает всех представителей третьего, четвертого и т.д. гендеров, таких как гендерфлюиды или травести n-b, требуем срочно удалить это шовинистическое выражение из области программирования вообще! На очереди оператор not, потому что он несет в себе негативный посыл.
www.opennet.ru
Язык Go избавляется от неполиткорректных терминов whitelist/blacklist и master/slave
В основную кодовую базу языка Go принято изменение, убирающее из исходных текстов и документации фразы whitelist/blacklist и master/slave, неприятие которых усилилось на фоне бушующих в США протестов. Фразы "whitelist" и "blacklist" заменены на "allowlist"…
Как сообщает Брайан Кребс, в Израиле завершилось 4-летнее разбирательство с владельцами когда-то самого большого DDoS-сервиса в мире vDOS.
На своем пике vDOS имел возможность запускать атаки мощностью до 50 гигабит в секунду, что внушает. Кребс пишет, что в течение четырех лет функционирования сервис позволил запустить более 2 млн. DDoS-атак, но мы что-то в таком числе сомневаемся (может он имеет в виду количество ботов?).
Обвиняемые Ярден Бидани и Итай Хури, граждане Израиля, были задержаны в сентябре 2016 года в возрасте 18 лет. На своих DDoS-атаках они заработали более 600 тыс. долларов (что сейчас кажется смешным по сравнению с доходами операторов ransomware).
И вот 2 июня их приговорили к нижней планке наказания - 6 месяцам общественных работ. Мягкость приговора объясняется тем, что большинство DDoS-атак произошло когда Ярден Бидани и Итай Хури были несовершеннолетними.
Такой приговор, в принципе, соответствует судебной практике во всем мире. Положи сотню сайтов и тебе дадут меньше, чем за кражу мешка картошки или ящика мацы.
На своем пике vDOS имел возможность запускать атаки мощностью до 50 гигабит в секунду, что внушает. Кребс пишет, что в течение четырех лет функционирования сервис позволил запустить более 2 млн. DDoS-атак, но мы что-то в таком числе сомневаемся (может он имеет в виду количество ботов?).
Обвиняемые Ярден Бидани и Итай Хури, граждане Израиля, были задержаны в сентябре 2016 года в возрасте 18 лет. На своих DDoS-атаках они заработали более 600 тыс. долларов (что сейчас кажется смешным по сравнению с доходами операторов ransomware).
И вот 2 июня их приговорили к нижней планке наказания - 6 месяцам общественных работ. Мягкость приговора объясняется тем, что большинство DDoS-атак произошло когда Ярден Бидани и Итай Хури были несовершеннолетними.
Такой приговор, в принципе, соответствует судебной практике во всем мире. Положи сотню сайтов и тебе дадут меньше, чем за кражу мешка картошки или ящика мацы.
Krebs on Security
Owners of DDoS-for-Hire Service vDOS Get 6 Months Community Service
The co-owners of vDOS, a now-defunct service that for four years helped paying customers launch more than two million distributed denial-of-service (DDoS) attacks that knocked countless Internet users and websites offline, each have been sentenced to six…
На прошлой неделе компания IBM сообщила о создании инструментария для полного гомоморфного шифрования под MacOS и iOS. Версии для Android и Linux обещают через несколько недель.
Гомоморфное шифрование (FHE) позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом. Различают частичные и полные гомоморфные криптосистемы - первые позволяет производить только одну математическую операцию (либо сложение, либо умножение), вторые позволяют производить обе.
Полные гомоморфные криптосистемы могли бы при шифрованном вводе получить шифрованный вывод, что, в свою очередь, дало бы возможность производить обработку данных в недоверенной среде.
Спектр применения полных гомоморфных криптосистем крайне широк - облачные вычисления, банковские операции, защищенный поиск информации и пр. Также они применимы при обфускации кода, но тут может быть как польза, так и вред.
Полноценное применение гомоморфного шифрования сильно облегчило бы работу специалистов по информационной безопасности. И все упиралось в одно - очень низкая производительность полных гомоморфных криптосистем.
И вот сотрудники IBM утверждают, что они решили эту задачу и предлагают наборы инструментов для FHE, которые доступны на GitHub, а также обучение по их применению (все ссылки в статье). Будем посмотреть.
Гомоморфное шифрование (FHE) позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом. Различают частичные и полные гомоморфные криптосистемы - первые позволяет производить только одну математическую операцию (либо сложение, либо умножение), вторые позволяют производить обе.
Полные гомоморфные криптосистемы могли бы при шифрованном вводе получить шифрованный вывод, что, в свою очередь, дало бы возможность производить обработку данных в недоверенной среде.
Спектр применения полных гомоморфных криптосистем крайне широк - облачные вычисления, банковские операции, защищенный поиск информации и пр. Также они применимы при обфускации кода, но тут может быть как польза, так и вред.
Полноценное применение гомоморфного шифрования сильно облегчило бы работу специалистов по информационной безопасности. И все упиралось в одно - очень низкая производительность полных гомоморфных криптосистем.
И вот сотрудники IBM утверждают, что они решили эту задачу и предлагают наборы инструментов для FHE, которые доступны на GitHub, а также обучение по их применению (все ссылки в статье). Будем посмотреть.
IBM Research
Blog
The IBM Research blog is the home for stories told by the researchers, scientists, and engineers inventing What’s Next in science and technology.
Появилось сообщение Sky News, что сегодня неустановленные хакеры пытались взломать сеть японского автопроизводителя Honda.
В результате кибератаки сеть автогиганта в Японии и Европе стала испытывать проблемы в работе.
Учитывая, что Honda занимается разработками в области робототехники и производства дронов, то атака вполне может быть еще одним звеном в цепочке активностей китайских APT, которые недавно уже взламывали ресурсы японских Mitsubishi Electric и NTT Communications с целью получения конфиденциальной военной информации.
В результате кибератаки сеть автогиганта в Японии и Европе стала испытывать проблемы в работе.
Учитывая, что Honda занимается разработками в области робототехники и производства дронов, то атака вполне может быть еще одним звеном в цепочке активностей китайских APT, которые недавно уже взламывали ресурсы японских Mitsubishi Electric и NTT Communications с целью получения конфиденциальной военной информации.
Sky News
Japanese car giant Honda probes suspected cyber attack
The Japanese carmaker is investigating a suspected cyber attack in Europe and Japan, Sky News understands.
Honda похоже все-таки попала под ransomware, а не под китайские хакерские группы.
Исследователь milkream нашел образец вымогателя Ekans, который проверяет домен mds.honda.com для того, чтобы начать работу.
Ekans aka SNAKE - относительно новый вид ransomware, обнаруженный в декабре 2019 года. По мнению некоторых исследователей является развитием рансомвари Megacortex. Судя по некоторому функционалу, Ekans может быть специально предназначен для атак на промышленные системы управления.
https://twitter.com/milkr3am/status/1269932348860030979
Исследователь milkream нашел образец вымогателя Ekans, который проверяет домен mds.honda.com для того, чтобы начать работу.
Ekans aka SNAKE - относительно новый вид ransomware, обнаруженный в декабре 2019 года. По мнению некоторых исследователей является развитием рансомвари Megacortex. Судя по некоторому функционалу, Ekans может быть специально предназначен для атак на промышленные системы управления.
https://twitter.com/milkr3am/status/1269932348860030979
Twitter
milkream
#Honda and #Enelint became next victims of #Ekans #Ransomware https://t.co/HAYyF4i8Xp https://t.co/4mZz84lYrV
Появились новости про свежую уязвимость CVE-2020-12695, также получившую название CallStranger и связанную, в первую очередь, с Интернетом вещей (IoT).
Уязвимость обнаружена в декабре 2019 года турецким ресерчером Юнусом Жадирчи, она затрагивает набор протоколов Universal Plug and Play (UPnP), которые предназначены для автоматической настройки сетевых устройств.
С помощью специальным образом сформированных TCP-пакетов злоумышленник может организовывать DDoS-атаки, сканировать внутреннюю сеть жертвы, а также воровать данные.
Уязвимость затрагивает множество устройств - PC c Windows 10, Xbox One, модемы и маршрутизаторы разных производителей, Smart телефизоры, устройства для "умного дома" и пр.
И хотя спецификации UPnP обновлены, а поставщики оборудования сообщают, что соответствующие апдейты выпущены, полной уверенности в полном устранении ошибки нет. Поэтому на сайте, посвященном CallStranger, рекомендуют закрывать порты UPnP.
Уязвимость обнаружена в декабре 2019 года турецким ресерчером Юнусом Жадирчи, она затрагивает набор протоколов Universal Plug and Play (UPnP), которые предназначены для автоматической настройки сетевых устройств.
С помощью специальным образом сформированных TCP-пакетов злоумышленник может организовывать DDoS-атаки, сканировать внутреннюю сеть жертвы, а также воровать данные.
Уязвимость затрагивает множество устройств - PC c Windows 10, Xbox One, модемы и маршрутизаторы разных производителей, Smart телефизоры, устройства для "умного дома" и пр.
И хотя спецификации UPnP обновлены, а поставщики оборудования сообщают, что соответствующие апдейты выпущены, полной уверенности в полном устранении ошибки нет. Поэтому на сайте, посвященном CallStranger, рекомендуют закрывать порты UPnP.
ZDNet
CallStranger vulnerability lets attacks bypass security systems and scan LANs
The CallStranger vulnerability can also be used to launch major DDoS attacks.
Исследователи калифорнийской инфосек компании Proofpoint выпустили отчет посвященный выявленной кибероперации против энергетических сетей США.
APT, которую американцы обозначили как TA410, в период с июля по ноябрь 2019 года проводила фишинговые кампании, нацеленные на поставщиков энергетических услуг по всей территории США, в ходе которых использовались malware LookBack и FlowCloud. Оба вредоноса представляют собой трояны удаленного доступа (RAT), собирающие всю возможную информацию с инфицированной машины и в дальнейшем передающие ее на свой командный центр.
В качестве приманки хакеры использовали документы на тему энергетики и обучающих курсов в этой отрасли. В частности, рассылались фишинговые письма от имени Американского общества инженеров-строителей (ASCE).
Применяемые в ходе кибероперации RAT достаточно сложны и написаны на высоком уровне. Среди функционала - доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам. Некоторые признаки указывают, что это вредоносное ПО было активно в дикой природе с июля 2016 года, но ранее было направлено на цели в Азии.
Часть TTPs указывает на сходство TA410 и APT10 aka Stone Panda, китайской хакерской группой активной с 2009 года и нацеленной на аэрокосмические, строительные и телекоммуникационные отрасли, а также на государственный сектор Японии, США и Европы. В то же время, Proofpoint говорят, что окончательной уверенности в связи Stone Panda и выявленных фишинговых атак нет, поскольку TTPs вполне могли быть подделаны, чтобы указать на ложного исполнителя киберкампании.
#APT #TA410 #APT10 #StonePanda
APT, которую американцы обозначили как TA410, в период с июля по ноябрь 2019 года проводила фишинговые кампании, нацеленные на поставщиков энергетических услуг по всей территории США, в ходе которых использовались malware LookBack и FlowCloud. Оба вредоноса представляют собой трояны удаленного доступа (RAT), собирающие всю возможную информацию с инфицированной машины и в дальнейшем передающие ее на свой командный центр.
В качестве приманки хакеры использовали документы на тему энергетики и обучающих курсов в этой отрасли. В частности, рассылались фишинговые письма от имени Американского общества инженеров-строителей (ASCE).
Применяемые в ходе кибероперации RAT достаточно сложны и написаны на высоком уровне. Среди функционала - доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам. Некоторые признаки указывают, что это вредоносное ПО было активно в дикой природе с июля 2016 года, но ранее было направлено на цели в Азии.
Часть TTPs указывает на сходство TA410 и APT10 aka Stone Panda, китайской хакерской группой активной с 2009 года и нацеленной на аэрокосмические, строительные и телекоммуникационные отрасли, а также на государственный сектор Японии, США и Европы. В то же время, Proofpoint говорят, что окончательной уверенности в связи Stone Panda и выявленных фишинговых атак нет, поскольку TTPs вполне могли быть подделаны, чтобы указать на ложного исполнителя киберкампании.
#APT #TA410 #APT10 #StonePanda
Proofpoint
TA410: Malware Attacks Against U.S. Utilities Sector | Proofpoint US
Proofpoint found malware campaigns sent to US utility providers by threat actor group TA410. Learn about their delivery, techniques, and more.
А пока мы пишем (и все никак не допишем, shame on us) обзор про северокорейских хакеров из APT Lazarus, они хулиганить не прекращают.
Команда исследователей RedDrip Team китайской инфосек компании QiAnXin Technology нашла вредонос от Lazarus, маскирующийся под предложение о работе от компании Disney. Для размещения управляющего центра корейские хакеры взломали сервер известной итальянской фирмы Paghera, специализирующейся на ландшафтном дизайне.
А подчиненные Ким Чен Ына умеют веселиться.
Никому предложение о трудоустройстве в Disney не приходило? Мы, кстати, сейчас не шутим, поскольку Lazarus, в числе прочего, были замечены и в работе по российским пользователям.
#APT #Lazarus
https://twitter.com/RedDrip7/status/1270201358721769475
Команда исследователей RedDrip Team китайской инфосек компании QiAnXin Technology нашла вредонос от Lazarus, маскирующийся под предложение о работе от компании Disney. Для размещения управляющего центра корейские хакеры взломали сервер известной итальянской фирмы Paghera, специализирующейся на ландшафтном дизайне.
А подчиненные Ким Чен Ына умеют веселиться.
Никому предложение о трудоустройстве в Disney не приходило? Мы, кстати, сейчас не шутим, поскольку Lazarus, в числе прочего, были замечены и в работе по российским пользователям.
#APT #Lazarus
https://twitter.com/RedDrip7/status/1270201358721769475
Twitter
RedDrip Team
Seems a new sample from #Lazarus pretends to be a job description for Walt #Disney Company.They hacked the web server of #Paghera and used it as a C2 to control the target. C2:https://www[.]paghera[.]com//include/inc-main-default-news.asp https://t.co/UlscYjE4hP
Неделю назад мы писали о том, что оператор ransomware Maze, который, судя по всему, является русскоязычной командой, начал размещать на своем сайте краденную информацию от другого ransomware LockBit. Более того, Maze сообщили, что через несколько дней к сотрудничеству подключится еще один оператор ransomware.
И вот вчера на BleepingComputer появилась новость о том, что к Maze присоединился оператор вымогателя Ragnar Locker, а сами "лабиринтовцы" поменяли название на Maze Cartel.
Ragnar Locker памятен нам тем, что в апреле зашифровал данные Energias de Portugal (EDP), одной из крупнейших европейских энергетических компаний с оборотом в 15 млрд. долларов, и требовал выкуп в 10,9 млн долларов.
Примечательно, что Ragnar Locker располагает собственным сайтом для публикации украденных данных, в отличии от LockBit, и, на первый взгляд, выгода от его сотрудничества с Maze не совсем ясна.
Но тенденция не может не напрягать. Обмен опытом по тактике вымогательства сделает Maze Cartel намного опаснее. Колумбийские наркобароны от зависти удавятся.
И вот вчера на BleepingComputer появилась новость о том, что к Maze присоединился оператор вымогателя Ragnar Locker, а сами "лабиринтовцы" поменяли название на Maze Cartel.
Ragnar Locker памятен нам тем, что в апреле зашифровал данные Energias de Portugal (EDP), одной из крупнейших европейских энергетических компаний с оборотом в 15 млрд. долларов, и требовал выкуп в 10,9 млн долларов.
Примечательно, что Ragnar Locker располагает собственным сайтом для публикации украденных данных, в отличии от LockBit, и, на первый взгляд, выгода от его сотрудничества с Maze не совсем ясна.
Но тенденция не может не напрягать. Обмен опытом по тактике вымогательства сделает Maze Cartel намного опаснее. Колумбийские наркобароны от зависти удавятся.
BleepingComputer
Maze Ransomware adds Ragnar Locker to its extortion cartel
A second ransomware gang has partnered with Maze Ransomware to use their data leak platform to extort victims whose unencrypted files were stolen.
А у Honda-то все невесело, оказывается. Вчерашняя атака вымогателя Ekans вывела из строя не только сервис обслуживания клиентов и финансовые сервисы компании.
Как пишет BBC, зашифрована внутренняя сеть, включая почтовые сервера. Но что более неприятно, кибератака повлияла на производственные системы Honda за пределами Японии. А это означает потерю больших денег. Сегментирование сети - не, не слышали.
Вот какие еще примеры нужны принимающим решения лицам, чтобы понять необходимость и важность информационной безопасности как для бизнеса, так и для государства? Вопрос риторический.
Лучше еще пару единых регистров запилить.
Как пишет BBC, зашифрована внутренняя сеть, включая почтовые сервера. Но что более неприятно, кибератака повлияла на производственные системы Honda за пределами Японии. А это означает потерю больших денег. Сегментирование сети - не, не слышали.
Вот какие еще примеры нужны принимающим решения лицам, чтобы понять необходимость и важность информационной безопасности как для бизнеса, так и для государства? Вопрос риторический.
Лучше еще пару единых регистров запилить.
BBC News
Honda's global operations hit by cyber-attack
Car-maker says cyber-attack has affected production, sales and development worldwide.
Что-то взгрустнулось нам и решили мы поделиться своим настроением с подписчиками. Иногда грустить бывает полезно.
В 1997 году в свет вышел альбом The Offspring под названием Ixnay Of The Hombre, на котором была представлена песня Gone Away.
По легенде, лидер группы Декстер Холланд написал ее после того, как его подруга погибла в автокатастрофе. Так ли это - нам достоверно не известно, но в песне действительно поется о потере любимого человека. И музыка, и текст очень искренние.
В 2017 году оригинальный клип на песню 1997 года был размещен на Youtube. И неожиданно пользователи стали посвящать комментарии под видео своим близким, которых они потеряли.
Комментарии в память умерших детей, родителей, супругов и просто любимых женщин и мужчин. Комментарии от умирающих людей, которые просят не забывать их. И дополнения от их родных, внесенные после их смерти. Тысячи комментариев.
Клип The Offspring стал мемориальной стеной, на которой каждый может поделиться своим горем и его поддержат другие. Ничего подобного мы больше не видели.
Если честно, мы знали про это явление давно. Но как-то в жизненной круговерти забыли про него. А сегодня вспомнили и все вместе погрустили.
Пройдут годы, забудут и Билли Айлиш, и реперов всех мастей и окрасов, а Gone Away все-так же будет собирать на своей стене комментарии скорбящих людей. Мы в это верим.
https://www.youtube.com/watch?v=40V9_1PMUGM
В 1997 году в свет вышел альбом The Offspring под названием Ixnay Of The Hombre, на котором была представлена песня Gone Away.
По легенде, лидер группы Декстер Холланд написал ее после того, как его подруга погибла в автокатастрофе. Так ли это - нам достоверно не известно, но в песне действительно поется о потере любимого человека. И музыка, и текст очень искренние.
В 2017 году оригинальный клип на песню 1997 года был размещен на Youtube. И неожиданно пользователи стали посвящать комментарии под видео своим близким, которых они потеряли.
Комментарии в память умерших детей, родителей, супругов и просто любимых женщин и мужчин. Комментарии от умирающих людей, которые просят не забывать их. И дополнения от их родных, внесенные после их смерти. Тысячи комментариев.
Клип The Offspring стал мемориальной стеной, на которой каждый может поделиться своим горем и его поддержат другие. Ничего подобного мы больше не видели.
Если честно, мы знали про это явление давно. Но как-то в жизненной круговерти забыли про него. А сегодня вспомнили и все вместе погрустили.
Пройдут годы, забудут и Билли Айлиш, и реперов всех мастей и окрасов, а Gone Away все-так же будет собирать на своей стене комментарии скорбящих людей. Мы в это верим.
https://www.youtube.com/watch?v=40V9_1PMUGM
YouTube
The Offspring - Gone Away
REMASTERED IN HD!
Official Music Video for Gone Away performed by The Offspring.
Playlist Best of Offspring: https://goo.gl/cwFfP6
Subscribe for more: https://goo.gl/JaSm1N
Follow The Offspring
Instagram: https://www.instagram.com/offspring
Twitter:…
Official Music Video for Gone Away performed by The Offspring.
Playlist Best of Offspring: https://goo.gl/cwFfP6
Subscribe for more: https://goo.gl/JaSm1N
Follow The Offspring
Instagram: https://www.instagram.com/offspring
Twitter:…
В процессорах ARM выявлена новая уязвимость.
На этой неделе Chipmaker Arm выпустили руководство с описанием мер по устранению новой уязвимости в архитектуре Cortex-A, она же Armv8-A. Ошибку назвали Straght Line Speculation или SLS.
Построенные на основе архитектуры ARM процессоры используются преимущественно в мобильных устройствах, Интернете вещей и пр.
Разработчики сообщают, что SLS является новой разновидностью уязвимости Spectre, которая вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу.
Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
Chipmaker Arm работают над устранением SLS с прошлого года и утверждают, что угроза использования уязвимости со стороны злоумышленников относительно невелика. По крайне мере, рабочего эксплойта еще никто не видел.
На этой неделе Chipmaker Arm выпустили руководство с описанием мер по устранению новой уязвимости в архитектуре Cortex-A, она же Armv8-A. Ошибку назвали Straght Line Speculation или SLS.
Построенные на основе архитектуры ARM процессоры используются преимущественно в мобильных устройствах, Интернете вещей и пр.
Разработчики сообщают, что SLS является новой разновидностью уязвимости Spectre, которая вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу.
Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
Chipmaker Arm работают над устранением SLS с прошлого года и утверждают, что угроза использования уязвимости со стороны злоумышленников относительно невелика. По крайне мере, рабочего эксплойта еще никто не видел.
ZDNet
Arm CPUs impacted by rare side-channel attack
Arm issues guidance to developers to mitigate new "straight-line speculation" attack.
Мы неоднократно говорили, что кибератаки в существенном количестве случаев неотрывно связаны с геополитическими интересами тех или иных игроков.
Ну так вот не мы одни так думаем. Товарищи из Quointelligence начинают цикл из небольших статей, в которых они постараются разъяснить свою точку зрения о важности учета геополитических реалий при анализе киберугроз.
С большим интересом ознакомимся и вам рекомендуем.
Ну так вот не мы одни так думаем. Товарищи из Quointelligence начинают цикл из небольших статей, в которых они постараются разъяснить свою точку зрения о важности учета геополитических реалий при анализе киберугроз.
С большим интересом ознакомимся и вам рекомендуем.
Twitter
QuoIntelligence
We are happy to introduce you to our five part blog series explaining the benefits of #geopolitics as an essential part of #Cyber #ThreatIntelligence. Today, we start with our first blog post ‘Our Holistic Approach to Cyber Threat Intelligence’: https://t.co/1IES6ZtRmR
Исследователь Юлиан Хорошкевич обнаружил ошибку в обработке команд во всем известном интерпретаторе командной строки Windows cmd.exe, которая позволяет осуществлять обход пути.
For example, приведенная на приложенной картинке строка позволит запустить встроенный калькулятор вместо утилиты ping. Этот пример, безусловно, не угрожает безопасности, но допускающая его ошибка может, по утверждению Хорошкевича, привести к удаленному выполнению кода в атакуемой системе.
Самое интересное, что ресерчер передал все данные в Microsoft, на что те ответили (не в первый раз, если честно), что эта ошибка не создает угрозу безопасности. Поэтому Хорошкевич, хоть и не получил плашку CVE на выявленную уязвимость, но зато смог с чистым сердцем поведать о ней всему миру.
Еще одно подтверждение выражения "кто ищет, тот всегда найдет".
For example, приведенная на приложенной картинке строка позволит запустить встроенный калькулятор вместо утилиты ping. Этот пример, безусловно, не угрожает безопасности, но допускающая его ошибка может, по утверждению Хорошкевича, привести к удаленному выполнению кода в атакуемой системе.
Самое интересное, что ресерчер передал все данные в Microsoft, на что те ответили (не в первый раз, если честно), что эта ошибка не создает угрозу безопасности. Поэтому Хорошкевич, хоть и не получил плашку CVE на выявленную уязвимость, но зато смог с чистым сердцем поведать о ней всему миру.
Еще одно подтверждение выражения "кто ищет, тот всегда найдет".
