Опубликован скрипт для эксплуатации уязвимости в LibSSH 0.6

Сайберсекьюрити-энтузиаст Kshitij Khakurdikar опубликовал на Github PoC-скрипт для эксплуатации уязвимости, найденной ранее в этом месяц

https://github.com/kshitijkhakurdikar/pythonpentesting/tree/master/CVE-2018-10933

На Хабре появился довольно интересный доклад Михаила Овчинникова с HighLoad++ о борьбе со спамом в соц. сетях.

Рекомендую к прочтению:
https://habr.com/company/oleg-bunin/blog/426843/

⚡️В сети опубликовали список 420 тысяч сотрудников «Сбербанка» с контактными данными

Документ содержит более 420000 записей, в которых указаны Ф.И.О. сотрудников Сбербанка, адрес электронной почты, а также их логины для входа в операционную систему.

В пресс-службе банка заявили, что знают об утечке: это часть адресной книги, доступной всем сотрудникам Сбербанка. Угрозы для клиентов и сотрудников нет. О причинах инцидента не уточнялось.

https://www.bfm.ru/news/398309

Если кто еще не слышал — IBM купила Red Hat. Сами сотрудники Red Hat уже поминают компанию, в которой работают, а в IBM всё еще надеятся отхватить кусочек облачного рынка.

https://bit.ly/2OZm0gW

ℹ️ Об уязвимостях в Telegram

Очередной канал верещит про "СЕРЬЕЗНЫЕ УЯЗВИМОСТИ TELEGRAM" и публикует "ШОКИРУЮЩИЕ СЕНСАЦИИ". Последнее время с этим дерьмом, чего-то зачастили. Поэтому сейчас я коротко попробую объяснить, что с этими каналами/людьми/постами/уязвимостями не так.

В публикации по ссылке ниже утверждается, что клиент Telegram хранит переписку на вашем компьютере в незашифрованном виде. Приведён твит какого-то школьника по имени Nathaniel Suchy, который поковырялся в файлах Telegram, и вытащил оттуда свои сообщения. Таким образом, он продемонстрировал, что имея доступ к клиентской машине, он может получить доступ к сообщениям владельца устройства в Telegram.

Объясняю:

Назвать это уязвимостью нельзя. Сейчас бы при имеющемся доступе к клиенсткой машине что-то назывывать уязвимостью. Поверьте, если к вашему компьютеру кто-то получит доступ — получение сообщений из Telegram будет вашей наименьшей проблемой. Это дилетанство. Telegram гарантирует безопасность сообщений в процессе их передачи. Что на конечных узлах происходит — это уже не его забота. При доступе к вашему устройству, даже если бы локальное хранилище переписки было бы зашифровано, злоумышленник мог бы:

— установить ПО для перехвата нажатий клавиатуры и отследить ввод пароля для расшифровки;
— установить ПО для записи экран и получить в итоге скринкаст с процессом вашего общения в Telegram;
— и многое другое.

Уязвимостью в Telegram можно будет назвать только то, что позволит перехватывать сообщения без доступа к клиентским устройствам. Всё остальное — буллщит, публикации ради хайпа и дешевых заголовков в духе "ККООКОКОКООКОКОКОКОКОКОКО УЯЗВИМОСТЬ В ТЕЛЕГРАМЕ КОКОКООКОКОКОКОООКООКОКОКО".

Не ведитесь на желтизну.

https://t.me/retranslyator/3756

Лента.ру и прочие бестолковые СМИ, работники которых незаслуженно называют себя журналистами, подхватили эту истерику. Печально, что многие издания даже не утруждают себя элементарным фактчекингом.

О, мне тут из канала «Ретранслятор» ответили.
Тот самый где эту утку запостили. Кря. 🦆

Ребята пишут: «Желтизны у нас не было и никогда не будет. Конкретно сегодняшняя новость про уязвимость в телеграме: Эксперт, занимающийся кибербезопасностью обнаружил».

Внезапно оказалось, что эксперт не эксперт, а уязвимость не уязвимость.

>Во-вторых, по логике Александра шифровать данные вообще не имеет смысла, ведь есть же вирусы, которые могут управлять комьютером удаленно. За эту идею благодарить Александра должны тысячи IT-компаний, которые зачем-то тратят миллаирды долларов каждый год на шифрование данных ( видимо они просто не знали про вирусы). Теперь сэкономят кучу денег!

UNEXPECTEDLY, шифровать можно весь диск средствами системы, а не одну БД в одном приложении! И как бы от вредоносного ПО, которое уже было установлено на вашу машину это вас никак не спасает.

https://t.me/retranslyator/3768

ℹ️ Как работают сторонние почтовые клиенты в мобильных ОС.

Mail.ru, безусловно, подментованная и провластная контора, в которой, я лично, не нахожу ничего хорошего. Но доступы к почтовым серверам IMAP/POP3 легко объясняются. Так делают и другие почтовые клиенты, например, Spark. Зачем?

Всё просто.
Мобильные приложения нуждаются в доставке Push-уведомлений о новой почте. К сожалению, iOS, например, как и некоторые другие мобильные ОС, которые уже кормят червей, не позволяет выполнять выгрузку с IMAP/POP3 серверов в фоне в неофициальном стороннем почтовом клиенте, поэтому многие вендоры пользуются такой хитростью — наличие новых сообщений проверяется сервером производителя приложения, и при нахождении оных, производится рассылка Push-уведомлений.

Поэтому подходя к выбору почтового клиента с подобным функционалом, всегда нужно здраво оценивать риск и понимать, что вы отдаете пароль от своей почты, де-факто, третьим лицам.

https://t.me/MicrosoftRus/661

💡 В Nginx исправлены некоторые серьезные уязвимости

Команда Nginx выпустила новые версии для Stable и Preview веток популярного одноименного веб-сервера. Обновления коснулись вопросов безопасности: исправлены некоторые уязвимости, эксплуатация которых может привести к отказу в обслуживании (Denial of Service) из-за черезмерного потребления оперативной памяти и ресурсов процессора (CVE-2018-16843, CVE-2018-16844). Проблемы касались исключительно дистрибутивов Nginx версий 1.9.5 - 1.15.5, собранных с модулем http_v2.

Об этом сообщил Максим Дунин, один из разработчиков Nginx:
http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html

🤔 Чем я занимаюсь?

Как вы могли заметить, дорогие читатели, в последнее время у меня не так много постов в моём канале. Причина тому — мой проект, над которым мы трудимся всей командой нашей небольшой эстонской компании @VeeSecurity (да, именно мы когда-то предоставляли доступ нашему прокси для Telegram — сейчас прокси-сервисы утеряли свою популярность, поэтому мы сосредоточились на чём-то новом). Именно этому проекту я и уделяю всё свободное (и не только) время.

Мы разрабатываем Connecto VPN — наш проект быстрого, дешевого и, главное, безопасного VPN-сервиса. За последние несколько месяцев мы сделали многое: с командой мы спроектировали и воплотили собственную IT-инфраструктуру с упором на безопасность, поддержку всех популярных и не очень протоколов, от OpenVPN и IKEv2/IPsec до OpenConnect'а. Иногда идея обезопасить всё у нас доходила до фанатизма: мы проектировали свою собственную сеть и ПО с недоверием к каждому из наших собственных серверов, подразумевая, что даже если какой-то из них будет скомпрометирован — пользователи не пострадают. В общем, вкладываем всю любовь и душу в этот проект — относимся к нему, как к общему ребёнку нашей команды.

В этом месяце мы сделали несколько обновлений: добавили новую локацию в США, разработали приложения для iPhone и macOS (они уже на пути к вам), создали с нуля свою собственную тикет-систему поддержки пользователей и перевели наш сайт на русский язык.

Я буду рад, если вы оцените то, что мы делаем. Более того, ваша конструктивная критика и предложения крайне приветствуются — присылайте их напрямую мне, на ceo@veesecurity.com.

Попробуйте:
https://goo.gl/gGAm91

Наш дорогой друг и соратник, а также брат по несчастью Филипп Кулин участвует в борьбе за «Премию Рунета 2018».

Борьба с бессмысленными блокировками Роскомнадзора заключается в лицах. Одно из таких лиц — наш дорогой друг, Филипп Кулин (он же — Фил). Фил сделал многое — от бесконечного числа публикаций, с подробными разборами полётов того, как и что блокируют российские интернет-цензоры, до наглядной аналитики блокировок и графиков, где в один прекрасный момент отстучали морзянкой слова «DIGITAL RESISTANCE». На сотнях таких энтузиастов, как Фил, держится та самая борьба за здравый смысл. Чей-то вклад больше, чей-то меньше. Но одно однозначно ясно — Фил однозначно заслужил Премию Рунета 2018 в номинации «Народный Интернет-Проект». Поэтому я призываю всех своих подписчиков зайти на сайт премии и проголосвать за проект «Эшер II» и поддержать нашего чемпиона. Кстати, делать это можно каждый день.

Искренне поддерживаю энтузиастские начинания Фила, желаю ему удачи и голосую за него. И вам советую.

Голосовать здесь:
http://kto-chto-gde.ru/premiaruneta/

Как стать IT-администратором 2.0?

Как прокачать себя как администратора Windows-сетей? Как обеспечить безопасность такой корпоративной сети? Microsoft и онлайн-университет Нетология приглашают всех желающих в Школу Современного IT-администратора.

Ведущие специалисты расскажут, как защищаться от современных угроз малым и средним компаниям, о том, как предотвратить утечки информации, как развернуть своб собственную облачную инфраструтуру и многое-многое другое.

В первую очередь, курсы будут полезны системным администраторам и IT-специалистам, работа которых связана так или иначе с продуктами Microsoft — лучшие специалисты Microsoft MVP расскажут в подробностях обо всех возможностях программного обеспечения и способах применения таких возможностей.

По результатам курса вы получите именной сертификат от Нетологии.

И всё это — бесплатно.

Регистрация на курс:
https://goo.gl/M1quVt

🤷‍♂️ Бесполезная капча на сайте «Почты России»

Минутка развлечений. Моя дорогая бывшая коллега сделала пост негодования по поводу капчи на сайте «Почты России». Мало того, что в мобильном приложении такой капчи нет (что делает её абсолютно бессмысленной), так еще, как оказалось, и на самом сайте она не помогает работает. Я немного поэкспериментировал с ней и выяснил, что если в форме восстановления пароля, например, ввести любую строку с пробелом в качестве "символов с картинки", то серверу абсолютно всё равно, правильная капча или нет. От какой мифической угрозы защищаются в «Почте России» в ущерб User Experience или вовсе капчу поставили как оберег от злых духов — не ясно. Я записал короткую GIF'ку с демонстрацией процесса.

Аня до почты достучаться не смогла, поэтому помогаю ей распространением её негодования.

Её исходный пост здесь:
https://t.me/theyforcedme/551

И еще немного полезных курсов Microsoft вам в ленту!

В продолжение темы с обучением администрированию ПО от Microsoft, корпорация из Редмонда предлагает еще один онлайн-курс «Администрирование Microsoft 365. Развертывание Microsoft 365 через веб-интерфейс и PowerShell. Настройка современных средств защиты».

Лучшие специалисты Ability и Microsoft расскажут о best practices в настройке и администрировании Microsoft 365, как обеспечить надёжную защиту корпоративных данных, как управлять всем этим добром через PowerShell и многое другое. Курс ориентирован как на руководителей IT-департаментов, так и в целом, на администраторов корпоративных сетей.

Регистрация на курс:
https://aka.ms/pw7_tg15

​DNS Leak в Ubuntu Network Manager

К нам на днях обратился человек, который пожаловался на то, что в Ubuntu, при включенном VPN-соединении, не открываются заблокированные Роскомнадзором сайты. 

Мы, с моим коллегой Артёмом, начали разбираться в ситуации и выяснили, в чём дело. Как оказалось, вся проблема заключалась в том, что Ubuntu не использует DNS-серверы, предоставленные VPN, а продолжает использовать DNS, полученные от своего основного соединения по DHCP (обычно там IP-адреса DNS-серверов интернет-провайдера, если ничего не менять вручную), что и вызывает недоступность тех или иных сайтов (если провайдер, например, блокирует ресурсы по DNS). 

То, что мы только что описали, называется «DNS Leak». Это, на самом деле, довольно серьезное нарушение безопасности. По вашим запросам к DNS можно определить ваше местоположение, даже если вы используете VPN-соединение. Более того, провайдер может собирать информацию о том, какие сайты вы посещаете.

Лирическое отступление №1 — для тех, кто не знает, что такое DNS:
DNS (Domain Name System) — система преобразования доменных имен в IP-адреса. Грубо говоря, есть какой-то ресурс. У него есть домен вида "example.com". К этому доменному имени привязаны определенные IP-адреса конкретных серверов, к которым будет обращаться ваше устройство. За такое преобразование как раз и отвечают DNS-серверы: вы им — домен, они вам — IP-адрес.example.com". К этому доменному имени привязаны определенные IP-адреса конкретных серверов, к которым будет обращаться ваше устройство. За такое преобразование как раз и отвечают DNS-серверы: вы им — домен, они вам — IP-адрес.

Так вот. Владелец DNS-сервера (в данном случае — провайдер) может собирать информацию о посещаемых вами ресурсах и, в общем-то, легко может передать эту информацию спец. службам и прочим государственным органам. 

Лирическое отступление №2 — давайте поменяем вам DNS-серверы: 
Не важно, используете вы VPN или нет — в любом случае пропишите себе человеческие DNS-серверы. CloudFlare предоставляют отличный DNS 1.1.1.1 и 1.0.0.1, которые не хранят информацию о запросах, да ещё и к тому же, самые быстрые.1.1.1.1 и 1.0.0.1, которые не хранят информацию о запросах, да ещё и к тому же, самые быстрые.

Но давайте вернёмся к нашим баранам, кхе-кхе, т.е. к Canonical. После ряда экспериментов и исследования сообщений о подобных проблемах у других пользователей, оказалось, что это баг самой операционной системы Ubuntu, причем в последних версиях, после очередного обновления пакета network-manager. Багу уже год (!!!), он имеет наивысший приоритет (!!!), но всё ещё (!!!) не исправлен. Я в очередной раз удивляюсь халатности Canonical и не понимаю, как можно допускать такие вещи и так долго их не исправлять. 

Разумеется, это исправляется некоторыми танцами с бубном (т.е. костылями). Можно отредактировать тот же OpenVPN-профиль дописыванием пары строк — это исправит ситуацию в Ubuntu, но сделает тот же OpenVPN-профиль несовместимым со многими другими операционными системами. Ужас, одним словом — вот пользовался человек VPN, был уверен в безопасности, а потом Ubuntu выпустила минорное обновление пакета и всё, никакой приватности и анонимности. Страшная вещь, конечно же.

Мы, кстати, делаем свой VPN.
Почитать про него подробнее и купить его можно здесь.

​Marriott сообщила об утечке данных сотен миллионов клиентов, начиная с 2014 года. Среди украденных данных — номера паспортов и данные банковских карт.

Известная сеть отелей Marriott сообщила, что еще с (!!!) 2014 года неизвестные копировали из базы компании личные данные постояльцев отелей Starwood, однако замечена эта утечка была только сейчас. Среди скомпрометированных данных — имена, фамилии, email'ы, банковские карты и данные паспорта.

В рамках утечки были скомпрометированы данные более чем 500 миллионов клиентов.

Останавливался в Marriott (не Starwood), когда был в Копенгагене. Отель — отличный. Жаль по IT не дотянули. Уж с их-то деньгами могли бы и потрудиться.

UPD: Справедливо будет заметить то, что почему-то не заметила ни Медуза, ни остальные СМИ: Starwood в 2014 году еще не был частью Marriott — покупка Starwood была завершена только в 2016 году. Поэтому возлагать ответственность на Marriott в полной мере, как мне кажется, нельзя. Хотя после покупки могли бы и озадачиться вопросами безопасности.

​Привет, Siri? Эй, Siri!

Ребята, я всё-таки решила сделать невозможное и попробовать достучаться до Apple по этому вопросу.

Если вы тоже пользуетесь Siri на русском языке, если ждёте русского языка в HomePod и tvOS, и если вас тоже бесит каждый раз "приветкать", когда хочется что-то попросить, давайте вместе обратимся к Apple с этой проблемой.

Я составила петицию на английском языке и хочу попробовать с вашей помощью собрать под ней много подписей.

Вот ссылка: https://www.change.org/p/apple-change-russian-siri-trigger-command-from-privet-siri-to-hey-siri

Есть ещё один важный момент. Нас с вами много, но всё же очень мало для того, чтобы петиция возымела эффект.
Для полного счастья нужно распространение.

Вы автор канала/Twitter-аккаунта/подобного? Можете просто репостнуть это сообщение или самостоятельно опубликовать ссылку на петицию, если не хотите делать мне лишней рекламы.
Вы знаете авторов больших каналов? Попросите их сделать материал о петиции.
Вы простой смертный? Подпишите петицию и расскажите о ней своим друзьям и знакомым.

Сделали всё, но хотите помочь ещё больше?
Пройдите по ссылке apple.com/feedback, выберите своё устройство, в разделе Feedback Type выберите Feature Request или Bug Report, а затем скопируйте в поля заголовок и текст нашей петиции. Можете добавить что-то от себя или написать свой текст, но посыл должен быть единым.

Если у нас получится собрать значимое количество подписей, попробуем массово направить в Apple ссылку на петицию и обратить внимание на проблему.

Давайте сделаем так, чтобы пользоваться функциями было удобно, раз уж мы заплатили за них немало денег.

Напоминаю ссылку на петицию: https://www.change.org/p/apple-change-russian-siri-trigger-command-from-privet-siri-to-hey-siri

Утро начинается с утечек: Quora сообщила о компрометации данных пользователей неизвестными хакерами.

Сервис вопросов и ответов Quora разослал своим пользователям уведомление о компрометации данных пользователей. По словам компании, неизвестные лица получили доступ к базе данных и смогли похитить имена, email’ы, IP-адреса, зашифрованные пароли своих пользователей, а также данные из привязанных социальных сетей, включая токены доступа к последним.

В Quora сообщают, что обратились за помощью в правоохранительные органы и ведут расследование.

Продолжаем серию образовательных мероприятий с Сайберсекьюрити™.

На этот раз у нас Python 🐍

10 декабря в 20:00 МСК, в рамках курса ОТУСа для укротителей змей пройдет открытый вебинар на тему «Внутреннее устройство интерпретатора CPython».

Курс позволит, что называется, "окунуться" в разработку "с головой" как в теории, так и на практике. В процессе обучения вы освоите основные моменты проектирования ПО через призму конкретного языка (т.е. Python'а), а также научитесь прагматично подходить к решению сложных задач. Естественно, затронут будет исключительно актуальный пул задач с подходом через, так называемые, best practices.

Перед участием в курсе можно (и нужно) пройти бесплатное онлайн-тестирование, оно поможет вам объективно оценить свои способности и определить свою готовность к прохождению курса.

Пройти его можно здесь:
https://otus.pw/HB3Q/

Регистрация на вебинар:
https://otus.pw/aRRK/

⚡️Парламент Австралии принял закон об обязательном внедрении правительственных бэкдоров в программное обеспечение

Страшные новости сегодня приходят из страны, где люди ходят кверху ногами: опаснейший прецедент в истории кибербезопасности — власти Австралии приняли новый закон, согласно которому различные IT-компании обязаны содействовать правоохранительным органам. Все бы ничего, но в понятие «содействовать» включили, в том числе, обязанность компаний встраивать в собственные программные продукты вредоносное программное обеспечение, бэкдоры для прослушки, а также предоставлять приватные ключи для расшифровки данных пользователей. Более того, Австралийские парламентарии пошли дальше: теперь компании также обязаны по первому требованию правоохранительных органов вовсе отключать всякое шифрование и помогать во взломе собственного программного обеспечения.

Под этот закон попадают все IT-компании, работающие в Австралии. В том числе, различные сайты и интернет-сервисы. Одной из крупнейших IT-компаний в Австралии является Atlassian — авторы BitBucket, JIRA, HipChat, Zephyr, Bamboo и других известных сервисов. Для неё последствия такого решения законодателей могут быть чудовищными, вполне вероятно, что компания может сменить юрисдикцию под таким давлением со стороны своего государства.

Подобное "законотворчество", маскируясь под благими намерениями вроде борьбы с терроризмом и т.д., никак такой борьбе не помогает. Террористы всегда найдут способ для коммуникаций, какие действия государства бы не предпринимали.

Единственной пострадавшей стороной в такой ситуации станут рядовые пользователи, чей уровень безопасности в киберпространстве существенно снизится из-за внедряемых по требованию силовиков бэкдоров.

Невозможно в 21 веке создать такую потайную дверцу, ключик от которой будет только у хороших парней. Наличие уязвимостей в ПО, предназначенных для использования правоохранительными органами, дает ровно такую же возможность злоумышленникам их использовать. А в борьбе с терроризмом и детской порнографией они производят лишь нулевой, если не отрицательный выхлоп.