===== РЕКЛАМА ======
Курс по анонимности и безопасности в сети

Канал с  топовым курсом по анонимности и безопасности в сети. Ловушки для хакеров, маскировка данных, экстренное уничтожение информации, искусство анонимности, обход любой цензуры - все это для вас абсолютно бесплатно.

ВИДЕО+ТЕКСТ
Язык русский (+English)
2019 год

👉🏿 Ссылка
https://t.me/joinchat/AAAAAEbakFlT976E_5B7IQ
===== РЕКЛАМА ======

Алярма, котаны! Тут в Windows обнаружилась весьма неприятная уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708), потребовавшая срочных апдейтов для старых версий Windows, включая XP! Уязвимость в Remote Desktop Services, не требует никаких действий от пользователя. Специально подготовленный запрос через RDP приводит к удаленному исполнению кода, в результате чего злоумышленники могут просматривать и удалять данные, и создавать учетные записи с полными правами.При этом, как предупреждает Microsoft, вредоносный код, эксплуатирующий уязвимость, может распространяться примерно как это делал WannaCry, от компьютера к компьютеру. Так что дырка серьезная, и Microsoft призывает патчиться как можно скорее.

Дополнительная инфа и ссылки на апдейты тут
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

АНАРХИЯ, ВСЕМ ДАННЫЕ, КОТАНЫ!

Роскомнадзор проверил информацию об обнаружении в информационных системах госорганов 360 тысяч записей с личными данными россиян. Об этом сообщается на сайте ведомства. Среди записей в том числе были данные бывших вице-премьеров Анатолия Чубайса и Аркадия Дворковича.
Согласно ответу ведомства, такое опубликование персональных данных «попадает под правовые основания, предусмотренные статьёй 6 Федерального закона „О персональных данных“».

https://tjournal.ru/tech/97259-roskomnadzor-ne-uvidel-narusheniya-zakona-v-publikacii-dannyh-360-tysyach-polzovateley-na-gossaytah

Сегодня прям какой-то день АЛЯРМОВ. Обнаружен новый набор уязвимостей в процессорах Intel (выпущенных, начиная с 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке https://zombieloadattack.com

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
https://support.apple.com/en-gb/HT210108

Google выпустила обновление для устройств Android на процессорах Intel
https://support.google.com/faqs/answer/9330250
Обновление для датацентров Google
https://support.google.com/faqs/answer/9330250

Обновление для компьютеров с Windows
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013
https://support.microsoft.com/en-us/help/4093836/summary-of-intel-microcode-updates
https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

Amazon обновила AWS
https://aws.amazon.com/security/security-bulletins/AWS-2019-004/

#КАКСТРАШНОЖИТЬ

список уязвимостей в различных приложениях и операционных системах, которые были обнаружены "в естественной среде", так сказать, и использовались в реальных атаках. Список собирает Google в рамках Project Zero.
https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/htmlview?sle=true#

не все ключи безопасности одинаково полезны. некоторые ключи, которые раздавала Google — Titan Security Keys, используемые для двухфакторной аутентификации, оказались с уязвимым соединием Bluetooth. Теперь Google их бесплатно поменяет
https://security.googleblog.com/2019/05/titan-keys-update.html

В РАМКАХ ПЯТНИЦЫ

а помните, я пару дней назад писал об обнаруженной уязвимости в старых версиях Windows, да такой, что Microsoft выпустила апдейт даже для XP (https://t.me/alexmakus/2836)

Так вот, тут, похоже, шутники сделали красивый сайт по этому поводу, якобы предлагая утилиту, которая ищет непропатченные хосты и их имеет. Но, говорят, фейк, так что не верьте всему, что пишут в интернете

https://cve-2019-0708.com

а еще вот Stackoverflow немножко взломали
https://stackoverflow.blog/2019/05/16/security-update/

Антивирус для телевизора, куда катится этот мир

Немножко статистики о том, насколько полезно иметь хотя бы даже самый базовый уровень двухфакторной защиты:

Our research shows that simply adding a recovery phone number to your Google Account can block up to 100% of automated bots, 99% of bulk phishing attacks, and 66% of targeted attacks that occurred during our investigation.

https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html

защита аппаратным ключом дает 100 к броне

Правда, любители теорий заговоров наверняка скажут, что это Google специально такую информацию публикует, ведь ей просто хочется собрать побольше информации о пользователях, включая номера телефонов. И будут совершенно правы! Например, тут недавно обнаружилось, что Google активно парсит Gmail на предмет покупок, и собирает эти данные из приходящих писем

https://myaccount.google.com/purchases

Google утверждает, что не использует эту информацию для таргетирования рекламой, но кто ж ей теперь поверит? Причем удалить эту информацию не так-то просто (кликать по каждой можно реально задолбаться. И отключить этот парсинг и складывание покупок в отдельную страницу нельзя.

База данных пользователей Instagram c персональной контактной информацией пользователей оказалась доступной в интернете. Речь не об официальном сервере, а о сервере компании Chtrbox, которая занимается размещением рекламы в Инстаграмме среди всяких инфлюэнсеров и прочих создателей контента. Более 49 млн записей, каким-то образом собранной из профилей (Instagram официально блокирует такой сбор информации). никогда такого не было, и вот опять!
https://twitter.com/hak1mlukha

Аукцион за компьютер с 6 вирусами. Вы удивитесь, сколько за него УЖЕ предлагают денег, а еще неделя аукциона. «Пффф, подумаешь, у бухгалтерши тети Маши на компьютере 136 вирусов, и ничего, работает»
https://thepersistenceofchaos.com/

Google случайно хранила пароли некоторых пользователей G Suite в plain text в “инфраструктуре панели управления”, что, подозреваю, скорей всего, относится к логам. Пароли могли быть доступны сотрудникам Google или же злоумышленникам. Все это продолжалось с 2005 года. Вроде бы и ничего ужасного, но осадочек остается
https://cloud.google.com/blog/products/g-suite/notifying-administrators-about-unhashed-password-storage

Известная исследователь(ка) SandboxEscaper (известная прежде всего тем, что выкладывает zero-day уязвимости для Windows, не уведомляя об этом Microsoft), strikes again! Local privelege escalation на Win 10, может быть портирована вплоть до XP, эксплуатирует дыру в Task Scheduler.
https://web.archive.org/web/20190522011933/https://github.com/SandboxEscaper/polarbearrepo/tree/master/bearlpe

я удивлен, что эта новость не набрала большего внимания в прессе, но тут The Intercept пишет, как Facebook передает мобильным операторам в разных странах данные о пользователях, которые компания собирает из мобильных приложений Facebook, Messenger, Instagram на iOS и Android. Статистика по использованию мобильных сетей и сетей WiFi, местоположение, интересы и тд.
https://theintercept.com/2019/05/20/facebook-data-phone-carriers-ads-credit-score/

Я просто оставлю это здесь
https://www.rbc.ru/technology_and_media/23/05/2019/5ce53a039a79471bde8de739

Читатель прислал ссылку на изучение некоторых недостатков портала ГосУслуги. К сожалению, подобное характерно для многих крупных сайтов, не только государственных, и не только в России
https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23

ЗЫ к материалу есть смысл относиться несколько скептично, и есть альтернативные мнения по этому поводу
https://twitter.com/_paly4_/status/1131612012620996608?s=12

История о том, как сотрудники Snapchat использовали внутренний инструмент для просмотра данных пользователей сервиса, включая информацию о местоположении, номер телефона и адрес электронной почты.
https://www.vice.com/en_us/article/xwnva7/snapchat-employees-abused-data-access-spy-on-users-snaplion