интересно. если сходить через Тор на сайт zkkc7e5rwvs4bpxm.onion, там за 500 долларов в месяц можно подписаться на сервис, который, используя уязвимости в SS7 (Signaling System 7, международный телекоммуникационный стандарт для обмена информацией между телефонными сетями), позволяет получить доступ к звонкам и сообщениям абонентов телефонной связи. Не очень понятно, как там с ограничениями по географическим регионам, плюс на сайт довольно много жалоб, что даже после оплаты они игнорируют клиентов, но в целом это хорошее очередное доказательство того, что а) жить страшно, и б) лучше не доверять двухфакторным авторизациям по SMS

интересная статья на Bleeping Computer (за ссылку спасибо читателю) о рынке вредоносных ПО для Маков (который, по словам авторов статьи, постепенно подрастает). В качестве примера они рассказывают о двух новых вредоносных программах для Мака — MacSpy и MacRansom, первая из которых должна как-то там следить за пользователями, вторая — вымогать выкуп. Но поскольку обе написаны явно начинающим автором, то ни одна из них толком не работает, и даже поставить их на Мак будет непросто, учитывая отсутствие цифровой подписи. Это, конечно, не означает, что Мак-пользователям стоит расслабляться, потому что за такими недоучками придут и более опытные товарищи, хотя до масштабов Wcry Макам все равно никогда не добраться https://www.bleepingcomputer.com/news/security/macransom-and-macspy-malware-as-a-service-portals-put-mac-users-on-alert/

и снова здравствуйте! я бы и хотел пожелать вам хорошей и безопасной пятницы, но природа этого канала такова, что у меня только плохие новости, от которых становится только страшнее. Вчера Wikileaks выложили очередную порцию информации о хакерских инструментах, используемых спецслужбами, и оказалось, что роутеры от десятка производителей, включая Asus, Belkin, Buffalo, Dell, Dlink, Linksys, Motorola, Netgear и др, обладают уязвимостью, которая может быть использована ЦРУ для мониторинга входящего и исходящего трафика. Проект по несанкционированному доступу к роутерам называется романтично — "цвет вишни" (CherryBlossom). Особо уязвимы роутеры D-Link DIR-130 и Linksys WRT300N, поскольку с помощью уязвимости "помидор" (я не шучу, её кодовое название в документации — Tomato) можно получить админский пароль с устройства (если активирована фича Universal plug-n-play). Почитать о CherryBlossom можно здесь https://wikileaks.org/vault7/releases/#Cherry%20Blossom, а 175-страничное "руководство пользователя" — здесь https://wikileaks.org/vault7/document/SRI-SLO-FF-2012-177-CherryBlossom_UsersManual_CDRL-12_SLO-FF-2012-171/

Если вы успели хмыкнуть "ну, ЦРУ в мой роутер не полезет", то хочу сказать следующее: да, ЦРУ к вам, может быть, и не полезет. Но теперь, при наличии информации об этой уязвимости в публичном доступе, инструменты для доступа к роутерам появятся и у обычных злоумышленников. Да, производители, наверно, выпустят апдейтов, но поставят их далеко не все пользователи (как это уже было в истории с Wcry, где была использована информация об уязвимости, которую успела запатчить Microsoft, но многие пользователи решили, что устанавливать патч необязательно). А апдейтить роутеры обычно еще более муторный процесс, чем компьютер, так что, как обычно, дальше будет только хуже.

Но есть и хорошая новость! если вам повезло и у вас WiFi роутер Apple, то, похоже, у них иммунитет к этой уязвимости и ваш трафик находится в безопасности. никогда такого не было, и вот опять!

Кстати, о Wcry. Тут FBI и DHS опубликовали отчет о хакерской группировке HIDDEN COBRA, которая, говорят, ответственна за множество атак, включая историю с Wcry https://www.us-cert.gov/ncas/alerts/TA17-164A

Кстати, о роутерах. Уже какое-то время назад собирался написать, но все никак руки не доходили. Уязвимость, используемая ЦРУ — не единственный канал утечки информации из роутера. Вот, например, производитель (в данном случае Netgear) прямо в прошивку роутера зашил функциональность сбора информации, в том числе количество устройств, подключенных к роутеру, IP-адреса, Мак-адреса, типы подключения, информация о каналах WiFi, и тд. Netgear, конечно, утверждает, что это все нужно для диагностики, но втихаря такое засовывать в апдейт тоже как-то не айс. Отключить можно, инструкция есть по ссылке http://securityaffairs.co/wordpress/59341/hacking/netgear-routers-data-collection-feature.html

и снова трудо выебудни с нами! по этому поводу начнем с новостей, от которых становится немного даже не по себе. например, компания-производитель кардиостимуляторов оказалась при прицелом, по сути, американского министерства здравоохранения, потому что эти самые кардиостимуляторы оказались уязвимыми для удаленной атаки по радиоканалу. прошитый пароль в устройство только упрощает ситуацию для злоумышленников. вот так при желании можно вызвать нарушение функционирования кардиостимулятора, и пациент с этим устройством довольно быстро закончится. В статье, разумеется, нет технических деталей, чтобы не подвергать пациентов дополнительной опасности, но все равно стремно очень http://fortune.com/2016/10/17/st-jude-cybersecurity/

а тем временем в Европе происходят какие-то разнонаправленные движения по поводу информационной безопасности. Например, в Великобритании после всех терактов муссируется желание заставить мессенджеры сделать бекдоры в их шифровании, чтобы правооохранительные органы могли читать шифрованную переписку https://www.nytimes.com/2017/06/19/technology/britain-encryption-privacy-hate-speech.html?partner=IFTTT (странно, неужели все утечки из NSA их вообще ничему не научили?) Зато в ЕС (который как раз планирует покинуть Великобритания) хотят законодательно запретить бекдоры в шифровании https://www.engadget.com/2017/06/19/eu-proposes-banning-encryption-backdoors/ Хрен их там разберешь, короче.

а любителям технических новостей будет интересно узнать, что NSA открыла репозиторий в гитхабе, куда выкладывает инструменты и технологии, используемые организацией https://nationalsecurityagency.github.io

и снова здравствуйте! С новой иконкой взломанной игрушки — к новостям из мира информационных опасностей. ВАЖНОЕ. помните MS17-010 — уязвимость Windows, информация о которой утекла из NSA, потом Microsoft выпускала патч в марте для нее, а в мае, похоже, северокорейские хакеры порадовали всех трояном Wcry, эту уязвимость активно эксплуатировавшим? там пострадали в основном компьютеры с Windows 7. Так вот, троян модифицировали с "поддержкой" Windows Server 2016, так что если вы администруете эту платформу, то лучше вам отключить там SMB1 https://github.com/worawit/MS17-010

а корейский хостер Nayana был вынужден заплатить выкуп в 1 млн долларов, потому что более 150 Linux-серверов компании оказались зашифрованными "вымогательным" софтом Erebus. Оригинальный пост в блоге компании (на корейском — http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=961), а вот информация на русском, за которую спасибо читателю Владимиру http://www.opennet.ru/opennews/art.shtml?num=46726. Так что даже несмотря на относительно небольшую долю Linux, там тоже водятся достаточно опасные вредоносные приложения, которые даже не надо самому собирать (известная шутка про вирусы для Linux, которые еще надо было самому скомпилировать)

и об утечках. Тут исследователи обнаружили, что бараны из республиканской партии США выложили на сервер в AWS данные на почти 200 миллионов избирателей, включая имена, даты рождения, адрес, номер телефона, плюс информация о расе и религии. Файлы были в практически свободном доступе и кто его там мог скачать — неизвестно. 1,1 ТЕРАБАЙТ данных, на более чем 60% населения США. Я бы, конечно, за такое кого-нибудь расстрелял. Большие данные, вот это всё — это лишь предпосылки к БОЛЬШОЙ УТЕЧКЕ, рано или поздно. https://www.upguard.com/breaches/the-rnc-files

парочка интересных новостей об уязвимостях, я их просто ссылками дам, кому интересно.

1. remote Code Execution в принтерах HP https://www.tenable.com/blog/rooting-a-printer-from-security-bulletin-to-remote-code-execution

2. Stack Clash — уязвимость в управлении памятью в Linux/Unix системах. По крайней мере, уязвимость локальная, а не удаленная, и уже есть патчи, так что UPDATE, UPDATE, UPDATE! https://blog.qualys.com/securitylabs/2017/06/19/the-stack-clash

И к более приземленным темам — про автомобили. Один мой знакомый поднял тут интересную тему, относящуюся к информационной безопасности. Современные автомобили с их Bluetooth и интеграцией с телефонами — это в том числе и потенциальный инструмент утечки персональных данных. Когда добавляешь телефон в машину, очень часто автомобиль закачивает в свое устройство адресную книгу и сообщения с телефона. Хорошо, если это ваш автомобиль, а когда это подменный или прокатный? Я уже неоднократно сталкивался с чужими СМС-ками в прокатных автомобилях, и всегда стараюсь удалять данные из прокатных и подменных автомобилей перед их возвратом. Да даже и собственный автомобиль, если его сдавать в trade-in, тоже может оказаться с сообщениями и адресной книгой, так что полезно не забывать удалять телефоны перед сдачей. Но следующий "уровень" — это "умные" автомобили, которыми можно управлять с телефона — открывать двери, заводить автомобиль и тд. Представляете, когда вы купили у кого-то автомобиль, забрали все ключи, а потом оказывается, что продавец все еще может с телефона открыть машину, завести её и уехать? Нехорошо получается :) Группа исследователей подняла этот вопрос перед автопроизводителями, и оказалось, что дилеры вообще были не в курсе как это делать, а производитель начал чесать репу по поводу того, что "отрезать" доступ со смартфона не так-то просто. А там, глядишь, и ransomware на автомобили подтянется — "заплати 2 биткойна, а то не сможешь поехать на работу". Короче, страшно жить :) (я уже, кажется, это говорил, но все эти недоработки в плане автомобильной информационной безопасности сдерживают меня от покупки более новой машины, потому что там слишком много компьютеризации без должной безопасности). Вот еще на BBC статья на эту тему http://www.bbc.com/news/business-40324983

ESET предупреждает о новой фишинговой атаке – мошенники собирают данные банковских карт, действуя от лица сервиса Uber.

Новая мошенническая кампания началась 17 июня. Потенциальным жертвам высылают по электронной почте письма «из Uber», в которых предлагается получить крупную скидку на следующую поездку в такси.

Кликнув на баннер «акции» в письме, пользователь попадает на фишинговый сайт. Он не имеет ничего общего с настоящим сайтом сервиса, несмотря на то, что внешне напоминает оригинал, а в URL-адресе фигурирует слово «uber». Мошенники зарегистрировали поддельный сайт 16 июня, за несколько часов до начала атаки.

На фишинговом сайте пользователя поздравляют с «выигрышем» и предлагают создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке. Кнопка «входа» перенаправляет пользователя на поддельную страницу регистрации – там нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты.

После ввода данных пользователь попадет на настоящий сайт Uber, а мошенники получат информацию, необходимую для доступа к банковскому счету жертвы.

В ESET проверили статистику переходов по короткой ссылке из фишингового письма. С 18 июня «за скидкой» на сайт мошенников прошли почти 50 000 пользователей, преимущественно из Бразилии, США, Южной Кореи, Испании и Германии.

на Gizmodo интересная статья о сайтах, где данные, которые пользователь ввел в форму, сохраняются или отправляются куда-нибудь еще до того, как пользователь нажал кнопку "отправить". Все это построено на решении компании NaviStone, которая собирает данные о пользователях, чтобы потом, например, в оффлайне уже продолжить попытки "engage" пользователя, если он не закончил заполнение формы. мудацтво, надо сказать, то еще, так как это противоречит ожиданиям пользователя, который вроде как бы еще и не дал согласия на сбор данных. интересно, что даже по части данных от пользователя и данным о том, по каким сайтам пользователь ходил до этого, NaviStone может идентифицировать около 60-70% пользователей и "скрестить" их с реальным адресом в жизни. Где там уже macOS 10.13 с её блокировкой трекинга на сайтах? http://gizmodo.com/before-you-hit-submit-this-company-has-already-logge-1795906081

А вот еще интересное про QR-коды в Китае, где эта технология очень популярна. Они там везде и очень часто используются для оплаты различных услуг, например, прокатов велосипедов. Просканировал код, оплатил время использования велосипеда — и поехал. Этим активно пользуются злоумышленники: они распечатывают и расклеивают фальшивые QR-коды, и таким образом зачастую оплата уходит совсем не туда, куда она предназначалась. Более того, часто в QR-код маскируют вирусы и трояны для мобильных устройств, и в статье говорится, что 23% всех троянов и вирусов распространяется как раз через QR-коды. И, главное, хрен такие штуки отловишь — откуда пользователю знать, правильный QR-код или вредоносный? На вид они все одинаковые. Не зря я никогда QR-кодам не доверял. http://www.scmp.com/business/china-business/article/2080841/rise-qr-code-scams-china-puts-online-payment-security

смешная история о том, как контракторы ЦРУ взламывали вендинговые машины в здании организации (сама история происходила в 2012-2013 году, но информация о ней стала доступна только сейчас). Некоторые умники придумали, что если у вендинговой машины отключить кабель платежной системы и потом расплачиваться картами без баланса, то можно нахаляву получать ништяки из вендинговых автоматов. за полгода успели сожрать снеков на 3,3 тыс долларов, молодцы какие! https://www.documentcloud.org/documents/3870932-CIA-Vending-Machine.html

Привет (правда, большинству из вас уже можно желать спокойной ночи). Однако, новости в этом канале такие, что, скорее, могут сон отбить. Я думаю, про борьбу Роскомнадзора с Телеграмом вы уже все слышали — там РКН пытается заставить Дурова записаться в реестр, который ведет РКН, а Дуров радостно игнорирует эти запросы. РКН угрожает применить те меры, которые ему доступны — то есть, заблокировать Телеграм. Так что если вдруг его таки заблокируют в России — ПОКА! (ну это сильно заранее, конечно, но мало ли. Проснетесь вы завтра утром, а уже всё).

И если вы успели подумать "ну и ладно, буду пользоваться VPN", то у меня для вас снова плохие новости: сегодня Госдума в первом чтении единогласно одобрила проект закона о запрете средств обхода интернет-блокировок. Там речь идет в том числе и о VPN — если провайдер VPN откажется блокировать доступ к запрещенной в России информации, то этот сервис тоже будут блокировать http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=195446-7&02

а вот еще забавная история про Microsoft, которая хвасталась, что её "залоченная" версия Windows 10 S, которая вроде как должна позволять устанавливать программы только из Windows Store, супербезопасна и устойчива к современным атакам от ransomware. И хакеры такие сразу возбудились: "а ну-ка, подержи мое пивко!". Короче, закончилось все плохо для Windows — вордовый документ с макрухой отлично позволяет получить доступ к командной строке с админскими привелегиями. Ну а дальше уже дело техники получить контроль над другими процессами или получить доступ к файлам пользователя. Так что и ransomware вполне там может прижиться. http://www.zdnet.com/article/microsoft-no-known-ransomware-windows-we-tried-to-hack-it/