Information Security дайджест #6: F*ck Responsible Disclosure

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

В выпуске: #F*ckResponsibleDisclosure, нескончаемые баги в новой MacOS, критическая уязвимость в Exim, уязвимости в сетевых устройствах, взломы популярных сервисов, ивенты OWASP в Украине.

01h > Горячее

Самое яркое событие на ИБ сцене Украины за прошедший месяц — происходящая сейчас акция Украинского киберальянса — #F*ckResponsibleDisclosure. В ходе акции хактивисты публикуют найденные в важных инфраструктурных объектах Украины уязвимости (факапы), и если кратко: все очень плохо. Масса подробностей тут и здесь. Черные и белые бухгалтерии коммерческих структур, многочисленные компрометации государственных ресурсов, служебная переписка «Энергоатома», технические планы «Киевстара», схемы тоннелей спецсвязи от МЧС и многое другое. Выводы неутешительны.

02h > Около секьюрити

Состоялись митапы OWASP Ukraine 2017 Lviv и OWASP Kyiv Meetup Winter 2017, народ общался на достаточно интересные и актуальные темы. По ссылкам уже доступны и видео докладов. Отмечу два явных тренда: аудитория увеличивается и молодеет, качество материалов реально повышается.

Более 2 миллионов аутентификационных данных (email и хэши паролей) пользователей были получены в ходе взлома популярного сервиса Imgur в 2014, и это было в секрете до недавнего времени. По-нашему мнению, это серьезный инцидент, который должен был получить огласку, как только он подтвердился, потому как пользователи часто используют один и тот же email & пароль для множества сервисов.

Но этот инцидент меркнет в сравнении со взломом Uber, в ходе которого злоумышленники получили личные данные более 57М пользователей данного сервиса.

Достаточно печальная и поучительная история одной женщины о том, как данные, которые мы оставляем в сети могут быть использованы против нас в повседневной жизни была опубликована в Wired. Рекомендуем к прочтению.

Все это заставляет задуматься, насколько небезопасным может быть использование популярных сервисов и какие личные данные стоит им доверять.

03h > Интересное

Ресечеры с Privacy Lab и Exodus Privacy нашли более 44 трекеров в 300 приложениях под Android, взятых с Google Play. Задача — сбор самых различных данных о пользователях. Трекеры обнаружены в таких приложениях, как Tinder, AccuWeather, Spotify, Microsoft Outlook.

Обойти Voice Recognition от Amazon и Google оказалось не так уж и сложно, эта фича может использоваться для получения доступа злоумышленниками к различным сервисам упомянутых вендоров. Подробнее тут.

Власти многих стран с каждым годом хотят все больше контролировать как сеть, так и свободу своих граждан. Ярким тому примером есть последнее предложение: один из представителей власти призывает внедрить бэкдор в каждое цифровое устройство.

Проснулся ботнет Satori, который насчитывает более 280К ботов и ведет активное сканирование девайсов, предположительно — с целью их дальнейшей эксплуатации. Подробности тут.

Силовики Беларуси отчитались о задержании Сергея Ярец, в андеграунде известного под ником Ar3s, по подозрению в создании и распространении вредоносного ПО и одного из самых больших ботнетов — Andromeda.

04h > Уязвимости && Эксплоиты

Забавный баг был найден в MacOS High Sierra 10.13.(1-2) версиях, позволяющий любому пользователю войти в систему как root, введя пустой пароль. Проблема решается установкой соответствующего патча. На нашей памяти High Sierra — один из самых нестабильных релизов MacOS за последние несколько лет.

Более 400K серверов, на которых установлен уязвимый Exim, могут быть взломаны через RCE уязвимость и PoC достаточно простой. То есть сделать полноценный «боевой» эксплоит на его основе — тривиальная задача. Вы спрашиваете, зачем нужен Shodan?

Сетевые девайсы не исключения, и в этом месяце появился свежий эксплойт под D-Link DIR-850L. Также найдены многочисленные CVE-2017-822(1-5) уязвимости в Wireless IP Camera (P2P) WIFICAM, RCE. Во избежание записи хоум видео с вашим участием посторонними лицами, рекомендуем хотя бы раз в квартал обновлять прошивки ваших девайсов.

05h > Фан

Twitter «Поліція Київщини‏» был взломан неизвестными активистами, которые разместили шуточный пост для привлечения внимания к проблеме информационной безопасности, хранению паролей вида mvd123 в текстовых файлах на виндовых шарах and so on. Для справедливости следует отметить, что полиция адекватно отреагировала на инцидент.

В связи с последними багами в MacOS High Sierra, ребята сделали свой high-end фаззер под целевую операционную систему. Детальнее тут.

Когда наконец-то смог получить meterpreter shell.

Если вы вдруг заметили, что ваш коллега или близкий начал употреблять слова VPN\Tor\Telegram, либо увлекается солями для ванн и любит быстро ездить, можете попробовать узнать, кто его дилер.

06h > Аутро

В качестве аутро хотим обратить внимание наших читателей на проблему массовых утечек информации с популярных сервисов, критических элементов государственной инфраструктуры, повсеместному трекингу пользователей вендорами. Все то, о чем раньше предупреждали эксперты, стало реальностью. Пора надевать шапочку из фольги задуматься о собственной цифровой гигиене и безопасности в киберпространстве 🙂

← Предыдущий выпуск: Information Security дайджест #5.

from Интересное на ДОУ http://ift.tt/2iG74BE

Leave a Reply