Ну и в честь пятницы смешная страшилка про хакеров

Алярма!!! Если у вас свитч Cisco, нужен срочный патч! https://www.zdnet.com/article/cisco-critical-flaw-at-least-8-5-million-switches-open-to-attack-so-patch-now/

И вот ещё https://t.me/unkn0wnerror/661

А теперь давайте немного разберёмся, что же на самом деле происходит.
Итак, с год назад один ловкий парень заметил, что ежели собрать хитрый пакет и заслать его на порт 4786, то в коде Smart Install Client случается переполнение буфера, отчего целая серия девайсов под управлением Cisco IOS и Cisco IOS XE сдаётся без боя, отдаваясь любому желающему целиком и полностью.
Как заведено у ловких парней, он поделился данным наблюдением с не менее ловкими парнями на не самом безызвестном мероприятии. Коллеги по цеху оценили и даже выдали приз, и дальше начинается интересное. По условия мероприятия, общаться с вендором забота (и право) исключительно организаторов смотра юных талантов. Свято блюдя это право, они рассказали всю правду Cisco через каких-то жалких 4 месяца. Видимо никак не могли презентацию покрасивей нарисовать.
Ответственные товарищи в Cisco призадумались и очень попросили не публиковать деталей до 28 марта сего года.
И вот вся информация опубликована, и со всех сторон пошли репорты, что похоже следы использования этой прелести стали находить у себя и провайдеры всех мастей, и просто владельцы интересных инфраструктур.
Беда в том, что порт 4786 открыт по умолчанию и мало кто его закрывает специально. По первым прикидкам в сети около 8,5 миллионов устройств с торчащим 4786 наружу, из которых 250 тысяч имеют подтверждённую уязвимость.
Хочешь проверить насколько ты можешь спать спокойно? Забрось в сеть нечто вроде:
nmap -p T:4786 192.168.1.0/24
Сканирование удел лентяев? Тогда спроси у железа:
switch>show vstack config
Role: Client
Oper Mode: Enabled или Role: Client (SmartInstall enabled)
Ну а если хочешь сразу и наверняка, то скажи просто заклинание no vstack или чтобы наверняка, руби с плеча
ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any`
https://www.youtube.com/watch?v=CE7KNK6UJuk

Как говорится, I cant even begin... то ли смеяться от хранения паролей в plain text, тлили от уверенности в том, что их безопасность самая лучшая... осталось только упомянуть в треде military grade security и картина будет полной

Справедливости ради - СЕО T-Mobile в твите подтвердил, что компания не хранит пароли в plain text
(Апд. Меня тут поправляют, что речь в ответе шла об американском Тмобил, и необязательно та же политика применяется в европейском)
https://twitter.com/JohnLegere/status/982370944923549697

Глава Роскомнадзора высказался о судьбе популярных мессенджеров в России

«Давайте есть слона по частям. Сейчас мы подали иск в отношении Telegram и будем ждать решения суда. Пока на этом все», – заявил Александр Жаров.

Долго же MyFintessPal раздуплялся с нотификацией о взломе мне (и, видимо, не только мне) - об этом взломе уже неделю как все написали

Причём с тех пор я успел даже удалить там свой аккаунт, а они мне все равно написали. Возникает вопрос о том, насколько тщательно они удаляют пользовательские данные

В середине марта 2018 года программист Владимир Серов раскрыл самую крупную уязвимость в сервисе бесплатного Wi-Fi московского метро. Минимум год дыра позволяла любому получить номера телефонов всех подключенных пассажиров поезда, а затем прочитать в незашифрованном виде цифровой портрет каждого: примерный возраст, пол, семейное положение, достаток, а также станции, на которых человек живет и работает. Затем Серов пошел дальше и написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE, — обычно такие технологии доступны только спецслужбам. Компания «МаксимаТелеком», оператор системы, зашифровала номер телефона в течение суток после того, как об уязвимости стало известно публично. Остальные данные открыты до сих пор, а сколько человек могли сохранить всю незашифрованную базу за время, пока «дыра» была открыта — неизвестно.

http://www.the-village.ru/village/city/situation/308363-krupnaya-utechka-operator-wi-fi-v-metro-moskvy-vykladyvaet-dannye-o-polzovatelyah-v-obschiy-dostup

(За ссылку спасибо читателю канала)

Про два ключа, скорей всего , шутка, и довольно банальная. На месте Дурова я бы распечатал пару сотен рандомно сгенеренных ключей, страниц так на 500, и передал их - пусть разбираются

В мире Apple Pay, Android Pay и других Pay пользоваться «умной картой» (которая типа заменяет собой сразу несколько карт, которые туда записываются), пользуются, скорей всего, мазохисты. Ничего удивительного, что оказывается, с таких «умных» карт можно слить чужие данные, если она попадёт в руки злоумышленников https://arstechnica.com/information-technology/2018/04/whatever-you-do-dont-give-this-programmable-payment-card-to-your-waiter/

Наверно, закрывая тему с T-Mobile Austria и их паролями в plain text (было пару дней назад в канале). Компания пообещала, что “Online-passwords will be salted and hashed in the future, as is considered state of the art in security. Other channels, including shops and call centers, will introduce additional security criteria. These steps will be implemented as quickly as possible.”
Лучше позже, чем никогда, конечно

читатели прислали (спасибо!) парочку полезных ссылочек в тему разворачивания своего VPN, о котором я упоминал тут (https://t.me/alexmakus/1907)

1. Дополню про автоматические скрипты для openvpn – напишите про STREISAND, полностью автоматизированный скрипт, ставит OpenVPN, Shadowsocks, stunnel и множество других прекрасных плюшек. Также настраивает фаервол. После установки есть вебморда (защищена https!) для выдачи ключей openvpn клиентам.
https://github.com/StreisandEffect/streisand/blob/master/README-ru.md

2. о, насчет openvpn на vps.

я себе разворачивал форк того, что ты скинул: https://github.com/Angristan/OpenVPN-install/ .

и на AWS EC2, который free tier for 12 month. конечно, что будет после того как пройдет 12 месяцев - точно не знаю сколько это будет стоить. по расчетам если юзать t2.micro on demand instance (который можно выключать, если не используется) будет около $10/мес.

но для доп безопасности можно новый аккаунт раз в год заводить.

ну и тут опять вопрос доверия: безопасность данных пользователя уже зависит не от политик/порядочности/безопасности ISP провайдера, а от VPS провайдера.

Не совсем опасносте, но забавно как кто-то сломал чатбота в скайпе

И снова здравствуйте! Сегодня с раннего утра (для большинства из вас) микс из ссылок читателей и других материалов.

1. Все ещё про VPN (популярная тема, я смотрю, особенно в стране, где промышляет Роскомнадзор).

https://github.com/trailofbits/algo/
Вот крутой ansible скрипт для разварачивания на DO

Для личного виртуал привейт нетворк за недорого вполне подойдёт арубушка.
https://www.arubacloud.com/
по 1 евро в месяц
или скалавай по три
https://cloud.scaleway.com/
А ещё можно самому поработать шелл интерпритатором и настроить выпыны самостоятеельно
https://www.digitalocean.com/community/tutorials/openvpn-ubuntu-16-04-ru

2. Вдруг будет интересно про разработчиков crm, отдающих в индекс поисковикам билеты на свои мероприятия: https://vk.com/katanay?w=wall2789869_2352

3. Несвежая новость про утечку данных косметической компании (ничего святого!)
https://wccftech.com/tarte-cosmetics-leaks-data-2-million-customers/amp/

4. Тоже не очень свежая, но интересная статья л: что же на самом деле представляет собой предиктивная модель Cambridge Analytica и имеет ли значение то, что данные они удалили. Спойлер: модель так себе, а данные уже не нужны, т. к. она уже обучена. http://www.niemanlab.org/2018/03/this-is-how-cambridge-analyticas-facebook-targeting-model-really-worked-according-to-the-person-who-built-it/

5. Видел вашу публикацию об утечке ip адреса через WebRTC

Еще было бы неплохо людям рассказать про Canvas Fingerprinting
https://habrahabr.ru/company/oleg-bunin/blog/321294/
https://geektimes.ru/post/284604/
И вот хороший аддон для браузеров дабы это дело прекратить https://github.com/kkapsner/CanvasBlocker/

6. P4wnP1 is a highly customizable USB attack platform, based on a low cost Raspberry Pi Zero or Raspberry Pi Zero W.

https://github.com/mame82/P4wnP1

PS вы же не поверили на самом деле во взломанного бота в скайпе? В интернете же никому нельзя верить!

Тема с VPN, я так понимаю, популярна не зря, потому что вот:

Таганский суд Москвы 13 апреля начнет по существу рассматривать иск Роскомнадзора о блокировке мессенджера Telegram.

На заседании 12 апреля ведомство потребовало немедленно заблокировать мессенджер в случае, если его иск удовлетворят:

«Данное судебное дело связано с распространением информации и, поскольку Telegram не предоставляются ключи для декодирования сообщений, мы заявляем ходатайство о немедленном исполнении судебного решения в случае удовлетворения искового заявления».

Там ещё, конечно, всякие апелляции-шмапелляции, но вот мой личный опыт показывает, что МосГорСуд не зря называют «МосГорШтамп», то есть инстанция, которая просто штампует решения судов нижнего уровня. Так что да, VPN всегда пригодится (пока не начнут блокировать и их как-нибудь)

Давненько я ничего про Android не писал. Тут у Wired вышла интересная статья по результатам исследования о том, как различные производители смартфонов делают патчи безопасности для своих устройств. Оказалось, что даже когда производитель/телефон говорят вам, что все апдейты у вас установлены, оказывается, что некоторые вендоры пропускают отдельные патчи, и в итоге телефоны оказываются с незакрытыми уязвимостями. Понятно, что в случае с Nexus/Pixel — самый безопасный вариант, и крупные вендоры вроде Samsung/Sony тоже стараются не пропускать патчи, а вот дальше начинается вакханалия. Xiaomi, HTC, Huawei, LG, Motorola — все этим промышляют, а что уж там говорить про китайских производителей вроде TLC или ZTE. Конечно, пропущенный патч не означает, что телефон торчит откровенными местами наружу, потому что в таком случае эксплуатация уязвимости осложняется менее предсказуемыми условиями, но осадочек остается. Исследователи, которые изучали телефоны, выпустили свое приложение SnoopSnitch, которое позволяет проверить владельцам телефонов реальное состояние с апдейтами безопасности.

статья про исследование https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/
ссылка на приложение для проверки https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=en