Как российские банки плевать хотели на инф. безопасность
Мой коллега и дорогой БРАТ Артём провёл «маленький рисерч» (С) в отношении российских банков. Как известно, недавно Google и Mozilla признали сертификаты Symantec скомпрометированными и выпущенными, с нарушениями правил безопасности. Вот почему:
1) В Symantec ну просто так, ради теста, выпустили сертификат для google.com, который потом (oops!) утёк. Для тех, кто в танке — сертификат позволил бы злоумышленникам незаметно подменять оригинальный сайт Google любой другой страницей и, при этом, тот самый замочек HTTPS продолжал бы оставаться «зелёненьким».
2) Выпускали сертификаты с SHA-1, после января 2016 года, когда это стало запрещено правилами безопасности.
3) Symantec выпустили кучу сертификатов ВООБЩЕ НЕ ПРОВЕРЯЯ ВЛАДЕНИЕ ДОМЕНОМ. С-О-В-С-Е-М.
Ну и ещё совершили много-много страшных (если не считать того факта, что CEO Trustico приватные ключи по E-Mail’у пересылал) смертельных грехов, описанных здесь:
https://wiki.mozilla.org/CA:Symantec_Issues
Ну и, что вполне логично, Google и Mozilla объявили сертификаты Symantec небезопасными и де-факто скомпрометированными. Вот уже с октября сайты с такими сертификатами перестанут открываться у пользователей Chrome и Firefox.
Все нормальные интернет-ресурсы уже подготовились к этому.
Но есть и особо одаренные. Например, Сбербанк. На справедливое замечание Артёма они предложили ему не пользоваться гуглом:
https://twitter.com/sberbank/status/1031907764858249217
Мы поползали по сайтам различных российских банков и обнаружили, что отличившихся много!
Вот некоторые из них:
https://online.sberbank.ru
https://www.rshb.ru
https://www.open.ru
https://enter.unicredit.ru
Ну и, как бы, не шевелятся.
Артём, конечно, выполнил свой святой долг и всем им написал. Молодец, Артём. И вы будьте молодцом и поменяйте сертификат, если он попадает под эту ситуацию.
Продолжение следует.
Мой коллега и дорогой БРАТ Артём провёл «маленький рисерч» (С) в отношении российских банков. Как известно, недавно Google и Mozilla признали сертификаты Symantec скомпрометированными и выпущенными, с нарушениями правил безопасности. Вот почему:
1) В Symantec ну просто так, ради теста, выпустили сертификат для google.com, который потом (oops!) утёк. Для тех, кто в танке — сертификат позволил бы злоумышленникам незаметно подменять оригинальный сайт Google любой другой страницей и, при этом, тот самый замочек HTTPS продолжал бы оставаться «зелёненьким».
2) Выпускали сертификаты с SHA-1, после января 2016 года, когда это стало запрещено правилами безопасности.
3) Symantec выпустили кучу сертификатов ВООБЩЕ НЕ ПРОВЕРЯЯ ВЛАДЕНИЕ ДОМЕНОМ. С-О-В-С-Е-М.
Ну и ещё совершили много-много страшных (если не считать того факта, что CEO Trustico приватные ключи по E-Mail’у пересылал) смертельных грехов, описанных здесь:
https://wiki.mozilla.org/CA:Symantec_Issues
Ну и, что вполне логично, Google и Mozilla объявили сертификаты Symantec небезопасными и де-факто скомпрометированными. Вот уже с октября сайты с такими сертификатами перестанут открываться у пользователей Chrome и Firefox.
Все нормальные интернет-ресурсы уже подготовились к этому.
Но есть и особо одаренные. Например, Сбербанк. На справедливое замечание Артёма они предложили ему не пользоваться гуглом:
https://twitter.com/sberbank/status/1031907764858249217
Мы поползали по сайтам различных российских банков и обнаружили, что отличившихся много!
Вот некоторые из них:
https://online.sberbank.ru
https://www.rshb.ru
https://www.open.ru
https://enter.unicredit.ru
Ну и, как бы, не шевелятся.
Артём, конечно, выполнил свой святой долг и всем им написал. Молодец, Артём. И вы будьте молодцом и поменяйте сертификат, если он попадает под эту ситуацию.
Продолжение следует.
Twitter
Сбербанк
@artemtam Для входа в Сбербанк Онлайн рекомендуем пользоваться не ссылками в поисковике, а переходить по гиперссылке с нашего официального сайта.
⚠️ Мероприятие — Пятая конференция CryptoInstallFest
Уже очень скоро, 22 сентября, в Москве пройдет пятая международная конференция CryptoInstallFest.
Что это такое?
CIF (CryptoInstallFest) - практическая конференция, во время которой IT-специалисты, юристы, общественные деятели, предприниматели и участники обсуждают все самое важное и актуальное, что происходит сейчас в Рунете (и не только). Государственное регулирование интернета и новые законы, общественные кампании и партизанская война за свободу сети, прорывные технологии и разработки, тенденции технологические и социальные, анонимность и защита персональных данных, децентрализация, шифрование — все то, что составляет интернет сегодня, и то, чем он станет завтра. Именно об этом и пойдет речь на CIF.
Где и когда?
🗓 22 сентября в 11.00,
📍 в Центре «Благосфера» (1-ый Боткинский проезд д. 7, стр. 1)
Кто выступит?
Блок «Tech»
— Сергей Матвеев, разработчик, основатель cypherpunks.ru, член FSF, FSFE и EFF — NNCP: помогает строить независимые от Интернета сети
— Филипп Кулин, руководитель хостинга "DiPHOST" — Безопасность DNS. Популярный обзор современной теории и практик
— Леонид Евдокимов, OONI, Tor Project — РКН-тян: болячки и побочки. Как отлаживать проблемы, вызваные существованием интернет-цензуры
— Станислав Полозов, руководитель отдела внедрения EmerDNS — DNS на блокчейне - EmerDNS
— Евгений Гусев, full stack разработчик и инженер Musicoin — Musicoin — революция в музыки с помощью блокчейна
— «4ёрт», участник CIF II, IV — Воркшоп «Альтернативные прошивки для "роутеров" (OpenWRT, pfSense)»
— Александр Грошев — Воркшоп «Повседневное использование Qubes OS»
Блок «Social»
— Саркис Дарбинян, Центр цифровых прав — Ключи от всея Руси. Битва за Телеграм
— Грегорий Энгельс, Пиратская Партия Германии — Блокировки в Европе: государственное регулирование, общественные кампании, позиция Европейского суда
— Ирина Левова — директор по стратегическим проектам Института исследований интернета — Безопасность VS Право на тайну связи: можно ли найти золотую середину?
— Артём Козлюк, РосКомСвобода — Госатака на информацию: последние тренды
— Александр Исавнин, Пиратская партия России, Общество защиты интернета — Как государство пытается регулировать Интернет и как общество борется с этим. Европейский опыт
— Михаил Климарёв, Общество защиты интернета — Проект «Интернет-Гулаг»
— Антон Ершов, председатель Пиратской партии России — Дискуссия «Анонимность: грань между фанатизмом и адекватностью»
— Дмитрий Галушко руководитель ОрдерКом, независимый эксперт, к.ю.н. — СОРМ и/или Предпринимательство?
— Грегорий Энгельс, Пиратская Партия Германии — Воркшоп «Инструменты электронной демкратии и практики их использования»
Обязательно приходите, ВХОД СВОБОДНЫЙ.
Сайт конференции:
https://cryptofest.ru
Уже очень скоро, 22 сентября, в Москве пройдет пятая международная конференция CryptoInstallFest.
Что это такое?
CIF (CryptoInstallFest) - практическая конференция, во время которой IT-специалисты, юристы, общественные деятели, предприниматели и участники обсуждают все самое важное и актуальное, что происходит сейчас в Рунете (и не только). Государственное регулирование интернета и новые законы, общественные кампании и партизанская война за свободу сети, прорывные технологии и разработки, тенденции технологические и социальные, анонимность и защита персональных данных, децентрализация, шифрование — все то, что составляет интернет сегодня, и то, чем он станет завтра. Именно об этом и пойдет речь на CIF.
Где и когда?
🗓 22 сентября в 11.00,
📍 в Центре «Благосфера» (1-ый Боткинский проезд д. 7, стр. 1)
Кто выступит?
Блок «Tech»
— Сергей Матвеев, разработчик, основатель cypherpunks.ru, член FSF, FSFE и EFF — NNCP: помогает строить независимые от Интернета сети
— Филипп Кулин, руководитель хостинга "DiPHOST" — Безопасность DNS. Популярный обзор современной теории и практик
— Леонид Евдокимов, OONI, Tor Project — РКН-тян: болячки и побочки. Как отлаживать проблемы, вызваные существованием интернет-цензуры
— Станислав Полозов, руководитель отдела внедрения EmerDNS — DNS на блокчейне - EmerDNS
— Евгений Гусев, full stack разработчик и инженер Musicoin — Musicoin — революция в музыки с помощью блокчейна
— «4ёрт», участник CIF II, IV — Воркшоп «Альтернативные прошивки для "роутеров" (OpenWRT, pfSense)»
— Александр Грошев — Воркшоп «Повседневное использование Qubes OS»
Блок «Social»
— Саркис Дарбинян, Центр цифровых прав — Ключи от всея Руси. Битва за Телеграм
— Грегорий Энгельс, Пиратская Партия Германии — Блокировки в Европе: государственное регулирование, общественные кампании, позиция Европейского суда
— Ирина Левова — директор по стратегическим проектам Института исследований интернета — Безопасность VS Право на тайну связи: можно ли найти золотую середину?
— Артём Козлюк, РосКомСвобода — Госатака на информацию: последние тренды
— Александр Исавнин, Пиратская партия России, Общество защиты интернета — Как государство пытается регулировать Интернет и как общество борется с этим. Европейский опыт
— Михаил Климарёв, Общество защиты интернета — Проект «Интернет-Гулаг»
— Антон Ершов, председатель Пиратской партии России — Дискуссия «Анонимность: грань между фанатизмом и адекватностью»
— Дмитрий Галушко руководитель ОрдерКом, независимый эксперт, к.ю.н. — СОРМ и/или Предпринимательство?
— Грегорий Энгельс, Пиратская Партия Германии — Воркшоп «Инструменты электронной демкратии и практики их использования»
Обязательно приходите, ВХОД СВОБОДНЫЙ.
Сайт конференции:
https://cryptofest.ru
CryptoInstallFest — Пятая международная конференция
CryptoInstallFest
Пятая международная конференция
По просьбам читателей, наши «Корги-Кодеры» теперь стоят почти в 2 раза дешевле!
Осталось совсем немножко, так что поспешите ☺️
Осталось совсем немножко, так что поспешите ☺️
Tesla дала добро на взлом ПО своих автомобилей
Компания Илона Маска изменила условия программы Bug Bounty, предусматривающей выплату вознаграждений за поиск уязвимостей. Теперь энтузиасты могут взламывать электрокары Tesla, не боясь отзыва гарантии. Более того, в соответствии с новой политикой компании, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов специалистов кибербезопасности.
Изменения в политике компании Telsa очень тепло встретили представители индустрии.
https://techcrunch.com/2018/09/06/teslas-new-bug-bounty-protects-hackers-and-your-warranty/
Компания Илона Маска изменила условия программы Bug Bounty, предусматривающей выплату вознаграждений за поиск уязвимостей. Теперь энтузиасты могут взламывать электрокары Tesla, не боясь отзыва гарантии. Более того, в соответствии с новой политикой компании, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов специалистов кибербезопасности.
Изменения в политике компании Telsa очень тепло встретили представители индустрии.
https://techcrunch.com/2018/09/06/teslas-new-bug-bounty-protects-hackers-and-your-warranty/
TechCrunch
Tesla’s new bug bounty protects hackers — and your warranty
Good news if you’re into hacking your car, you probably won’t void your warranty. The electric car giant confirmed the move in a tweet this week. Tesla’s product security policy now says that if, through “good-faith security research” you brick your car,…
⚡️ Компания Veeam хранила данные о своих клиентах в открытом доступе.
Известный производитель решений для резервного копирования данных хранил информацию о почти половине миллиона учетных записей клиентов компании (ФИО, адреса электронной почты, маркетинговые данные) в открытой для внешнего доступа базе данных MongoDB.
Обосрались так обосрались, ничего не скажешь.
https://techcrunch.com/2018/09/11/veeam-security-lapse-leaked-over-440-million-email-addresses/
Известный производитель решений для резервного копирования данных хранил информацию о почти половине миллиона учетных записей клиентов компании (ФИО, адреса электронной почты, маркетинговые данные) в открытой для внешнего доступа базе данных MongoDB.
Обосрались так обосрались, ничего не скажешь.
https://techcrunch.com/2018/09/11/veeam-security-lapse-leaked-over-440-million-email-addresses/
TechCrunch
Veeam server lapse leaks over 440 million email addresses
You know what isn’t a good look for a data management software company? A massive mismanagement of your own customer data.
Forwarded from Пиратская партия России
❕Друзья, мы приглашаем вас стать частью классной команды организаторов конференции CryptoInstallFest, что пройдет 22 сентября в Москве.
Лаборатория Касперского рекомендует своим корпоративным пользователям запускать свой прикладной софт от учетной записи с правами администратора домена. Мда уж.
https://twitter.com/vaylen_spb/status/1042701489565839360?s=21
https://twitter.com/vaylen_spb/status/1042701489565839360?s=21
Twitter
Baron Samedi
Никогда не доверяйте @Kaspersky_ru. Это вот их официальная рекомендация как "специалистов по безопасности". https://t.co/na7JdvmB3A
Cybersecurity & Co. 🇺🇦
Лаборатория Касперского рекомендует своим корпоративным пользователям запускать свой прикладной софт от учетной записи с правами администратора домена. Мда уж. https://twitter.com/vaylen_spb/status/1042701489565839360?s=21
Очень хорошо прокомментировал это Артём Проничкин: «Обычно это учетная запись с правами администратора домена, и в таком случае все задачи установки представляют удобный вектор атак для компрометации компьютеров, входящих в домен».
Источник: https://twitter.com/pronichkin/status/1042708238972723200
Источник: https://twitter.com/pronichkin/status/1042708238972723200
Cybersecurity & Co. 🇺🇦
Лаборатория Касперского рекомендует своим корпоративным пользователям запускать свой прикладной софт от учетной записи с правами администратора домена. Мда уж. https://twitter.com/vaylen_spb/status/1042701489565839360?s=21
Написал человек, представившийся рядовым сотрудником Лаборатории Касперского. Говорит, выдергиваю из контекста:
«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо <...> Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»
Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.
«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.
Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.
Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.
«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо <...> Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»
Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.
«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.
Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.
Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.
Cybersecurity & Co. 🇺🇦
Написал человек, представившийся рядовым сотрудником Лаборатории Касперского. Говорит, выдергиваю из контекста: «Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным. Если критикуете, то выскажите аргумент против…
Пресс-Служба Лаборатории Касперского дала также официальный комментарий по этому поводу:
«В исходном посте приведена выдержка из курса, созданного в 2008 году по продуктам Kaspersky Anti-Virus 6.0 для рабочих станций на Windows и Kaspersky Administratiron Kit 6.0. Версия 6.0 – это продукты десятилетней давности, которые мы начали снимать с поддержки ещё в 2011 году. Курс также был убран из доступа по мере прекращения поддержки продукта. Т.е. это устаревшие сценарии (а не рекомендации) в онлайн-курсах по уже неподдерживаемым продуктам, которые некорректно трактовать как текущие рекомендации «Лаборатории Касперского», и более того, приведённое описание не являлось инструкцией к действию - это вырванное из контекста описание возможных действий администратора в рамках учебного курса»
Страницу с инструкциями поспешили удалить с портала поддержки. Были ли иными рекомендации по безопасности домена в 2008 году? Конечно же нет, не были.
«В исходном посте приведена выдержка из курса, созданного в 2008 году по продуктам Kaspersky Anti-Virus 6.0 для рабочих станций на Windows и Kaspersky Administratiron Kit 6.0. Версия 6.0 – это продукты десятилетней давности, которые мы начали снимать с поддержки ещё в 2011 году. Курс также был убран из доступа по мере прекращения поддержки продукта. Т.е. это устаревшие сценарии (а не рекомендации) в онлайн-курсах по уже неподдерживаемым продуктам, которые некорректно трактовать как текущие рекомендации «Лаборатории Касперского», и более того, приведённое описание не являлось инструкцией к действию - это вырванное из контекста описание возможных действий администратора в рамках учебного курса»
Страницу с инструкциями поспешили удалить с портала поддержки. Были ли иными рекомендации по безопасности домена в 2008 году? Конечно же нет, не были.
Халатность авиакомпании "Аэрофлот" в защите данных.
Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений Аэрофлота. По его словам — авиакомпания никак не защищается от подобного, нет никакого шифрования или хотя бы даже аутентификации.
«...Получается годами весь исходный код всех внешних приложений авиакомпании "Аэрофлот" доступен публично и любой злоумышленник может их легко заполучить. Поэтому не удивительно, что данную корпорацию часто атакуют и что закономерно - удачно. Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки. Представляете масштаб проблемы, если этого не заметят программисты?...» — говорит владелец репозитория на Github.
https://github.com/aeroflotsrc/webapp
Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений Аэрофлота. По его словам — авиакомпания никак не защищается от подобного, нет никакого шифрования или хотя бы даже аутентификации.
«...Получается годами весь исходный код всех внешних приложений авиакомпании "Аэрофлот" доступен публично и любой злоумышленник может их легко заполучить. Поэтому не удивительно, что данную корпорацию часто атакуют и что закономерно - удачно. Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки. Представляете масштаб проблемы, если этого не заметят программисты?...» — говорит владелец репозитория на Github.
https://github.com/aeroflotsrc/webapp
Forwarded from Артём и его MacBook (Artem Tamoian)
CloudFlare делает очень большой шаг в борьбе за свободный интернет: они анонсировали SNI Encryption. Использование TLS 1.3 и SNI Encryption делает DPI (их используют для ограничения доступа к заблокированным сайтам) бесполезными.
Подробное объяснение тут: https://blog.cloudflare.com/esni/
Когда SNI Encryption и TLS 1.3 станут стандартом и будут широко поддерживаться, российская система блокировок перестанет работать. Останутся всего два варианта — блокировать по IP, как сейчас делают небольшие провайдеры, и навязывать клиентам использование провайдерского DNS.
Но ведь DNS всегда можно сменить 1.1.1.1 или 8.8.8.8 (блокировать протокол они вроде как не собираются, да и страшно представить, сколько всего поломается, если они попробуют). А менять IP-адереса сейчас не составляет никакого труда (Telegram всё ещё работает, да?), да и IPv6 потихоньку развивается.
Подробное объяснение тут: https://blog.cloudflare.com/esni/
Когда SNI Encryption и TLS 1.3 станут стандартом и будут широко поддерживаться, российская система блокировок перестанет работать. Останутся всего два варианта — блокировать по IP, как сейчас делают небольшие провайдеры, и навязывать клиентам использование провайдерского DNS.
Но ведь DNS всегда можно сменить 1.1.1.1 или 8.8.8.8 (блокировать протокол они вроде как не собираются, да и страшно представить, сколько всего поломается, если они попробуют). А менять IP-адереса сейчас не составляет никакого труда (Telegram всё ещё работает, да?), да и IPv6 потихоньку развивается.
The Cloudflare Blog
Encrypting SNI: Fixing One of the Core Internet Bugs
Cloudflare launched on September 27, 2010. Since then, we've considered September 27th our birthday. This Thursday we'll be turning 8 years old.
Ever since our first birthday, we've used the occasion to launch new products or services.
Ever since our first birthday, we've used the occasion to launch new products or services.
Как хакеры провели это лето. Вспомним, что произошло в сфере Сайберсекьюрити™ начиная с июня этого года.
📯 Из-за эпичной ошибки Facebook приватные публикации некоторых юзеров стали общественным достоянием – соцсеть случайно изменила настройки приватности без ведома пользователей.
💸 А вот держатели цифровых активов, торговавшие на китайской бирже Coinrail, попали куда больше. Злоумышленники атаковали площадку и увели токенов на общую сумму $40 млн.
🧠 Однако самый зашкварные новости приходили из России. Так, во время операции на мозге ребенка в медцентре Тюмени отключилось оборудование из-за атаки вируса Purgen.
🛫 “Порадовал” Аэрофлот. Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений авиакомпании. По его словам, у Аэрофлота нет никакого шифрования или хотя бы даже аутентификации, так что любой может легко получить исходный код.
🚗 Но был и хороший пример: Tesla, давшая добро на взлом ПО своих автомобилей, изменив условия программы Bug Bounty. Теперь энтузиасты могут взламывать электрокары, не боясь отзыва гарантии. Более того, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов. Похвально, не правда ли?
Как видим, предоставление ПО для “белых” взломов – признак крутого проекта. Именно такие соберутся на конференции HackIT 4.0 в Киеве для контролируемого взлома. Само мероприятие посвящено кибербезопасности в Blockchain и крипто. Четыре дня программы включают конференцию, марафон Bug Bounty, дискуссии с разработчиком Bitcoin Core и экс-главой направления безопасности Twitter, а также поездку на (owwwh shit!) Чернобыльскую АЭС.
Подробнее — на сайте конференции: https://hackit.ua/
📯 Из-за эпичной ошибки Facebook приватные публикации некоторых юзеров стали общественным достоянием – соцсеть случайно изменила настройки приватности без ведома пользователей.
💸 А вот держатели цифровых активов, торговавшие на китайской бирже Coinrail, попали куда больше. Злоумышленники атаковали площадку и увели токенов на общую сумму $40 млн.
🧠 Однако самый зашкварные новости приходили из России. Так, во время операции на мозге ребенка в медцентре Тюмени отключилось оборудование из-за атаки вируса Purgen.
🛫 “Порадовал” Аэрофлот. Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений авиакомпании. По его словам, у Аэрофлота нет никакого шифрования или хотя бы даже аутентификации, так что любой может легко получить исходный код.
🚗 Но был и хороший пример: Tesla, давшая добро на взлом ПО своих автомобилей, изменив условия программы Bug Bounty. Теперь энтузиасты могут взламывать электрокары, не боясь отзыва гарантии. Более того, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов. Похвально, не правда ли?
Как видим, предоставление ПО для “белых” взломов – признак крутого проекта. Именно такие соберутся на конференции HackIT 4.0 в Киеве для контролируемого взлома. Само мероприятие посвящено кибербезопасности в Blockchain и крипто. Четыре дня программы включают конференцию, марафон Bug Bounty, дискуссии с разработчиком Bitcoin Core и экс-главой направления безопасности Twitter, а также поездку на (owwwh shit!) Чернобыльскую АЭС.
Подробнее — на сайте конференции: https://hackit.ua/
hackit.ua
International IT Security, InfoSec & Cybersecurity Conferences
We're the international resource for Cybersecurity Professionals seeking Conferences. You can hire a hacker here.
В библиотеке LibSSH 0.6 обнаружена до смешного простая в эксплуатации уязвимость.
Злоумышленнику достаточно просто отправить отправить сообщение
Говоря простым языком, достаточно "сказать" атакуемому серверу "эй, привет, я аутентифицирован", как сервер отвечает "ну что ж, брат, я тебе верю, вот тебе доступ".
В новых версиях LibSSH 0.7.6 и выше, данная уязвимость была устранена.
https://www.zdnet.com/article/security-flaw-in-libssh-leaves-thousands-of-servers-at-risk-of-hijacking/
Злоумышленнику достаточно просто отправить отправить сообщение
SSH2_MSG_USERAUTH_SUCCESS на сервер по SSH в момент ожидания сообщения SSH2_MSG_USERAUTH_REQUEST. LibSSH никак не проверяет аутентичность запросов, и не проверяет, был ли на самом деле пройден процесс аутентификации, сразу предоставляя доступ к серверу без необходимости вводить какой-либо пароль. По данным IoT-поисковика Shodan, уязвимость может затрагивать более 6 тысяч доступных в сети серверов.Говоря простым языком, достаточно "сказать" атакуемому серверу "эй, привет, я аутентифицирован", как сервер отвечает "ну что ж, брат, я тебе верю, вот тебе доступ".
В новых версиях LibSSH 0.7.6 и выше, данная уязвимость была устранена.
https://www.zdnet.com/article/security-flaw-in-libssh-leaves-thousands-of-servers-at-risk-of-hijacking/
ZDNET
Security flaw in libssh leaves thousands of servers at risk of hijacking
Vulnerability not as bad as it gets, as most servers use the openssh library to support server-side SSH logins.
Опубликован скрипт для эксплуатации уязвимости в LibSSH 0.6
Сайберсекьюрити-энтузиаст Kshitij Khakurdikar опубликовал на Github PoC-скрипт для эксплуатации уязвимости, найденной ранее в этом месяц
https://github.com/kshitijkhakurdikar/pythonpentesting/tree/master/CVE-2018-10933
Сайберсекьюрити-энтузиаст Kshitij Khakurdikar опубликовал на Github PoC-скрипт для эксплуатации уязвимости, найденной ранее в этом месяц
https://github.com/kshitijkhakurdikar/pythonpentesting/tree/master/CVE-2018-10933
GitHub
pythonpentesting/CVE-2018-10933 at master · kshitijkhakurdikar/pythonpentesting
Contribute to kshitijkhakurdikar/pythonpentesting development by creating an account on GitHub.
На Хабре появился довольно интересный доклад Михаила Овчинникова с HighLoad++ о борьбе со спамом в соц. сетях.
Рекомендую к прочтению:
https://habr.com/company/oleg-bunin/blog/426843/
Рекомендую к прочтению:
https://habr.com/company/oleg-bunin/blog/426843/
⚡️В сети опубликовали список 420 тысяч сотрудников «Сбербанка» с контактными данными
Документ содержит более 420000 записей, в которых указаны Ф.И.О. сотрудников Сбербанка, адрес электронной почты, а также их логины для входа в операционную систему.
В пресс-службе банка заявили, что знают об утечке: это часть адресной книги, доступной всем сотрудникам Сбербанка. Угрозы для клиентов и сотрудников нет. О причинах инцидента не уточнялось.
https://www.bfm.ru/news/398309
Документ содержит более 420000 записей, в которых указаны Ф.И.О. сотрудников Сбербанка, адрес электронной почты, а также их логины для входа в операционную систему.
В пресс-службе банка заявили, что знают об утечке: это часть адресной книги, доступной всем сотрудникам Сбербанка. Угрозы для клиентов и сотрудников нет. О причинах инцидента не уточнялось.
https://www.bfm.ru/news/398309
BFM.ru
«Ъ»: база данных 420 тыс. сотрудников Сбербанка «утекла» в интернет
В сеть попали и три e-mail президента банка Германа Грефа
Если кто еще не слышал — IBM купила Red Hat. Сами сотрудники Red Hat уже поминают компанию, в которой работают, а в IBM всё еще надеятся отхватить кусочек облачного рынка.
https://bit.ly/2OZm0gW
https://bit.ly/2OZm0gW