⚡️ Компания Veeam хранила данные о своих клиентах в открытом доступе.

‌
Известный производитель решений для резервного копирования данных хранил информацию о почти половине миллиона учетных записей клиентов компании (ФИО, адреса электронной почты, маркетинговые данные) в открытой для внешнего доступа базе данных MongoDB.

Обосрались так обосрались, ничего не скажешь.

https://techcrunch.com/2018/09/11/veeam-security-lapse-leaked-over-440-million-email-addresses/

❕Друзья, мы приглашаем вас стать частью классной команды организаторов конференции CryptoInstallFest, что пройдет 22 сентября в Москве.

Лаборатория Касперского рекомендует своим корпоративным пользователям запускать свой прикладной софт от учетной записи с правами администратора домена. Мда уж.

https://twitter.com/vaylen_spb/status/1042701489565839360?s=21

Очень хорошо прокомментировал это Артём Проничкин: «Обычно это учетная запись с правами администратора домена, и в таком случае все задачи установки представляют удобный вектор атак для компрометации компьютеров, входящих в домен».

Источник: https://twitter.com/pronichkin/status/1042708238972723200

Написал человек, представившийся рядовым сотрудником Лаборатории Касперского. Говорит, выдергиваю из контекста:

«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо <...> Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»

Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.

«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.

Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.

Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.

Пресс-Служба Лаборатории Касперского дала также официальный комментарий по этому поводу:

«В исходном посте приведена выдержка из курса, созданного в 2008 году по продуктам Kaspersky Anti-Virus 6.0 для рабочих станций на Windows и Kaspersky Administratiron Kit 6.0. Версия 6.0 – это продукты десятилетней давности, которые мы начали снимать с поддержки ещё в 2011 году. Курс также был убран из доступа по мере прекращения поддержки продукта. Т.е. это устаревшие сценарии (а не рекомендации) в онлайн-курсах по уже неподдерживаемым продуктам, которые некорректно трактовать как текущие рекомендации «Лаборатории Касперского», и более того, приведённое описание не являлось инструкцией к действию - это вырванное из контекста описание возможных действий администратора в рамках учебного курса»

Страницу с инструкциями поспешили удалить с портала поддержки. Были ли иными рекомендации по безопасности домена в 2008 году? Конечно же нет, не были.

Халатность авиакомпании "Аэрофлот" в защите данных.

Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений Аэрофлота. По его словам — авиакомпания никак не защищается от подобного, нет никакого шифрования или хотя бы даже аутентификации.

«...Получается годами весь исходный код всех внешних приложений авиакомпании "Аэрофлот" доступен публично и любой злоумышленник может их легко заполучить. Поэтому не удивительно, что данную корпорацию часто атакуют и что закономерно - удачно. Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки. Представляете масштаб проблемы, если этого не заметят программисты?...» — говорит владелец репозитория на Github.

https://github.com/aeroflotsrc/webapp

CloudFlare делает очень большой шаг в борьбе за свободный интернет: они анонсировали SNI Encryption. Использование TLS 1.3 и SNI Encryption делает DPI (их используют для ограничения доступа к заблокированным сайтам) бесполезными.

Подробное объяснение тут: https://blog.cloudflare.com/esni/

Когда SNI Encryption и TLS 1.3 станут стандартом и будут широко поддерживаться, российская система блокировок перестанет работать. Останутся всего два варианта — блокировать по IP, как сейчас делают небольшие провайдеры, и навязывать клиентам использование провайдерского DNS.

Но ведь DNS всегда можно сменить 1.1.1.1 или 8.8.8.8 (блокировать протокол они вроде как не собираются, да и страшно представить, сколько всего поломается, если они попробуют). А менять IP-адереса сейчас не составляет никакого труда (Telegram всё ещё работает, да?), да и IPv6 потихоньку развивается.

Как хакеры провели это лето. Вспомним, что произошло в сфере Сайберсекьюрити™ начиная с июня этого года.

📯 Из-за эпичной ошибки Facebook приватные публикации некоторых юзеров стали общественным достоянием – соцсеть случайно изменила настройки приватности без ведома пользователей.

💸 А вот держатели цифровых активов, торговавшие на китайской бирже Coinrail, попали куда больше. Злоумышленники атаковали площадку и увели токенов на общую сумму $40 млн.

🧠 Однако самый зашкварные новости приходили из России. Так, во время операции на мозге ребенка в медцентре Тюмени отключилось оборудование из-за атаки вируса Purgen.

🛫 “Порадовал” Аэрофлот. Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений авиакомпании. По его словам, у Аэрофлота нет никакого шифрования или хотя бы даже аутентификации, так что любой может легко получить исходный код.

🚗 Но был и хороший пример: Tesla, давшая добро на взлом ПО своих автомобилей, изменив условия программы Bug Bounty. Теперь энтузиасты могут взламывать электрокары, не боясь отзыва гарантии. Более того, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов. Похвально, не правда ли?

Как видим, предоставление ПО для “белых” взломов – признак крутого проекта. Именно такие соберутся на конференции HackIT 4.0 в Киеве для контролируемого взлома. Само мероприятие посвящено кибербезопасности в Blockchain и крипто. Четыре дня программы включают конференцию, марафон Bug Bounty, дискуссии с разработчиком Bitcoin Core и экс-главой направления безопасности Twitter, а также поездку на (owwwh shit!) Чернобыльскую АЭС.

Подробнее — на сайте конференции: https://hackit.ua/

В библиотеке LibSSH 0.6 обнаружена до смешного простая в эксплуатации уязвимость.

Злоумышленнику достаточно просто отправить отправить сообщение SSH2_MSG_USERAUTH_SUCCESS на сервер по SSH в момент ожидания сообщения SSH2_MSG_USERAUTH_REQUEST. LibSSH никак не проверяет аутентичность запросов, и не проверяет, был ли на самом деле пройден процесс аутентификации, сразу предоставляя доступ к серверу без необходимости вводить какой-либо пароль. По данным IoT-поисковика Shodan, уязвимость может затрагивать более 6 тысяч доступных в сети серверов.

Говоря простым языком, достаточно "сказать" атакуемому серверу "эй, привет, я аутентифицирован", как сервер отвечает "ну что ж, брат, я тебе верю, вот тебе доступ".
В новых версиях LibSSH 0.7.6 и выше, данная уязвимость была устранена.

https://www.zdnet.com/article/security-flaw-in-libssh-leaves-thousands-of-servers-at-risk-of-hijacking/

Опубликован скрипт для эксплуатации уязвимости в LibSSH 0.6

Сайберсекьюрити-энтузиаст Kshitij Khakurdikar опубликовал на Github PoC-скрипт для эксплуатации уязвимости, найденной ранее в этом месяц

https://github.com/kshitijkhakurdikar/pythonpentesting/tree/master/CVE-2018-10933

На Хабре появился довольно интересный доклад Михаила Овчинникова с HighLoad++ о борьбе со спамом в соц. сетях.

Рекомендую к прочтению:
https://habr.com/company/oleg-bunin/blog/426843/

⚡️В сети опубликовали список 420 тысяч сотрудников «Сбербанка» с контактными данными

Документ содержит более 420000 записей, в которых указаны Ф.И.О. сотрудников Сбербанка, адрес электронной почты, а также их логины для входа в операционную систему.

В пресс-службе банка заявили, что знают об утечке: это часть адресной книги, доступной всем сотрудникам Сбербанка. Угрозы для клиентов и сотрудников нет. О причинах инцидента не уточнялось.

https://www.bfm.ru/news/398309

Если кто еще не слышал — IBM купила Red Hat. Сами сотрудники Red Hat уже поминают компанию, в которой работают, а в IBM всё еще надеятся отхватить кусочек облачного рынка.

https://bit.ly/2OZm0gW

ℹ️ Об уязвимостях в Telegram

Очередной канал верещит про "СЕРЬЕЗНЫЕ УЯЗВИМОСТИ TELEGRAM" и публикует "ШОКИРУЮЩИЕ СЕНСАЦИИ". Последнее время с этим дерьмом, чего-то зачастили. Поэтому сейчас я коротко попробую объяснить, что с этими каналами/людьми/постами/уязвимостями не так.

В публикации по ссылке ниже утверждается, что клиент Telegram хранит переписку на вашем компьютере в незашифрованном виде. Приведён твит какого-то школьника по имени Nathaniel Suchy, который поковырялся в файлах Telegram, и вытащил оттуда свои сообщения. Таким образом, он продемонстрировал, что имея доступ к клиентской машине, он может получить доступ к сообщениям владельца устройства в Telegram.

Объясняю:

Назвать это уязвимостью нельзя. Сейчас бы при имеющемся доступе к клиенсткой машине что-то назывывать уязвимостью. Поверьте, если к вашему компьютеру кто-то получит доступ — получение сообщений из Telegram будет вашей наименьшей проблемой. Это дилетанство. Telegram гарантирует безопасность сообщений в процессе их передачи. Что на конечных узлах происходит — это уже не его забота. При доступе к вашему устройству, даже если бы локальное хранилище переписки было бы зашифровано, злоумышленник мог бы:

— установить ПО для перехвата нажатий клавиатуры и отследить ввод пароля для расшифровки;
— установить ПО для записи экран и получить в итоге скринкаст с процессом вашего общения в Telegram;
— и многое другое.

Уязвимостью в Telegram можно будет назвать только то, что позволит перехватывать сообщения без доступа к клиентским устройствам. Всё остальное — буллщит, публикации ради хайпа и дешевых заголовков в духе "ККООКОКОКООКОКОКОКОКОКОКО УЯЗВИМОСТЬ В ТЕЛЕГРАМЕ КОКОКООКОКОКОКОООКООКОКОКО".

Не ведитесь на желтизну.

https://t.me/retranslyator/3756

Лента.ру и прочие бестолковые СМИ, работники которых незаслуженно называют себя журналистами, подхватили эту истерику. Печально, что многие издания даже не утруждают себя элементарным фактчекингом.

О, мне тут из канала «Ретранслятор» ответили.
Тот самый где эту утку запостили. Кря. 🦆

Ребята пишут: «Желтизны у нас не было и никогда не будет. Конкретно сегодняшняя новость про уязвимость в телеграме: Эксперт, занимающийся кибербезопасностью обнаружил».

Внезапно оказалось, что эксперт не эксперт, а уязвимость не уязвимость.

>Во-вторых, по логике Александра шифровать данные вообще не имеет смысла, ведь есть же вирусы, которые могут управлять комьютером удаленно. За эту идею благодарить Александра должны тысячи IT-компаний, которые зачем-то тратят миллаирды долларов каждый год на шифрование данных ( видимо они просто не знали про вирусы). Теперь сэкономят кучу денег!

UNEXPECTEDLY, шифровать можно весь диск средствами системы, а не одну БД в одном приложении! И как бы от вредоносного ПО, которое уже было установлено на вашу машину это вас никак не спасает.

https://t.me/retranslyator/3768

ℹ️ Как работают сторонние почтовые клиенты в мобильных ОС.

Mail.ru, безусловно, подментованная и провластная контора, в которой, я лично, не нахожу ничего хорошего. Но доступы к почтовым серверам IMAP/POP3 легко объясняются. Так делают и другие почтовые клиенты, например, Spark. Зачем?

Всё просто.
Мобильные приложения нуждаются в доставке Push-уведомлений о новой почте. К сожалению, iOS, например, как и некоторые другие мобильные ОС, которые уже кормят червей, не позволяет выполнять выгрузку с IMAP/POP3 серверов в фоне в неофициальном стороннем почтовом клиенте, поэтому многие вендоры пользуются такой хитростью — наличие новых сообщений проверяется сервером производителя приложения, и при нахождении оных, производится рассылка Push-уведомлений.

Поэтому подходя к выбору почтового клиента с подобным функционалом, всегда нужно здраво оценивать риск и понимать, что вы отдаете пароль от своей почты, де-факто, третьим лицам.

https://t.me/MicrosoftRus/661

💡 В Nginx исправлены некоторые серьезные уязвимости

Команда Nginx выпустила новые версии для Stable и Preview веток популярного одноименного веб-сервера. Обновления коснулись вопросов безопасности: исправлены некоторые уязвимости, эксплуатация которых может привести к отказу в обслуживании (Denial of Service) из-за черезмерного потребления оперативной памяти и ресурсов процессора (CVE-2018-16843, CVE-2018-16844). Проблемы касались исключительно дистрибутивов Nginx версий 1.9.5 - 1.15.5, собранных с модулем http_v2.

Об этом сообщил Максим Дунин, один из разработчиков Nginx:
http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html

🤔 Чем я занимаюсь?

Как вы могли заметить, дорогие читатели, в последнее время у меня не так много постов в моём канале. Причина тому — мой проект, над которым мы трудимся всей командой нашей небольшой эстонской компании @VeeSecurity (да, именно мы когда-то предоставляли доступ нашему прокси для Telegram — сейчас прокси-сервисы утеряли свою популярность, поэтому мы сосредоточились на чём-то новом). Именно этому проекту я и уделяю всё свободное (и не только) время.

Мы разрабатываем Connecto VPN — наш проект быстрого, дешевого и, главное, безопасного VPN-сервиса. За последние несколько месяцев мы сделали многое: с командой мы спроектировали и воплотили собственную IT-инфраструктуру с упором на безопасность, поддержку всех популярных и не очень протоколов, от OpenVPN и IKEv2/IPsec до OpenConnect'а. Иногда идея обезопасить всё у нас доходила до фанатизма: мы проектировали свою собственную сеть и ПО с недоверием к каждому из наших собственных серверов, подразумевая, что даже если какой-то из них будет скомпрометирован — пользователи не пострадают. В общем, вкладываем всю любовь и душу в этот проект — относимся к нему, как к общему ребёнку нашей команды.

В этом месяце мы сделали несколько обновлений: добавили новую локацию в США, разработали приложения для iPhone и macOS (они уже на пути к вам), создали с нуля свою собственную тикет-систему поддержки пользователей и перевели наш сайт на русский язык.

Я буду рад, если вы оцените то, что мы делаем. Более того, ваша конструктивная критика и предложения крайне приветствуются — присылайте их напрямую мне, на ceo@veesecurity.com.

Попробуйте:
https://goo.gl/gGAm91