Forwarded from Article reader|Статей читалка
Telegraph
Фейсбук и его Ахиллесова пята
Вот хороший материал о том, как устроена цензура в Фейсбуке. Вот его русский пересказ. Ежемесячно там выпиливается 288 тысяч постов по мотивам политической цензуры, очень похожей на правила взбесившегося принтера. Авторы постов банятся на сутки, неделю, месяц.…
Forwarded from Типичный программист
Большая подборка полезных инструментов и ресурсов для iOS-разработки: https://goo.gl/bvEc5N
Много полезностей для решения повседневных задач и организации своей деятельности.
Много полезностей для решения повседневных задач и организации своей деятельности.
Forwarded from Информация опасносте
2. между тем, российский Фонд развития интернет-инициатив (ФРИИ) считает, что зарубежные корпорации, которые занимаются сбором больших данных о пользователях из России, должны раскрывать информацию российским компаниям. это очень интересно сразу во многих плоскостях: начиная от свободного рынка и конкуренции, и заканчивая опасностью для пользовательских данных, попадающих в Россию (базы граждан, продающиеся на дисках, мы все видели, я думаю). Представляю себе, какой хохот раздастся в Google, Facebook или, допустим, John Deere (вы удивитесь, сколько данных о сельскохозяйственных работах собирает производитель тракторов, комбайнов и тд), когда к ним поступит запрос немедленно поделиться большими данными с российскими компаниями или фондами. http://incrussia.ru/news/frii-zarubezhnye-kompanii-dolzhny-delitsya-bolshimi-dannymi-o-rossiyanah/
incrussia.ru
ФРИИ: зарубежные компании должны делиться большими данными о россиянах
Зарубежные корпорации, которые занимаются сбором больших данных о пользователях из России, должны раскрывать информацию российским компаниям, а также владельцам устройств, о которых собирается информация. Такое предложение принял Фонд развития интернет-инициатив…
Forwarded from Информация опасносте
Я уже как-то писал в апреле о баге на WiFi-чипе Broadcom (который используется в iPhone и смартфонах с Android), который позволял запускать код на чипе без ведома пользователей. тогда еще Apple выпускала срочный апдейт для iOS (да и для Android тоже был патч) https://t.me/alexmakus/1073
Так вот, в чипах Broadcom серии BCM43xx (используются в Nexus, смартфонах Samsung, LG, HTC) снова нашли уязвимость (CVE-2017-9417), также позволяющую исполнять код на чипе. Причем для этого не надо даже подключаться к WiFi-сети, достаточно оказаться в радиусе действия такой сети, которая умеет эксплуатировать такую уязвимость. Ну а дальше код может украсть какие-то данные с телефона, например. Для Android проблема исправлена в апдейте, который Google выпустила 5 июля (как минимум, для Nexus/Pixel-устройств), а что там с iOS — из новостей не очень понятно. Вроде как говорят, что iOS тоже может пострадать, но никаких деталей нет (да и срочных апдейтов для iOS пока не было). https://www.bleepingcomputer.com/news/security/broadpwn-bug-affects-millions-of-android-and-ios-devices/
Так вот, в чипах Broadcom серии BCM43xx (используются в Nexus, смартфонах Samsung, LG, HTC) снова нашли уязвимость (CVE-2017-9417), также позволяющую исполнять код на чипе. Причем для этого не надо даже подключаться к WiFi-сети, достаточно оказаться в радиусе действия такой сети, которая умеет эксплуатировать такую уязвимость. Ну а дальше код может украсть какие-то данные с телефона, например. Для Android проблема исправлена в апдейте, который Google выпустила 5 июля (как минимум, для Nexus/Pixel-устройств), а что там с iOS — из новостей не очень понятно. Вроде как говорят, что iOS тоже может пострадать, но никаких деталей нет (да и срочных апдейтов для iOS пока не было). https://www.bleepingcomputer.com/news/security/broadpwn-bug-affects-millions-of-android-and-ios-devices/
Telegram
Информация опасносте
И снова здравствуйте! Я как-то прохлопал тот факт, что в начале недели вышло обновление iOS 10.3.1. А теперь стала появляться информация о том, почему так срочно Apple понадобилось выпускать этот апдейт. На самом деле в iOS он исправляет уязвимость (внимание!)…
Forwarded from Информация опасносте
3. Впрочем, чтобы добыть какие-то данные, необязательно заставлять компании ими делиться. Некоторые умудряются сами выложить их в публичный доступ, как это произошло с данными зрителей World Wrestling Entertainment — просто обнаружили открытые Amazon S3 Bucket, в которых лежали в том числе текстовый файл с данными на 3 миллиона зрителей WWE, включая имена, адреса электронной почты и физический адрес, плюс информация об образовании, детях и тд. Можно сколько угодно стараться сохранять свою личную информацию, но как только вы где-то регистрируетесь, это автоматически подвергает вашу информацию риску утечки, к сожалению. Так, что там говорили о землянке в тайге, и чтобы никакого интернета? https://mackeepersecurity.com/post/world-wrestling-entertainment-leaks-3-million-emails
Mackeepersecurity
World Wrestling Entertainment Leaks 3 Million Emails
Forwarded from Информация опасносте
биткойны — это хорошо, говорили они. Биткойны — это безопасно, говорили они... все транзакции прослеживаются, блаблабла. AlphaBay Market, рынок, где можно было в "темном интернете" купить за биткойны оружие, наркотики и прочее незаконное барахло, внезапно закрылся, а биткойн-аккаунты, используемые для оплаты там, оказались опустошенными. Сумма — примерно 1,5 тыс биткойнов, что составляет около 3,8млн долл. До этого внезапно закрылся рынок Outlaw, а в 2015 году — Evolution, вместе с деньгами пользователей. как говорится, никогда такого не было и вот опять! https://thenextweb.com/insider/2017/07/05/dark-web-drug-market-bitcoin-heist/
The Next Web
Dark web drug marketplace goes offline, sparks fears of multi-million Bitcoin heist [Update]
Numerous users on Reddit and Twitter are speculating that AlphaBay Market – often dubbed as the new Silk Road – has executed an elaborate exit scheme.
Forwarded from Информация опасносте
Продолжая тему Petya/NotPetya. Тут вышло исследование того, как же на самом деле происходило заражение с серверов MeDoc, и это просто MUST READ любому, кто интересуется темой информационной безопасности. если вкратце, то в отчете говорится, что заражение в MeDoc началось как минимум в апреле, так как уже апдейт 01.175-10.01.176, выпущенный 14 апреля, содержал в себе зараженную вредоносным ПО DiskCoder.C библиотеку. интересно, что в статье утверждается, что внедрить так backdoor без доступа к исходному коду продукта крайне сложно. Интересно, что внедренный зловред умеет сообщать злоумышленникам идентификационный код предприятий (то, что известно в Украине как ЄДРПОУ), где установлено зараженное ПО. кроме этого, бэкдор собирал информацию о настройках прокси и почтовой службы, включая логины-пароли, поэтому кто не поменял пароли, сам виноват.
Кстати, чтобы проверить, не побывал ли бэкдор на компьютере, надо посмотреть в реестре Windows на ключ HKEY_CURRENT_USER\SOFTWARE\WC и значения Cred и Prx. Если они присутствуют, то у меня для вас плохие новости.
Короче, много всего интересного по ссылке https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Кстати, чтобы проверить, не побывал ли бэкдор на компьютере, надо посмотреть в реестре Windows на ключ HKEY_CURRENT_USER\SOFTWARE\WC и значения Cred и Prx. Если они присутствуют, то у меня для вас плохие новости.
Короче, много всего интересного по ссылке https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
WeLiveSecurity
Analysis of TeleBots’ cunning backdoor
Analysis of TeleBots’ cunning backdoor: This article reveals details about the initial infection vector that was used during the DiskCoder.C outbreak.
Forwarded from Информация опасносте
Хорошие новости для пользователей Linux. если вам было скучно, глядя на все эти истории с вирусами для Windows, и вы чувствовали, что самое веселье проходит мимо вас — не расстраивайтесь! Если верить отчету WatchGuard, сейчас наблюдается активный рост количества атак вредоносным ПО под Linux. Говорят, малварь даже самому собирать не надо! https://media.scmagazine.com/documents/306/wg-threat-reportq1-2017_76417.pdf
Forwarded from Информация опасносте
и еще немного о вирусной атаке. один из лучших отчетов о Petya/NotPetya/ExPetya/Nyetya https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/
Статья у Microsoft с деталями https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
И отчет у Касперского, из которого можно узнать, что у вируса просто НЕТ возможности расшифровать зашифрованные файлы. Выкуп платить еще более бессмысленно (после того, как заблокировали имейл-адрес вымогателей) https://blog.kaspersky.com/new-ransomware-epidemics/17314/
Статья у Microsoft с деталями https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
И отчет у Касперского, из которого можно узнать, что у вируса просто НЕТ возможности расшифровать зашифрованные файлы. Выкуп платить еще более бессмысленно (после того, как заблокировали имейл-адрес вымогателей) https://blog.kaspersky.com/new-ransomware-epidemics/17314/
www.theregister.co.uk
Everything you need to know about the Petya, er, NotPetya nasty trashing PCs worldwide
This isn't ransomware – it's merry chaos
Forwarded from Информация опасносте
а Wikileaks все не успокаивается и продолжает публиковать утекшие из ЦРУ инструменты. Теперь опубликовали документацию о проекте под названием ELSA. Это софтинка, которая устанавливается на компьютеры с Windows (используя какую-нибудь уязвимость, позволяющую поставить софт удаленно, например), и сообщает о местоположении пользователя. Фишка в том, что тулза сканирует доступные вокруг WiFi-сети, и, используя информацию о геолокациях, вычисляет, исходя из данных о WiFi-сетях, местоположение пользователя. Данные сохраняются на компьютере, а затем, по необходимости, оператор ЦРУ сливает данные с компьютера, используя другие известные уязвимости и бэкдоры. https://wikileaks.org/vault7/document/Elsa_User_Manual/
интересный ежеквартальный отчет McAffee о ситуации с вредоносным ПО в интернете. из него можно узнать, например, про наличие для мобильных платформ 16млн разных вредоносных программ, или про то, что количество зарегистрированных случаев заражения вредоносными программи под Мак выросло до 700 тыс (правда, это в основном adware — то есть какие-то софтины, показывающие рекламу в браузере, а не, например, ворующие данные или шифрующие файлы, как Wcry) https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf
Так, котаны, здравствуйте. Сегодня по миру помчалась очередная эпидения вируса-шифровальщика, теперь его называют Petya.A. Говорят, пока что пострадали компании и госорганизации в России и Украине, и якобы не имеет отношения к Wcry. Пока что непонятно, какую именно уязвимость он использует, и каким апдейтом от него защищаться, но он поражает компьютеры с Windows и требует выкупа за расшифровку файлов. Информацию о выкупе просит присылать на wowsmith123456@posteo.net. Говорят, для предотвращения распространения нужно закрывать TCP-порты 1024–1035, 135 и 445. По мере поступления дополнительной информации редакция канала ею обязательно поделится
тут, кстати, читатель Владимир прислал ссылку на информацию про Petya.A — оказалось, что это не новая фигня и вроде как ловится с помощью Windows Defender. Возможно, то, что сегодня — какой-то новый подвид этого вируса https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Microsoft
Ransom:Win32/Petya.A
Microsoft Malware Protection Center. Search the malware encyclopedia.
Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
Похоже, что новый подвид Petya.A, разгуливающий сегодня — это комбинация CVE-2017-0199 (на которую я давал ссылку выше) и MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, она же — ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers). Универсальный совет — АПДЕЙТ, АПДЕЙТ, АПДЕЙТ!
Пояснение "человеческим" языком к предыдущему сообщению: в локальную сеть Petya.A попадает, используя уязвимость в офисных приложениях — как обычно, имейл-клик на документе, и аля-улю. а дальше по сети распространяется, используя уязвимость в SMB1, которую Microsoft исправила в мартовском апдейте. Кто не поставил после эпидемии Wcry мартовский апдейт — сам дурак (ну, или админ у них дурак)
а вот еще подборка полезных ссылок по этому поводу, которую прислал читатель Игорь:
В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.
P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya
Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.
P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya
Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Talosintelligence
MBRFilter - Can't Touch This!
A blog from the world class Intelligence Group, Talos, Cisco's Intelligence Group
Последние новости: пишут, что вроде как Petya.A все же не использует уязвимость CVE-2017-0199, а путаница связана с тем, что атак одновременно две: одна в Украине, другая в мире. эксперты разбираются. А из Касперского вообще пишут, что это вроде и не Petya.A, поэтому новый вирус они назвали NotPetya
В любом случае, тут ещё одна лажа: почтовый провайдер, где находился ящик вымогателя, по которому надо было связываться для получения ключей дешифровки, заблокировал доступ к этому ящику. Теперь пострадавшие от вируса не могут даже толком и попробовать выкупить доступ к своим файлам
интересный совет по поводу Petya.A/NotPetya — если создать файл C:\Windows\perfc, то вирус не будет заражать компьютер. какая странная фигня.