Код в мешке
249 subscribers
9.1K photos
1.6K videos
2.11K files
42.7K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
Forwarded from Типичный программист
Большая подборка полезных инструментов и ресурсов для iOS-разработки: https://goo.gl/bvEc5N

Много полезностей для решения повседневных задач и организации своей деятельности.
2. между тем, российский Фонд развития интернет-инициатив (ФРИИ) считает, что зарубежные корпорации, которые занимаются сбором больших данных о пользователях из России, должны раскрывать информацию российским компаниям. это очень интересно сразу во многих плоскостях: начиная от свободного рынка и конкуренции, и заканчивая опасностью для пользовательских данных, попадающих в Россию (базы граждан, продающиеся на дисках, мы все видели, я думаю). Представляю себе, какой хохот раздастся в Google, Facebook или, допустим, John Deere (вы удивитесь, сколько данных о сельскохозяйственных работах собирает производитель тракторов, комбайнов и тд), когда к ним поступит запрос немедленно поделиться большими данными с российскими компаниями или фондами. http://incrussia.ru/news/frii-zarubezhnye-kompanii-dolzhny-delitsya-bolshimi-dannymi-o-rossiyanah/
Я уже как-то писал в апреле о баге на WiFi-чипе Broadcom (который используется в iPhone и смартфонах с Android), который позволял запускать код на чипе без ведома пользователей. тогда еще Apple выпускала срочный апдейт для iOS (да и для Android тоже был патч) https://t.me/alexmakus/1073
Так вот, в чипах Broadcom серии BCM43xx (используются в Nexus, смартфонах Samsung, LG, HTC) снова нашли уязвимость (CVE-2017-9417), также позволяющую исполнять код на чипе. Причем для этого не надо даже подключаться к WiFi-сети, достаточно оказаться в радиусе действия такой сети, которая умеет эксплуатировать такую уязвимость. Ну а дальше код может украсть какие-то данные с телефона, например. Для Android проблема исправлена в апдейте, который Google выпустила 5 июля (как минимум, для Nexus/Pixel-устройств), а что там с iOS — из новостей не очень понятно. Вроде как говорят, что iOS тоже может пострадать, но никаких деталей нет (да и срочных апдейтов для iOS пока не было). https://www.bleepingcomputer.com/news/security/broadpwn-bug-affects-millions-of-android-and-ios-devices/
3. Впрочем, чтобы добыть какие-то данные, необязательно заставлять компании ими делиться. Некоторые умудряются сами выложить их в публичный доступ, как это произошло с данными зрителей World Wrestling Entertainment — просто обнаружили открытые Amazon S3 Bucket, в которых лежали в том числе текстовый файл с данными на 3 миллиона зрителей WWE, включая имена, адреса электронной почты и физический адрес, плюс информация об образовании, детях и тд. Можно сколько угодно стараться сохранять свою личную информацию, но как только вы где-то регистрируетесь, это автоматически подвергает вашу информацию риску утечки, к сожалению. Так, что там говорили о землянке в тайге, и чтобы никакого интернета? https://mackeepersecurity.com/post/world-wrestling-entertainment-leaks-3-million-emails
биткойны — это хорошо, говорили они. Биткойны — это безопасно, говорили они... все транзакции прослеживаются, блаблабла. AlphaBay Market, рынок, где можно было в "темном интернете" купить за биткойны оружие, наркотики и прочее незаконное барахло, внезапно закрылся, а биткойн-аккаунты, используемые для оплаты там, оказались опустошенными. Сумма — примерно 1,5 тыс биткойнов, что составляет около 3,8млн долл. До этого внезапно закрылся рынок Outlaw, а в 2015 году — Evolution, вместе с деньгами пользователей. как говорится, никогда такого не было и вот опять! https://thenextweb.com/insider/2017/07/05/dark-web-drug-market-bitcoin-heist/
Продолжая тему Petya/NotPetya. Тут вышло исследование того, как же на самом деле происходило заражение с серверов MeDoc, и это просто MUST READ любому, кто интересуется темой информационной безопасности. если вкратце, то в отчете говорится, что заражение в MeDoc началось как минимум в апреле, так как уже апдейт 01.175-10.01.176, выпущенный 14 апреля, содержал в себе зараженную вредоносным ПО DiskCoder.C библиотеку. интересно, что в статье утверждается, что внедрить так backdoor без доступа к исходному коду продукта крайне сложно. Интересно, что внедренный зловред умеет сообщать злоумышленникам идентификационный код предприятий (то, что известно в Украине как ЄДРПОУ), где установлено зараженное ПО. кроме этого, бэкдор собирал информацию о настройках прокси и почтовой службы, включая логины-пароли, поэтому кто не поменял пароли, сам виноват.

Кстати, чтобы проверить, не побывал ли бэкдор на компьютере, надо посмотреть в реестре Windows на ключ HKEY_CURRENT_USER\SOFTWARE\WC и значения Cred и Prx. Если они присутствуют, то у меня для вас плохие новости.

Короче, много всего интересного по ссылке https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Хорошие новости для пользователей Linux. если вам было скучно, глядя на все эти истории с вирусами для Windows, и вы чувствовали, что самое веселье проходит мимо вас — не расстраивайтесь! Если верить отчету WatchGuard, сейчас наблюдается активный рост количества атак вредоносным ПО под Linux. Говорят, малварь даже самому собирать не надо! https://media.scmagazine.com/documents/306/wg-threat-reportq1-2017_76417.pdf
и еще немного о вирусной атаке. один из лучших отчетов о Petya/NotPetya/ExPetya/Nyetya https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/

Статья у Microsoft с деталями https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

И отчет у Касперского, из которого можно узнать, что у вируса просто НЕТ возможности расшифровать зашифрованные файлы. Выкуп платить еще более бессмысленно (после того, как заблокировали имейл-адрес вымогателей) https://blog.kaspersky.com/new-ransomware-epidemics/17314/
 а Wikileaks все не успокаивается и продолжает публиковать утекшие из ЦРУ инструменты. Теперь опубликовали документацию о проекте под названием ELSA. Это софтинка, которая устанавливается на компьютеры с Windows (используя какую-нибудь уязвимость, позволяющую поставить софт удаленно, например), и сообщает о местоположении пользователя. Фишка в том, что тулза сканирует доступные вокруг WiFi-сети, и, используя информацию о геолокациях, вычисляет, исходя из данных о WiFi-сетях, местоположение пользователя. Данные сохраняются на компьютере, а затем, по необходимости, оператор ЦРУ сливает данные с компьютера, используя другие известные уязвимости и бэкдоры. https://wikileaks.org/vault7/document/Elsa_User_Manual/
интересный ежеквартальный отчет McAffee о ситуации с вредоносным ПО в интернете. из него можно узнать, например, про наличие для мобильных платформ 16млн разных вредоносных программ, или про то, что количество зарегистрированных случаев заражения вредоносными программи под Мак выросло до 700 тыс (правда, это в основном adware — то есть какие-то софтины, показывающие рекламу в браузере, а не, например, ворующие данные или шифрующие файлы, как Wcry) https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf
Так, котаны, здравствуйте. Сегодня по миру помчалась очередная эпидения вируса-шифровальщика, теперь его называют Petya.A. Говорят, пока что пострадали компании и госорганизации в России и Украине, и якобы не имеет отношения к Wcry. Пока что непонятно, какую именно уязвимость он использует, и каким апдейтом от него защищаться, но он поражает компьютеры с Windows и требует выкупа за расшифровку файлов. Информацию о выкупе просит присылать на wowsmith123456@posteo.net. Говорят, для предотвращения распространения нужно закрывать TCP-порты 1024–1035, 135 и 445. По мере поступления дополнительной информации редакция канала ею обязательно поделится
тут, кстати, читатель Владимир прислал ссылку на информацию про Petya.A — оказалось, что это не новая фигня и вроде как ловится с помощью Windows Defender. Возможно, то, что сегодня — какой-то новый подвид этого вируса https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
Похоже, что новый подвид Petya.A, разгуливающий сегодня — это комбинация CVE-2017-0199 (на которую я давал ссылку выше) и MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, она же — ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers). Универсальный совет — АПДЕЙТ, АПДЕЙТ, АПДЕЙТ!
Пояснение "человеческим" языком к предыдущему сообщению: в локальную сеть Petya.A попадает, используя уязвимость в офисных приложениях — как обычно, имейл-клик на документе, и аля-улю. а дальше по сети распространяется, используя уязвимость в SMB1, которую Microsoft исправила в мартовском апдейте. Кто не поставил после эпидемии Wcry мартовский апдейт — сам дурак (ну, или админ у них дурак)
а вот еще подборка полезных ссылок по этому поводу, которую прислал читатель Игорь:

В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:

http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241

Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!

Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.

P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya

Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Последние новости: пишут, что вроде как Petya.A все же не использует уязвимость CVE-2017-0199, а путаница связана с тем, что атак одновременно две: одна в Украине, другая в мире. эксперты разбираются. А из Касперского вообще пишут, что это вроде и не Petya.A, поэтому новый вирус они назвали NotPetya
В любом случае, тут ещё одна лажа: почтовый провайдер, где находился ящик вымогателя, по которому надо было связываться для получения ключей дешифровки, заблокировал доступ к этому ящику. Теперь пострадавшие от вируса не могут даже толком и попробовать выкупить доступ к своим файлам
интересный совет по поводу Petya.A/NotPetya — если создать файл C:\Windows\perfc, то вирус не будет заражать компьютер. какая странная фигня.