На хабре новая полезная статья! Затронута тема ограниченного делегирования kerberos. На просторах интернета существует множество статей как злоупотреблять этим типом делегирования, но на хабре нет статей про обход ограничений. А конкретно о настройке делегирования с Protocol Transition и олицетворяемом пользователе в группе Protected Users. Приятного чтения 😊
❤8🤡2🔥1
#news На днях публиковал письмо с претензиями от IB-езопасников на хакерский форум. Казалось бы, есть ли методы борьбы с утечками оригинальней? Есть. Сайты LockBit в Торе на выходных прилегли от DDoS-атаки. Группировка утверждает, что это дело рук взломанной ими компании Entrust. Послание в запросах на сайты как бы намекает.
Кто на самом деле дудосил злоумышленников, мы вряд ли узнаем. Могли быть и конкуренты по рансомварь-бизнесу. Но если за этим и правда стояла инфобез-компания, это нечто совсем новенькое. И в таком случае им полагается приз за слабоумие и отвагу — группировка в отместку решила залить все украденные данные на торренты.
@tomhunter
Кто на самом деле дудосил злоумышленников, мы вряд ли узнаем. Могли быть и конкуренты по рансомварь-бизнесу. Но если за этим и правда стояла инфобез-компания, это нечто совсем новенькое. И в таком случае им полагается приз за слабоумие и отвагу — группировка в отместку решила залить все украденные данные на торренты.
@tomhunter
😁14
#news Пока раскручивается маховик судебного дела против больниц в штатах, сливавших Meta данные клиентов через трекер, творятся странные дела.
Сеть клиник Novant Health заявила, что вся подноготная на 1,3 миллиона пациентов утекла в Meta и рекламщикам из-за «неправильно настроенного трекера». Два года Meta Pixel у них шпионил, после шокирующего осознания в мае его сразу отключили, Meta слезливо удалить данные просили, а теперь расследование завершили и ответственно о нём рассказывают.
Такая вот неубедительная попытка соскочить и не попасть под суд вместе с коллегами по бизнесу. Товарищ Новант ничего не знал, в больницу пробрались мета-враги.
@tomhunter
Сеть клиник Novant Health заявила, что вся подноготная на 1,3 миллиона пациентов утекла в Meta и рекламщикам из-за «неправильно настроенного трекера». Два года Meta Pixel у них шпионил, после шокирующего осознания в мае его сразу отключили, Meta слезливо удалить данные просили, а теперь расследование завершили и ответственно о нём рассказывают.
Такая вот неубедительная попытка соскочить и не попасть под суд вместе с коллегами по бизнесу. Товарищ Новант ничего не знал, в больницу пробрались мета-враги.
@tomhunter
😁10🤯2🤡1
#news Новый метод Мордекая Гури по краже данных с изолированных от сети систем под названием ETHERLED. Теперь в качестве источника выступают LED-индикаторы на оборудовании от сетевых карт до принтеров. Неугомонному спецу удалось использовать их для передачи сигнала Азбукой Морзе.
Малварь либо подменяет прошивку сетевой платы, либо напрямую атакует её драйвер. Дальше начинается LED-магия, которую злоумышленнику достаточно записать на камеру и дешифровать. Причём это может быть и дрон за окном, и взломанная уличная камера. В считанные секунды индикатор может намигать пароль, крипто-фразу или RSA-ключ. За полторы минуты двухцветный LED-предатель передаст килобит текста. Такая вот шпионская романтика в эпоху любви, смерти и роботов.
@tomhunter
Малварь либо подменяет прошивку сетевой платы, либо напрямую атакует её драйвер. Дальше начинается LED-магия, которую злоумышленнику достаточно записать на камеру и дешифровать. Причём это может быть и дрон за окном, и взломанная уличная камера. В считанные секунды индикатор может намигать пароль, крипто-фразу или RSA-ключ. За полторы минуты двухцветный LED-предатель передаст килобит текста. Такая вот шпионская романтика в эпоху любви, смерти и роботов.
@tomhunter
🔥18🤯4😁2❤1
#news Минцифры планирует запустить реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ). Реестр будет открытым. В него могут попасть взлом официальной страницы или рассылка ложных данных от имени организации.
@tomhunter
@tomhunter
😁13💩4🎉2🔥1😢1
#news В открытом доступе оказалась информация пользователей OneTwoTrip. Что говорит компания? Мы нечаянно порт открыли, а там всё равно только данные по активности части юзеров за короткий срок. Что показывает исследователь? У OneTwoTrip был незапароленный Elasticsearch-сервер с 21 миллиардом записей. Судя по всему, вся их инфраструктура, включая клиентскую базу.
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
😁14🤬5🤡4❤1🤯1🎉1💩1
#news Злоумышленники, стоящие за крупномасштабной фишинговой кампанией , нацеленной на корпоративных пользователей почтовых сервисов Microsoft, также нацелились на пользователей Google Workspace. Сообщается, что фишинговые атаки AiTM начались в середине июля 2022 года по тому же принципу, что и кампания социальной инженерии, направленная на перехват учетных данных пользователей Microsoft и даже на обход многофакторной аутентификации.
@tomhunter
@tomhunter
❤7
В новой статье на хабре поговорим о простых приемах предупреждения и расследования утечек информации. Вероятно, защита конфиденциальной информации предполагает использование DLP-систем, но это не решает все проблемы. Всегда будут сотрудники, стоящие выше системы безопасности, да и снимок с экрана никто не отменял. Акцент, как всегда, я сделаю на общедоступном и бесплатном программном обеспечении.
❤7
#news Бывший глава безопасности Твиттера опубликовал критику внутренней кухни медиа-гиганта. Крайне занятное чтиво. По его словам, в половине систем платформы (250 тысяч серверов) нет шифрования из-за устаревшего и непатченного софта. Компания врала на аудитах, игнорирует запросы юзеров на удаление их данных из-за техограничений, не может посчитать фейки и ботов по той же причине. Пентест отсутствует как таковой, в системах проходной двор, а среди работников затесалась агентура чужих стран. Автор также утверждает, что топ-менеджеры скрывали его отчёты от совета директоров.
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
🔥17😁6🤔2
#news По PyPi-репозиторию прошлась первая фишинговая атака. Юзеры получили письма с запросом пройти валидацию, иначе их пакеты будут удалены. Часть на это клюнула, перешла на подставной сайт на Google Sites, и в скомпрометированные пакеты угнанных аккаунтов запихали неизвестную малварь. В репозитории также обнаружили несколько сотен тайпсквот-версий с той же начинкой.
Атака произошла на фоне новых мер безопасности, вроде обязательной двухфакторки, которые репозитории вводят после крупных инцидентов с угоном библиотек, как было весной с ctx. Это объясняет убедительность фишинговых писем — владельцы пакетов, что-то слышавшие про закручивание гаек, вполне могли купиться.
@tomhunter
Атака произошла на фоне новых мер безопасности, вроде обязательной двухфакторки, которые репозитории вводят после крупных инцидентов с угоном библиотек, как было весной с ctx. Это объясняет убедительность фишинговых писем — владельцы пакетов, что-то слышавшие про закручивание гаек, вполне могли купиться.
@tomhunter
🔥7😁3
#news Неизвестные злоумышленники проникли в системы LastPass со скомпрометированного аккаунта разработчика и стянули их исходники и техдокументацию. Последние пару недель компания в авральном порядке разбиралась с утечкой, не спеша выходить на связь с пронюхавшими о ней журналистами.
Вчера LastPass подтвердила взлом и заявила, что данные пользователей и хранилища с паролями никак не затронуты. Подробности атаки не раскрывают. Но сообщений о скомпрометированных мастер-паролях пока действительно не было. Так что 33 миллиона юзеров и 100 тысяч бизнесов, по заявлениям компании пользующихся их менеджером паролей, могут выдыхать.
@tomhunter
Вчера LastPass подтвердила взлом и заявила, что данные пользователей и хранилища с паролями никак не затронуты. Подробности атаки не раскрывают. Но сообщений о скомпрометированных мастер-паролях пока действительно не было. Так что 33 миллиона юзеров и 100 тысяч бизнесов, по заявлениям компании пользующихся их менеджером паролей, могут выдыхать.
@tomhunter
🔥10🤔1
#news На Def Con анонсировали кабель O. MG Elite, внешне похожий на обычный Lightning или USB-C, который может взломать устройства на разных ОС. Он может регистрировать нажатия клавиш, выполнять атаки и даже незаметно передавать данные с устройств по собственной Wi-Fi сети.
@tomhunter
@tomhunter
🎉10🤔4🔥3
#news В открытом доступе обнаружилась база пользователей онлайн-кинотеатра Start. Из ключевого ФИО, почты, айпишники и хешированные пароли почти на 44 миллиона пользователей из нескольких стран. Дамп не старше года, вероятно, из MongoDB. Видимо, очередной нечаянно открытый порт и незапароленный сервер.
Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.
@tomhunter
Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.
@tomhunter
🔥10😁5
#news Занятная новинка из мира скама на ниве play-to-earn криптоигр. Злоумышленники скопировали сайт проекта Alchemic World с их ресурсами и продвигали под видом собственного. Купившиеся на предложение протестировать игру за эфир получали по коду с сайта малварь для кражи криптокошельков, Racoon Stealer или пару аналогов.
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
🔥10😁4
#news Шутки про ни дня без утечек ещё не скрипят на зубах? В открытом доступе найдены базы данных пользователей CDEK.Shopping и «СДЭК.Маркет». По сравнению с их предыдущими сливами всё довольно скромно: суммарно 120 тысяч строк с ФИО, логинами, почтами, телефонами и хешированными паролями. Базы свежие: в первой обновления до середины августа, во второй — до марта.
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
🔥9😁5🤔1
#news Сетевая инфраструктура Черногории понемногу сыпется под кибератаками. Бьют по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендует своим гражданам ограничить поездки и ожидать проблем на границе и в аэропортах.
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
🤔13🤡9🔥2❤1🤬1
#news Нет, ну вы только вчитайтесь... Федеральная торговая комиссия США (FTC) объявила сегодня, что она подала иск против базирующегося в Айдахо брокера данных о местоположении Kochava за продажу конфиденциальных и точных данных геолокации (в метрах), собранных с сотен миллионов мобильных устройств.
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
🔥11😁1
#news Думаете, что тема ограничилась одной Kochava? Фигушки... Неизвестные хакеры взломали системы коммуникационных сервисов компании Twilio. Результаты своего взлома были моментально использованы для атак на пользователей мессенджера Signal. Взломав системы Twilio, хакеры могли читать текстовые сообщения жертв. Это потенциально дало хакерам возможность завладеть любыми учетными записями жертв, которые были привязаны к их номеру телефона в сервисах, использующих Twilio.
Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...
@tomhunter
Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...
@tomhunter
❤9😁7🤯3
#news Вместе с несколькими популярными настольными приложениями вроде Google/Yandex-переводчика и MP3-загрузчика распространяют криптомайнер. И что занятно, он скачивается только через месяц, чтобы не быть замеченным.
На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.
@tomhunter
На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.
@tomhunter
😁11🔥3
Август 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
❤8
#news У Брайана Кребса вышел обзорный пост по следам фишинговой кампании 0ktapus, так же известной в узких кругах наших читателей как «Good day sir, please login». За летние месяцы целью кампании стали несколько сотен организаций и сервисов, и многие их работники слили свои личные данные в «продвинутой» фишинговой атаке. Состоявшей из смски с мимикрирующей под компанию ссылкой.
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
🔥9❤3