#news Пользователи Твиттера годами запрашивали сквозное шифрование для сообщений на сайте. Фича чуть было не случилась в 2018-м, но в итоге увидела свет только сейчас. Однако, как водится, есть нюанс. Она только для платных подписчиков. Прямо как двухфакторка по смс.
Помимо того, что бесплатные пользователи обойдутся незашифрованным общением, у фичи есть и другие ограничения. Никакого шифрования для групповых чатов, только текст и ссылки (без медиа-файлов), новые устройства в открытые беседы не добавить и лимит в 10 устройств на пользователя. Ну и для шифрования диалога оба участника должна быть премиальными юзерами с соответствующей галочкой на хохолке. Что ж, Илону Маску следует отдать должное за последовательность. И можно делать ставки, какая фича станет платной следующей. Скажем, хешированные пароли только у твиттерных премиум-бояр, а у остальных они будут храниться простым текстом! За безопасность-то надо платить.
@tomhunter
Помимо того, что бесплатные пользователи обойдутся незашифрованным общением, у фичи есть и другие ограничения. Никакого шифрования для групповых чатов, только текст и ссылки (без медиа-файлов), новые устройства в открытые беседы не добавить и лимит в 10 устройств на пользователя. Ну и для шифрования диалога оба участника должна быть премиальными юзерами с соответствующей галочкой на хохолке. Что ж, Илону Маску следует отдать должное за последовательность. И можно делать ставки, какая фича станет платной следующей. Скажем, хешированные пароли только у твиттерных премиум-бояр, а у остальных они будут храниться простым текстом! За безопасность-то надо платить.
@tomhunter
😁7💩3
#news Немного о странных находках в прошивке. Новость пятничная, так что вместо бэкдоров от Интел и прочей малвари в эфире Kingston. С текстом песни Coldplay – The Scientist от 2002-го года в их прошивке для SSD-контроллера. Её обнаружил один исследователь при изучении кода, изрядно удивился и поспешил поделиться находкой с журналистами.
Выпущенная в январе 2020-го прошивка серии SKC2000 стоит на SSD-дисках фирмы, например, в линейке KC2000. Найденное удивило даже матёрого безопасника, разбиравшего файл для исследовательской работы. Как он говорит, видел в прошивке многое, но вот текст поп-рок песни, зашитый в контроллер жёсткого, встретил впервые. Как он там оказался, тоже неясно: сэмпл данных для тестирования или просто пасхальное яйцо от разработчиков? В Kingston находку пока не комментируют. Песню с контроллера же можно оценить по ссылке.
@tomhunter
Выпущенная в январе 2020-го прошивка серии SKC2000 стоит на SSD-дисках фирмы, например, в линейке KC2000. Найденное удивило даже матёрого безопасника, разбиравшего файл для исследовательской работы. Как он говорит, видел в прошивке многое, но вот текст поп-рок песни, зашитый в контроллер жёсткого, встретил впервые. Как он там оказался, тоже неясно: сэмпл данных для тестирования или просто пасхальное яйцо от разработчиков? В Kingston находку пока не комментируют. Песню с контроллера же можно оценить по ссылке.
@tomhunter
🔥7😁5🤔3❤2
#news Toyota сообщила об утечке данных из своего облака, из-за которой была доступна информация о локации их машин. На 2,150,000 автовладельцев. Из-за криво настроенной базы данных, доступ к которой мог получить любой желающий без пароля. На протяжение 10 лет с ноября 2013-го по апрель 2023-го года.
Утечка затронула владельцев авто, которые пользовались сервисами T-Connect G-Link, G-Link Lite и G-BOOK. В открытом доступе был ID GPS-навигатора, номер шасси и данные по местонахождению авто с привязкой по времени. Во втором заявлении Toyota также сообщила, что мог быть доступ к видео с авто в течение семи лет. Информации о том, что эти данные были кем-либо использованы, нет. И злоумышленнику нужно было бы знать номер шасси авто для его отслеживания – то есть иметь физический доступ к машине. Тем не менее, Toyota обещает принести персональные извинения всем затронутым автовладельцам. Два с лишним миллиона извинений на подходе.
@tomhunter
Утечка затронула владельцев авто, которые пользовались сервисами T-Connect G-Link, G-Link Lite и G-BOOK. В открытом доступе был ID GPS-навигатора, номер шасси и данные по местонахождению авто с привязкой по времени. Во втором заявлении Toyota также сообщила, что мог быть доступ к видео с авто в течение семи лет. Информации о том, что эти данные были кем-либо использованы, нет. И злоумышленнику нужно было бы знать номер шасси авто для его отслеживания – то есть иметь физический доступ к машине. Тем не менее, Toyota обещает принести персональные извинения всем затронутым автовладельцам. Два с лишним миллиона извинений на подходе.
@tomhunter
🤡11🔥4🤯4❤2😁1😢1🎉1
#news Бывшего сотрудника Ubiquiti осудили за кражу данных и попытку вымогательства у нанимателя. Напомню, в январе 2021-го компания объявила о взломе. Сначала некий анонимный хакер запросил $2 миллиона в битках. А когда Ubiquiti отказалась платить, в СМИ пошли новости от инсайдера, что компания скрывает катастрофические масштабы взлома. Из-за этого её акции просели почти на четверть, на более чем $4 миллиарда.
На деле же за взломом, шантажом и инсайдерской липой стоял сеньор-разработчик Николас Шарп. Он стянул данные, используя свою админку, логи во время атаки поправил, свои устройства потёр. Но во время скачивания репозиториев из-за сбоившего интернета у несостоявшегося вымогателя отвалился VPN и слил его домашний айпишник. На суде же он заявил, что его атака была «несанкционированной проверкой безопасности». В итоге товарищ отделался шестью годами заключения. Плюс три года ограничения свободы и $1,5 миллиона штрафа. Ну и что-то подсказывает, в инфобезе он больше работать не будет.
@tomhunter
На деле же за взломом, шантажом и инсайдерской липой стоял сеньор-разработчик Николас Шарп. Он стянул данные, используя свою админку, логи во время атаки поправил, свои устройства потёр. Но во время скачивания репозиториев из-за сбоившего интернета у несостоявшегося вымогателя отвалился VPN и слил его домашний айпишник. На суде же он заявил, что его атака была «несанкционированной проверкой безопасности». В итоге товарищ отделался шестью годами заключения. Плюс три года ограничения свободы и $1,5 миллиона штрафа. Ну и что-то подсказывает, в инфобезе он больше работать не будет.
@tomhunter
😁12🔥1🤯1
#news К инструменту Code Insight по сканированию вредоноса на основе языковой модели вышло масштабное обновление. Добавлена поддержка для скриптов форматов BAT, CMD, SH, AHK и PY. Кроме того, в два раза увеличен лимит размера файлов под сканирование и улучшены результаты анализа с акцентом на поведении кода.
Фичу, напомню, запустили меньше месяца назад, и изначально она работала только по небольшим PowerShell-файлам. Так что прогресс внушительный. В ближайших планах у разработчиков дальнейшие расширение поддерживаемых форматов и лимитов по размеру, анализ бинарников и исполняемых файлов, добавление контекстуальной информации помимо анализа самого кода. Так что скоро языковые модели будут не только писать малварь для скрипт-кидди, но и анализировать своё творчество на предмет вредоносного поведения. Аутосорсинг, который мы заслужили.
@tomhunter
Фичу, напомню, запустили меньше месяца назад, и изначально она работала только по небольшим PowerShell-файлам. Так что прогресс внушительный. В ближайших планах у разработчиков дальнейшие расширение поддерживаемых форматов и лимитов по размеру, анализ бинарников и исполняемых файлов, добавление контекстуальной информации помимо анализа самого кода. Так что скоро языковые модели будут не только писать малварь для скрипт-кидди, но и анализировать своё творчество на предмет вредоносного поведения. Аутосорсинг, который мы заслужили.
@tomhunter
🔥6❤2😁1
#news В Штатах возбудили уголовное дело на нашего соотечественника, Михаила Павловича Матвеева, также известного как Wazawaka и BorisElcin. Его обвиняют в участии в трёх рансомварь-группировках, Hive, LockBit и Babuk. Названный ключевой фигурой в развитии российской рансомвари, Матвеев также попал под санкции за участие в атаках на организации и критическую инфраструктуру в США.
Между тем товарищ Wazawaka, известный брокер начального доступа, и не скрывает свою киберпреступную деятельность, раздаёт интервью, делится эксплойтами онлайн и утверждает, что никто его в России не тронет, пока он следует золотому правилу киберпреступника «Не гадь там, где живёшь». Матвеев также расширил его до «Отдыхай на родине и не выезжай за границу». Ну а пока за его поимку назначены уже знаковые в этой сфере «до 10 миллионов долларов», и можно делать ставки, не бросит ли его однажды родина, как то было, например, с REvil. Подробнее о Матвееве читайте в прошлогоднем отчёте от Кребса.
@tomhunter
Между тем товарищ Wazawaka, известный брокер начального доступа, и не скрывает свою киберпреступную деятельность, раздаёт интервью, делится эксплойтами онлайн и утверждает, что никто его в России не тронет, пока он следует золотому правилу киберпреступника «Не гадь там, где живёшь». Матвеев также расширил его до «Отдыхай на родине и не выезжай за границу». Ну а пока за его поимку назначены уже знаковые в этой сфере «до 10 миллионов долларов», и можно делать ставки, не бросит ли его однажды родина, как то было, например, с REvil. Подробнее о Матвееве читайте в прошлогоднем отчёте от Кребса.
@tomhunter
🔥9🤯3
#news Запущенные Гуглом новые домены верхнего уровня разожгли горячие дискуссии в инфобез-сообществе. А всё потому что среди них оказались .zip и .mov. Как считают некоторые специалисты, это создаёт ненужные риски и простор для фишинговых атак. На .zip-домене регистрируют образовательные страницы на тему того, почему .zip-домена не должно быть. Запрашивают удаление новых доменов из Public Suffix List Мозиллы, демонстрируют фишинговые страницы под видом ссылок на легитимные файлы с Гитхаба... В общем, страсти кипят.
Между тем пока часть безопасников посмеивается над «раздутой .zip-угрозой», злоумышленники тоже не дремлют. Например, уже обнаружились фишинговые страницы для кражи данных доступа Microsoft по чудесному адресу microsoft-office[.]zip. И гиперссылки, оканчивающиеся на .zip, которые теперь расползутся по сети, явно не поспособствуют безопасности среднего юзера. Так что ирония может быть преждевременной.
@tomhunter
Между тем пока часть безопасников посмеивается над «раздутой .zip-угрозой», злоумышленники тоже не дремлют. Например, уже обнаружились фишинговые страницы для кражи данных доступа Microsoft по чудесному адресу microsoft-office[.]zip. И гиперссылки, оканчивающиеся на .zip, которые теперь расползутся по сети, явно не поспособствуют безопасности среднего юзера. Так что ирония может быть преждевременной.
@tomhunter
❤5🔥2🤔2🤯1💯1
#news К чудным новинкам рансомвари. В сетевых дебрях замечены MalasLocker, шифрующие сервера Zimbra и крадущие с них почту. Примечательны они не только редким в таких случаях инструментом для шифрования Age. Вместо выкупа злоумышленники якобы просят у жертв… пожертвовать деньги в благотворительный фонд по их выбору.
На сайте с утечками группировки выложен пространный манифест, полный ресентимента про классовую борьбу с корпорациями, неравенством и ужасами колониализма в Африке, Латинской Америке и Палестине. И с восхитительными заходами про то, что рансомварь не должна быть инструментом исключительно финансово мотивированных российских группировок. В общем, фабрики рабочим, энкрипторы угнетённым. Пока скучные рансомварщики из России застряли в диком капитализме, где-то на другом конце света товарищи из MalasLocker живут в тёплом ламповом мире Shadowrun. Где энкриптор – это инструмент освободительной цифровой борьбы. Такой вот сентиментальный рансомварь-хактивизм.
@tomhunter
На сайте с утечками группировки выложен пространный манифест, полный ресентимента про классовую борьбу с корпорациями, неравенством и ужасами колониализма в Африке, Латинской Америке и Палестине. И с восхитительными заходами про то, что рансомварь не должна быть инструментом исключительно финансово мотивированных российских группировок. В общем, фабрики рабочим, энкрипторы угнетённым. Пока скучные рансомварщики из России застряли в диком капитализме, где-то на другом конце света товарищи из MalasLocker живут в тёплом ламповом мире Shadowrun. Где энкриптор – это инструмент освободительной цифровой борьбы. Такой вот сентиментальный рансомварь-хактивизм.
@tomhunter
❤10😁5🔥1
#news Блокчейн-компания LayerZero Labs запустила рекордную BB-программу на платформе Immunefi. Белошляпочников с проверками концепции к критическим уязвимостям в блокчейнах и смарт-контрактах ждут выплаты до 15 миллионов долларов. Сумма делает программу крупнейшей в истории.
В категорию критических попали эксплойты под безвозвратную блокировку, утрату или кражу пользовательских средств, а также флешинг. Максимальные выплаты идут в первой группе за уязвимости в платформах Ethereum, BNB Chain, Avalanche, Polygon, Arbitrum, Optimism, и Fantom. Во вторую попадают все прочие блокчейны, поддерживаемые LayerZero. Выплаты, что характерно, можно получить в стейблкойнах. Кроме того, перед их получением нужно будет пройти проверку Министерства Финансов США на предмет присутствия в санкционных списках. Что-то мне подсказывает, большие специалисты по блокчейнам из КНДР этому пункту будут очень не рады.
@tomhunter
В категорию критических попали эксплойты под безвозвратную блокировку, утрату или кражу пользовательских средств, а также флешинг. Максимальные выплаты идут в первой группе за уязвимости в платформах Ethereum, BNB Chain, Avalanche, Polygon, Arbitrum, Optimism, и Fantom. Во вторую попадают все прочие блокчейны, поддерживаемые LayerZero. Выплаты, что характерно, можно получить в стейблкойнах. Кроме того, перед их получением нужно будет пройти проверку Министерства Финансов США на предмет присутствия в санкционных списках. Что-то мне подсказывает, большие специалисты по блокчейнам из КНДР этому пункту будут очень не рады.
@tomhunter
😁5🔥3🤯1
#news Cisco сообщила о четырёх критических уязвимостях в своих свитчах. Несложный эксплойт позволяет злоумышленникам исполнять произвольный код с рут-правами на скомпрометированных устройствах. И дальше полный набор: все четыре уязвимости на 9.8 баллов, эксплойтятся по отдельности, участия юзера не требуют, и к ним в сети уже есть проверки концепции.
Уязвимости связаны с неверной валидацией запросов, отправляемых в веб-интерфейсы свитчей. Что, собственно, позволяет злоумышленникам отправить вредоносный запрос для атаки. В свитчах серии 250, 350, 350X и 550X, включая бизнес-модели, уязвимости исправлены в свежих версиях прошивки. А вот устаревшие модели серий 200, 300 и 500, увы, останутся без патчей, так как у них уже закончилась поддержка. Так что этих старичков уж точно пора отключать от сети. Подробнее об уязвимостях в отчёте Cisco.
@tomhunter
Уязвимости связаны с неверной валидацией запросов, отправляемых в веб-интерфейсы свитчей. Что, собственно, позволяет злоумышленникам отправить вредоносный запрос для атаки. В свитчах серии 250, 350, 350X и 550X, включая бизнес-модели, уязвимости исправлены в свежих версиях прошивки. А вот устаревшие модели серий 200, 300 и 500, увы, останутся без патчей, так как у них уже закончилась поддержка. Так что этих старичков уж точно пора отключать от сети. Подробнее об уязвимостях в отчёте Cisco.
@tomhunter
🔥6😢3😁2
#news Пятничная новость об очередном малолетнем боге хакинга. В США предъявлены обвинения ответственному за взлом сайта для ставок DraftKings в ноябре 2022-го. Им оказался 18-летний паренёк Джозеф Гаррисон из Висконсина. На его устройствах нашли софт для атак на подстановку учётных данных, 700 конфигов под них и файлы с 40 миллионами учёток.
После взлома аккаунтов на DraftKings юное дарование с соучастниками продавали их под вывод средств. Всего были украдены около $600 тысяч c 1,600 аккаунтов. Тем же методом были взломаны аналогичная платформа FanDuel и сайт сети фастфуд-ресторанов Chick-Fil-A. Аккаунты шли с молотка через магазин Гаррисона, а в его телефоне нашли скриншот без даты с упоминанием более 200 тысяч транзакций на сумму больше $2 миллионов. Плюс переписку с подельниками о взломе DraftKings. Ну и традиционное для его лет «Взломы – это весело и увлекательно, полиция меня не поймает, я неуязвим». В общем, очередной скрипт-кидди столкнулся с суровой реальностью. Увы и ах.
@tomhunter
После взлома аккаунтов на DraftKings юное дарование с соучастниками продавали их под вывод средств. Всего были украдены около $600 тысяч c 1,600 аккаунтов. Тем же методом были взломаны аналогичная платформа FanDuel и сайт сети фастфуд-ресторанов Chick-Fil-A. Аккаунты шли с молотка через магазин Гаррисона, а в его телефоне нашли скриншот без даты с упоминанием более 200 тысяч транзакций на сумму больше $2 миллионов. Плюс переписку с подельниками о взломе DraftKings. Ну и традиционное для его лет «Взломы – это весело и увлекательно, полиция меня не поймает, я неуязвим». В общем, очередной скрипт-кидди столкнулся с суровой реальностью. Увы и ах.
@tomhunter
😁14🔥5
#news Принтеры от HP начали уходить в BSOD по всему миру. Затронуты полдюжины моделей серии HP OfficeJet 902x. А виной тому кривая прошивка от HP, обновление которой выпустили ранее в этом месяце. Причём накатывается она автоматически на подключённых к интернету принтерах.
Получившие забагованное обновление устройства выдают синий экран, на этом их дальнейшая работоспособность ограничивается. Форум HP уже пару недель завален тредами с десятками страниц жалоб, а вот решения у фирмы всё ещё нет. Между тем поддержка HP сообщает некоторым юзерам, что принтеры придётся отправлять к ним на обслуживание, либо они вышлют замену. Ну а пока единственной рекомендацией остаётся отключить принтер от интернета, чтобы криворукий производитель ненароком не превратил его в кирпич. В общем, HP, как обычно, держит марку.
@tomhunter
Получившие забагованное обновление устройства выдают синий экран, на этом их дальнейшая работоспособность ограничивается. Форум HP уже пару недель завален тредами с десятками страниц жалоб, а вот решения у фирмы всё ещё нет. Между тем поддержка HP сообщает некоторым юзерам, что принтеры придётся отправлять к ним на обслуживание, либо они вышлют замену. Ну а пока единственной рекомендацией остаётся отключить принтер от интернета, чтобы криворукий производитель ненароком не превратил его в кирпич. В общем, HP, как обычно, держит марку.
@tomhunter
😁8🤯4🔥2
#news Скучали по сливам данных юзеров из России? В открытом доступе всплыли данные пользователей сети лабораторий «Ситилаб». ФИО, логины, почты, хешированные пароли, телефоны. Примерно по полмиллиона уникальных ящиков и телефонов. А также сканы анализов, паспортов, договоров и чеков – в сэмле 1,000 pdf-ок с ними.
Между тем это якобы лишь 1.7ТБ от 14ТБ внутренних данных, стянутых злоумышленниками после взлома. База свежая, актуальна на 18 мая, и почтовые ящики бьются по форме восстановления на сайте «Ситилаб». Компания же пока не спешит давать комментарии касаемо произошедшего. Но опасаться им особо нечего: если вы думали, что за год в плане ответственности за сливы что-то изменилось, то нет. Так, пару недель назад VK выписали минимальный штраф в 60 тысяч рублей за утечку данных 3,5 миллионов пользователей почты Mail[.]ru. А за небольшой слив, не дотягивающий и до миллиона, можно на первый раз просто пальчиком погрозить.
@tomhunter
Между тем это якобы лишь 1.7ТБ от 14ТБ внутренних данных, стянутых злоумышленниками после взлома. База свежая, актуальна на 18 мая, и почтовые ящики бьются по форме восстановления на сайте «Ситилаб». Компания же пока не спешит давать комментарии касаемо произошедшего. Но опасаться им особо нечего: если вы думали, что за год в плане ответственности за сливы что-то изменилось, то нет. Так, пару недель назад VK выписали минимальный штраф в 60 тысяч рублей за утечку данных 3,5 миллионов пользователей почты Mail[.]ru. А за небольшой слив, не дотягивающий и до миллиона, можно на первый раз просто пальчиком погрозить.
@tomhunter
🤬9😁6❤2🔥2
На нашем Хабре новая статья. В ней мы рассмотрим как создать свой сервис для исследования криптовалют. Что-нибудь слышали про «Прозрачный блокчейн»? По данным СМИ, сумма, потраченная на создание этого российского программного продукта, составляет около 2 миллиардов рублей. Довольно много, не находите? Давайте в рамках небольшого эксперимента попробуем воспроизвести этот функционал и даже расширить его подручными средствами… За подробностями добро пожаловать на Хабр!
@tomhunter
@tomhunter
❤11🔥5
#news Телефоны на Андроид оказались уязвимы к брутфорс-атакам. И нет, они не на подбор PIN-кода – исследователи брутфорснули устройства через отпечатки пальцев. Для этого оказалось достаточно базы отпечатков и оборудования за 15 баксов. При этом на iOS защита оказалась прочнее, но все протестированные Android и HarmonyOS устройства перед брутфорсом сдались.
На изученных моделях удалось обойти защиту на ограничение числа попыток разблокирования и проверку на реальный палец. Так, на телефонах с одним зарегистрированным отпечатком уходит от 3 до 14 часов на взлом. Если же в базе устройства их несколько, время сокращается до 3 часов и вплоть до лишь 40 минут. Брутфорс по базе отпечатков, само собой, не подразумевает полного совпадения – достаточно продавить коэффициент ложного пропуска. Так что если уязвимость не закроют, у телефонных воров и товарища майора рискует появиться удобное подспорье. Подробнее об атаке в исследовании.
@tomhunter
На изученных моделях удалось обойти защиту на ограничение числа попыток разблокирования и проверку на реальный палец. Так, на телефонах с одним зарегистрированным отпечатком уходит от 3 до 14 часов на взлом. Если же в базе устройства их несколько, время сокращается до 3 часов и вплоть до лишь 40 минут. Брутфорс по базе отпечатков, само собой, не подразумевает полного совпадения – достаточно продавить коэффициент ложного пропуска. Так что если уязвимость не закроют, у телефонных воров и товарища майора рискует появиться удобное подспорье. Подробнее об атаке в исследовании.
@tomhunter
🔥8🤯3
#news В Великобритании признали виновным очередного безопасника, пытавшегося шантажировать работодателя от лица киберпреступников. В феврале 2018-го Эшли Лайлз работал в компании в Оксфорде, которая пострадала от рансомварь-атаки. Будучи частью команды, разбиравшейся с инцидентом, наш герой решил подзаработать. И подменил криптоадрес, предоставленный злоумышленниками, своим.
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
😁16❤3🔥3
#news GitLab рекомендует срочно патчить обнаруженную критическую уязвимость. Всего ничего по CVSS – 10 баллов из 10. Она затрагивает GitLab Community Edition и Enterprise Edition версии 16.0.0.
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
😁7❤1🔥1
#news Rheinmetall подтвердила рансомварь-атаку по своим системам. Она произошла 14 апреля и затронула, как утверждает компания, только гражданский сектор её бизнеса. Военный же, задействованный в известных событиях, якобы не пострадал ввиду строгого разделения IT-инфраструктуры в компании.
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
🔥8❤5😁2🤔1
#news В эфире снова спайварь Pegasus, отличившаяся новым же пробитым дном. Вышел большой отчёт по заражениям им в Армении с октября 2020-го по декабрь 2022-го. Спайварь нашли на устройствах журналистов, правозащитников и политиков. И активность совпала с пиками обострений и переговорами во время армяно-азербайджанского конфликта. Иными словами, перед нами, видимо, первое применение Pegasus в военной зоне.
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
🤯5❤4🔥2😁1😢1
#news К вопросу о спайвари Predator от израильской компании Intellexa. По ней на днях вышло исследование с детальным разбором функционала. Спайварь записывает звонки, собирает сообщения с мессенджеров, может скрывать приложения на заражённом телефоне и препятствовать их запуску. Плюс в ней произвольный код, нумерация каталогов и кастомные сертификаты на уровне пользователя.
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
🔥9❤3
#news Не прошло и месяца с появления zip-домена от Гугла, а у нас уже есть оригинальные примеры малвари на нём. Исследователь mr.d0x, автор атаки браузер-в-браузере, собрал фишинговый тулкит в виде нового фейкового окна в браузере, которое выглядит, как Winrar с открытым юзером zip-архивом. Для убедительности в окно вшита кнопка Scan, клик по которой, конечно, никаких угроз не выявляет.
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
🤯8❤3🔥2😁1🤡1