Пьерлуиджи Паганини с Security Affairs истерит по поводу продажи некими хакерами базы данных итальянского почтового сервиса Email.it. На котором есть и его личная почта.

Предложение о продаже БД появилось в Даркнете, за сведения просят от 0,5 (за список учетных данных) до 3 BTC (за полный дамп, включающий переписку).

Общее количество скомпрометированных учетных данных составляет около 600 тысяч и мы бы не обратили особо внимания на эту утечку (в конце концов, тут каждую неделю базы сливают по несколько миллионов учеток, а то и больше) если бы не поведение администрации Email.it, которое они явно строили по методическим рекомендациям "Антикризисный PR с человеческим лицом" за авторством г-на Грефа. Проще говоря, итальянцы стали морозится.

Со слов хакеров, БД они слили еще в январе 2018 года и предложили администрации почтового сервиса выплатить им денежное вознаграждение за указание уязвимостей, с помощью которых произошел взлом, на что получили отказ.

Пытаясь косплеить white hat товарищи, конечно, лукавят. Но поведение Email.it иначе как свинским не назовешь.

Почтовый сервис, зная о компрометации существенной части своих пользователей, в течение 2 лет молчал в тряпочку и никоим образом не предупреждал их о возникшей угрозе приватности их переписок. И лишь после появления слитой базы данных в продаже признали факт взлома.

Вряд ли вся эта история повысит популярность Email.it, скорее наоборот. Что в очередной раз свидетельствует о важности правильной и своевременной реакции на инцидент информационной безопасности. И не слушайте Грефа, он в этой части не авторитет ни разу.

Вообще-то kino-govno .com изначально были чисто стебным проектом и отлично жгли, чего стоили хотя бы их сокращенные сценарии.

А само название - отсылка к Джею и Молчаливому Бобу.

Понятно, что потом забурели и захотели бабок, вот и переименовались. Но цепляться к названию - так себе шутка.

А топить за загаженный Яндексом Kinopoisk вообще моветон.

Европол арестовал в Сингапуре 39-летнего мошенника, который занимался скамом по e-mail на тему коронавируса.

Негодяй, представляясь фирмой по производству и поставке респираторов и средств дезинфекции, кинул неназванную европейскую фармкомпанию более чем на 6,5 млн. евро. Был задержан при попытке вывести денежные средства.

Несмотря на то, что фармкампании - те еще мироеды, считаем любое мошенничество на тему коронавируса поводом для принудительного пожизненного труда на урановых рудниках. Начинается все с кидалова с поставками, а заканчивается множеством смертей от поддельных лекарств и тестов.

Надеемся, что мошенника заставят весь срок заключения (или хотя бы его существенную часть) заниматься утилизацией медицинских отходов больных коронавирусом. В "произведенных" им средствах защиты, то есть без оных.

https://www.zdnet.com/article/europol-arrests-man-for-coronavirus-business-email-scam-money-laundering/

​​Мы уже не один раз говорили, что некоторым иностранным компаниям, особенно американским, лучше не доверять.

Например, известной компании FireEye, которую так горячо любят Positive Technologies и которая является прямым проектом венчурного фонда ЦРУ In-Q-Tel. Или другому детищу этого же фонда, инфосек компании Recorded Future.

Но может быть мы просто проплачены ФСБ? Давайте послушаем другую сторону.

На днях на официальном ресурсе Совета по международным отношениям (Council on Foreign Relations, CFR) вышла примечательная статья под названием "Huawei и стратегия "третьего смещения".

Если кто не знает что такое CFR, то в сети про Совет есть огромное количество материалов, но в двух словах - это одна из трех самых влиятельных негосударственных организаций в мире. Достаточно сказать, что одним из его председателей был Дэвид Рокфеллер. А многие считают Совет одним из проявлений настоящего закулисного "мирового правительства". Короче, CFR - это не шарашкина контора.

Так вот, упомянутая статья за авторством трех американских специалистов по безопасности, один из которых "работает в области наступательных киберопераций", содержит обсуждение мер, которые могут предпринять США в ответ на завоевание компанией Huawei мирового телекоммуникационного рынка.

В завершении материала авторы пишут дословно следующее:

"Cyber Fast Track (CFT), инновационный проект DARPA, является примером того, как Министерство обороны (США) может избавиться от бюрократизма и диверсифицировать свою цепочку поставок..... Cyber Fast Track финансировал небольших нетрадиционных исполнителей более быстрыми темпами, устраняя многие препятствия, с которыми эти компании и частные лица обычно сталкиваются при работе с Министерством обороны. Финансируемая ЦРУ фирма In-Q-Tel, которая поддерживает такие компании, как Recorded Future и Fire Eye, предлагает другую модель, которой может следовать Министерство обороны. In-Q-Tel не только вложила средства во многие успешные технологические стартапы, но и помогла ЦРУ развить плодотворные взаимоотношения с технологической отраслью для выполнения своей миссии"

Добавить, пожалуй, нечего. Продолжайте жрать кактус.

Твоя жопа похожа на снежинку - нет двух одинаковых!

Это мы не перепили, это краткое описание одной из составляющих новой инновационной технологии.

Исследователи из Стэнфорда создали прототип "умного туалета", который с помощью четырех камер может идентифицировать пользователя по уникальному аналпринту (какой еба...ый пи...дец!)

Устройство анализирует выделяемые сидящим на нем человеком субстанции, чтобы сделать выводы о его здоровье.

Каждый пользователь туалета идентифицируется по отпечатку пальца и отличительным признакам анодермы (это, так сказать, рисунок сами поняли чего), данные надежно хранятся на зашифрованном облачном сервере.

Подробности процесса анализа показателей здоровья расписывать не будем. И так вряд ли сегодня уснем...

https://www.vice.com/en_us/article/jge377/stanford-smart-toilet-uses-butthole-for-identification

Румыны из Bitdefender сообщают, что выявили новый ботнет, которому они дали название Dark_nexus.

Dark_nexus наследует большое количество черт таких известных ботнетов как Mirai и Qbot, однако, по словам румынских исследователей, использует несколько более продвинутых и мощных механизмов в процессе распространения и работы. Он ориентирован на распространение среди десктопов, мобильных устройств и IoT.

К примеру, бот может маскировать вредоносный трафик под активность установленного в атакованной системы браузера. Или пытаться заблокировать перезагрузку устройства.

Румыны считают, что Dark_nexus создан greek.Helios, автором (авторами) другого ботнета Hoho.

С февраля месяца Bitdefender зафиксировал уже три разных версии Dark_nexus, что свидетельствует о том, что ботнет активно развивается. В то же время, судя по всему, пока он является приватным.

​​После появившейся на прошедшей неделе информации о комплексной атаке на китайские VPN-сервера со стороны APT DarkHotel, которую китайцы считают южнокорейской, в инфосек сообществе пошло некоторое бурление.

Часть исследователей решила предъявить китайцам из Qihoo 360, выявившим кибератаку, что доказательств причастности DarkHotel маловато, а тот факт, что целью являлась информация о COVID-19, вообще притянут за уши.

И вот сегодня RedDrip Team, подразделение другой китайской инфосек компании Qi-AnXin Technology, разместило в своем Твиттере сэмпл, подтверждающий причастность DarkHotel к атаке.

Правда твиттер-аккаунт @blackorbird, посвященный расследованию деятельности APT, дал уточнение, что VPN-сервера производства Sangfor атаковало сразу ДВЕ хакерские группы - DarkHotel и Wellmess. Про последнюю мы, к сожалению, ничего сказать не можем.

Все интереснее и интереснее события развиваются. Чем не шпионский детектив.

Facebook стало мало WhatsApp и они представили мессенджер для пар (?) под названием Tuned, который позволяет отправлять сообщения, обмениваться музыкой и создавать цифровые альбомы.

Tuned разработан в рамках проекта New Product Experimental Team, предназначенного для создания новых социальных сетей "с нуля" (как будто их мало, этих социальных сетей). На первом этапе мессенджер доступен только для пользователей iOS в США и Канаде, для его использования не требуется учетная запись Facebook.

Это, была, так сказать, преамбула. А теперь - к основному блюду.

Мессенджер, в отличие от WhatsApp, не имеет сквозного шифрования (кто вообще в 2020 году может выпускать мессенджеры без E2E-шифрования?!). Политика конфиденциальности для Tuned та же, что и для Facebook, что означает сбор со стороны компаний данных о поведении пользователя для таргетирования рекламы и не только.

Первые комментарии представителей инфосек сообщества - "Катастрофа конфиденциальности. Не используете это недоразумение."

С чем мы всецело согласны.

​​Штаб Навального в Краснодаре обговаривает как лучше устроить DoS-атаку на горячую линию коронавируса через VoIP.

Какая прелестная прелесть.

Похоже ZOOM всерьез озаботились вопросами безопасности своего ПО, особенно после того, как вчера Тайвань запретил своим государственным учреждениям использовать сервис для видеоконференций и рекомендовал коммерческим игрокам также последовать этому запрету.

Генеральный директор компании Эрик Юань объявил сегодня, что ZOOM сформировала Совет CISO и Консультативный совет для сотрудничества и обмена идеями о том, как решать текущие проблемы безопасности и конфиденциальности. Также платформой к сотрудничеству привлечен Алекс Стамос, бывший директор по безопасности Facebook, человек известный и дружащий с американским госорганами.

В Совет CISO среди прочих входят директора по информационной безопасности компаний HSBC, NTT Data, Procore и Ellie Mae, которые будут находиться в постоянном диалоге с ZOOM по вопросам конфиденциальности, безопасности и технологий.

В Консультативный совет Zoom входят CISO VMware, Netflix, Uber, Electronic Arts и других компаний, которые будут консультировать непосредственно генерального директора платформы.

Короче говоря, силы на спасение информационной безопасности ZOOM брошены серьезные.

По всей видимости, такое решение является результатом негласной договоренности компании с американскими властями, потому что вчера Агентство кибербезопасности Министерства национальной безопасности США (CISA) рекомендовало американским правительственным организациям использовать ZOOM для проведения видеоконференций.

И первое разумное решение в вопросах инфосека последовало сразу же - ZOOM заявили, что удаляют ID собрания из заголовка в целях предотвращения его показа на снимках экрана.

А то, как мы помним, некоторые "талантливые" пользователи, наподобие премьер-министра Великобритании Бориса Джонсона, светили ID собрания на своих скриншотах в соцсетях.

Правда, не совсем понятно, почему для принятия столь очевидной меры потребовалось собрание аж двух советов из директоров по информационной безопасности крупных американских компаний. Для этого было достаточно одного грамотного инфосек эксперта.

Больше похоже, что указанные советы приставлены к ZOOM в качестве кураторов от американских правительственных и корпоративных кругов. Дабы Юань не хулиганил и не вздумал больше отправлять ключи шифрования в Китай.

А отправлял их в другие, правильные места.

​​Чуть меньше месяца назад мы обсуждали статью Патрика Салливана (CTO Akamai) в отношении растущего тренда использования хакерами VPN как входной точки для компрометации устройства.

Причем некоторые исследователи ссылались на "пример" прогосударственных хакерских групп, таких как принадлежащая АНБ Equation, активно исследующих возможные уязвимости VPN.

Так, на прошлой неделе стало известно о большой и сложной атаке группы DarkHotel, опять же прогосударственной, на китайские VPN-сервера.

Естественно, что на эту тенденцию наложился резкий рост использования удаленного доступа при работе сотрудников в условиях эпидемии коронавируса. И последствия не заставили себя ждать.

Вчера Национальный центр кибербезопасности Великобритании (NCSC) и Агентством кибербезопасности и инфраструктуры США (CISA) выпустили совместное заявление, в котором сообщили о наблюдаемом росте активности коммерческих хакерских групп по отношению к используемым частными организациями VPN-серверам, а также другим инструментам для организации удаленной работы.

Смеем утверждать, что в ближайшие месяцы защита VPN станет одним из главных приоритетов CISO как коммерческих, так и государственных организаций.

Google сделали вывод из ошибок в информационной безопасности ZOOM и стали активно рекламировать свои меры по предотвращению zoombombing.

Как заявили руководители команд, отвечающих за разработку Google Meet и Google G Suit, их решения имеют встроенные механизмы для предотвращения возможности присоединения посторонних участников к проводимым видеоконференциям.

В частности, Google используют 25-символьный идентификатор, в отличие от ZOOM, у которого ID встречи составляет 9, 10 или 11 символов. Это существенно затрудняет работу программ по автоматизации подбора идентификаторов встреч.

Другой преградой для zoombombing является то, что сторонние участники не могут быть подключены к видеоконференции, если они не получили приглашение или не были одобрены организатором встречи.

Посмотрим, помогут ли эти решения Google сделать их сервисы видеоконференций более популярными. Ведь ZOOM приобрел широкую аудиторию как раз за счет своей простоты.

А пока можно констатировать тот факт, что в ходе текущей эпидемии коронавируса zoombombing стал именем нарицательным, и теперь так будут называть все попытки видеотроллинга, вне зависимости от платформы, на которой он происходит.

Мамкины хакеры атакуют!

Эксперты компании Inky, специализирующиеся на борьбе с фишингом, выявили кампанию по рассылке писем, ни много ни мало, от имени Президента США Трампа.

В письме, подписанном Трампом и Федеральным правительством, рассылается Руководство по борьбе с коронавирусом, которое предлагается скачать по прилагающейся ссылке. При переходе по ней пользователь попадает на сайт с изображением Белого Дома и очередную ссылку "скачать полный документ".

Ну, а уже там содержится документ Word с вредоносным макросом.

Другие "специалисты по социальной инженерии" рассылают фишинговые сообщения на корпоративные почтовые ящики от имени вице-президента США Пенса.

В письмах сообщается, что компания подозревается в торговле людьми, наркоторговле и отмывании денег, а посему, чтобы Пенс не доводил данную информацию до Трампа, необходимо достичь с ним "соглашение". Подразумевающее, само собой, отправку "Пенсу" некоторой суммы в биткоинах.

Хорошо, что от Путина фишинговых рассылок никто не делает. Потому все что знают, что у Путина электронной почты нет!

В начале января текущего года хакеры взломали и увели в оффлайн крупнейшую в мире систему обмена валюты и международных платежей Travelex, имевшей в 2018 году доход под 1 миллиард долларов.

После взлома по сообществу ходила информация, что Travelex попал под каток ransomware Sodinokibi и ее оператор, известный также как REvil, вымогает 6 млн. долларов за расшифровку 5 Гб конфиденциальных данных компании.

И вот сегодня Wall Street Journal сообщила, что Travelex заплатила хакерам 2,3 млн. долларов. Это, конечно, ниже изначально требуемой суммы, но, тем не менее, одна из крупнейших разовых выплат операторам ransomware.

Ну, судя по тому, что CISA выпускает официальные рекомендации по использованию платформы ZOOM для проведения видеоконференций правительственными организациями США, а Джонсон, до того, как попал на ИВЛ, проводил в том же ZOOM заседания британского кабинета, в постиндустриальную эпоху вошли не только лишь все. Мало кто смог это сделать.

Тем более учитывая, что изначально ZOOM - это сервис для девочек и мальчиков с смартфончиками, из-за чего у него и возникают такие дикие проблемы с информационной безопасностью.

А ведь за цифровизацию у нас отвечал Дмитрий Медведев. Это его любимое детище. Сейчас, когда все перешло на онлайн-режим деятельности, мы можем наблюдать плоды его усилий.
По пятибальной шкале тянет на три с большим минусом.
В постиндустриальную эпоху мы вошли явно неподготовленными. Нынешний кризис эти проблемы обнажил во весь рост.

https://t.me/russica2/26502

​​Британские антивирусники Sophos выпустили отчет о т.н. fleeceware, выявленных в AppStore.

Термин fleeceware был введен в оборот Sophos в прошлом году и означает легальные приложения для мобильных устройств, которые используют юридические лазейки в процедуре платной подписки у основных мобильных платформ.

Подобное приложение предлагает использовать пробный период, после окончания которого с пользователя будет снята абонентская плата. Хинт состоит в том, что удаление приложения с устройства не рассматривается как отказ от платной подписки, для того же чтобы это сделать необходимо пройти специально усложненную процедуру.

Большинство из этих приложений - редакторы изображений, гороскопы, сканеры QR-кодов и штрих-кодов, фильтры для селфи и т.д. Основной механизм распространения - реклама в мобильных играх и других условно-бесплатных приложениях.

Размер платной подписки варьируется, но у некоторых, особенно оторванных, он может составлять до 30 долларов в месяц и больше. Причем, в ряде случаев подписка специально сделана еженедельной.

В прошлом году Sophos обнаружили более 50 подобных приложений для Android, количество загрузок которых составило около 600 млн.
На этот раз британцы исследовали AppStore, где нашли 32 fleeceware для iOS, которые загрузили в общей сложности более 3,5 млн. раз.

Sophos заявляет, что Apple и Google достаточно лояльно относятся к fleeceware, поскольку имеют процент от каждой абонентской платы, которые получают последние.

Скрин со списком fleeceware для iOS мы прикладываем к этому посту.

В случае, если вы устанавливали на свой смартфон какие-либо приложения с пробным бесплатным периодом, рекомендуем проверить раздел Подписки в настройках вашего устройства.

Наткнулись на неплохой обзор одной из наиболее распространенных в настоящее время ransomware Sodinokibi от Infosec Institute.

https://resources.infosecinstitute.com/malware-spotlight-sodinokibi/

На ZeroDay - прекрасная история о том, как небольшие команды программистов могут помочь медицинской отрасли в условиях эпидемии коронавируса.

В Бостоне, как одном из эпицентров распространения коронавируса в США, остро стояла проблема медицинского обслуживания бездомных, коих в городе, по определенным причинам, большое количество. В рамках существующей программы "Здравоохранение для бездомных" (BHCHP) власти не могли справиться с большим потоком заболевших COVID-19 из-за постоянно меняющейся картины с наличием больничных коек в больницах города, наличием подключенного к ним оборудования и т.д.

На прошлой неделе Бостонский медицинский центр обратился через сеть MIT с просьбой об оказании помощи в управлении потоком больных. На нее отозвался небольшой местный стартап Routable AI, который занимается проектированием транспортных средств и систем управления транспортными сетями на основе искусственного интеллекта (AI).

В течение 48 часов (!) команда не только создала прототип системы управления коечным фондом, которая, учитывая все признаки каждой конкретной койки и относящегося к ней оборудования, автоматически распределяет и ведет учет пациентов, но и прикрутила к нему свою технологию маршрутизации транспортных средств для автоматизации управления каретами скорой помощи.

Еще 2 дня потребовалось на тестирование и доработку. В результате всего через 4 (!) дня после получения задачи Routable AI развернула свою систему управления в Бостонском медицинском центре. И она уже используется.

Что же, суровые времена требуют нестандартных подходов.

Security Week пишет, что исследователи инфосек компании Tenable предупреждают о появившемся около недели назад новом функционале ботнета Hoaxcalls.

Ботнет стал нацелен на использование недавно устраненной уязвимости CVE-2020-5722 в офисных мини-АТС Grandstream UCM6200. Ошибка содержится в функции обработки имени пользователя при восстановлении пароля и приводит либо к выполнению злоумышленником кода с рутовыми правами, либо к вставке произвольного HTML-кода в письмо о восстановлении пароля.

В дальнейшем скомпрометированное устройство используется для проведения DDoS-атак.

Кроме того, по данным Palo Alto Networks, этот ботнет использует уязвимость CVE-2020-8515 для получения контроля над маршрутизаторами Draytek Vigor.

Обе используемые ошибки исправлены в последних версиях прошивок обоих устройств, поэтому, если вы используете что-то из перечисленного, следует срочно сделать апдейт.