Information Security дайджест #1: Електронне декларування - ... і в продакшн, принцип нульової відповідальності для власників карток, серйозна уразливість в сервісах Київстар - SEO Blog - все про пошукову оптимізацію та веб розробку українською.

Information Security дайджест #1: Електронне декларування - ... і в продакшн, принцип нульової відповідальності для власників карток, серйозна уразливість в сервісах Київстар

У випуску: баги і фічі системи електронного декларування, цікаві новини для власників платіжних карт, скрипт-кідді-пентест для Київстар, дефейс сайту МЗС України, обхід SQRL-аутентифікації, голосова верифікація клієнтів, слід спецслужб у зломі Telegram, удар Анонімного Інтернаціоналу Ростелекому, невідомий вірус крокує по планеті і багато іншого.

Інциденти та загрози ІБ

Введення в експлуатацію (?) системи електронного декларування, яка в свою чергу є досить статусним і стратегічним проектом, породив цілу хвилю скандалів і обговорення на профільному ресурсі (є розумні коментарі), з розбором коду і вразливостей. Проблема, насамперед, полягає у виконаних не в повному обсязі» вимоги регулятора до інформаційної безпеки. ГСССЗИ України не дає відповідний аппрув, ЗМІ масово пишуть суперечливі статті, чиновники дають сумбурні і смішні коментарі , хвиля дійшла аж до РНБО . Співчуваючі розділилися на два табори: в одному ті, хто вважає дії зацікавлених при владі — саботажем. Інші справедливо кивають на значні недоліки системи. Потім заворушилися стейкхолдери . Істина, як завжди, десь посередині і, напевно, кожен виніс для себе з цієї історії.

Ентузіаст виявив серйозну уразливість у веб-сервісі оператора Київстар, дозволяє досить просто отримати повний контроль над управлінням номерами інших абонентів через особистий кабінет. Історія породила філософію про відсутність вайтхетов в Україні, з коментарем інсайдера компанії і обіцянкою bug bounty-програми. Відповідь на твердження про вайтхетах не змусив себе довго чекати .

Втеча з в'язниці Microsoft. Невиправна фіча в механізмі Secure Boot дозволяє повністю його обійти. Опис дослідники виклали на спеціальному сайті . Профільна новину тут .

ProjectSauron aka Strider — потужна таргетована атака класу APT розбурхує кращі уми, дослідні вишукування ростуть, як гриби після дощу .

Нові горизонти для хакерів з pravy sector. На цей раз, метою став медичний центр урології, розташований в Огайо, США. Про причини вибору мети атаки можна тільки здогадуватися (як і про майбутніх жертв). Вкрадено понад двісті гігабайт конфіденційної інформації, згодом розміщеної в публічний доступ.

Тим часом, група Анонімний Інтернаціонал невпинно б'є по хворих місцях російських чиновників і власників російського бізнесу. На цей раз скомпрометовані дані особистого листування одного з ТОП-ів компанії Ростелеком (колишнього заступника міністра зв'язку РФ). Наступним під удар потрапив член правління ПАТ Россеті, масив ділової (і не тільки) листування якого був так само виставлений на продаж . У далекій Сизрані, а точніше — в міському управлінні з молодіжної політики і туризму, теж не все гаразд .

Ворожі хакери не в ударі: найбільшим їх досягненням став короткочасний дефейс одного з розділів сайту МЗС України, з розміщенням там повідомлень рівня «парканної» лексики.

Про великому зломі месенджера Telegram повідомили експерти з кібербезпеки. В результаті розкрито близько 15 мільйонів телефонних номерів користувачів в Ірані. У самій компанії прокоментували інцидент, вказавши на не критичність розкритих даних, і повідомили про закриття уразливості. Дослідники вважають, що реалізація механізму розкриття номерів користувачів неможлива без взаємодії мобільних операторів конкретної країни з державними органами.

Аутентифікація з використанням SQRL небезпечна. Технічні деталі про новий вектор атаки за допомогою соціальної інженерії QRLJacking можна знайти на OWASP .

Уразливість сервісу card2card банку Tinkoff дозволяла отримувати дані про стан балансу карткового рахунку клієнтів. Розбір польотів дає привід задуматися про належному забезпеченні секьюрності наших власних конфіденційних даних тими сторонами і постачальниками послуг, яким ми ці дані довіряємо.

Експлоїти EPICBANANA і ExtraBacon дозволяють експлуатувати уразливості в міжмережевих екранах Cisco і виконати довільний код у системі.

Новий метод атаки на кеш ARM-процесорів, що використовуються в Android-пристроях, що дозволяє обійти захист ARM TrustZone і зробити перехоплення натискань на екран власників смартфонів і планшетів на Android. За посиланням доступний відповідну доповідь.

Спуфінга Chrome і Firefox: виявлена в браузерах вразливість дає можливість підміняти URL в адресному рядку.

Проблема «FalseCONNECT» : помилки в реалізації процедур проксі-аутентифікації різних вендорів дозволяють здійснювати MitM-атаку і перехоплювати HTTPS трафік. Наявність проблеми визнали Apple, Oracle, Opera та Microsoft.

Через уразливість в vBulletin викрадені деякі дані (серед яких логіни, хеши паролів і адреси електронної пошти близько двох мільйонів користувачів форуму Dota 2 Dev. Новина про це опублікувала адміністрація ресурсу.

Околосекьюрные новини

З 1 серпня в Україні почав діяти принцип «нульової відповідальності» для держателів банківських карт. Що про це потрібно знати клієнтові? Подробиці на сайті української міжбанківської Асоціації членів платіжних систем.

Інститут стандартів і технологій США (NIST) виступив за відмову від використання SMS-повідомлень в якості етапу двофакторної аутентифікації: такий спосіб буде заборонений стандартом Digtial Authentication Guideline як небезпечний. Враховуючи авторитет даного стандарту і його використання багатьма держустановами США, цей факт може вплинути на підходи до побудови систем ІБ в найближчій перспективі.

Платіжне шахрайство в Україні: у вигляді інфографіки опубліковані статистичні дані за другий квартал 2016 року.

Департамент кіберполіції Національної поліції України повідомляє про розкриття угруповання шахраїв, які створювали фіктивні інтернет-магазини, затримання кардерів в Одеській області і ліквідації черговий мережі порностудій.

Процес впровадження голосової біометрії в одному з банків — для підтвердження особистостей клієнтів при зверненні по телефону — описаний у цікавій статті . Наведена архітектура рішення, особливості і помилки впровадження, боротьба з фродом і процес реєстрації та верифікації голосового еталона.

Pandalabs випустила звіт за другий квартал 2016. Згідно з документом, шифрувальники очолюють список кібер-атак.

Корисності безопаснику

На конференції Black Hat представлений набір інструментів , що полегшують життя зловмисникам й не тільки, використовують соціальну інженерію. Datasploit в автоматичному режимі шукає максимум даних потенційної жертви у відкритих джерелах.

Системи обробки даних при проведенні тестів на проникнення: огляд спеціалізованих фреймворків для пентестеров доступний в статті .

Безкоштовний інструмент для відновлення доступу до даних, зашифрованих зловредів-вимагачами.

Вішинг: прийоми телефонних шахраїв і як їм протистояти. Цікава інфографіка від ЕМА.

Анонси заходів

Конференція з інформаційної безпеки Security BSides пройде в Одесі 27 серпня. Подробиці заходу в календарі і на офіційному сайті . Захід безкоштовно для відвідувачів.

Одноденний workshop IT Security Talk відбудеться у Харкові. Деталі про захід на сайті і в календарі DOU.

Гумор

Описом цікавого крос-платформного вірусу, який не виявляється поширеним антивірусним ПЗ, поділився читач DOU. Активація шкідників відбувається при скачуванні файлів з Мережі. Вірус негайно деактивує поточне Wi-Fi-з'єднання, підміняє натискання клавіш, самостійно заповнює даними поля введення на формах і Бог знає що робить ще: реверс-інжиніринг поки не дав повної картини. Експерти вважають, що вірус записується прямо в сигнальні доріжки на клавіатурі.

«Bluetooth-вібратори шпигують за користувачами і доповідають виробнику»: під таким заголовком вийшла стаття на одному з спеціалізованих ресурсів. Про піддаються атакам інтимних пристроях можна дізнатися в опублікованому матеріалі.

Коротко про кар'єру безпечника:

? Попередній випуск: Information Security дайджест #0 .

Опубліковано: 19/08/16 @ 06:50
Розділ Безпека Сервіси

SEO Блог