Information Security дайджест #6: F*ck Responsible Disclosure

Дайджест створено у співавторстві з Єгором Папышевым .

00h > Інтро

У випуску: #F*ckResponsibleDisclosure, нескінченні баги в новій MacOS, критична уразливість в Exim, уразливості в мережевих пристроях, зломи популярних сервісів, івенти OWASP в Україні.

01h > Гаряче

Найяскравіша подія на ІБ сцені України за минулий місяць — відбувається зараз акція Українського киберальянса — #F*ckResponsibleDisclosure. В ході акції хактівістом публікують знайдені у важливих інфраструктурних об'єктах України уразливості (факапи), та якщо коротко: все дуже погано. Маса подробиць тут і тут . Чорні і білі бухгалтерії комерційних структур, численні компрометації державних ресурсів, службова переписка «Енергоатому», технічні плани «Київстару», схеми тунелів спецзв'язку від МНС і багато іншого. Висновки невтішні.

02h > Близько сек'юріті

Відбулися митапы OWASP Ukraine 2017 Lviv і OWASP Kyiv Meetup Winter 2017 , народ спілкувався на досить цікаві та актуальні теми. За посиланнями вже доступні і відео доповідей. Відзначу два явних тренда: аудиторія збільшується і молодіє, якість матеріалів реально підвищується.

Більше 2 мільйонів аутентифікаційних даних (email і хеші паролів) користувачів були отримані в ході злому популярного сервісу Imgur в 2014, і це було в секреті до недавнього часу. На нашу думку, це серйозний інцидент, який повинен був набути розголосу, як тільки він підтвердився, тому що користувачі часто використовують один і той же email & пароль для безлічі сервісів.

Але цей інцидент меркне в порівнянні зі зломом Uber, в ході якого зловмисники отримали особисті дані більш 57М користувачів даного сервісу.

Досить сумна і повчальна історія однієї жінки про те, як дані, які ми залишаємо в мережі можуть бути використані проти нас у повсякденному житті була опублікована в Wired. Рекомендуємо до прочитання.

Все це змушує задуматися, наскільки небезпечним може бути використання популярних сервісів і які особисті дані варто їм довіряти.

03h > Цікаве

Ресечеры з Privacy Lab і Exodus Privacy знайшли більше 44 трекерів в 300 додатках під Android, взятих з Google Play. Завдання — збір різних даних про користувачів. Трекери виявлені в таких додатках, як Tinder, AccuWeather, Spotify, Microsoft Outlook.

Обійти Voice Recognition від Amazon і Google виявилося не так вже й складно, ця фіча може використовуватися для отримання доступу зловмисниками до різних сервісів згаданих вендорів. Докладніше тут .

Влада багатьох країн з кожним роком хочуть все більше контролювати як мережу, так і свободу своїх громадян. Яскравим тому прикладом є останнє речення: один із представників влади закликає запровадити бекдор в кожне цифрове пристрій.

Прокинувся ботнет Satori, який налічує понад 280К ботів і веде активне сканування девайсів, імовірно — з метою їх подальшої експлуатації. Подробиці тут .

Силовики Білорусі відзвітували про затримання Сергія Ярець, в андеграунді відомого під ніком Ar3s, за підозрою в створенні та розповсюдженні шкідливого ПО і одного з самих великих ботнетів — Andromeda.

04h > Уразливості && Експлоїти

Кумедний був знайдений в MacOS High Sierra 10.13.(1-2) версіях, що дозволяє будь-якому користувачеві увійти в систему як root, ввівши порожній пароль. Проблема вирішується установкою відповідного патча . На нашій пам'яті High Sierra — один з найбільш нестабільних релізів MacOS за останні кілька років.

Більш 400K серверів, на яких встановлено уразливий Exim, можуть бути зламані через RCE вразливість і PoC досить простий. Тобто зробити повноцінний «бойовий» експлоїт на його основі — тривіальна задача. Ви питаєте, навіщо потрібен Shodan?

Мережеві девайси не виключення, і в цьому місяці з'явився свіжий експлойт під D-Link DIR-850L . Також знайдені численні CVE-2017-822(1-5) вразливості у Wireless IP Camera (P2P) WIFICAM, RCE . Щоб уникнути запису хоум відео з вашою участю сторонніми особами, рекомендуємо хоча б раз в квартал оновлювати прошивки ваших девайсів.

05h > Фан

Twitter був зламаний невідомими активістами, які розмістили жартівливий для залучення уваги до проблеми інформаційної безпеки, зберігання паролів виду mvd123 в текстових файлах на віндовий кулях and so on. Для справедливості слід зазначити, що поліція адекватно відреагувала на інцидент.

У зв'язку з останніми багами в MacOS High Sierra, хлопці зробили свій high-end фаззер під цільову операційну систему. Детальніше .

Коли нарешті зміг отримати meterpreter .

Якщо ви раптом помітили, що ваш колега або близький почав вживати слова VPN\Tor\Telegram , або захоплюється солі для ванн і любить швидко їздити, можете спробувати дізнатися, хто його дилер.

06h > Аутро

Як аутро хочемо звернути увагу наших читачів на проблему масових витоків інформації з популярних сервісів, критичних елементів державної інфраструктури, повсюдного трекінгом користувачів вендорами. Все те, про що раніше попереджали експерти, стало реальністю. Пора надягати шапочку з фольги задуматися про власну цифровий гігієни і безпеки в кіберпросторі :)


? Попередній випуск: Information Security дайджест #5 .

Опубліковано: 09/12/17 @ 08:00
Розділ Безпека

Рекомендуємо:

Product Management дайджест #0: як розвинути продуктове чуття, фільм про Design Thinking, поради по UX
IT-благодійність 2017: огляд ініціатив, до яких можна долучитися
Гід ІТ-спеціальностями УКУ
DOU Проектор: KPI Events - всі заходи в одній стрічці
Шлях стажиста: Provectus