Information Security дайджест #7: наскільки ви довіряєте вендорам?

Дайджест створено у співавторстві з Єгором Папышевым .

00h > Інтро

Вітаємо! У цьому випуску: уразливості в продуктах відомих вендорів, організатори NoNameCon запускають CFP, M.E.Doc знову в центрі уваги.

01h > Гаряче

Однозначно найзнаменніша і частково скандальне подія у галузі інформаційної безпеки — оприлюднення уразливостей в сучасних процесорах: CVE-2017-5753 , CVE-2017-5715 , CVE-2017-5754 . І публікація варіантів їх експлуатації (PDF): Meltdown , Spectre . Більш детально з усім цим можна розібратися, прочитавши статтю хлопців з Project Zero. З наочною демонстрацією використання Meltdown можна ознайомитися .

Окремо варто розповісти про драму, яка розгорнулася в мережі після запропонованих патчів, які впливають на продуктивність системи в цілому. Дуже багато людей скаржилося на те, що після застосування патчів зовсім неможливо грати\працювати\відкрити термінал або впав сервер на AWS\Azure. Якщо деякі скарги були обґрунтовані лише панікою і суєтою, то патчі від Microsoft зробили свою темну справу, внаслідок чого пропатчені OC перестали працювати на старих процесорах AMD, як власне перестали завантажуватися і деякі виртуалки на Azure.

02h > Близько сек'юріті

Організатори NoNameCon почали пошук доповідачів, відкривши офіційний CFP . Конференція обіцяє бути крутий, так що відкладаємо все і поспішаємо відправляти заявки! ;)

Все більша кількість людей починає цікавити приватність особистих даних в мережі, з'являється багато вендорів, які обіцяють допомогти в цій нелегкій справі. Для того щоб не заплутатися у всьому цьому різноманітті, рекомендуємо відвідати ресурс privacytools . Там можна знайти опис продуктів, на які варто звернути увагу при виборі тих або інших технічних засобів.

Вже стало доброю традицією, що Росія виявляється в центрі міжнародного скандалу з хакерами, зломом та екстрадицією.

Досить кумедна новина про те, що хлопці, які розробляли криптолокеры, переходять на майнінг Monero , що в принципі не дивно. На даний момент досить велика кількість зламаних серверів, веб-ресурсів, персональних комп'ютерів встановлюють різні види майнер криптовалют.

Я думаю, що більшість наших читачів пам'ятають плачевну ситуацію навколо M.E.Doc і ролі цього вендора масштабної атаки на інфраструктуру України. Судячи з посту Sean Townsend — урок так і не був витягнутий. У нас всього одне питання: «Доки?».

03h > Цікаве

Користувач Twitter пише, що розробив 0-Day RCE експлойт під Google Chrome. Якщо це правда, то вартість цього інструменту на чорному ринку може досягти сум з 5-ма нулями.

Якщо раніше через пошукові системи знаходили адмінки IP камер, то з розвитком технологій IoT не буде дивним, якщо найближчим часом можна буде замовити їжу для людини, що живе на іншому континенті, через відкриту адмінпанель холодильника, яку проіндексував Google, як, наприклад, зараз можна стану системи терморегуляції приміщення.

Дуже цікавий матеріал про знаходження та експлуатації 15-річної уразливості в MacOS. Всіляко рекомендуємо до вдумливого прочитання. Складно уявити, скільки ще багів з багаторічною історією таїться в надрах операційних систем.

04h > Уразливості && Експлоїти

З'явилася свіженька RCE в Oracle Weblogic, заснована на вразливості в механізмах десеріалізації.

Також дослідники не обійшли стороною і продукти Cisco, в результаті чого викотили у світ чудову RCE під Cisco IOS.

LPE на Linux системах через уразливість в VMWare Workstation.

У сучасному світі, напевно, вже нікого не здивувати різними trojan в продуктах світових брендів. На цей раз він був знайдений в D-Link DNS-320 .

Уразливість в ОС Sony PS4 версії 4.05 дозволяє зробити джейлбрейк і обійти механізми захисту контенту.

05h > Фан

Свій для батьків запропонував один з користувачів Twitter. Ми впевнені, що в наших реаліях це також підійде більшості користувачів ПК.

На тлі бурхливого обговорення, які CPU вразливі до Spectre & MeltDown, а які ні, ця картинка гранично просто прояснює ситуацію.

06h > Аутро

Ми спостерігаємо цікаву тенденцію збільшення кількості вразливостей, експлойтів, проблем з кібербезпеки в продуктах відомих брендів, які роками могли б експлуатуватися зловмисниками, організаціями, державами. Невже незабаром наш світ буде перебувати в стані перманентної і всепоглинаючої кібервійни на всіх рівнях і в усіх сферах життя людини?


? Попередній випуск: Information Security дайджест #6 .

Опубліковано: 13/01/18 @ 11:00
Розділ Безпека

Рекомендуємо:

QA дайджест #32: ТОП 10 інструментів автоматизації тестування 2018, антипаттерны в тестах і навантажувальне тестування
Test Lead Катерина Несмелова — про Full Advanced Level ISTQB, проблеми професії QA та релокацію до Нової Зеландії
Гід ІТ-спеціальностями КНУ імені Шевченка
Вникайте в процеси, або Що не так з sales в IT
Front-end дайджест #28: що було в 2К17 і чого чекати від 2К18?