Information Security дайджест #10: скандальний №6688, конференції, атака на Proton, збій Slack і Chromecast

Дайджест створено у співавторстві з Павлом Кривко .

00h > Інтро

Багато чекали сакральну дату, річницю «НеПети»...

01h > Гаряче

Щедро поливаючи соусом боротьби з вірусами і кіберзагрозами, деякі депутати намагаються проштовхнути законопроект № 6688 , насправді забезпечує потужну підтримку і розвиток цензури Інтернету в Україні. Авторами є Тимчук, Винник і Тетяна Чорновіл. Один з авторів поспішив розповісти , як потрібний і важливий цей закон, і що проводилися консультації з експертним співтовариством. У той же самий час все експертне співтовариство виступило єдиним фронтом проти такої законотворчості (раз , два , три , чотири ). Хто надавав консультаційну підтримку депутату Тымчуку з'ясувати так і не змогли . Преса теж не оминула тему стороною (тут і ось тут , наприклад). Було і заяву від громадських організацій. Поки немає розуміння, чим закінчиться ця історія, однак зрозуміло, що тривожний дзвіночок перетворився на паровозний гудок.

Вже почалася підготовка самої дорослої та очікуваної щорічної конференції з інформаційної безпеки — UISGCON 14 . В цьому році конференція відбудеться 26 жовтня в центрі Києва, в Українському домі. Оновився і доповнився склад організаційного комітету, розширився склад програмного комітету. З точки зору організаторів, це допоможе підібрати максимально корисний, актуальний і якісний контент. Також орги повернулися до практики проведення CTF, в організації якого їм допомагає лабораторія університету Stony Brook, USA. Пошук спікерів почався не так давно і ви можете встигнути подати свою заявку — CFP відкрито !

В цьому році команда BsidesUkraine радує нас, як ніколи. Зовсім скоро відбудеться BsidesOdessa , а вже в жовтні, відразу після UISGCON, стартує BsidesKyiv Autumn. Підготовка тільки починається, але нам вже відомо, що формат проведення схожий з Одесою — 24 години нон-стоп практичних доповідей, воркшопів та конкурсів, неформальне спілкування і відпочинок в одному з найкращих особняків у Києві. CFP буде відкрито 7 липня, і будь-який потенційний спікер зможе взяти участь. А ось потрапити на конференцію буде складніше, так як вона передбачає приватний статус і систему інвайтів, але це не означає, що у тих, хто не отримає інвайт, зовсім немає шансів! Щоб бути в курсі підготовки, ви можете стежити за процесом і новинами у FB і на сайті , який буде оновлено 7 червня.

02h > Близько сек'юріті

Відразу кілька популярних сервісів рапортували про проблеми 27 червня. Наприклад, Proton на свою інфраструктуру, Slack інформував про масштабний збій у роботі всіх акаунтів, а слідом за цим користувачі по всьому світу тимчасово втратили доступ до Google Home і Chromecast. Про серйозний збій у роботі свого сервісу в цей же день відмовчався і Telegram — користувачі в США, Європі, Азії і Африці не могли скористатися цим сервісом.

Голова департаменту кіберполіції України, Сергій Демедюк, розповів в ексклюзивному інтерв'ю агентству Reuters про підготовку масивної кібератаці з боку Росії, за масштабами можна порівняти з торішньою. Однак конкретики або технічних деталей не навів, тому тема, «у чому вразливість атаки», залишилася нерозкритою.

Український хакер з ніком Михайло Петровський зламав сайт російської співачки Чичеріної з подальшим розміщенням на ньому провокаційних матеріалів. Також піддалися злому поштові скриньки її продюсера і їх акаунти в соціальних мережах.

Злом популярного генеалогічного сервісу Foursquare призвів до витоку 92 мільйонів облікових записів, включаючи поштові адреси і хеши паролів. З боку самого сервісу прийнятий комплекс заходів, пов'язаних з інцидентом. Цікаво, що дана витік включає в себе і інформацію про ДНК деяких користувачів.

Вийшов реліз Tor Browser 7.5.6.

Трохи подробиць про майбутнє WPA3, який принесе новий механізм надійної аутентифікації і стійкої криптографії в такий небезпечний Wi-Fi.

Firefox впроваджує сервіс HIBP (I Have Been Pwned) в якості інструменту безпеки Firefox Monitor і буде повідомляти користувача про появу його пароля у свіжих ликах.

Сайт Міністерства фінансів України був зламаний турецькими хакерами, і defaced-сторінка електронного журналу «Фінанси України» провисіла в такому стані більше місяця. Після розміщення інформації в паблике, інцидентом зацікавилася «Служба нестримних усмішок» і наслідки злому оперативно усунули.

Останній раз про «НеПете», але це не точно :) рік тому.

В черговий раз хлопці з Proton не залишаються осторонь і публічно говорять про проблему державних бекдорів.

03h > Цікаве

Як відомо, WPA3 — це справа найближчого майбутнього. Кому цікаво, чого варто очікувати від нового протоколу, — тиць .

Цікавий матеріал про гучному брутфорсе пасскода в iOS.

Прикольний репозиторій з врайтапами по знайденим останнім часом вразливостей в iOS.

Канал крутого фахівця з цілою купою відео за рішенням різних CTF.

Відомий дослідник кібербезпеки Florian Roth написав цікавий матеріал , який можна умовно назвати «таксономією APT-груп». Більш детальна інформація тут .

Агентство національної безпеки США опублікувало у відкритий доступ свої барвисті постери 50-х, 60-х років. Ця графіка використовувалася для тодішнього внутрішнього security awareness персоналу самого АНБ. Дивно, але багато не втратили актуальність і сьогодні.

04h > Уразливості && Експлоїти

Врайтап за DOM XSS в Google VRView бібліотеці.

MacOS в черговий раз за останній рік радує нас новими сек'юріті багами. На цей раз справа в фиче «Quick Look», яка робить снепшот файлів, у тому числі які перебувають у крипторазделах. Детальніше тут .

За твердженням дослідників кожен Android девайс за останні 6 років з пам'яттю LPDDR2, LPDDR3, or LPDDR4 має уразливість , що дозволяє отримати повний доступ до пристрою.

Знайдена небезпечна LPE уразливість в продуктах лінійки SafeGuard від вендора Sophos ставить під удар компанії, які обрали це рішення для своєї безпеки.

Активація облікового запису в особистому кабінеті Укрпошти відбувалася шляхом передачі пароля відкритим текстом прямо в рядку адреси браузера. Після обурення громадськості , уразливість була виправлена (але, можливо, є проблема небезпечного зберігання паролів в базі).

05h > Фан

Малварщики теж люди і їм хочеться обнімашек. Так, наприклад, розробник з Туреччини намагається знайти себе .

Не перестають дивувати іскрометним гумором і наші, близькі до державного апарату, експерти. Наприклад, одне з недавніх інтерв'ю вже розбирають на цитати в профільному ком'юніті.

БД — це не завжди про базу даних, а таке собі скорочена назва веселої історії про спільну операції ФБР і київської прокуратури по затриманню злих хакерів .

SecureMurMur? Новий подкаст на тему кибербеза розбурхав українське ком'юніті. «Жовч, ненависть і злість індустрії кібербезпеки України» і досить милий контент. Що це: жарт чи анонсований киберудар Кремля? :)

06h > Аутро

...А «НеПетя» взяв і не прийшов.

? Попередній випуск: Information Security дайджест #9 .

Опубліковано: 30/06/18 @ 07:00
Розділ Безпека

SEO Блог