Information Security дайджест #11: злом Facebook, лик в Telegram, вразлива macOS Mojave, місяць кибербеза в Україні

Дайджест створено у співавторстві з Єгором Папышевым .

00h > Інтро

Всім привіт, ми повернулися після невеликого літньої перерви з цікавими новинами про події в області кибербеза в Україні та світі. Приємного занурення.

01h > Гаряче

Топовою новиною, звичайно, став злом Facebook . Витекли сеансові ключі плюс-мінус 50-90 мільйонів користувачів. Їх вкрали , використовуючи уразливість в функціональності «переглянути», тобто в можливості подивитися на свій профіль очима іншого користувача. У що це виливається в підсумку — поки не ясно. В Facebook заявили , що сторонні сервіси, в які можна зайти через SSO, не були порушені. Однак маса важливих деталей поки у тіні чи стала надбанням третіх осіб ваше листування, особиста інформація, якісь приватні дані — невідомо. У свою чергу, над компанією навис дамоклів меч у вигляді всіляких штрафів та інших санкцій.

Захоплююче інтерв'ю Арескина (Сергія, який Ar3s), в силу обставин — людини, давно відомого всій хакерської сцені на пост-СНД і не тільки. Розповідь про те, як все здорово у підсумку обійшлося з його арештом і подальшим наслідком. Диво.

Дослідник кібербезпеки Dhiraj Mishra виявив цікавий лик в деяких десктопних версій месенджера Telegram, що дозволяє обчислити співрозмовника по IP. Після піднятого галасу, не змусив себе чекати коментар Дурова про те, що критичність уразливості дещо перебільшена. Тим не менш ресерчер отримав винагороду за знахідку 2000 євро (що еквівалентно приблизно сорока критичних вразливостей в інфраструктурі «Київстар», які ця телеком компанія оцінює в 50 доларів відро).

02h > Близько сек'юріті

Невеликий скандал виник навколо розміщених в AppStore додатків відомого в світі инфобеза вендора TrendMicro. Це сталося після розкриття факту відправки цими додатками персональних даних на сервер в Китаї.

В Україні справжній місяць кібербезпеки. Жовтень видався багатим на профільні конференції. З найближчих слід зазначити щорічну UISGCON14 і приватну BSides Kyiv Autumn , в форматі нон-стоп паті з контентом без цензури. Слідом за ними після невеликого перепочинку відбудеться OWASP Ukraine .

Відмінний матеріал про кархакинг: хлопці хакнули Tesla Model S. За їх словами машини інших вендорів, таких як McLaren, можуть мати схожі проблеми.

Рік умовно-такий вирок за злом і несанкціонований доступ до бази пропусків у зону АТО (до речі, власником цього масиву інформації виступає СБУ). Деталі ось тут і ще тут .

03h > Цікаве

Невеликий ресерч на тему DevOoops, а саме відкритим /.git/* на веб-серверах .

У великій родині Cobalt, Fin7, MoneyTaker та інших карбанаков — поповнення. Російськомовна угруповання Silence, яка складається з колишніх вайтхетов і розчарованих пентестеров, успішно атакує банки в різних країнах.

Концерт популярної групи Imagine Dragons в Києві був затьмарений кібер-скандалом . Зловмисники за допомогою фішингових сайтів реалізували близько півтора тисяч фейкових квитків, з якими люди прийшли на захід. Тим не менш незграбна і груба робота початківців фішерів виліз їм боком: у результаті всіх пов'язали киберкопы.

Приблизно через місяць після презентації нового iPhone XS про успішне джейлбрейке, реалізованому китайською командою Pangu. Джейлбрейк працює через обхід функції PAC, реалізованої на новому чіпі А12 Bionic.

Невелика підбірка корисностей для початківця дослідника дарк веба.

Апаратна закладка у вигляді ледь помітної мікросхеми знайдена на системних платах серверів Elemental Technologies, які використовували в Apple і Amazon. Постачання серверів з апаратним бекдорів здійснювала відома компанія Super Micro, а точніше — її китайське підрозділ. Після публікації матеріалу в Bloomberg, акції Super Micro негайно впали в ціні . Згадується, що сервери з подарунком від китайських хакерів поставлялися і урядові організації США.

04h > Уразливості && Експлоїти

ESET задетектили першу в світі шкідливу кампанію з використанням руткіта UEFI. Він входить у набір інструментів для установки на атаковані пристрою шкідливих оновлень прошивки та подальшого впровадження малварі на більш глибокому рівні. Виходячи з аналізу активності, руткіт використовується групою APT28 (відомої під назвами Sofacy і Fancy Bear).

У новій macOS Mojave виявили уразливість , що дозволяє обійти обмеження безпеки і отримати доступ до приватних даних, наприклад до контактів в адресній книзі. Дослідник Patrick Wardle, виявив проблему, представить докладний доповідь про неї на конференції Mac Security в листопаді.

У Твіттері компанії Zerodium про серйозну уразливість нульового дня у браузері Tor 7.x, яку, власне, компанія Zerodium і перепродала урядовим замовникам. Насторожує, і ось чому .

Новенький LPE експлойт під актуальні версії ОС Windows релизнут в паблік c не дуже втішними заявами у бік Microsoft. Автор експлойта на даний момент шукає компаньйона для подорожей, якщо вірити його... її блогу.

05h > Фан

Що потрібно знати , це те, що не варто бути таким, як Боб :)

Трохи про логіку створення .

Армія без солдатів. Про кибербез в Україні.

06h > Аутро

dHV0IG5pY2hlZ28gbmV0IGtyb21lIE5vcmzvbgs3
aHR0cHM6Ly9wcml2bm90ZS5jb20vWDlpdgfbmxg=


? Попередній випуск: Information Security дайджест #10 .
Наступний випуск: Information Security дайджест #12 ?

Опубліковано: 06/10/18 @ 11:12
Розділ Безпека Блоги

Рекомендуємо:

C++ дайджест #8: Qt та Unit tests
DOU Labs: як в EPAM створили Delivery Platform – акселератор для старту проектів
Финстрип за Вересень 2018. 83К
DOU Books: 5 книжок для тих, хто не боїться жити, від Василя Ульянова, співзасновник Genesis
DOU Проектор: Software Riot — гра-платформер про програміста, що рятує офіс від комп'ютерного вірусу