В выпуске: баги и фичи системы электронного декларирования, интересные новости для держателей платежных карт, скрипт-кидди-пентест для Киевстар, дефейс сайта МИД Украины, обход SQRL-аутентификации, голосовая верификация клиентов, след спецслужб во взломе Telegram, удар Анонимного Интернационала по Ростелекому, неизвестный вирус шагает по планете и многое другое.
Инциденты и угрозы ИБ
Ввод в эксплуатацию (?) системы электронного декларирования, которая в свою очередь является достаточно статусным и стратегическим проектом, породил целую бурю скандалов и обсуждениена профильном ресурсе (есть толковые комментарии), с разбором кода и уязвимостей. Проблема, прежде всего, кроется в выполненных «не в полном объеме» требованиях регулятора к информационной безопасности. ГСССЗИ Украины не дает соответствующий аппрув, СМИ массово пишут противоречивые статьи, чиновники дают сумбурные и смешные комментарии, волна дошла аж до СНБО. Сочувствующие разделились на два лагеря: в одном те, кто считает действия заинтересованных при власти — саботажем. Другие справедливо кивают на значительные недостатки системы. Затем зашевелились стейкхолдеры. Истина, как всегда, где-то посередине и, наверное, каждый вынес что-то для себя из этой истории.
Энтузиаст выявил серьезную уязвимостьв веб-сервисе оператора Киевстар, позволяющую достаточно просто получить полный контроль над управлением номерами других абонентов через личный кабинет. Историяпородила философиюоб отсутствии вайтхетов в Украине, с комментарием инсайдера компании и обещанием bug bounty-программы. Ответ на утверждение о вайтхетах не заставил себя долго ждать.
Побег из тюрьмы Microsoft. Неустранимая фича в механизме Secure Boot позволяет полностью его обойти. Описание выложили исследователи на специальном сайте. Профильная новость тут.
ProjectSauron aka Strider — мощная таргетированная атака класса APT будоражит лучшие умы, исследовательские изысканиярастут, как грибы после дождя.
Новые горизонтыдля хакеров из pravy sector. На этот раз, целью стал медицинский центр урологии, расположенный в Огайо, США. О причинах выбора цели атаки можно только догадываться (равно как и о будущих жертвах). Украдено более двухсот гигабайт конфиденциальной информации, впоследствии размещенной в публичный доступ.
Тем временем, группа Анонимный Интернационал неустанно бьет по больным местам российских чиновников и владельцев российского бизнеса. На этот раз скомпрометированы данныеличной переписки одного из ТОП-ов компании Ростелеком (бывшего замминистра связи РФ). Следующим под удар попалчлен правления ПАО Россети, массив деловой (и не только) переписки которого был так же выставлен на продажу. В далекой Сызрани, а точнее — в городском управлении по молодежной политике и туризму, тоже не все ладно.
Вражеские хакеры не в ударе: самым большим их достижением стал кратковременный дефейсодного из разделов сайта МИД Украины, с размещением там сообщений уровня «заборной» лексики.
О крупном взломе мессенджера Telegram сообщилиэксперты по кибербезопасности. В результате раскрыты порядка 15 миллионов телефонных номеров пользователей в Иране. В самой компании прокомментировалиинцидент, указав на не критичность раскрытых данных, и сообщили о закрытии уязвимости. Исследователи полагают, что реализация механизма раскрытия номеров пользователей невозможна без взаимодействия мобильных операторов конкретной страны с государственными органами.
Аутентификация с использованием SQRL небезопасна. Технические детали о новом векторе атаки с помощью социальной инженерии QRLJacking можно найти на OWASP.
Уязвимость сервиса card2card банка Tinkoff позволяла получать данные о состоянии баланса карточного счета клиентов. Разбор полетовдает повод задуматься о должном обеспечении секьюрности наших собственных конфиденциальных данных теми сторонами и поставщиками услуг, которым мы эти данные доверяем.
Эксплоиты EPICBANANA и ExtraBaconпозволяют эксплуатировать уязвимости в межсетевых экранах Cisco и выполнить произвольный код в системе.
Новый метод атаки на кеш ARM-процессоров, использующихся в Android-устройствах, позволяет обойти защиту ARM TrustZone и произвести перехват нажатий на экран владельцев смартфонов и планшетов на Android. По ссылкедоступен соответствующий доклад.
Спуфинг в Chrome и Firefox: обнаруженнаяв браузерах уязвимость дает возможность подменять URL в адресной строке.
Проблема «FalseCONNECT»: ошибки в реализации процедур прокси-аутентификации различных вендоров позволяют осуществлять MitM-атаку и перехватывать HTTPS-трафик. Наличие проблемы признали Apple, Oracle, Opera и Microsoft.
Через уязвимость в vBulletin похищены некоторые данные (среди которых логины, хеши паролей и адреса электронной почты) порядка двух миллионов пользователей форума Dota 2 Dev. Новость об этом опубликовалаадминистрация ресурса.
Околосекьюрные новости
С 1 августа в Украине начал действовать принцип «нулевой ответственности» для держателей банковских карт. Что об этом нужно знать клиенту? Подробности на сайтеукраинской межбанковской Ассоциации членов платежных систем.
Институт стандартов и технологий США (NIST) выступил за отказот использования SMS-сообщений в качестве этапа двухфакторной аутентификации: такой способ будет запрещен стандартом Digtial Authentication Guideline как небезопасный. Учитывая авторитет данного стандарта и его использование многими госучреждениями США, этот факт может повлиять на подходы к построению систем ИБ в ближайшей перспективе.
Платежное мошенничество в Украине: в виде инфографики опубликованыстатистические данные за второй квартал 2016 года.
Департамент киберполиции Национальной полиции Украины сообщает о раскрытиигруппировки мошенников, создававших фиктивные интернет-магазины, задержании кардеровв Одесской области и ликвидацииочередной сети порностудий.
Процесс внедрения голосовой биометрии в одном из банков — для подтверждения личностей клиентов при обращении по телефону — описан в интересной статье. Приведена архитектура решения, особенности и ошибки внедрения, борьба с фродом и процесс регистрации и верификации голосового эталона.
Pandalabs выпустила отчетза второй квартал 2016. Согласно документу, шифровальщики возглавляют список кибер-атак.
Полезности безопаснику
На конференции Black Hat представлен набор инструментов, упрощающих жизнь злоумышленникам и не только, использующим социальную инженерию. Datasploit в автоматическом режиме ищет максимум данных потенциальной жертвы в открытых источниках.
Системы обработки данных при проведении тестов на проникновение: обзор специализированных фреймворков для пентестеров доступен в статье.
Бесплатный инструментдля восстановления доступа к данным, зашифрованным зловредами-вымогателями.
Вишинг: приемы телефонных мошенников и как им противостоять. Занимательная инфографикаот ЕМА.
Анонсы мероприятий
Конференция по информационной безопасности Security BSides пройдет в Одессе 27 августа. Подробности мероприятия в календареи на официальном сайте. Мероприятие бесплатно для посетителей.
Однодневный workshop IT Security Talk состоится в Харькове. Детали о мероприятии на сайтеи в календаре DOU.
Юмор
Описанием интереснейшего кросс-платформенного вируса, который не обнаруживается распространенным антивирусным ПО, поделилсячитатель DOU. Активация зловреда происходит при скачивании любого файла из Сети. Вирус немедленно деактивирует текущее Wi-Fi-соединение, подменяет нажатия клавиш, самостоятельно заполняет данными поля ввода на формах и Бог знает что делает еще: реверс-инжиниринг пока не дал полной картины. Эксперты полагают, что вирус записывается прямо в сигнальные дорожки на клавиатуре.
«Bluetooth-вибраторы шпионят за пользователями и докладывают производителю»: под таким заголовком вышла статья на одном из специализированных ресурсов. О подверженных атакам интимных устройствах можно узнать в опубликованномматериале.
Коротко о карьере безопасника:
← Предыдущий выпуск: Information Security дайджест #0.