00h > Интро
В выпуске: ханипоты по-нашему, отшумел UISGCON13, разведение кроликов, WPA садись Два, NoNameCon спойлеры, очередное решето в MS Office и многое другое. Здравствуйте, друзья!
01h > Горячее
Как всегда, неожиданно, 24 октября, произошла атака вируса шифровальщика версии Diskcoder.D (Bad Rabbit) на инфраструктуру государственных (в большей степени) и частных (в значительно меньшей) компаний. СБУ, КиберПолиция, CERT-UAтут же наплодили отчетов, разной степени вменяемости и не похожих друг на друга. Причем сначала писали почему-то про Locky и ботнет Necurs, потом посмотрели аналитику ESET, CISCO TALOSи другихвзрослых, ну и решили поддержать тренд. На самом деле даже средней руки ресечер может провести явные параллели с атакой от 27 июня, маскировкой вектора под «drive-by-download» тогда и сейчас, сложить 1+1 и понять, что целью была именно Украина, атаку реализовала одна и та же группа, а реальный вектор до сих пор неизвестен. Кстати, табличка, как вишенка на торте. Ня ^_^!
02h > Околосекурити
Долго сомневался, что же вынести в ТОП рубрики. Прежде всего, это собственно про сам дайджест: мы вернулись. Я говорю мы, потому как теперь пишу этот материал в соавторстве с киберсекьюрити специалистом — Павлом.
Ханипоты. У ребят, известных под названием CERT-UA, есть свой рецепт по наливанию меда в горшочки. Они оставили учетные данные к своему SMTP серверу в открытом виде. Пароль легко «угадывался между строк», скажем так. Основное обсуждение крутилосьна Facebook. Стоит отдать должное самому CERT-UA: они хоть и с небольшим опозданием, но опубликовали новостьоб инциденте, с пояснением что к чему. И да, это был не ханипот.
В Киеве состоялась очередная, ежегодная конференция по информационной и кибербезопасности, UISGCON13. Было здорово, как всегда. Выступала тетя Ким Зеттер (написавшая книжку про Stuxnet), дядьки из CISCO TALOS (которые дезинтегрировали атаку NotPetya на молекулы) и другие. По горячим следам вышел уютный репортажик. Говорят, под конец w8hat пили на брудершафт с блэками, но это не точно.
Лаборатория Касперского, в очередной раз, оказалась в центре международного шпионско-хакерского скандала. Подробнее глядите в статье NYT. Спецслужбы Израиля поймали за руку обруганцев. Сам Евгений сообщил, что случайно получилось. И еще раз сообщилв стиле #ихтамнет. Думается, что после всего этого, путь продукта Касперского на рынки США и Европы «заказан».
Некие организаторы заспойлерили подготовку новой, тематической конфы. Пока известно только вот. Похоже, это будет гремучая смесь BruCON и Defcon. Два дня, в формате одного потока, с разбивкой на «защиту-нападение». Без лирики, много практики и воркшопов. В Украине? Да.
Не только лишь все пойдут на мероприятие от OWASP Lviv chapter, 18 ноября. Говорить будут про интересное, детали можно найти тут.
03h > Статьи
Google Project Zero продолжает радовать отличными техническими статьями. На этот раз продолжение цикла «Over The Air», эксплуатацияуязвимостей в Wi-Fi стеке девайсов Apple. Всячески рекомендуем этот ресурс.
Довольно любопытный материалпро эксплуатацию BLE в игрушках для взрослых. Авторы вводят новый термин «screwdriving», цитата: «hunting for Bluetooth adult toys = screwdriving». Готовящимся к сдаче CEHv10 стоит взять на заметку новый термин, а любителям хай-енд девайсов для пикантных развлечений — начинать искать контакты консультантов по ИБ. Кстати! Представляете спрос в магазинах «интим» у метро, когда там появятся «защищенные» девайсы? Я просто не могу удержать в голове волну идей для страп... сорри, стартапов на этой невспаханной почве.
Решения в области информационной безопасности тоже могут быть не вполне безопасными. Например, в этой статьерассказывают о том, как можно узнать IP сервера, спрятанного за CloudFlare.
04h > Уязвимости & эксплоиты
Целый ряд уязвимостей WPA2 был опубликованисследователем Mathy Vanhoef, техника эксплуатации данных уязвимостей названа KRACK.
В продуктах от Microsoft найдены неприятные уязвимости, так MS Outlook не шифровал отправляемые S/MIME письма, подробнее тут. А в MS Office обнаружена опасная RCE. Важно отметить, что в Outlook эта DDE атака тоже интереснореализовывается. Тема очень актуальна прямо сейчас, юзерам указанных продуктов есть от чего напрягаться.
В MSF добавлен эксплоитпод Apache Tomcat, позволяющий выполнять произвольный код на уязвимом сервере, что несомненно будет «радовать» коллег из Индии еще не один месяц.
Новенький LPE эксплоитпод ядро Linux 4.14.0-rc4+ может помочь таки получить вожделенный «uid=0(root)» начинающим скрипткидди и прочим советникам.
05h > Фан
Мировое сообщество активно и с юмором отреагировало на приключения ЛК в сетях NSA, нам больше всего понравился этотпост.
Маленькие любители анархии и хактивизма уже начали смотреть новый сезон Mr. Robot, стартовавший в октябре 2017, обещающий быть не менее интересным и трешовым.
Иранские хакеры атаковали Deloitteчерез фейковый профиль тян в Facebook. Вообще данный прием пользуется популярностью не только у хакеров, но также и сотрудников «органов» различных сортов, будьте бдительны.
06h > Аутро
Хотим сказать большое спасибо всем читателям! Если у вас есть замечания, предложения к формату дайджеста или интересный материал, который вы бы хотели видеть в следующих выпусках — пишите в комментариях или в личных сообщениях. Будем рады конструктивному общению ;)
← Предыдущий выпуск: Information Security дайджест #4.