Дайджест создан в соавторстве с Егором Папышевым.
00h > Интро
Приветствуем! В этом выпуске: уязвимости в продуктах известных вендоров, организаторы NoNameCon запускают CFP, M.E.Doc снова в центре внимания.
01h > Горячее
Однозначно самое знаменательное и отчасти скандальное событие в отрасли информационной безопасности — обнародование уязвимостей в современных процессорах: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754. И публикация вариантов их эксплуатации (PDF): Meltdown, Spectre. Более подробно со всем этим можно разобраться, прочитав статьюребят из Project Zero. С наглядной демонстрацией использования Meltdown можно ознакомиться тут.
Отдельно стоит рассказать о драме, которая развернулась в сети после предложенных патчей, которые затрагивают производительность системы в целом. Очень много людей жаловалось на то, что после применения патчей совсем невозможно играть\работать\открыть терминал или упал сервер на AWS\Azure. Если некоторые жалобы были обоснованы лишь паникой и суетой, то патчи от Microsoft сделали свое темное дело, вследствие чего пропатченные OC перестали работатьна старых процессорах AMD, как собственно перестали грузиться и некоторые виртуалкина Azure.
02h > Около секьюрити
Организаторы NoNameConначали поиск докладчиков, открыв официальный CFP. Конференция обещает быть крутой, так что откладываем всё и спешим отправлять заявки! ;)
Все большее количество людей начинает интересовать приватность личных данных в сети, появляется много вендоров, которые обещают помочь в этом нелегком деле. Для того чтобы не запутаться во всем этом многообразии, рекомендуем посетить ресурс privacytools. Там можно найти описание продуктов, на которые стоит обратить внимание при выборе тех или иных технических средств.
Уже стало доброй традицией, что Россия оказывается в центре международного скандалас хакерами, взломом и экстрадицией.
Достаточно забавная новость о том, что ребята, которые разрабатывали криптолокеры, переходят на майнинг Monero, что в принципе не удивительно. На данный момент достаточно большое количество взломанных серверов, веб-ресурсов, персональных компьютеров устанавливают различные виды майнеров криптовалют.
Я думаю, что большинство наших читателей помнят плачевную ситуацию вокруг M.E.Docи роли этого вендора в масштабной атаке на инфраструктуру Украины. Судя по посту Sean Townsend — урок так и не был извлечен. У нас всего один вопрос: «Доколе?».
03h > Интересное
Пользователь Twitter YoptaScriptпишет, что разработал
Если раньше через поисковые системы находили админки IP камер, то с развитием технологий IoT будет не удивительным, если в ближайшее время можно будет заказать еду для человека, живущего на другом континенте, через открытую админпанель холодильника, которую проиндексировал Google, как, например, сейчас можно мониторитьсостояния системы терморегуляции помещения.
Очень интересный материал о нахождении и эксплуатации
04h > Уязвимости && Эксплоиты
Появилась свеженькая RCEв Oracle Weblogic, основанная на уязвимости в механизмах десериализации.
Также исследователи не обошли стороной и продукты Cisco, в результате чего выкатили в свет замечательную RCEпод Cisco IOS.
LPEна Linux системах через уязвимость в VMWare Workstation.
В современном мире, наверное, уже никого не удивить различными backdoor в продуктах мировых брендов. На этот раз оный был найден в
Уязвимостьв ОС Sony PS4 версии 4.05 позволяет сделать джейлбрейк и обойти механизмы защиты контента.
05h > Фан
Свой антивирусдля родителей предложил один из пользователей Twitter. Мы уверены, что в наших реалиях это также подойдет большинству пользователей ПК.
На фоне бурного обсуждения, какие CPU уязвимы к Spectre & MeltDown, а какие нет, эта картинкапредельно просто проясняет ситуацию.
06h > Аутро
Мы наблюдаем забавную тенденцию увеличения количества уязвимостей, эксплоитов, проблем с кибербезопасностью в продуктах известных брендов, которые годами могли бы эксплуатироваться злоумышленниками, организациями, государствами. Неужели в скором времени наш мир будет находиться в состоянии перманентной и всепоглощающей кибервойны на всех уровнях и во всех сферах жизни человека?
← Предыдущий выпуск: Information Security дайджест #6.