Information Security дайджест #11: взлом Facebook, лик в Telegram, уязвимая macOS Mojave, месяц кибербеза в Украине

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

Всем привет, мы вернулись после небольшого летнего перерыва с интересными новостями о событиях в области кибербеза в Украине и мире. Приятного погружения.

01h > Горячее

Топовой новостью, конечно, стал взлом Facebook. Утекли сессионные ключи плюс-минус 50-90миллионов пользователей. Их украли, используя уязвимость в функциональности «просмотреть как», то есть в возможности поглядеть на свой профиль глазами другого пользователя. Во что это выливается в итоге — пока не ясно. В Facebook заявили, что сторонние сервисы, в которые можно зайти через SSO, не были затронуты. Однако масса важных деталей пока в тени: стала ли достоянием третьих лиц ваша переписка, личная информация, какие либо приватные данные — неизвестно. В свою очередь, над компанией навис дамоклов мечв виде всевозможных штрафов и прочих санкций.

Увлекательное интервьюАрескина (Сергея, который Ar3s), в силу обстоятельств — человека, давно известного всей хакерской сцене на пост-СНГ и не только. Рассказ о том, как все здорово в итоге обошлось с его арестом и последующим следствием. Чудо.

Исследователь кибербезопасности Dhiraj Mishra обнаружилинтересный лик в некоторых десктопных версиях мессенджера Telegram, позволяющий вычислить собеседника по IP. После поднявшейся шумихи, не заставил себя ждать комментарий Дуровао том, что критичность уязвимости несколько преувеличена. Тем не менее ресерчер получил за находку вознаграждение 2000 евро (что эквивалентно примерно сорока критическим уязвимостям в инфраструктуре «Киевстар», которые эта телеком компания оценивает в 50 долларовведро).

02h > Около секьюрити

Небольшой скандалвозник вокруг размещенных в AppStore приложений известного в мире инфобеза вендора TrendMicro. Это случилось после вскрытия факта отправки этими приложениями персональных данных на сервера в Китае.

В Украине самый настоящий месяц кибербезопасности. Октябрь выдался богатым на профильные конференции. Из ближайших следует отметить ежегодную UISGCON14и приватную BSides Kyiv Autumn, в формате нон-стоп пати с контентом без цензуры. Следом за ними после небольшой передышки состоится OWASP Ukraine.

Отличный материал про кархакинг: ребята хакнули Tesla Model S. По их словам машины других вендоров, таких как McLaren, могут иметь схожие проблемы.

Год условно: таков приговор за взлом и несанкционированный доступ к базе пропусков в зону АТО (кстати, владельцем этого массива информации выступает СБУ). Детали вот тути еще тут.

03h > Интересное

Небольшой ресерч на тему DevOoops, а именно открытым /.git/* на веб-серверах.

В большой семье Cobalt, Fin7, MoneyTaker и прочих карбанаков — пополнение. Русскоязычная группировка Silence, состоящая из бывших вайтхетов и разочарованных пентестеров, успешно атакуетбанки в разных странах.

Концерт популярной группы Imagine Dragons в Киеве был омрачен кибер-скандалом. Злоумышленники с помощью фишингового сайта реализовали порядка полутора тысяч фейковых билетов, с которыми люди пришли на мероприятие. Тем не менее топорная и грубая работа начинающих фишеров вылезла им боком: в итоге всех повязаликиберкопы.

Спустя примерно месяц после презентации нового iPhone XS появилось сообщениеоб успешном джейлбрейке, реализованном китайской командой Pangu. Джейлбрейк работает через обход функции PAC, реализованной на новом чипе А12 Bionic.

Небольшая подборкаполезностей для начинающего исследователя дарк веба.

Аппаратная закладка в виде едва заметной микросхемы найденана системных платах серверов Elemental Technologies, которые использовали в Apple и Amazon. Поставку серверов с аппаратным бэкдором осуществляла известная компания Super Micro, а точнее — ее китайское подразделение. После публикации материала в Bloomberg, акции Super Micro тотчас рухнули в цене. Упоминается, что серверы с подарком от китайских хакеров поставлялись и в правительственные организации США.

04h > Уязвимости && Эксплоиты

ESET задетектилипервую в мире вредоносную кампанию с использованием руткита UEFI. Он входит в набор инструментов для установки на атакуемые устройства вредоносных обновлений прошивки и последующего внедрения малвари на более глубоком уровне. Исходя из анализа активности, руткит используется группой APT28 (известной под названиями Sofacy и Fancy Bear).

В новой macOS Mojave обнаружили уязвимость, позволяющую обойти ограничения безопасности и получить доступ к приватным данным, например к контактам в адресной книге. Исследователь Patrick Wardle, обнаруживший проблему, представит подробный доклад о ней на конференции Mac Security в ноябре.

В Твиттере компании Zerodium появилась информацияо серьезной уязвимости нулевого дня в браузере Tor 7.x, которую, собственно, компания Zerodium и перепродала правительственным заказчикам. Настораживает, и вот почему.

Новенький LPE эксплойт под актуальные версии ОС Windows был релизнут в паблик c не очень лестными заявлениями в сторону Microsoft. Автор эксплойта на данный момент ищет компаньона для путешествий, если верить его... её блогу.

05h > Фан

Что нужно знать про Боба, это то что, не стоит быть таким, как Боб :)

Немного про логику создания сложных паролей.

Армия без солдат. Про кибербезв Украине.

06h > Аутро

dHV0IG5pY2hlZ28gbmV0IGtyb21lIE5vcmZvbGs3
aHR0cHM6Ly9wcml2bm90ZS5jb20vWDlpdGFBMXg=

← Предыдущий выпуск: Information Security дайджест #10.
Следующий выпуск: Information Security дайджест #12→