Открытый код не терпит суеты.
Согласно статистике, большую часть сайтов взламывают благодаря уязвимостям. Причем эти уязвимости могут присутствовать в самых неожиданных компонентах.

На этой неделе исследователь с ником Polict описал способ атаки на ресурс с использованием популярной библиотеки TCPDF, позволяющей “на лету” генерировать PDF-файлы. В результате атаки злоумышленник получает возможность удаленного выполнения кода на скомпрометированном ресурсе.

Примечательно то, что уязвимость зарепортили еще в августе 2018 года, но лишь сейчас вышла долгожданная исправленная версия TCPDF.
Это еще раз доказывает, что процесс исправления ошибок в open source-проектах не особо отличается от историй вокруг проприетарного софта.

К тому же, практика показывает, что для предотвращения взломов недостаточно одного лишь выпуска новой версии, ведь сайты, использующие необновленную библиотеку будут существовать в сети еще долгие годы.
@In4security

Новый взгляд на конфиденциальность.

Пароли сотен миллионов пользователей Facebook и Instagram на протяжении нескольких лет хранились в компании в виде открытого текста и были доступны сотрудникам компании.

Когда думаешь, что Facebook уже ничем не может удивить, появляется вот такая новость. Впрочем, в компании Цукерберга не считают произошедшее чем-то из ряда вон выходящим. Мол, доказательств компрометации нет, а все остальное – инсинуации! Facebook планирует просто уведомить о данном факте пользователей, чьи пароли хранились подобным образом, полагая, что тем самым инцидент будет исчерпан.

Ну а нам остается менять пароли и радоваться, что Facebook не хранил их в Дропбоксе или другом облачном файлообменнике.
@In4security

The Good the Bad and the Ugly

Слово bank остается весьма популярным у тех, кто регистрирует домены, каждую неделю стабильно появляется несколько тысяч подобных имен.

Лидер на этой неделе не менялся, им остается "Сбербанк" с несколькими сотнями доменных имен. Большая часть из них  так или иначе связана с несуществующими бонусами и опросами, причем встречаются вполне любопытные варианты.

Возьмем, например, сайт sberbank.world, при попытке зайти на ресурс нас переадресовывает на http://dfbrtb566.site, где располагается классический мошеннический сайт, предлагающий до 3000 евро за ответы на вопросы. Все бы ничего, но на сайте нет ни одного упоминания "Сбербанка", зато написано, что опрос проводится компанией Control Service совместно с международной акцией почтовых сервисов. Неужели это вообще работает? Кстати, на сайте висит медаль с гордой надписью "Лучшая акция 2019 года".
Но есть и более интересные домены. Обратим внимание на зарегистрированный на этой неделе autovazbank.ru. Заголовок гласит: "Автовазбанк - официальный сайт", в футере же написано мелким шрифтом, что это "не официальный информационный сайт" (орфография оригинала сохранена). Но самое любопытное не это, а то, что АО «Автовазбанк» прекратило свое существование 7 марта этого года, став частью банка "Траст".

И о мировых трендах. Испаноязычная аудитория наверняка оценит появление доменов:
mundialbank2014.net
mundialbank2015.net
mundialbank2016.net
mundialbank2017.net
mundialbank2018.net
mundialbank2019.net

Интересно, почему отсчет ведется с 2014 года?
Также в сети были зарегистрированы недвусмысленные dropbank.sale и dumpbank.sale, думаем, не стоит объяснять, что такое дропы и дампы.

Кроме того, некто, уставший от банков, зарегистрировал доменные имена nobankplease.net и nobanksplease.net. Ну и апофеозом стало появление доменного имени badbankofindia.com
Видимо, и вправду неважный банк...
@In4security

Нечего скрывать.
Госучреждения в разных странах порой допускают совсем уж глупые случаи утечки информации. В России в последние дни не повезло пациентам: в Ростовской области просто выбросили на помойку карточки с их персональными данными, а в Липецкой пошли дальше и разместили данные пациентов (с диагнозами) на сайте госзакупок. Кстати, на портале госзакупок уже не первый раз по ошибке выкладывают нечто подобное.

Но нам трудно поспорить с заокеанской державой, ведь США умеют продемонстрировать всему миру свое желание быть первыми во всем. Даже в утечках персональных данных. Недавно выяснилось, что Федеральное агентство по управлению в чрезвычайных ситуациях случайно передало некоему подрядчику сведения о двух с половиной миллионах граждан, пострадавших от природных катаклизмов (включая и данные об их финансовом положении).

Иногда пословица о том, что беда не приходит одна, бывает вполне справедлива.
@In4security

Незапланированное обновление.

Вот живете вы спокойно, придумываете сложные пароли, пользуетесь антивирусами, файерволами, переходите только по безопасным ссылкам. Думаете, что вам ничего не угрожает? А вот и нет, если производитель вашего софта или железа не поступает так же.

На днях вскрылась схема со взломом сервера компании ASUS, в результате которого пользователи получили в место обновления софта троян-бекдор. ASUS стоически отреагировал на случившееся, сообщив лишь о том, что проблема решена. Но если она решена у  ASUS, это еще не значит, что она решена у их клиентов.

По имеющимся сведениям, троян вместо апдейта предположительно получило более миллиона пользователей ASUS. Но на данный момент выявлено всего порядка 600 MAC-адресов устройств, засветившихся в связи с данным незапланированным обновлением. Что интересно, часть из этих MAC-адресов не принадлежит продукции ASUS, так что кто прав, а кто виноват, еще предстоит узнать.

Что мы имеем в итоге? ASUS молчит и не отвечает на запросы журналистов. Точное число жертв до сих пор достоверно неизвестно. Интересно, как такой колоссальный удар скажется на репутации компании? Хотя в наш век утечек людей уже сложно чем-то удивить.
@In4security

Трудности перевода.

Сегодня на ряде зарубежных сайтов появилась новость о том, что украинский хакер заразил свой собственный сайт трояном-шифровальщиком. Если прочитать чуть дальше заголовка, становится понятно, что он не заражал свой сайт, а использовал администрируемые им ресурсы для распространения шифровальщика. Журналисты награждают этот троян эпитетом «wannacry-подобный» и пишут, что в подготовке материала им помогали Google.Translate и русскоязычный коллега по имени Олег.

В статье приводится даже число потерпевших – более миллиона в месяц. И вот эта цифра сразу настораживает – 1 миллион зашифрованных компьютеров в месяц – это эпидемия куда похлеще WannaCry, почему же о ней еще не раструбили на весь мир?

Видимо потому, что русскоговорящий Олег и Google не справились со своей задачей, ведь в исходном материале на украинском языке на сайте киберполиции Украины говорится не о трояне-шифровальщике, а о скрипте для майнинга криптовалюты, который злоумышленник размещал на управляемых им сайтах.

Вся эта история напоминает фильм «День радио», в котором баркас, перевозивший цирк-шапито, превратился в огромный плавучий зоопарк с редкими видами животных.
@In4security

Во Франции задержали банду топливных хакеров.

По ночам они подъезжали к небольшим заправкам, подключали к ним сервисный пульт и перекачивали топливо в свои баки. Похищенный бензин злоумышленники продавали, размещая объявления на форумах.

Таким образом им удалось украсть 120 тысяч литров топлива, заработав на этом порядка 150 тысяч евро.

Причина успеха злоумышленников крылась в том, что многие владельцы заправок не удосужились поменять пароли доступа к контроллерам управления насосом, оставив дефолтное значение 0000.

Как видите, безопасность АСУ ТП иногда не сильно отличается от вебкамер...
@In4security

Мечтают ли андроиды о доменных именах?
Что там у нас творится с доменами?
В целом, все как обычно. На первом месте уверенно идет Сбербанк с примерно тремя десятками доменных имен. Что характерно, доменные имена других банков из первой десятки рейтинга на этой неделе практически не попадаются. Даже удивительно. Зато в сбербанковских доменах есть любопытный улов.

Вот, например, сайт: http://sberbank-on.site/ - классический опрос-развод, который переадресовывает нас на ресурс https://pools2019.inf. Заметьте, мошенники освоили HTTPS и сертификаты от Let’s Encrypt. Как обычно бывает, благой в общем-то идеей стали активно пользоваться всякие проходимцы, и сейчас нужно с крайней осторожностью относиться к сертификатам, выданным Let’s Encrypt.

Из любопытного: кто-то зарегистрировал 39 доменных имен, содержащих слова Cypher bank. Ради чего все это было сделано, пока не понятно, посмотрим через пару недель, вдруг эти домены начнут использоваться?

Еще можно отметить некого любителя двоичной системы исчисления, зарегистрировавшего имена от best00001bank.site до best11111bank.site, использовав практически все комбинации нолей и единиц. Кто знает, может это скучающий электронный мозг?

Но пятница это точно не повод скучать, не правда ли?
@in4security

Первое апреля, никому не верь.
Как словить хайп на новости, интересной, по сути, только кругу профессионалов? Просто подменить понятия и придумать красивый заголовок.

Сегодня в одном уважаемом издании вышла статья о том, что персональные данные покупателей утекают на сторону. Виной всему перепрограммированные кассовые аппараты, отсылающие фискальные данные третьим лицам. Только вот фискальные данные не содержат ПД покупателей, в них присутствует максимум их email или телефон (в случае покупки через интернет), зато они содержат ПД продавца.

Эти сведения могут быть использованы в интересах конкурентной разведки, например, для оценки оборота торговой точки и т.д. Но людей не особо волнуют проблемы ритейлеров, а вот безопасность их собственных персональных данных их очень даже беспокоит. Так вот изящно авторы статьи подменили одно понятие другим.

Понятное дело, современные аналитические инструменты позволяют отслеживать в том числе и поведение покупателей, чем нередко промышляют сами операторы фискальных данных. Только вот утечками ФД из пары магазинов тут точно не обойтись, нужен комплексный анализ Big Data.

Хотя, конечно, факты, изложенные в статье, дают повод задуматься. Ведь речь идет как минимум о нарушении правил обработки фискальных данных, которые должны передаваться на сервер ОФД в зашифрованном виде. Но, как понимаете, хайп на этом не словишь.
@In4security

Британские хакеры сродни британским ученым.
В 2016 году 16-летний британец Элиотт Гантон взломал сервис TalkTalk. К тому же на его компьютере обнаружили детское порно. Его осудили и поместили под наблюдение. Согласно условиям программы предупреждения преступлений на сексуальной почве офицеры полиции периодически мониторили его компьютерную активность и проверяли содержимое ноутбука.

На протяжении двух лет Эллиот послушно предъявлял свой ноут стражам порядка. В ходе одного из таких визитов они обнаружили, что тот посещал хакерские форумы, но не придали этому особого значения. Полицейские не использовали никакого специального софта, а об их визитах Эллиоту было известно заранее, так что контроль носил формальный характер.

И даже в таких условиях Эллиот умудрился попасться. Во-первых, в один из визитов полицейские обнаружили у него на компьютере CCleaner. «Ну нет, этому парню нечего скрывать!» - подумали они, но осадочек остался. Во-вторых, копы стали замечать, что юноша как-то слишком хорошо живет, но при этом нигде не работает. Его мама сказала, что он целыми днями сидит у себя в комнате, сам же он пояснил, что играет на бирже и в течение трех лет станет миллионером.

В общем, полицейские решили на всякий случай исследовать его ноутбук в лаборатории, после чего вернулись к нему с обыском. На кухне обнаружился сейф, а в нем новый айфон, Rolex за 10000 фунтов и токен для доступа к криптокошельку, в котором обнаружилось более 100 тысяч долларов.

Теперь парня обвиняют сразу в нескольких преступлениях, включая отмывание денег. Так что через три года он вряд ли станет миллионером. Да и вообще, сколько лет… это теперь суд решит.
@In4security

Униженные и оскорбленные.
Нередко для того, чтобы подпортить кому-то жизнь, достаточно разместить телефон жертвы на каком-нибудь сайте бесплатных объявлений или нетрадиционных знакомств. В случае с публичными людьми все еще проще. Достаточно просто выложить их приватный телефон в общий доступ. Это сейчас и происходит на Украине.

Началось все с того, что журналистка принадлежащего Коломойскому канала «1+1» Ольга Василевская в эфире новостей обнародовала номер мобильного телефона Олега Ляшко, после чего тому посыпались тысячи звонков и СМС.

Ляшко обиделся и в ответ разместил в Фейсбуке телефоны Игоря Коломойского, Владимира Зеленского и главреда канала «1+1» Александра Ткаченко. Обиделись ли они – не знаем, но вот сама Василевская обиделась за то, что в своем сообщении Ляшко назвал ее идиоткой.

Теперь она грозится слить нецензурную переписку Ляшко с влюбленным в него однопартийцем, которая якобы хранится у нее уже 2 месяца. Ляшко уже оказывался в центре гей-скандала, поэтому сам факт переписки никого особо не удивил. Но согласитесь, интересно же, откуда она оказалась у Василевской, ведь статью 182 (Нарушение неприкосновенности частной жизни) Уголовного кодекса Украины пока вроде бы никто не отменял. Хотя кого волнуют такие мелочи?

Впрочем, если дело дойдет до публикации, можно будет попробовать докопаться и до источника утечки.
@In4security

Сегодня полиция Латвии отчиталась о задержании двух граждан, подозреваемых в изготовлении фальшивых паспортов и других документов. По информации полиции, злоумышленники успели продать в даркнете не менее 300 документов, отправляя их как в страны Евросоюза, так и за его пределы, например, в Израиль и Марокко.

В даркнете действительно можно найти немало подобных объявлений. Но если вы просто введете в поиске fake passport, то вы скорее всего наткнетесь на объявления «художников», делающих на заказ скриншоты с левыми документами. Эта услуга дешева и крайне востребована, например, для анонимной регистрации в платежных системах и других сервисах, требующих подтверждения личности. Впрочем, реальные поддельные документы тоже продают, и тоже недорого. См. скриншот.

Правда любая более-менее серьезная проверка полиции сразу выявит такую подделку. А вот настоящие паспорта или их качественные дубликаты, бьющиеся по всем базам, продают уже совсем за другие деньги.
@In4security

Зачем красть персональные данные, если они и так лежат под ногами?

Можно бесконечно смотреть на горящий огонь, текущую воду и… писать об утечках. Мы пишем о них примерно раз в неделю, но поверьте, масштабные утечки случаются буквально каждый день.

Насколько масштабные? Вот, например, в Китае за первые 3 месяца в открытый доступ попало 590 миллионов резюме, содержащих персональные данные соискателей. Не все сразу, конечно, а постепенно, партиями по десятку-другому миллионов.

Причина банальна: хэдхантинговые фирмы забывали правильно настроить права доступа к базам данных, в результате чего те оказывались в свободном доступе.

Самая крупная утекшая база содержала сведения о 129 миллионах граждан КНР (для сравнения: население России – примерно 147 миллионов человек).

Впрочем, новость об утечке из КНР прошла практически незамеченной на фоне информации о том, что благодаря беспечности двух разработчиков мобильных приложений данные 540 миллионов пользователей Facebook хранились в облаке в открытом виде.

И запомните слова пророчества: Facebook нас еще неоднократно удивит.
@In4security

Основатель компании Devicelock Ашот Оганесян ведет в Телеграме канал об утечках  @dataleak.
Интересно, напишет ли он о том, что учетка его сотрудника в открытом виде утекла на GitHub?
Отличная реклама для компании, разрабатывающей DLP! Впрочем, последовавшее за публикацией утечки оправдание DeviceLock не менее эпично. Мол, ничего важного не утекло, и ладно.

Весна на Дону.
Сегодня на небезызвестном форуме phreaker.pro, том самом, где ранее слили список сотрудников Сбербанка, выложили сразу несколько любопытных баз данных, имеющих отношение к Ростовской области.

В свободном доступе оказались:
- список людей, уклонявшихся от призыва в 2013, 2014 годах;
- список зарегистрированных в Ростовской области пенсионеров МВД, датированный 2017 годом;
- книга учета сообщений о преступлениях (с 2007 по 2014 год);
- список иностранцев, просрочивших срок пребывания на территории Ростовской области (с 2010 по 2014 год);
- список получатели субсидий на сельское хозяйство в 2012-2014 годах.

Базы, конечно, не самые свежие, но поверьте, различного рода «умельцы» сумеют найти им применение. Не говоря уж о том, что эти базы содержат персональные данные десятков тысяч человек, в том числе 20 тысяч бывших сотрудников полиции, которые за время своей работы могли нажить себе немало врагов.

Интересно, что все базы за исключением последней имеют отношение к правоохранительным органам, так что можем предположить, что утечка произошла не без помощи действующих или бывших сотрудников полиции.

В любом случае, думаем, что ГУ МВД по Ростовской области теперь ждет внеплановая проверка.
@In4security

Передовые технологии на службе журналистики
Судя по всему, привлекать профессиональных консультантов при написании материала в наш век считается моветоном. И пока мы пишем об утечках информации, некоторые особо талантливые журналисты делают вид, что этих утечек не было. Почему? Да просто потому, что они не смогли установить TOR Browser и найти в даркнете соответствующие объявления!  Забавный анализ ситуации в материале на TJournal: https://tjournal.ru/flood/92513-peredovye-tehnologii-na-sluzhbe-zhurnalistiki @In4security

Иногда хакеры, которым приписывают громкие взломы, на деле оказываются школьниками-недоучками.

Достаточно просто брать на себя ответственность за всякие громкие инциденты или вовсе самим выдумывать их. А дальше слава будет сама распространяться по свету.
Именно такие люди судя по всему стоят за громким «взломом» базы данных московской скорой помощи.

Подробности в материале: https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
@In4security

Свержение монарха.
Любопытные новости из Великобритании. Сегодня там огласили приговор 24-летнему хакеру Зэйну Кайзеру, заработавшему более 500 тысяч фунтов на винлокерах, которыми он заражал компьютеры посетителей порносайтов.

Молодой человек жил на широкую ногу. Он купил себе часы Rolex, останавливался в дорогих отелях, активно тратил деньги на азартные игры.

Самого себя Зэйн именовал не иначе как «Королем интернета» ('K!NG of the internet').

Но что за история без участия русских хакеров? По сообщениям британской полиции Зэйн являлся участником российской преступной группы, специализирующейся на использовании троянов-локеров. Но интуиция подсказывает, что незадачливый студент скорее всего просто купил у них образец трояна. Согласно материалам суда, для загрузки вредоносных программ на компьютеры жертв Зэйн использовал некогда популярный набор эксплойтов Angler.

В процессе расследования Кайзер (у которого и раньше были проблемы с законом) пытался сойти за психа, но не вышло. Вердикт суда – 6 с половиной лет за решеткой.

Посетители порносайтов по всему миру вздохнули с облегчением, а интернет на ближайшие 6 лет остался без короля.
@In4security

В соцсетях появилась интересная схема. Некие лица предлагают поучаствовать в проекте по «переобувке» каршеринговых машин на летнюю резину, в связи с чем набирают водителей, обещая заплатить им по 180 рублей за каждую перегнанную машину. От водителей требуется заполнить анкету и прислать свое фото с паспортом. Яндекс и Делимобиль уже опровергли проведение такой акции и настоятельно порекомендовали не отправлять свои персональные данные.
Зато эту схему активно форсит Александр Дунюшин, бизнес-тренер и муниципальный депутат из Санкт-Петербурга, вплоть до того, что лично рассылает сообщения с подобным предложением. Остается лишь надеяться на то, что Александр стал невинной жертвой мошенников, решивших использовать его «в темную», и сам верит в реальность этой «акции».

Помните, участие в сомнительных акциях может не только лишить вас денег, но и подмочить вашу репутацию.
@In4security

Сегодня в СМИ вышел материал о том, что данные 120 тысяч банковских клиентов попали в сеть Интернет. Речь идет о так называемом черном списке отказников по антиотмывочному законодательству, составляемом ЦБ.

Эксперты спорят о том, кто стоит за публикацией, Центробанк и Росфинмониторинг отвергают возможность утечки базы с их ресурсов.

При этом нужно заметить, что на сайте Росфинмониторинга любой желающий может получить доступ к перечню организаций и лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму. Поиск выдает информацию, позволяющую достаточно точно идентифицировать лицо или организацию, причем записи можно искать даже банально по порядковому номеру в списке.

Так что при наличии желания и определенного упорства данные поисковой выдачи можно без особых проблем спарсить.
@In4security