Тучи над Телеграмом сгущаются и учитывая специфику нашей специальности, доступ к информации остается для всех нас высшим приоритетом, также, как конфиденциальность, целостно... Бррррр. В конце концов мы информационной безопасностью занимаемся, а не тапочки вяжем.

Поэтому мы решили опубликовать подборку лучших на наш взгляд авторских каналов по ИБ, которые заставят вас открывать приложение еще чаще. Но это не точно.

Пишите нам в @cybrsht_bot, если мы упустили кого-то очень крутого. Поехали:

● Канал нашей хорошей знакомой @informhardening, занимается тестированием на проникновение. Все строго, полезно и по делу. Девушка в пентестинге? Скорее подписываться!

● Канал @vulns — Максим большой любитель поучаствовать в bugbounty программе от mаil.ру и в целом занимается веб-безопасностью, а за небольшое вознаграждение даже оказывает услуги в этом направлении ;)

● Канал @webpwn — тут все просто, кто не знает Антона (i_bo0om)? Эксперт в области презентаций на тетрадных листах.

● Канал @alexmakus. Знаем Лешу еще со времен телеком тусовок, когда он занимался мобильной журналистикой. Неплохой новостной канал с его мыслями о происходящем вокруг.

● @bykvaadm — DevOps, администрирование и немного ИБ.

● @w2hack — Достаточно молодой канал по ИБ. Ваня привет :)

● Стоит ли упоминать о @alukatsky? Там у него в основном репосты из твиттера идут, но вдруг пригодится  :/

● Ребята из Ачата сделали из своего канала агрегатор — @antichat

● Каналы @R0_Crew и @canyoupwnme — полезные Infosec ссылки.

Ребята, если вам не поИБ на сами знаете что, подписывайтесь на интересные вам каналы и поддержите труды их авторов. Сделаем наше комьюнити чуточку сильнее и шире ❤️

Телеграм. Спасибо, что живой.

Только посмотрите какой симпатичный Windows-бекдор на python с возможностью управления через телеграм. Ня

https://github.com/mehulj94/BrainDamage

Умные девайсы могу общаться друг с другом без ведома их владельцев. Смелое заявление?

Исследователи из Китая и США доказали, что умным устройствам можно отправлять скрытые команды, неуловимые для человеческого уха. Например во время проигрывания песни. Для человека это будет лишь белый шум.

По факту, злоумышленник, получивший доступ к умному устройству, может отправить сигнал смартфону сделать пару фотографий или отправить смс, а может и еще чего придумает.

Нужно понимать, что речь идет только об устройствах с активным микрофоном и "способных слушать".

Источники:
[EN] https://www.nytimes.com/2018/05/10/technology/alexa-siri-hidden-command-audio-attacks.html
[RU] https://republic.ru/posts/90807

В качестве доказательства прошлогоднее видео-исследование на эту тему. Уже сегодня у ребят получилось отдавать команды на расстоянии до 8 метров!

https://youtu.be/21HjF4A3WE4

Брутфорс будет популярен до тех пора, пока мы все будем использовать парольную аутентификацию.

А в виду того, что сейчас почти повсеместно используется именно она, предлагаем к ознакомлению материал с демонстрацией типов аутентификации для веб-приложений.

Кстати, чуваки в своих материалах используют собственный софт, поэтому если кто-то захочет попробовать что-то новенькое, отличное от старого-доброго Burp или Fiddler - велкам, софт бесплатный.

https://secapps.com/blog/2018/03/how-to-make-a-password-cracker

​Уже завтра стартует первый день PHDays. Надеемся организаторы продолжат держать планку и не превратят одно из знаковых российских мероприятий в аншлаг.

Всем по возможности быть! А в качестве бонуса, во время форума можно будет найти наши сувенирные наклейки, которые к слову получились очень вкусные :)

До встречи на PHDays! ❤️

RCE в DHCP клиенте RHEL 6 и 7 версий, например, с блатным  номерком - CVE-2018-1111

Info - https://access.redhat.com/security/vulnerabilities/3442151
PoC - https://twitter.com/Barknkilic/status/996470756283486209

​​Доброго и солнечного!

Verizon выпустила свой отчет за последние 12 месяцев на основании 53308 инцидентов из 65 стран.

Вообще подобные документы — отличный материал для разных групп специалистов. ИБшникам — стимул взбодриться. Вышел отчет - назначили планерку, пробежались по угрозам, наложили на модель организации, занялись своими непосредственными обязанностями. Profit. Сейлам — обоснование для продаж, заказчикам — обоснование закупок и пр. Главное только правильно к этому подойти.

Несколько тезисов из отчета:

● Самое распространенное вредоносное ПО — вирусы вымогатели;
● Самые распространенные типы файлов — js и vbs;
● Самый популярный вектор — Email;
● 73% атак реализованы внешними злоумышленниками;
● Торговые сети страдают от атак на веб-приложения;
● В 66% инцидентов потребовалось больше месяца для их обнаружения;

Executive Summary

Полная версия отчета

​Небольшая мотивашка для реверсеров: Как 18 летний парень из Уругвая раскрутил Google App Engine на RCE стоимостью $36337

Зависть :)

https://sites.google.com/site/testsitehacking/-36k-google-app-engine-rce

​​Там китайцы из Keen Security Lab (любители поломать теслы) похекали автомобили BMW, выпущенные с 2012 года. Это серии автомобилей i, X, 3, 5, 7.

Ребята нашли 14 уязвимостей, часть из которых эксплуатируются лишь получив физический доступ к авто (USB и OBD-II), но еще шесть - удаленно, используя Bluetooth или местную сотовую связь.

Автопроизводитель уже занялся устранением проблем, а чуваков хотят привлечь (нет, не к отвественности, они же "этичные" хакеры) к сотрудничеству на постоянной основе.

[EN] https://keenlab.tencent.com/en/2018/05/22/New-CarHacking-Research-by-KeenLab-Experimental-Security-Assessment-of-BMW-Cars/#more
[RU] https://xakep.ru/2018/05/23/bmw-flaws/
Отчет: https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf

Кажется банкам пора пересмотреть свою модель угроз

​​​Прямо сейчас на конференции Яндекса "Yet another conference 2018" компания представила свою умную колонку с голосовым помощником "Алиса". В гаджете установлено аж семь микрофонов, а стоимость составляет 9990 рублей.

России нужен свой товарищ майор в каждом доме. :)

А между тем в Европе сейчас идет активное обсуждение системы eCall, которая обязует автопроизводителей встраивать микрофон во все новые автомобили, продающиеся в Европе с апреля 2018 года.

Делается это естественно, чтобы обеспечить незамедлительную реакцию в случае ДТП.

По некоторым оценкам, eCall может сократить время реагирования на чрезвычайные ситуации на 40 процентов в городских районах и на 50 процентов в сельских районах.

https://en.wikipedia.org/wiki/ECall

А вы что Думаете?

👍🏻 - Безопасненько, о людях думают.
✂️ - Киберпиздец близко! Будем резать провода!

Чтобы не скучали:

RCE в Steam клиенте — https://www.contextis.com/blog/frag-grenade-a-remote-code-execution-vulnerability-in-the-steam-client

Рассказ о принципах работы кибердетектива — https://habr.com/company/innopolis_university/blog/412743/

Свеженькая статья на хабре про CSRF - принцип работы, актуальность, сценарии обхода.

https://habr.com/company/oleg-bunin/blog/412855/

​​​​​​Несколько минут назад завершилась презентация Apple WWDC 2018. Купертиновцы представили новую ОС с кодовым названием macOS Mojave, релиз которой намечен на конец года.

Из новых фишек безопасности:

- В macOS можно будет выбрать к каким компонентам системы вы предоставляете доступ. Например разрешить приложению доступ к вашей геолокации, но запретить использование микрофона, камеры или системных cookies.

- Для Safari пообещали улучшенные механизмы защиты от отслеживания с помощью cookies, социальных кнопок и пр. данных вроде разрешения экрана, языка системы или установленных шрифтов.

- End-to-end шифрование даже для групповых чатов в Facetime.

- Много парольных изменений для iOS: возможность обмена паролями между устройствами, Password Manager API, автозаполнение с смс-подтверждением, хранение паролей в iCloud KeyChain и пр. Про биометрию не сказали ни слова.

Не обошлось и без упоминания учетки Facebook. Главное, чтобы не аукнулось, Apple...

Кстати про разрешения, вот вам ссылочка на приложение, которое уже сейчас может управлять доступом приложений до микрофона и камеры на вашем macbook https://objective-see.com/products/oversight.html

Но это не точно :)