Понедельник день тяжелый.

1. ESET обнаружила малварь, подписанную валидным сертификатом D-Link. Сейчас сертификат уже отозван, IoC выложены.
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/

2. Популярный сервис Timehop, допустил утечку 21 млн. пользователей. Злоумышленник получил доступ к одному из облачных серверов, на котором отсутствовала двухфакторная аутентификация.
https://xakep.ru/2018/07/09/timehop-leak/

3. И если в новости с Timehop еще не все так плохо, утекли номера телефонов, да почтовые ящики, то утечка хостинг-провайдера DomainFactory (принадлежит GoDaddy) намного серьезнее: адреса, имена, номера, пароли, счета и пр. А история ее обнаружения вообще цирк, почитайте: https://xakep.ru/2018/07/09/domainfactory-breach/

Вчера стартовали продажи Яндекс.Станции (пока оффлайн). Если верить словам Ядекса, выключение микрофона на колонке осуществляется физически, а данные передаются только после активации голосовых команд.

Вооружаемся wireshark'ом и мультиметром? Доверяй, но проверяй.
(с) видео с канала rozetked.

Про принцип работы Content Security Policy (это такая штука для сайтов, которая в явном виде указывает браузеру, откуда разрешено загружать тот или иной контент, а откуда этого делать нельзя), обход CSP через iframe, и почему CSP заголовок должен присутствовать на всех страницах, включая страницы ошибок вашего веб-сервера.

p.s на русском материал нам пообещали чуть позже :))

https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa

Сегодня рунетик возбудила новость о том, что мобильное приложение Бургеркинга записывает экран вашего устройства и отправляет это все на сервера аналитического агенства Appsee. А это значит, что бургерные короли и перс. данные могут слить и платежные реквизиты подгляеть (при оплате заказа онлайн).

Доблестные защитники приватности, а по совместительству пользователи хабра, успели и трафик посниферить, и пользовательское соглашение почитать, и бургеркинг напару с Appsee письмами завалить. В общем, вся история в 2 постах на хабре:

https://habr.com/post/416991/
https://habr.com/post/417015/

Хорошие новости!

Гиганты Cloudflare, Fastly, Mozilla и Apple сейчас работают над шифрованием Server Name Indication (в простонародье SNI) для новой версии TLS 1.3.

SNI - это штука, которая позволяет до момента установления TLS сессии, сообщить серверу какой именно сертификат необходимо передать клиенту, в случае если веб-приложения находятся на одном хосте. Сейчас SNI передается в открытом виде.

Свежий черновик RFC предлагает, что в TLS 1.3 будет использоваться Encrypted SNI, а открытый ключ будет храниться в DNS.

Вопросов много, но предложенное решение любопытное и вполне рабочее, вот только как на это отреагируют УЦ и регуляторы пока остается загадкой, ведь в случае, если ESNI все же увидит свет, цензура интернета рискует пропустить фирменную двоечку с апперкотом.

Draft: https://tools.ietf.org/html/draft-rescorla-tls-esni-00#section-3.2

В этом месяце Oracle выкатила патчи для (только вдумайтесь!) 334 уязвимостей, причем 61 из них является критическими.

Если бы в мире существовала книга рекордов «дырявости» продуктов, Oracle заслуженно занимала бы там первое место.

Вендор сообщает, что к ним постоянно приходит информация от пользователей об успешных эксплуатациях этих уязвимостей, поэтому если нашли один из своих продуктов в списке - бегом ставить патчики.

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

Все мы любим отчеты, так? Ну признайтесь.

Чуваки из Malwarebytes взяли за правило, на основании своих аналитических данных, отчитываться по каждому кварталу небольшим отчетом.

Этот квартал не исключение:

- Майнеры все еще очень популярны, но численность падает
- GandCrab - король среди вымогателей
- Рекламные вирусяки прибавили 20% по сравнению с Q1
- Рост числа эксплоитов
- Мошенники стали фокусироваться на перс. данных юзеров
- Ботнет VPNFilter дебютировал с 500к устройств

Q2: https://resources.malwarebytes.com/files/2018/07/Malwarebytes_Cybercrime-Tactics-and-Techniques-Q2-2018.pdf
Q1: https://www.malwarebytes.com/pdf/white-papers/CTNT-Q1-2018.pdf

​​Как с помощью жестов в Windows 10 можно получить доступ к кассам самообслуживания.

Астрологи объявили неделю противостояния мамкиных хакеров и аутсорсинговых контор

https://habr.com/post/418087/


Кто быстрее? Делаем ставки.

🐣 — Хакеры
🤹‍♂️ — Бизнес

​​Фишинг шагает в ногу со временем.

Почитайте, парень заморочился и собрал софтину на базе nginx, позволяющую за считанные секунды развернуть свой веб-прокси для фишинга, который обходит даже двухфакторную аутентификацию. Как это работает?

Софтина строит 2 TLS сессии: с клиентом и сервером, мониторит все пакеты и подменяет ответы и заголовки, если это требуется (например удаляет заголовок CSP при ответе клиенту).

В итоге пользователь видит не фишинговую страничку, а ожидаемый сайт, и без задней мысли вводит свои аутентификационные данные (в том числе и второй фактор - пароль из смс).

Evilginx, а именно так софтину назвал автор, умеет подменять адреса целевого сайта в ответах сервера на фишинговые, поднимать собственный DNS и даже давать отпор антифишинговым сканерам.

Конечно все не так плохо, и оружие против вампиров существует - в первую очередь это конечно ваша серебренная внимательность - злоумышленнику в любом случае потребуется подменный домен, второе - солнечный свет, отраженный от вашего U2F токена ;)

https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/

Всем привет с побережья Южно-китайского моря, из социалистической республики под названием Вьетнам.

Мира включенного WPS, простых паролей и экзотических фруктов!

Не теряйте, скоро вернусь ;)

Там компания КРОК на хабре рекламирует свои услуги SOC и хорошо описывает вектор развития систем мониторинга событий информационной безопасности (решения вроде SIEM и UEBA, если хотите).

Другими словами - без аналитики пользовательской активности, устройств, приложений, сетей с помощью алгоритмов машинного обучения и последующим обнаружением отклонений от нормы - далеко не уехать.

В конце статьи ребята хвастаются цифрами с их последнего проекта - 33 физ.сервера, пол петабайта данных, 13 ТБ ОЗУ, BIG DATA все дела.

Почитайте, хорошая страшилка на ночь :)

https://habr.com/company/croc/blog/420293/

В сети частенько встречаются специалисты, предлагающие провести обряд экзорцизма, и почистить ваш сайт от вирусов и прочего дерьма, но в большинстве случаев они не делают ничего магического, а используют простую последовательность действий.

В качестве примера вот неплохое руководство для поиска всякой гадости на WordPress »

https://www.webarxsecurity.com/comprehensive-wordpress-malware-removal-guide/

На прошлой неделе состоялся релиз TLS 1.3, протокол был признан стандартом.

Пока все не так гладко, и есть некоторые проблемы с совместимостью, 3% серверов дропают соединение на этапе рукопожатия. Уже есть костыль, но время, на сколько мы знаем, лечит ;)

https://habr.com/company/it-grad/blog/420521/

Бывает о новостях рассказываю вам я, а бывает я этого делать не успеваю. В такие моменты самое время рассказать о других крутых чуваках с похожим хобби.

Вот например блог Сережи Сторчака, который вот уже на протяжении нескольких лет целеустремленно ведет свой дейджест новостей из мира ИБ.

Таким памятник ставить нужно!

https://ser-storchak.blogspot.com/2018/08/06-20-2018.html

​​Давненько я не выкладывал чего-то полезного, чтобы вот прям взять, добавить в закладочки и не отпускать. Исправляюсь.

Кладезь информации по Web и AppSec
https://github.com/paragonie/awesome-appsec#readme
https://github.com/qazbnm456/awesome-web-security#readme

Реверсинг малвари
https://github.com/rshipp/awesome-malware-analysis#readme

Хек
https://github.com/carpedm20/awesome-hacking#readme

Общее
https://github.com/sbilly/awesome-security#readme

Ну а вообще вот:
https://github.com/sindresorhus/awesome#security

На здоровье.

​​О! Mozilla внедрила функцию блокировки отслеживания в свою версию Firefox Nightly, и если эксперимент себя оправдает, эта практика перейдет в основной релиз Firefox 63.

Говорят, что по статистики Ghostery, 55.4% от времени загрузки сайта тратится на загрузку всяких трекинг-скриптов для сбора информации.

Аве, Mozilla!

https://blog.mozilla.org/futurereleases/2018/08/30/changing-our-approach-to-anti-tracking/

Ровно полтора месяца прошло с того момента, как я продолжил свою пробную череду интервью, и после пилотного эфира с Searchinform пошел в гости к RuSIEM.

Целый месяц у меня не доходили руки до ролика, но в результате я его доделал. Я учел многие ошибки прошлого раза, но мне все еще есть над чем работать.

RuSIEM, как мне показалось, очень ламповый, не до конца вызревший продукт, который в свою очередь способен не просто встать в одну линию с российскими собратьями, но даже похвастаться конкурентными преимуществами. И все это при очень небольшой команде, которая на данный момент занимается продуктом.

https://youtu.be/j_zCRUJQW7U

Обратную связь по-прежнему жду на @cybrsht_bot

Говорят, что обещанного 3 года ждут, а вот команде OpenSSL потребовалось всего два, чтобы представить миру долгожданный OpenSSL 1.1.1 с поддержкой TLS 1.3. Ура? Ура!

[En] https://www.openssl.org/blog/blog/2018/09/11/release111/
[Ru] http://www.opennet.ru/opennews/art.shtml?num=49255

Лукацкий про отечественные ИБ решения:

«Есть две стратегии - разработать решения по ИБ для того, что используется сейчас заказчиками, или заставить перейти на то, что смогли разработать российские вендоры... Первая стратегия правильнее, но более ресурсоемка как по деньгам, так и по времени. Вторая гораздо проще в реализации и именно ее сегодня реализуют...»

https://lukatsky.blogspot.com/2018/09/blog-post_14.html