No Name Update від 21 березня 2021 р.

Microsoft Exchange апокаліпсис

Докладно про головне

Що б ви про це не думали, але NFT (Non Fungible Tokens) зараз на хайпі в усіх кутках інтернету. Цифровий графічний колаж продано на аукціоні за 69 млн дол, Джек Дорсі продає НФТ свого першого твіту, а Ілон Маск навіть написав мелодію та випустив НФТ для неї, хоча зрештою передумав його продавати.

Ми не хочемо вдаватися в деталі, адже в нас подкаст про кібербезпеку, а не про криптовалюти. Але якщо коротко, то NFT це токен у блокчейні, що засвідчує віртуальне володіння предметом. Все більше культурних артефактів мігрувало в цифру, все більше об’єктів мистецтва народжуються в цифровому вигляді. Цифрові об’єкти можуть бути легко скопійовані безліч разів, тому поняття “володіння копією” музичного твору, тексту чи картини остаточно втратило сенс.

На тлі цього цифрового безладу, NFT допомагають фанам підтримувати митців у новій формі: купуючи власну асоційованість із продуктом мистецтва. Ну ось вам приклад: уявіть собі, що ви Патрон чи Матрона нашого подкасту, але вам хочеться підтримати нас ще дужче. Ми можемо випустити NFT одного з наших епізодів та продати його вам за криптовалюту. Після чого ви будете вважатися одноосібним власником цього випуску і будь-хто зможе це перевірити у публічному леджері. Щобільше, коли ви знайдете достойного покупця, ви зможете продати йому цей токен, і ми ніяк не зможемо на це вплинути. Ну хіба що пожаліємося на вас у наступному епізоді.

Претензії цілком логічні: об’єкти, що існують виключно в уяві їхніх творців та споживачів, спричиняють цілком матеріальний негативний вплив на навколишнє середовище. Блок у леджері, в який потрапляє токен з віртуальним предметом мистецтва чи що вони там втулили, майниться на цілком реальному залізі, в результаті чого в атмосферу викидається цілком реальний двоокис вуглецю. Отже, NFT на Біткойні, як основному блокчейні на базі Proof of Work, скоріш за все не отримає такого поширення, як NFT на Flow, та приватних блокчейнах на базі Proof of Stake. Ну і на Ефірі, коли, точніше якщо, він колись змінить принцип роботи, як це давно анонсовано.

Після масового збою автентифікації Microsoft цього тижня багато користувачів виявили, що їхні файли в SaaS сховищах якимось чином перемістилися в кошик для сміття. Ми слідкуватимемо за розвитком подій та триматимемо вас в курсі, бо щось забагато див як на одного вендора за один тиждень.

  • Оман заблокував Clubhouse через “відсутність дозволу”, але активісти наполягають, що це акт цензури

Оманський регулятор у сфері зв’язку повідомив сайту новин WAF, що всі засоби телекомунікацій, що працюють в цій країні, повинні отримати відповідний дозвіл. За словами WAF, Оман “забороняє використання програм з технологією VoIP без офіційної ліцензії”.

Раніше Clubhouse було заблоковано в Китаї – вочевидь, з міркувань цензури. Та відтепер:

Вебсайт месенджера заблокований з понеділка, а користувачі не можуть залогінитись та користуватися сервісом. Месенджер все ще доступний в китайському Apple AppStore, та користуватися ним можливо лише через VPN.

Коротко про важливе

За словами Костіна Райу, директора Глобальної групи досліджень та аналізу в Лабораторії Касперського, його колеги відстежували 140 серверів OVH, якими користувалися урядові хакери та злочинні групи, і 36% з них припинили працювати під час пожежі.

Ми інформували вас про цей безпрецедентний конфлікт між новинарями та соціальною мережею. Вочевидь, їм вдалося дійти згоди.

Іспанські чиновники заявили, що розпочали розслідування програми у 2018 році після отримання скарг від англійської Прем’єр-ліги, Іспанської футбольної ліги та інших асоціацій. Починаючи з минулого місяця, слідчі розпочали жорсткі дії стосовно авторів програми з допомогою Європолу, Інтерполу, Євроюсту та влади Андорри.

MalwareHunterTeam виявили скрипт, який перевіряє ширину та висоту екрана відвідувача вебсайт та використовує API WebGL для запиту механізму візуалізації, що використовується браузером. Таким чином фішери ускладнюють аналіз їхніх вебсайтів дослідниками безпеки.

  • Хакер-підліток на чолі групи, що зламала Твіттер минулого літа, сяде на три роки

Вирок очевидно є певною угодою з правосуддям, бо такі демократичні терміни ув’язнення за кіберзлочини геть непопулярні серед американських прокурорів та суддів.

Попри те, що гучні інциденти, такі як атаки на SolarWinds та Microsoft Exchange, стали головними заголовками останніх місяців, загроза вірусів-вимагачів продовжує зростати. І подвійне вимагання викупу – коли зловмисники й шифрують дані жертви, і погрожують їх оприлюднити – стають “новою нормою” в цьому бізнесі.

Компанія SentinelOne зазначає, що зловмисний код встановлює backdoor на комп’ютері жертви, через зміну проєкту в Xcode. Вірус зловживає функцією Run Script у Xcode та є підробною копією популярного інструменту з відкритим кодом, який допомагає розробникам із функціями анімації панелі вкладок iOS.

Зараз подробиці оновлень безпеки від Apple нам доводиться шукати в нетрях їхнього вебсайту. Сподіваємося, незабаром це стане зручніше.

Twitter планує оновлення, яке дозволить обліковим записам з двофакторною автентифікацією використовувати ключі безпеки як єдиний метод автентифікації. Наразі ви можете використовувати ключ безпеки для входу у свій обліковий запис Twitter, але для резервного входу необхідно ввімкнути додатковий метод 2FA, наприклад, додаток для автентифікації або SMS-код.

Тим часом акції SolarWinds зросли на 35% за останній рік, і це вкотре спростовує тезу

Але згідно із судовими документами, опублікованими сьогодні Міністерством юстиції, звинувачення передували хакерській атаці на Vercada і стосуються діяльності швейцарського хактивіста, починаючи з 2019 року. коли він почав шукати в Інтернеті помилково налаштовані репозиторії, що належать великим корпораціям та державним організаціям.

  • Тестування на проникнення набрало обертів через віддалену роботу під час пандемії

Через пандемію та локдауни, компанії все більше уваги приділяють тестам на проникнення, адже через віддалену роботу персоналу суттєво збільшилася кількість векторів атаки на організації.

Згідно з опитуванням Core Security, більшість респондентів (39%) проводять пентести один-два рази на рік. Ще 16% заявили, що пентести проводились щокварталу, а відповідно 11%, 9% та 10% респондентів здійснюють певну форму тестування на проникнення щомісяця, щотижня або щодня.

Це означає, що користувачі Tinder зможуть перевірити кримінальну історію один одного, і це суттєво вплине на успішність користувачів додатку. Компанія Garbo, яка є підрядником Тіндера в цьому напрямку, заявляє, що збирає “публічні записи та повідомлення про насильство та інші порушення, включаючи арешти, судові позови,  домагання та інші насильницькі злочини”.

Вразливості тижня

Вразливість була виявлена ​​в браузерному розширенні DuckDuckGo Privacy Essentials, що блокує вебтрекери та пропонує функції приватного перегляду. Вразливість може бути використана на пристроях жертв, дозволяючи виконання довільного коду в будь-якому домені.

Команда безпеки Google створила розширення Chrome під назвою Spectroscope, щоб допомогти інженерам безпеки та веброзробникам захистити свої вебсайти від Spectre.

Вразливість полягає у функції Blink, функції, яку Chrome використовує для перетворення HTML-коду на вебсторінки, і може дозволити зловмиснику виконувати код віддалено або проводити DoS-атаку на машині.

Supply Chain атаки з нами надовго і ми ще багато разів про них почуємо.

На щастя, вразливий модуль ядра scsi_transport_iscsi не завантажується за замовчуванням.

Рекомендації

Подія відбудеться онлайн ввечері 25 березня.

  • На Амазоні можна передзамовити нову книжку Practical Hardware Pentesting, що стане доступною 1 квітня

Автора книжки на ім’я Jean-Georges Valle дехто з вас може знати як того відвідувача NoNameCon, який так захопився спілкуванням на afterparty, що був змушений перенести свій авіарейс.

  • Відео доповідей топової конференції USENIX Enigma 2021 доступні для вільного перегляду на YouTube
  • Відомий хакер та євангеліст правильного OPSEC theGrugq зробив власний онлайн-курс з 14 занять, передзамовити який за пільговою ціною можна за посиланням в нотатках.

Tools & Writeups

  • Пост про те, як використовуючи OWASP Nettacker можна виявити вразливі сервери Microsoft Exchange у вашій мережі

Більше про Nettacker ви можете дізнатися з відео Сема Степаняна на нещодавньому мітапі OWASP Kyiv.

  • Docker-OSX – інструмент для масового створення віртуальних Хакінтошів

Docker-OSX має можливість генерувати серійні коди для унікальних апаратних засобів MacOS, а його головний розробник, який працює під псевдонімом Sick Codes, нещодавно випустив автономний генератор віртуальних серійних кодів.

Статті та аналітика

Дослідник безпеки під псевдонімом Lucky225 та журналіст Джозефом Коксом з Vice провели експеримент з перехоплення вхідних текстових повідомлень. Lucky225 продемонстрував, що це   реалістичне завдання, яке можна виконати за допомогою наявних у відкритому доступі інструментів та сервісів.

Мережа Akamai повідомила про новий метод захисту ботнетів: використання Блокчейну як платформи для управління шкідливими програмами. Звичайні C&C сервери можуть бути вилучені правоохоронцями, а от з Блокчейном це не працює.

Смі#$%oчки

Leave a Reply

Your email address will not be published. Required fields are marked *