Докладно про головне
Нарешті завершилася судова справа проти Equifax, одного з найбільших кредитних бюро в Сполучених Штатах. Цей епохальний злом відбувся у 2017 році та з того часу є книжковим прикладом скоординованої кібератаки з масового збору даних про громадян геополітичного противника. Китайці, в причетності яких вже ніхто не сумнівається, викрали дані про майже 150 млн американців та понад 15 млн британців, щоб пізніше корелювати їх з іншими джерелами й планувати подальшу вербовку, ідентифікувати іноземних агентів на своїй території, та здійснювати операції інформаційного впливу.
Врегулювання класового позову у суді завершилося звичною для таких випадків угодою: усі жертви можуть отримати безплатний кредитний моніторинг протягом наступних чотирьох років. Жертви, які вже зазнали втрат через дії шахраїв із викраденими даними, можуть заявити про це та отримати компенсацію. Загалом на це у рамках судової угоди виділено 425 млн. Ftc.gov
Португальський Vodafone втратив мережі 4G та 5G на всій території країни в наслідок масштабної кібератаки. Недоступні сервіси передачі даних, голосові дзвінки, СМС та телебачення. По суті, з усіх сервісів працював лише 3G, який вдалося полагодити відносно швидко. Роботи з відновлення тривають і досі. Bleepingcomputer.com
Серед мотивів нападників називають навчання хакерських груп, пов’язаних із державними спецслужбами. Португалія є країною-членом НАТО.
Кіберполіцію звинуватили у відстежуванні дій відвідувачів вебсайтів. Для цього на українських вебсайтах були розміщені скрипти, які ідентифікували користувачів за параметрами веббраузерів. Зібрані таким чином з різних вебсайтів дані потім корелювалися з метою деанонімізації користувачів, адже на певних вебсайтах відвідувачі автентифікувалися.
Незалежно від того, яку мету переслідували розробники скриптів, описані масштаби трекінгу не складають великої загрози приватності користувачів інтернету. Проте цей інцидент підсвічує важливу проблему українського суспільства, адже в Україні немає функціонального державного або державно-громадського органу, який опікується приватністю громадян. Офіс омбудсмена, якому після ліквідації Держслужби з персональних даних було ввірено ці дані захищати, ані здатний, ані компетентний виконувати ці задачі.
Тому приватність в українському інтернеті тримається на скотчі, суперклеї та активізмі. Я далеко не завжди й далеко не в усьому згідний з позиціями та діями Українського кіберальянсу, проте в цьому випадку мушу зазначити, що саме такими речами мають займатися українські громадські організації, обізнані щодо проблем приватності. Tech.liga.net
Коротко про важливе
США започатковують Cyber Safety Review Board – спеціальну раду, яка розслідуватиме окремі інциденти кібербезпеки. Рада складатиметься з представників правоохоронних відомств, державних органів відповідальних за кібербезпеку, та приватних постачальників послуг та програмного забезпечення. Експертна спільнота загалом схвалює це нововведення, проте вважає, що для ефективної роботи раді потрібні будуть ширші юридичні повноваження. Nextgov.com
Вразливість в iOS, через яку компанія NSO Group встановлювала руткіт Pegasus для своїх клієнтів, використовувала ще одна фірма. QuaDream це ще одна ізраїльська компанія, менша та не така помітна, проте прямий конкурент NSO, адже також постачає шпигунські програми державним замовникам. Reuters.com
Російська хакерська група Primitive Bear здійснює кібератаки на українські представництва урядів західних країн. Zdnet.com
Українська Кіберполіція накрила мережу шахрайських колцентрів в Києві, Львові та Одесі, де працювали понад 140 осіб. Шахраї представлялися працівниками банків та правоохоронних органів та видурювали кошти в мешканців пострадянських країн. Lv.npu.gov.ua
Медійний гігант News Corp став жертвою кібератаки, яку пов’язують з китайськими спецслужбами. Під удар потрапили підрозділи Dow Jones, Wall Street Journal, New York Post та британські відділення News Corp. Метою атаки експерти вважають збір розвідданих у матеріалах та листуванні журналістів та працівників компанії. Wsj.com
Польща створила Війська оборони кіберпростору. Кібервійська проводитимуть повний спектр заходів у кіберпросторі – оборонні, розвідувальні та активні наступальні дії. Polskieradio.pl
Російський суд засудив трьох підлітків за звинуваченнями в тероризмі. Тероризм полягав у планах підірвати будинок ФСБ в одному з віртуальних світів Майнкрафт. Themoscowtimes.com
Хакерські штуки
Автомобілі Mazda моделей 2014-2017 років випуску “застрягли” на частоті 94.9 FM через вразливість в інфотейнмент-підсистемі. Радіостанція, яка веде мовлення на цій частоті, надіслала слухачам картинки без розширень і це стало тригером помилки в обробнику. Відтепер власники не можуть змінити частоту радіоприймача, заміна системи коштує 1,5 тис. доларів та не є можливою через проблеми з ланцюгами постачання. Arstechnica.com
Знайдено низку критичних вразливостей в серії домашніх роутерів RV від Cisco. Cisco.com
Виправлено вразливість у WebKit для macOS, iOS, iPadOS, та Safari яка призводить до віддаленого виконання коду на пристрої жертви, що відтворює шкідливий вебконтент. Вразливість активно експлуатується в дикій природі, терміново оновлюйтесь.
https://support.apple.com/en-us/HT213093
https://support.apple.com/en-us/HT213092
https://support.apple.com/en-us/HT213091
Вразливість виконання віддаленого коду у Samba, точніше у її модулі для fruit VFS у разі, якщо його налаштовано за замовчуванням. Duo.com
Як і обіцяли в Microsoft, віднині у документах, які користувач MS Office отримав з інтернету, виконання макросів буде вимкнене за замовченням. Потужний хід, який суттєво зменшить поверхню атаки звичайних користувачів. Але ж звісно, що лише користувачів ліцензованих копій Офісу. Докладний опис еволюції загроз, що привела до цього рішення – за посиланням. Techcommunity.microsoft.com
Американське агентство CISA попереджає адмінів SAP про пачку мережевих вразливостей в NetWeaver, що вимагають негайного оновлення. Bleepingcomputer.com
Аналітика та рекомендації
Вчені розрахували потужності квантового комп’ютера, потрібного для злому 256-бітного публічного ключа алгоритму на еліптичних кривих. Для зламу ключа за один день знадобиться комп’ютер на 13 млн. фізичних кубітів. Для довідки, найбільший сучасний квантовий комп’ютер має 127 кубітів. Schneier.com
Доступні всі відеозаписи з конференції Black Hat Europe 2021. Youtube.com
Курований список безплатних інструментів Application Security – один з найвичерпніших на думку авторитетних колег. Ishaqmohammed.me
Неймовірна знижка в 97% на пакет матеріалів для підготовки до топових сертифікацій з кібербезпеки. Stacksocial.com
Необхідні навички експерта з кібербезпеки у вигляді зручних діаграм Венна із вичерпними поясненнями. Якби ж то мені двадцять років тому отаке прочитати. Netmeister.org
І відео вебінару BSG про навички пентестера вебдодатків, які потрібні у 2022 році. Youtu.be
Анонси
Cloudflare запускає публічну програму багбаунті. Приватка Клаудфлари діє з 2018 року та вже вплатила понад 200 тис. дол. Bleepingcomputer.com
Смі#$%oчки
На головній сторінці застосунку Glovo замість кнопки “що завгодно” на місці чарівної палички з’явився лисий чолов’яга, який показує користувачам середній палець. Vctr.media