Докладно про головне

• CERT-UA у дописі у мережі Facebook спростував вразливість у сайті Дія City, що дозволяла подивитися вихідний код додатку

В центрі реагування на інциденти ДССЗЗІ стверджують, що знайдений представниками ІТ-спільноти пароль до репозитаріїв вихідного коду насправді є службовим токеном для інсталяції готових додатків. І що з використанням цього токену неможливо отримати чи модифікувати вихідний код.

Опускаючи деталі цієї чергової драми навколо некомпетентності Мінцифри, мені хочеться процитувати два речення наприкінці повідомлення CERT-UA.

“Нагадуємо, Дія не зберігає персональні дані користувачів та успішно пройшла багбаунті та пен-тести на вразливість своєї інфраструктури. Довіряйте достовірній інформації, яку публікують достовірні джерела.”

З цих тверджень мені, як сертифікованому спеціалісту з кібербезпеки з більш ніж п’ятнадцятьма роками досвіду, очевидно, що в уяві українського національного центру реагування на кіберінциденти модель загроз додатку Дія зводиться до секретності персональних даних користувачів. А також, що для CERT-UA пентести та bug bounty – це не регулярні практики захисту програмного забезпечення, а радше сертифікаційні аудити, які можна успішно пройти. Ці два спостереження розміщають CERT-UA на одному рівні компетентності з Мінцифрою, і якщо до кібербезпекового невігластва Мінцифри ми вже звикли, то від Держспецзв’язку все ж таки хотілося б чогось більшого.

• Продовження історії про витік даних про більш ніж пів мільярда користувачів Facebook

Компанія знаходиться під слідством Ірландської Комісії з питань захисту даних. Цілком можливо, що це лише початок серії проваджень в різних країнах, що піклуються про приватність даних своїх громадян.

Тим часом у сервісі Троя Ханта “Have I been pwned?” з’явився пошук по даних з цього витоку. І якщо ви зареєстровані на цьому чудовому вебсайті, вам вже мав надійти лист щастя зі сповіщенням, що ваші дані було викрадено.

Своєю чергою в Facebook стверджують, що витік даних 533 мільйонів користувачів стався через так званий “scraping” – автоматизований збір даних з відкритих джерел та через користувацькі розширення веббраузерів – а не через злам. Мовляв, вразлива функціональність існувала до 2019 року і вже давно виправлена.

Проте, дослідник безпеки Inti De Ceukelaire стверджує, що повідомив компанії про цю вразливість ще у 2017 році, після того, як зміг використати її для отримання номерів телефонів кількох Бельгійських політиків та знаменитостей.

• Дані 500 мільйонів користувачів LinkedIn продаються на одному з хакерських форумів

Соцмережа LinkedIn, що належить корпорації Microsoft, не відстає від свого конкурента.

Щоб продемонструвати справжність даних, користувач форуму виклав зразок у два мільйони записів, який інші відвідувачі можуть переглянути за 2 долари.

Дослідники безпеки змогли підтвердити, що принаймні дані, що містяться у двомільйонній вибірці, є справжніми. Але досі незрозуміло, чи це дані з нового витоку, чи просто компіляція раніше скомпрометованих даних.

Коротко про важливе

• Український Національний координаційний центр кібербезпеки приєднався до проєкту Троя Ханта “have i been pwned”

НКЦК України тепер має змогу централізовано стежити за обліковими даними урядовців що попали до витоків логінів і паролів. Це дозволить державним органам та органам місцевого самоврядування своєчасно дізнаватися про компрометацію облікових записів в домені gov.ua. Звісно, що вся ця радість обійде стороною користувачів, які досі використовують приватні імейли для реєстрації в робочих системах. А всі ми знаємо, що таких чиновників у нас повно – в тому числі з імейлами на російських публічних поштовиках.

• Служба Безпеки України викрила співробітників кіберполіції, що вимагали 150 тисяч гривень хабаря

Бізнесмен з Івано-Франківська звернувся в кіберполіцію через злам його банківського рахунку. Зловмисники намагалися вкрасти в нього 900 тис. грн, але банк заблокував транзакцію і попросив у підприємця довідку з кіберполіції про початок провадження для розблокування коштів. Працівники кіберполіції вирішили нагрітися на чужому горі та пообіцяли виконати свою роботу “за винагороду”.

• Науковці стверджують, що уряд РФ почав використовувати нову технологію для цензури мережі Twitter

Для цього уряд замовив в російської компанії RDP спеціальні пристрої ТСПУ (технические средства противодействия угрозам) та розмістив їх на ключових вузлах російського інтернет-сегменту.

Ці пристрої були вперше розгорнуті минулого місяця, коли Роскомнадзор суттєво зменшив швидкість російського трафіку в напрямку Twitter після того, як соціальна мережа відмовилася видаляти кілька твітів про протести проти Путіна та на підтримку Навального.

• Дані 1.3 мільйона користувачів Clubhouse знаходяться у відкритому доступі

Хоч фактично, це просто дані публічно доступних профілів, які можна легко отримати через API, це викликає питання щодо загального підходу компанії до приватності даних користувачів. Скрейпінг більш ніж мільйона записів не повинен відбуватися так швидко: скільки тому Клабхаузу? А дані про користувачів вже акуратно зібрані докупи та продаються в даркнеті.

• Техасець намагався підірвати 70% мережі Інтернет

Мін’юст США стверджує, що заарештований, що брав також участь в штурмі Капітолію, мав намір використати вибухівку С-4 для підриву дата-центру Amazon у Вірджинії з метою руйнувати мережі Інтернет.

• Компанія-розробник месенджеру UseCrypt подала до суду на польського дослідника безпеки за статтю, що описувала вразливість у їх застосунку

Позов проти Томаша Зелінського, редактора польського блогу Informatyk Zakładowy(Фірмовий айтівець), присвяченого ІТ. Претензії позивача стосуються однієї з статей сайту, опублікованої в жовтні 2020 року. У статті описується, як Зелінський виявив, що в деяких випадках, коли користувачі UseCrypt Messenger бажали запросити друга до застосунку, програма використовувала незахищений домен для розсилки запрошень. Зелінський пояснив, що окрім використання незахищеного з’єднання по HTTP, вебсайт також був вразливим до SQL-ін’єкцій та XSS-ок, які дозволяли будь-кому прочитати або підробити запрошення UseCrypt.

Атаки та інциденти

• Вразливості у Fortinet FortiOS активно використовуються для компрометації корпоративних інфраструктур

Про це минулого тижня повідомили американські агенції, що займаються кіберзахистом федеральних установ. Йдеться про низку CVE у FortiOS, до яких вже існують патчі, проте вони не скрізь встановлені. І це дозволяє зловмисникам склеїти кілька експлойтів для успішного подолання безпеки на периметрі інфраструктури.

Зокрема, новий вірус-вимагач Cring встановлюється через вразливість у VPN від Fortinet

Вразливості та патчі

• Google Project Zero опублікував опис ланцюга вразливостей у реалізації Bluetooth під Linux, що призводить до віддаленого виконання коду
• Учасники конкурсу Pwn2own знайшли критичні вразливості віддаленого виконання коду у Zoom та Microsoft Teams
• Cisco виправила неавтентифіковане віддалене виконання коду з правами root-а у продукті SD-WAN
• У Cloudflare заявили, що нещодавній експеримент з обходу hCaptcha не шкодить імплементаціїцього механізму у їхніх сервісах

Статті та аналітика

• Signal додає підтримку криптовалюти MobileCoin у своєму месенджері

Брюс Шнайер пояснює, чому це поганий хід, який може привернути зайву увагу урядових спецслужб до нашого улюбленого захищеного месенджера.

• Дослідження стверджує, що системи SAP атакуються вже за 72 години після виходу патчів

Результати дослідження вказують, що зловмисники здійснюють зворотний інжиніринг патчів SAP, щойно вони стають доступними. На основі реверс-інжінірінгу створюється експлойт, який можна використати проти клієнтів SAP вже за 72 години після виходу оновлення.

Рекомендації

• This Is Water by David Foster Wallace

Дослідження та інструменти

• Microsoft випустив симулятор кібератак CyberBattleSym

Цей проєкт з відкритим кодом побудований з використанням інструментарію Open AI Gym. Середовище складається з мережі комп’ютерних вузлів та набору заздалегідь визначених вразливостей, які зловмисник може використовувати для пересування мережею.

• Інженер з машинного навчання продемонстрував свою Machine Learning станцію за €25K

В ній чотири карти NVIDIA RTX A6000, AMD EPYC 2 з 32 ядрами, 192 GB графічної пам’яті та 256 GB ОЗУ.

Смі#$%oчки

• Кур’єри фельд’єгерського зв’язку ДССЗЗІ напідпитку забарикадувалися у вагоні поїзду Укрзалізниці та відкрили вогонь з табельної зброї