No Name Update від 24 серпня 2021 р.

Докладно про головне

КНР запровадила вимоги до захисту об’єктів критичної інформаційної інфраструктури. Всі оператори важливих для країни інформаційних систем відтепер мусять проходити щорічні оцінки захищеності, доповідати уряду про інциденти безпеки та виконувати неперервний моніторинг подій безпеки.

Документ досить докладний, але при цьому не заглиблюється в подробиці. Іншими словами, це політика, яка визначає цілі, а не процедура, яка описує як їх досягти. Цілком раціональний підхід, якого зокрема дотримуються американські регулятори. І якого все ніяк не навчаться їхні українські колеги, які скрізь намагаються заглибитися в найдрібніші деталі імплементації. TheRegister

Кросс-блокчейновий обмінник Poly Network втратив близько 600 млн дол. у криптовалютах через вразливість у реалізації своїх смартконтрактів. Після чого звернувся до хакера та “попросив” повернути гроші. І той повернув, адже на момент звернення повністю спалив свій opsec з точністю до імені, адреси та телефона. А Poly за це нагородила його типу “баунті” у 500 тисяч.

Ця історія прекрасна і потворна водночас. Сам злам дуже вишуканий, я б навіть сказав геніальний (короткий опис за посиланням). Справжнє хакерське мислення, інакше не скажеш. Але драма навколо зламу, деанону хакера, публічного звернення Poly та повернення койнів – це жахливий демотиватор для white hat спільноти та зокрема для багхантерів. TheRecord BlippingComputerTexasNewsToday

Продовжується бурхливе обговорення впровадження фірмою Apple технології пошуку дитячого порно на пристроях свого виробництва. Ось кілька цікавих матеріалів, які з’явилися за минулі два тижні.

Трохи радикальних закидів Брюса Шнайера по цій темі. Він буквально так і пише: Еппл додає бекдор в iMessage та iCloud. SchneierOnSecurity

І на противагу: трохи менш панічних роздумів Деніела Місслера. Він навпаки, міркує досить стримано і скоріше жалкує про недостатнє висвітлення компанією Apple своїх планів. UnsupervisedLearning

Apple заявляє, що дозволить дослідникам безпеки випробувати захист своєї реалізації алгоритмів пошуку нелегального контенту, але при цьому подає до суду на стартап, який робить саме це. Драма між Apple та Corellium через iOS-емулятор виробництва останньої – дуже давня історія. Проте тепер, через плани Apple впровадити легальний бекдор у свої продукти, вона заграла новими барвами. TechnologyReview

Джонатан Мейер, науковець та колишній радник з технологій нинішньої віцепрезидентки США, та його колега з Прінстона Анунай Кулшреша, написали єдину на сьогодні наукову статтю, що пройшла peer review, на тему побудови задуманої компанією Apple системи моніторингу. Їхній висновок невтішний: це занадто небезпечно. Якщо дуже коротко, то проблема не у конфлікті між моніторингом контенту та наскрізним шифруванням, тобто між безпекою та приватністю. Робочий прототип системи, яку вони збудували в рамках наукового проєкту, міг успішно зберігати приватність користувачів та секретність даних. Проте, в ньому з’явилася інша проблема безпеки: шляхом заміни бази даних контенту для порівняння, оператор системи міг шукати на пристроях будь-який відомий контент. Шляхів розв’язання цієї проблеми дослідники не знають і планують обговорити її на одній з наукових конференцій цього року. Чи вдалося Apple самостійно розв’язати цю проблему потайки від усіх інших? Це питання відкрите. TheWashingtonPost

Коротко про важливе

ФБР звернулося до американських технологічних компаній із застереженням. За даними контррозвідки, Росія та Китай активно вербують працівників у Кремнієвій долині для здійснення промислового шпіонажу за їхніми роботодавцями. Protocol

Браян Кребз описав цікавий експеримент соціальної інженерії, в якому працівник компанії відгукнувся на запрошення криптоздирників запустити рансомварь у мережі роботодавця. KrebsOnSecurity

Facebook запускає наскрізне шифрування у дзвінках в Messenger. Ви можете не любити Месенджер, проте більшість користувачів інтернету ним користуються. Тому End-to-End Encryption у одному з найпопулярніших засобів спілкування це однозначно непогано. BleepingComputer

Google відмовляється від своїх токенів для автентифікації Titan Security Key на основі Bluetooth та повністю перемикається на варіанти з NFC. BleepingComputer

Один з найбільших Даркнет маркетплейсів в історії AlphaBay оголосив про своє повернення. BleepingComputer

Атаки та інциденти

Один з найбільших телеком-провайдерів у світі T-Mobile підтвердив чутки про злам своїх систем та викрадення персональних даних абонентів. Хакери стверджують, що заволоділи даними про 100 млн абонентів, проте у Даркнеті пропонують купити 60 млн записів за шість Біткойнів. Vice

Список майже двох мільйонів терористів, що перебувають під наглядом спецслужб США, знайшли онлайн. База даних не була захищена ані паролем, ані жодним іншим методом автентифікації. LinkedIn

ІТ-консалтинговий гігант Accenture став жертвою атаки криптоздирників LockBit 2.0. Причому одразу після початку рекрутингу останньою інсайдерів для розміщення рансомварі у корпоративних мережах. Злочинці стверджують, що викрали 6 терабайтів даних та вимагають 50 млн викупу. BleepingComputer

ЄС розслідує злам проєкту Атлас: такого собі реєстру постачальників послуг та інших гравців на ринку кібербезпеки Євросоюзу. Прикол в тому, що викрадені дані були публічними. Проте скидається на те, що нападники здампили їх з Drupal через SQL-ін’єкцію, що піднімає питання щодо рівня захисту систем Єврокомісії. TheRecord

У нашій АРТ-ці все без змін: Китайці шпигують за Ізраїлем та прикидаються Іранцями (TheRecord), виконавців нещодавньої атаки на іранську транспортну систему вдалося пов’язати з попередніми атаками у Сирії (BleepingComputer), а росіяни протягом місяців шпигували за словацьким урядом (TheRecord).

І найтрагічніший інцидент, що стався цими днями. Після втечі американських військових та дипломатів з Афганістану, таліби захопили біометричні пристрої, на яких може міститися ідентифікаційна інформація про працівників та волонтерів американського контингенту та дипкорпусу з-поміж місцевого населення. Усі вони можуть стати жертвами репресій Талібану. TheIntercept

Вразливості та патчі

Цікавий, хоч і занадто, як на мене, розлогий опис атаки з захоплення Apple ID з мінімальною інтеракцією з користувачем: потрібен лише один клік жертви. Zemnmez

Fortinet вирішив відкласти виправлення зіродея у своєму FortiWeb WAF до кінця серпня. Вразливість вимагає наявної користувацької сесії. BleepingComputer

TrendMicro опублікувала Топ-15 вразливостей, які успішно використовуються у атаках проти Linux-систем. Серед рекордсменів Apache Struts, Drupal Core, Oracle WebLogic, WordPress File Manager, vBulletin, SaltStack, Jira та інші програмні продукти. TheHackerNews

Аналітика

Виявляється, що програмний код пошуку забороненого контенту вже в iOS 14.3, хоч ще й не використовується. І хтось дуже крутий знайшов його там, випиляв, розколупав і виклав результати реверсу на GitHub. Reddit

Підбірка топових хакерських технік з цьогорічних конференцій Black Hat та DEF CON. Portswigger

Не про кібер. Дані про застосування антикоронавірусних вакцин Pfizer та Moderna у Сполучених Шатах демонструють, що повна вакцинація Модерною значно ефективніше проти “варіанту Дельта”, ніж повна вакцинація Файзером. Merdxiv

Анонси

Розпочалася реєстрація на цьогорічну конференцію NoNameCon 2021. Придбати пропуск на Zoom-вебінар конфи та отримати доступ до її інтерактивної частини можна на сайті https://nonamecon.org/product/registration/. Усі власники пропусків “за сцену” отримують подарунок від організаторів. Конференція вже наступного тижня, кількість місць обмежена, тому не зволікайте.

Розпочався збір доповідей на осінню зустріч OWASP Kyiv. Подати заявку можна за адресою https://cfp.owaspukraine.org/okfall2021/cfp.

Blizzard запустив відкриту бету ремастереної версії Diablo II: Resurrected для PC, Xbox, та PS. TheVerge

Рекомендації

Dolos Group описала практичну атаку на ТРМ без використання спеціального обладнання. DolosGroup

Splunk опублікував гарний PDF про 50 найпоширеніших кіберзагроз. Splunk

Якщо вам подобається серіал The Boys та витончений чорний гумор, вам точно зайде сіквел Загону самовбивць. Проте, фінал вас розчарує. ArsTechnica

Смі#$%oчки

Російські найманці з “групи Вагнера” загубили планшет на полі бою у Лівії. BBC отримала пристрій, проаналізувала його вміст та отримала докази того, що, попри заперечення Кремля, ця військова організація має підтримку російського уряду на найвищому рівні. BBC

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *