❗️Минцифры назвали занокопроект о блокировке YouTube за цензуру вынужденным
Разработчики Docker не заботятся о безопасности
Облачные технологии за последние три года стали еще популярнее. Киберпреступники хорошо чувствуют новые ниши для атак. Почувствовав запах свежего мяса, они начали атаковать системы Docker и Kubernetes.
Большая часть этих атак следовала очень простой схеме: злоумышленники сканировали неправильно настроенные системы, в которых были доступны интерфейсы администатора. Это было необходимо для захвата сервера и разворачивания вредоносного ПО для майнинга крипты.
Новые штаммы вредоносного ПО обнаруживаются регулярно. По большей части они нацелены на Docker. Но разработчики и инженеры инфраструктуры все еще не поняли, что наступает пиздец, поэтому по-прежнему оставляют серверы Docker уязвимыми для атак.
Самая распространенная ошибка: оставлять конечные точки API удаленного администрирования Docker доступными в сети без аутентификации.
Docker становится более влиятельным в настройке современной инфраструктуры, поэтому количество атак растет с каждым месяцем. Компаниям, веб-разработчикам и инженерам советуем проверять оф.документацию Docker, чтобы убедиться, что они защищают возможности удаленного управления с помощью механизмов аутентификации, например систем аутентификации на основе сертификатов.
Облачные технологии за последние три года стали еще популярнее. Киберпреступники хорошо чувствуют новые ниши для атак. Почувствовав запах свежего мяса, они начали атаковать системы Docker и Kubernetes.
Большая часть этих атак следовала очень простой схеме: злоумышленники сканировали неправильно настроенные системы, в которых были доступны интерфейсы администатора. Это было необходимо для захвата сервера и разворачивания вредоносного ПО для майнинга крипты.
Новые штаммы вредоносного ПО обнаруживаются регулярно. По большей части они нацелены на Docker. Но разработчики и инженеры инфраструктуры все еще не поняли, что наступает пиздец, поэтому по-прежнему оставляют серверы Docker уязвимыми для атак.
Самая распространенная ошибка: оставлять конечные точки API удаленного администрирования Docker доступными в сети без аутентификации.
Docker становится более влиятельным в настройке современной инфраструктуры, поэтому количество атак растет с каждым месяцем. Компаниям, веб-разработчикам и инженерам советуем проверять оф.документацию Docker, чтобы убедиться, что они защищают возможности удаленного управления с помощью механизмов аутентификации, например систем аутентификации на основе сертификатов.
Исследователь кибербезопасности из Google Project Zero нашёл уязвимость в iPhone. Благодаря ей он мог получить доступ к личным данным пользователя, включая почту, фотографии, сообщения, пароли и ключи без взаимодействия с пользователем.
Для атаки Иэну Биру понадобились Raspberry Pi и несколько готовых адаптеров Wi-Fi. Уязвимость была в драйвере AWDL(с помощью него работает Airdrop). Используя этот протокол беспроводной связи, он мог перезагрузить айфон, а дальше получить доступ ко всему.
На исследование уязвимости ушло 6 месяцев. Apple уже устранили её. Доказательств, что дыру эксплуатировали в дикой природе нет.
Взлом, если честно, впечатляющий. Он основан всего лишь на одной ошибке и позволяет получить беспроводной доступ к устройству. Если ваш iPhone находится в пределах досягаемости человека с этой возможностью, то ему даже не понадобится работающий интернет на вашем телефоне или переход по ссылке. А самое крутое тут то, что эксплойт Бира может работать с эффектом червя, автоматически распространяясь на близлежащие айфоны.
Просто представьте, что если один человек за полгода смог сделать все это, то на что способны обеспеченные хакерские команды? К примеру, из тех же служб безопасности. Этот эскплойт может использоваться для разблокировки 90% телефонов, находящихся в полицейских участках США, учитывая то, что на них ещё стоят не обновлённые версии iOS.
Подробное описание уязвимости:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html?m=1
Для атаки Иэну Биру понадобились Raspberry Pi и несколько готовых адаптеров Wi-Fi. Уязвимость была в драйвере AWDL(с помощью него работает Airdrop). Используя этот протокол беспроводной связи, он мог перезагрузить айфон, а дальше получить доступ ко всему.
На исследование уязвимости ушло 6 месяцев. Apple уже устранили её. Доказательств, что дыру эксплуатировали в дикой природе нет.
Взлом, если честно, впечатляющий. Он основан всего лишь на одной ошибке и позволяет получить беспроводной доступ к устройству. Если ваш iPhone находится в пределах досягаемости человека с этой возможностью, то ему даже не понадобится работающий интернет на вашем телефоне или переход по ссылке. А самое крутое тут то, что эксплойт Бира может работать с эффектом червя, автоматически распространяясь на близлежащие айфоны.
Просто представьте, что если один человек за полгода смог сделать все это, то на что способны обеспеченные хакерские команды? К примеру, из тех же служб безопасности. Этот эскплойт может использоваться для разблокировки 90% телефонов, находящихся в полицейских участках США, учитывая то, что на них ещё стоят не обновлённые версии iOS.
Подробное описание уязвимости:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html?m=1
Blogspot
An iOS zero-click radio proximity exploit odyssey
Posted by Ian Beer, Project Zero NOTE: This specific issue was fixed before the launch of Privacy-Preserving Contact Tracing in iOS 13.5 in...
This media is not supported in your browser
VIEW IN TELEGRAM
Вот видео эксплойта в действии
⚡️Путин заявил, что надо исключить любые риски утечки персональных данных россиян
«Пробива» данных может стать меньше
«Пробив» может сильно подорожать, в следствии чего позволить себе эту услугу сможет меньшее количество людей. Рост цены может произойти, если предложение банков воплотят в реальность. Банки предлагают увеличить срок наказания за кражу данных о клиентах до 20 лет.
Как мы и писали, чем труднее достать данные, тем дороже это будет стоить. Повышение срока наказания может просто повысить цены на эти услуги.
Но для того, чтобы ситуация с утечками и сливами улучшилась, нужно не добавлять срок(сейчас это максимум 7 лет), а повысить ответственность самих компаний, чтобы они больше денег вкладывали в защиту, как от фишинга и атак, так и от человеческого фактора, то есть корыстных сотрудников.
Сейчас пробив информации(будь это банковский пробив или телеком) происходит почти непрерывно. Бороться с физ.лицами и ужесточать наказание для них - это значит бороться со следствием, а не с причиной. А причина - в плохой защите данных.
«Пробив» может сильно подорожать, в следствии чего позволить себе эту услугу сможет меньшее количество людей. Рост цены может произойти, если предложение банков воплотят в реальность. Банки предлагают увеличить срок наказания за кражу данных о клиентах до 20 лет.
Как мы и писали, чем труднее достать данные, тем дороже это будет стоить. Повышение срока наказания может просто повысить цены на эти услуги.
Но для того, чтобы ситуация с утечками и сливами улучшилась, нужно не добавлять срок(сейчас это максимум 7 лет), а повысить ответственность самих компаний, чтобы они больше денег вкладывали в защиту, как от фишинга и атак, так и от человеческого фактора, то есть корыстных сотрудников.
Сейчас пробив информации(будь это банковский пробив или телеком) происходит почти непрерывно. Бороться с физ.лицами и ужесточать наказание для них - это значит бороться со следствием, а не с причиной. А причина - в плохой защите данных.
This media is not supported in your browser
VIEW IN TELEGRAM
В Москве на PickPoint совершена кибератака. Она затронула 2732 постамата, что составляет 25% сети: дверцы открылись сами собой.
Смотрите, какой интересный обзор мирового телеком-сегмента сделала компания Ericsson
Трафик в России в течении 6 лет вырастет в 3,8 раза: с 18,4 Гб на абонента, до 70 Гб
К концу 2020 года в сетях 5G будет уже 220 млн подключений
В 2026 году подключения 5G достигнут 3,5 млрд
Растёт скорость=растёт трафик=растёт объём данных=растёт количество кибератак и утечек.
https://www.ericsson.com/en/mobility-report/reports/november-2020
Трафик в России в течении 6 лет вырастет в 3,8 раза: с 18,4 Гб на абонента, до 70 Гб
К концу 2020 года в сетях 5G будет уже 220 млн подключений
В 2026 году подключения 5G достигнут 3,5 млрд
Растёт скорость=растёт трафик=растёт объём данных=растёт количество кибератак и утечек.
https://www.ericsson.com/en/mobility-report/reports/november-2020
Nokia будет развивать 6G
Евросоюз выделил деньги Nokia на развитие сетей 6G. Предполагается, что они будут работать на терагерцевых частотах. Сама технология должна появиться к 2030 году.
5G все ещё находятся в зачаточном состоянии, но некоторые государства, такие как США, Китай уже работают над развитием нового поколения связи.
Евросоюз выделил деньги Nokia на развитие сетей 6G. Предполагается, что они будут работать на терагерцевых частотах. Сама технология должна появиться к 2030 году.
5G все ещё находятся в зачаточном состоянии, но некоторые государства, такие как США, Китай уже работают над развитием нового поколения связи.
Нас всех ждёт полная аська
Появился рейтинг приложений для обязательной предустановки. В рейтинг вошло 29 приложений по разным категорям: от браузеров до новостных агрегаторов.
Из отобранных минцифры приложений 5 принадлежат Яндексу, 13 - Mail.ru Group. Интересно, что рейтинг формировали на основании заявок правообладателей. В заявках указывалось число пользователей за последний год.
В список попали наш любимый самый безопасный мессенджер ICQ, Яндекс браузер, приложение платежной системы”Мир” и ВНИМАНИЕ приложение газеты “Ведомости”, у которой в этом году скандально сменился главный редактор.
Не знаем, что думаете вы, но у нас, глядя на список, возникают сомнения насчет того, что его формировали с учетом предпочтений пользователей.
Кстати, из производителей смартфонов согласились предустанавливать российский софт Samsung и Xiaomi. Интересно будет узнать, что они думают после публикации списка. Насчет Apple, у которой ограничен список приложений для предустановки, сказать нечего. Тут все понятно итак.
Появился рейтинг приложений для обязательной предустановки. В рейтинг вошло 29 приложений по разным категорям: от браузеров до новостных агрегаторов.
Из отобранных минцифры приложений 5 принадлежат Яндексу, 13 - Mail.ru Group. Интересно, что рейтинг формировали на основании заявок правообладателей. В заявках указывалось число пользователей за последний год.
В список попали наш любимый самый безопасный мессенджер ICQ, Яндекс браузер, приложение платежной системы”Мир” и ВНИМАНИЕ приложение газеты “Ведомости”, у которой в этом году скандально сменился главный редактор.
Не знаем, что думаете вы, но у нас, глядя на список, возникают сомнения насчет того, что его формировали с учетом предпочтений пользователей.
Кстати, из производителей смартфонов согласились предустанавливать российский софт Samsung и Xiaomi. Интересно будет узнать, что они думают после публикации списка. Насчет Apple, у которой ограничен список приложений для предустановки, сказать нечего. Тут все понятно итак.
"Лаборатория Касперского” выпустит антихакерский смартфон
Лаборатория Касперского хочет выпустить российский смартфон с операционной системой, у которой будет “защищенный” режим. Компания хочет, чтобы смартфон был неуязвимым перед киберугрозами. Он может быть востребованным у госслужащих, корпораций и служб управления инфраструктурой.
Мечта Касперского, чтобы смартфон использовали для управления инфраструктурой: “Представьте: движением пальца пользователь переключает телефон на нашу безопасную ОС для управления турбиной электростанций или чего-то еще”.
Отдельного AppStore на нем пока не будет, но в дальнейшем для развития собственной экосистемы магазины приложений могут появиться на устройстве. Производством смартфонов и установкой на них ОС будет заниматься китайская компания. Какая - пока не известно.
Лаборатория Касперского хочет выпустить российский смартфон с операционной системой, у которой будет “защищенный” режим. Компания хочет, чтобы смартфон был неуязвимым перед киберугрозами. Он может быть востребованным у госслужащих, корпораций и служб управления инфраструктурой.
Мечта Касперского, чтобы смартфон использовали для управления инфраструктурой: “Представьте: движением пальца пользователь переключает телефон на нашу безопасную ОС для управления турбиной электростанций или чего-то еще”.
Отдельного AppStore на нем пока не будет, но в дальнейшем для развития собственной экосистемы магазины приложений могут появиться на устройстве. Производством смартфонов и установкой на них ОС будет заниматься китайская компания. Какая - пока не известно.
Данные COVID-больных Москвы слиты
Все данные больных хранили в google-таблицах с открытым доступом.
В архиве весом около 1 Гб находится 362 файла форматов Word, Excel, PDF, JPG. Перс. данные содержат ФИО, место проживания, номера телефона, полиса ОМС, дату рождения, диагноз. Архив содержит данные переболевших с апреля по июнь, а также информацию, составляющую мед.тайну.
Ждите звонков с рекламой и предложением пройти обследование. И это самое лучшее, что может произойти.
Все данные больных хранили в google-таблицах с открытым доступом.
В архиве весом около 1 Гб находится 362 файла форматов Word, Excel, PDF, JPG. Перс. данные содержат ФИО, место проживания, номера телефона, полиса ОМС, дату рождения, диагноз. Архив содержит данные переболевших с апреля по июнь, а также информацию, составляющую мед.тайну.
Ждите звонков с рекламой и предложением пройти обследование. И это самое лучшее, что может произойти.
Власти Москвы подтвердили, что данные больных COVID были слиты
Руководитель ДИТ Эдуард Лысенко сказал, что взломов и несанкционированного вмешательства не было. Все дело в «человеческом факторе». Сотрудники, которые имели доступ к персональных данным, слили их. Или, как выражается Лысенко: «Допустили передачу этих файлов третьим лицам».
Руководитель ДИТ Эдуард Лысенко сказал, что взломов и несанкционированного вмешательства не было. Все дело в «человеческом факторе». Сотрудники, которые имели доступ к персональных данным, слили их. Или, как выражается Лысенко: «Допустили передачу этих файлов третьим лицам».
Любителей Starbucks спасла программа Bug Bounty
У бренда кофе была уязвимость на мобильной платформе для пользователей из Сингапура. Её обнаружил исследователь из программы Bug Bounty. Он косвенно намекнул на то, что уязвимость, которая могла привести к удаленному выполнению кода (RCE) распространяется и на другие локальные мобильные платформы.
За информацию об уязвимости Starbucks выплатили ему $5600.
За последние 10 лет настало время, когда IT-системы используются компаниями и сервисами от доставки еды до учебных заведений. И эта история - тот самый случай, когда $5600, выплаченных исследователю безопасности, потенциально сохранили компании гораздо большие суммы и репутацию перед клиентами в мире.
У бренда кофе была уязвимость на мобильной платформе для пользователей из Сингапура. Её обнаружил исследователь из программы Bug Bounty. Он косвенно намекнул на то, что уязвимость, которая могла привести к удаленному выполнению кода (RCE) распространяется и на другие локальные мобильные платформы.
За информацию об уязвимости Starbucks выплатили ему $5600.
За последние 10 лет настало время, когда IT-системы используются компаниями и сервисами от доставки еды до учебных заведений. И эта история - тот самый случай, когда $5600, выплаченных исследователю безопасности, потенциально сохранили компании гораздо большие суммы и репутацию перед клиентами в мире.
Хакеры получили документы о вакцине против коронавируса от Pfizer
Хакеры атаковали европейское агентство по лекарственным средствам. В результате атаки они получили доступ к документам, касающимся регистрации вакцины.
Пока неизвестно, какая группировка стоит за атакой и получили ли они доступ к персональным данным добровольцев, участвовавших в испытании вакцины.
Эффективность вакцины от Pfizer и BioNTech оценивается в 95%. Компании недавно говорили о завершении третьего этапа испытаний, а тут неожиданно произошла атака. Версии разные: промышленный шпионаж, окологосударственные хакерские группировки. Возможно, сейчас кто-то в авральном режиме апгрейдит свою вакцину после этой атаки и обгонит Pfizer. Вы люди неглупые, догадаетесь сами🙂
Хакеры атаковали европейское агентство по лекарственным средствам. В результате атаки они получили доступ к документам, касающимся регистрации вакцины.
Пока неизвестно, какая группировка стоит за атакой и получили ли они доступ к персональным данным добровольцев, участвовавших в испытании вакцины.
Эффективность вакцины от Pfizer и BioNTech оценивается в 95%. Компании недавно говорили о завершении третьего этапа испытаний, а тут неожиданно произошла атака. Версии разные: промышленный шпионаж, окологосударственные хакерские группировки. Возможно, сейчас кто-то в авральном режиме апгрейдит свою вакцину после этой атаки и обгонит Pfizer. Вы люди неглупые, догадаетесь сами🙂
На продажу выставлены 85 тыс. БД SQL
На хакерском портале в даркнете продаются БД SQL. Цена за одну - $550. Портал, на котором выставлены на продажу базы данных - часть вымогательской схемы, которая набирает обороты с начала 2020 года.
Хакеры взламывают базы данных, скачивают их, удаляют оригиналы, а владельцам оставляют записку с требованием выкупа за возврат данных. Жертва должна перейти по адресу, ввести уникальный идентификатор, указанный в записке. После этого открывается страница, с выставленной на продажу БД. Выкуп в биткоинах нужно заплатить в течении 9 дней, иначе БД будет выставлена на продажу на другом портале.
Скорее всего, хакеры не анализируют содержимое баз данных, так как цены на выкуп варьируются в районе $500 независимо от содержимого. Возможно, что процесс полностью автоматизирован.
На хакерском портале в даркнете продаются БД SQL. Цена за одну - $550. Портал, на котором выставлены на продажу базы данных - часть вымогательской схемы, которая набирает обороты с начала 2020 года.
Хакеры взламывают базы данных, скачивают их, удаляют оригиналы, а владельцам оставляют записку с требованием выкупа за возврат данных. Жертва должна перейти по адресу, ввести уникальный идентификатор, указанный в записке. После этого открывается страница, с выставленной на продажу БД. Выкуп в биткоинах нужно заплатить в течении 9 дней, иначе БД будет выставлена на продажу на другом портале.
Скорее всего, хакеры не анализируют содержимое баз данных, так как цены на выкуп варьируются в районе $500 независимо от содержимого. Возможно, что процесс полностью автоматизирован.
Школы США закупают технологии для взлома телефона
Gizmodo провел расследование и выяснил, что школы в США покупают программы, которые ФБР используют для расследования дел с терроризмом. Технология MDFT, которую закупили школы, известна как инструмент судебной экспертизы мобильных устройств. Она может помогать восстанавливать и извлекать удаленные сообщения, фотографии и данные приложений с устройств учащихся.
Программы Cellebrites и Stingrays были разработанны вооруженными силами США, а в итоге попали в руки школьной администрации и полиции штата. Более дешевые версии сервисов Cellebrites позволяют взламывать информацию на старых устройствах с помощью широко известных эксплойтов. Более дорогие могут предоставить пользователю доступ к частным эксплойтам, уязвимостям в шифровании. С ними можно осуществить более глубокое проникновение в устройства и даже обход паролей.
Опустим все нюансы, связанные с законами США, четвертой поправкой и кодексами учебных заведений. Хотелось бы обратить внимание на то, что США - это не святая земля. Там такие же люди, с любопытством, корыстью и тд. В зависимости от законов штата, конкретного случая и кодекса учебного заведния, основания для обыска телефона будут разными. Где-то достаточно будет рассовой предвзятости от сотрудника администрации школы, где-то нужны будут серьезные основания, чтобы произошел обыск телефона. Но сам факт того, что некоторые школы закупили себе технологии с набором инструментов для извлечения персональной информации из телефона, с которым мы проводим сейчас большую часть своего времени, и в котором хранится информация о всей нашей личной жизни, ужасен.
Gizmodo провел расследование и выяснил, что школы в США покупают программы, которые ФБР используют для расследования дел с терроризмом. Технология MDFT, которую закупили школы, известна как инструмент судебной экспертизы мобильных устройств. Она может помогать восстанавливать и извлекать удаленные сообщения, фотографии и данные приложений с устройств учащихся.
Программы Cellebrites и Stingrays были разработанны вооруженными силами США, а в итоге попали в руки школьной администрации и полиции штата. Более дешевые версии сервисов Cellebrites позволяют взламывать информацию на старых устройствах с помощью широко известных эксплойтов. Более дорогие могут предоставить пользователю доступ к частным эксплойтам, уязвимостям в шифровании. С ними можно осуществить более глубокое проникновение в устройства и даже обход паролей.
Опустим все нюансы, связанные с законами США, четвертой поправкой и кодексами учебных заведений. Хотелось бы обратить внимание на то, что США - это не святая земля. Там такие же люди, с любопытством, корыстью и тд. В зависимости от законов штата, конкретного случая и кодекса учебного заведния, основания для обыска телефона будут разными. Где-то достаточно будет рассовой предвзятости от сотрудника администрации школы, где-то нужны будут серьезные основания, чтобы произошел обыск телефона. Но сам факт того, что некоторые школы закупили себе технологии с набором инструментов для извлечения персональной информации из телефона, с которым мы проводим сейчас большую часть своего времени, и в котором хранится информация о всей нашей личной жизни, ужасен.
Риски кибератак заставляют людей возвращаться в прошлое
В США регулятор, который рассматривает заявки на одобрении вакцин, запретил направлять документы через интернет из-за опасений кибератак. Их передали на USB-флешке через агента ФБР.
Обычно проблем с приёмом заявок через интернет не было, но в этот раз агенство FDA решило перестраховаться из-за уже случавшихся утечек. Например, 10 декабря на европейское агенство лекарственных средств была совершена хакерская атака. В результате неё произошла утечка документов о вакцинах Pfizer и BioNtech.
В июле Британский центр кибербезопасности заявлял, что российские хакеры пытаются украсть данные исследователей коронавируса и разработчиков вакцин. В ноябре Microsoft говорила о том, что зафиксировала кибератаки на 7 компаний. Тогда компания тоже обвиняла в атаках хакерскую группу из России.
В США регулятор, который рассматривает заявки на одобрении вакцин, запретил направлять документы через интернет из-за опасений кибератак. Их передали на USB-флешке через агента ФБР.
Обычно проблем с приёмом заявок через интернет не было, но в этот раз агенство FDA решило перестраховаться из-за уже случавшихся утечек. Например, 10 декабря на европейское агенство лекарственных средств была совершена хакерская атака. В результате неё произошла утечка документов о вакцинах Pfizer и BioNtech.
В июле Британский центр кибербезопасности заявлял, что российские хакеры пытаются украсть данные исследователей коронавируса и разработчиков вакцин. В ноябре Microsoft говорила о том, что зафиксировала кибератаки на 7 компаний. Тогда компания тоже обвиняла в атаках хакерскую группу из России.