Где искать литературу по инфосеку и этичному хакингу

Часто, в поисках нужной книги в Интернете, вы заканчивали на фейковых сайтах, просящих ввести номер телефона, или предлагающих скачать книгу в формате .exe.

В телеграме есть хороший канал Библиотеки хакера, админы которого собирают всю лучшую литературу и курсы по информационной безопасности, программированию и этичному хакерству.

Туда также часто сливают различные материалы с закрытых площадок и форумов, которую не найти в открытом доступе. Советуем заглянуть.

​​Какая интересная вещь обнаружилась.

Исследователь из команды Hacker House пишет про уязвимость CVE-2020-14871, о которой мы сообщали на днях. Напомним, что американцы из FireEye обнаружили ее эксплойт в атаках новой хакерской группы UNC1945 на сервера под управлением ОС Solaris, а устранена ошибка была только в октябре этого года.

Как оказывается, CVE-2020-14871 использовалась рядом хакерских групп в качестве 0-day уязвимость аж с октября 2014 года, то есть шесть (!) лет. Более того, она была описана в слитой в 2015 году хактивистом Финеасом Фишером переписке закрытой ныне итальянской компании Hacking Team. То есть шесть лет спецслужбы всего мира, которым итальянцы продавали свои разработки, могли использовать CVE-2020-14871 в своих атаках.

Hacking Team, основанная в 2003 году, была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.

Теперь вы имеете представление сколько могут жить 0-day уязвимости, которым подвержены десятки тысяч систем, и как они могут использоваться.

​​Казалось бы только полтора месяца назад Apple исправила 11 ошибок, среди которых была и допускающая удаленное исполнение кода (RCE). И вот опять, очередные три 0-day уязвимости в яблочных продуктах.

Вчера Apple выпустили обновления операционок iOS, iPadOS и watchOS, в которых исправили три новых уязвимости, использование которых наблюдалось в дикой природе (!).

Технических подробностей нет, но по информации команды Google Project Zero, которая и обнаружила дырки, это следующие уязвимости:

- CVE-2020-27930 - ошибка в компоненте FontParser, эксплуатация которой приводит к RCE;
- CVE-2020-27932 - уязвимость, приводящая к повышению локальных привилегий;
- CVE-2020-27950 - уязвимость, приводящая к утечке информации из ядра ОС.

Очень неприятные ошибки, эксплуатация которых потенциально даст возможность злоумышленнику захватить пользовательское устройство под свой контроль. Всем необходимо срочно обновиться. Мы уже.

​​Операторы ransomware бумкнули объект мировой критической инфраструктуры. И это не атомная электростанция и не подводный трубопровод.

По сообщению ZDNet, итальянская Campari Group в понедельник стала жертвой атаки вымогателя RagnarLocker. Хакеры вывели из строя часть ресурсов компании, а также украли более 2 Тб конфиденциальной информации.

Озвученная злоумышленниками сумма выкупа составила 15 млн. долларов. Итальянцы платить отказались, о чем сообщили в пресс-релизе во вторник, и попытались восстановить свои системы собственными силами. Однако по состоянию на вчерашний день им этого сделать не удалось и почта, сайты и телефонная связь Campari не работают.

В ответ вымогатели разметили на своем DLS (сайт, для публикации утечек данных) часть украденной информации, среди которой обнаружилась копия рекламного контракта Campari с известным актером Мэтью МакКонахи.

Причем тут критическая инфраструктура, спросят некоторые. Ну, если Campari Group навернется, то с чем же тогда пить Апероль Шприц и Негрони?!

И еще одна новость про ransomware. Во вторник атаке вымогателя RansomExx подвергся Верховный суд Бразилии.

Атака произошла прямо во время судебных заседаний. Техподдержка отключила часть систем для предотвращения дальнейшего распространения ransomware, но к этому моменту основная часть данных и резервные копии уже были зашифрованы. На данный момент большинство IT-систем Верховного суда, включая сайт, не работают.

Судебные заседания по конференц-связи отменены до 9 ноября. Это повлекло то, что с 3 по 9 ноября приостановлены процессуальные сроки.

RansomExx - штамм ransomware, который ранее успешно атаковал компанию Konica Minolta, а также ведущего американского IT-подрядчика Tyler Technologies, который в итоге был вынужден заплатить выкуп.

Кажется, лицам, причастным к RansomExx, теперь в Бразилии лучше не появляться. Закроют на крытку и процессуальные сроки приостановят. Навечно.

Есть интересное мнение про закрытые уязвимости в iOS, о которых мы писали сегодня.

Сам набор выявленных командой Google уязвимостей очень похож на боевой эксплойт-кит, который позволяет взять атакованное Apple-устройство под контроль.

И как нам подсказывают, этот набор вероятно использовался для сбора фактуры против шестерых членов APT Sandworm aka BlackEnergy, которых в октябре Министерство юстиции США обвинило в проведении кибератак по заказу ГРУ. В процессе сбора данных, очевидно, был взлом смартфонов подозреваемых.

Google активно участвовали в подготовке этого досье. Вполне вероятно, что они либо сами нашли и использовали эти уязвимости, либо им дали эксплойты. После чего информация в отношении дырок была передана в Apple и опубликована.

Эта информация, конечно же, не стопроцентная. Но весьма вероятно, что так и было.

​​Краткая выжимка 2020 года в минутном видео.

—Партнерский пост—

Благодаря социальной инженерии этим летом была проведена самая масштабная атака в истории Twitter: взломаны аккаунты звезд, компаний и криптовалютных бирж.

С помощью социальной инженерии хакер взломал телефон самого богатого в мире человека по версии Forbes.

В связи с обостренной обстановкой в мире, социальная инженерия занимает лидирующее место в сфере обмана покупателей онлайн товаров.

Этот список можно продолжать бесконечно... Если ты давно хотел узнать о методах взлома человека, манипуляции и прокачать свои навыки СИ, то в самом крупном канале по социальной инженерии, собрана вся необходимая информация — @Social_Engineering

Здесь ты найдешь то, что так давно искал. Добро пожаловать.

Вчера исследователи Лаборатории Касперского сообщили, что обнаружили новый штамм ransomware RansomExx, который предназначен для атаки на системы под управлением Linux.

Принадлежность нового вредоноса владельцам RansomExx подтверждена сходством в коде, а также в текстах требований о выкупе. И это первый известный случай, когда крупный вымогатель перенесли на Linux.

Такой шаг вполне логичен, потому что многие корпоративные сервера работают под управлением NIX. А операторы RansomExx как раз нацелены преимущественно на крупные корпоративные сети, владельцы которых могут выплатить большой выкуп.

Напомним, что только неделю назад атаке RansomExx подверглись ресурсы Верховного суда Бразилии. А ранее вымогатель успешно атаковал компанию Konica Minolta и ведущего американского IT-подрядчика Tyler Technologies, который в итоге был вынужден заплатить выкуп.

Новая головная боль для подразделений информационной безопасности.

Вчера в Китае завершились ежегодные соревнования этичных хакеров Tianfu Cup.

В ходе турнира команды исследователей имели три попытки по пять минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов.

В итоге были взломаны свежая iOS 14 на iPhone 11 Pro, Samsung Galaxy s20, Windows 10 v2004, Ubuntu, Chrome, Safari, FireFox и многое другое.

Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.

Кстати, первое место заняла команда китайской компании Qihoo 360, одного из ведущих мировых ресерчеров по теме APT, которой принадлежит классификация APT-C-xx хакерских групп.

​​На одном из хакерских форумов продается база клиентов банка, содержащая данные в отношении более 12 млн. человек. Стартовая цена аукциона - 65 тыс. долларов. За 100 тысяч можно купить сразу.

Информация включает в себя полные ФИО, почту, телефонный номер, регион проживания.

Продавец не называет банк, но сообщает, что он известен и, судя по всему, большинство клиентов банка из РФ. По параметрам подходят ВТБ и Тинькофф, которые имели 13,3 и 11 млн. клиентов соответственно по состоянию на лето этого года.

Ждем новую волну обзвонов из "службы безопасности"?

—Партнерский пост—

В сети ежедневно проходят множество как платных, так и бесплатных мероприятий, курсов и вебинаров по информационной безопасности.

Помочь сделать выбор вам поможет канал @secwebinars, в котором представлены только самые актуальные и востребованные мероприятия как для профессионалов в области информационной безопасности, так и для тех, кто только начинает свою карьеру. Большинство событий бесплатны.

Подписывайтесь на канал @secwebinars

Коллеги подсказывают, что продажа базы данных пользователей российского банка была фейковой и администрация форума снесла топик.

Что же, может быть и так, будем посмотреть.

​​В воскресенье тайваньский производитель ноутбуков Compal Electronics, который занимает второе место в мире, подвергся атаке ransomware DoppelPaymer, оператор которого запросил выкуп в размере почти 17 млн. долларов (точнее 1100 BTC).

По сообщениям тайваньских СМИ около 30% компьютерного парка были затронуты атакой. Тем не менее, представитель Compal заявил, что все это выдумки и технические неполадки случились из-за "аномалий" в системе автоматизации офиса (что бы это ни значило).

Но журналистам BleepingComputer удалось получить записку о выкупе, которая подтвердила факт атаки ransomware на Compal.

Авторами DoppelPaymer являются наши соотечественники из Evil Corp. В сентябре немецкая пресса назвала DoppelPaymer причиной сбоя в работе сети Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент.

​​Появилось краткое описание уязвимостей, продемонстрированных участниками турнира Tianfu Cup, о котором мы писали вчера.

Среди них удаленное выполнение кода (RCE) в Chrome, Firefox и Safari.

iPhone 11 под управлением iOS 14 был взломан двумя разными командами, но при этом приз за удаленный джейлбрейк никому не достался.

Инженер Microsoft украл подарочные карты на $10 миллионов и получил 9 лет тюрьмы

Владимира Квашука, гражданина Украины и бывшего инженера Microsoft, приговорили к 9 годам лишения свободы.

Его обвинили в краже цифровой валюты, в том числе и подарочных карт у компании Microsoft. Общая сумма его краж составила более $10 млн.

«Заработанные» деньги он потратил, в частности, на дом за $1,6 миллионов и автомобиль Tesla за $160 тысяч.

Остальные средства он разделил по банковским и инвестиционным счетам.

Когда эти преступления были раскрыты, хитрый сотрудник утверждал, что он действовал «в интересах компании».

Помимо тюремного заключения, он должен выплатить компании $8,3 миллиона компенсации.

Дорогие друзья. Мы решили провести первый в истории канала опрос по поводу одного из самых важных инструментов общения в сегодняшнем настоящем - в отношении мессенджеров.

Мы сознательно не спрашиваем, какими мессенджерами вы пользуетесь, это личное дело каждого. Нам интересно исключительно ваше мнение по поводу того, какой из них является наиболее безопасным.

И да, мы хотели включить Skype в опрос, но потом вспомнили, что это не мессенджер, а файлообменник.

Microsoft выпустили ноябрьское обновление безопасности линейки своих продуктов.

Всего закрыто 112 уязвимостей, из которых 17 критических. Эксплуатация 24 ошибок приводит к удаленному выполнению кода (RCE), в том числе в Excel, Sharepoint, Exchange Server и др.

Одна уязвимость, CVE-2020-17087, которая заключается в переполнении буфера в ядре Windows, является 0-day и позволяет повысить локальные привилегии. Ошибка была найдена командой Project Zero компании Google в конце прошлого месяца вместе с 0-day уязвимостью в Chrome, приводящей к RCE. И эксплуатация обеих этих уязвимостей была выявлена в дикой природе.

И, честно говоря, мы даже не знаем что посоветовать. С одной стороны, как всегда хочется призвать к скорейшему обновлению, особенно с учетом 0-day уязвимости, которую уже используют хакеры. С другой, вспоминая последний косяк Microsoft с предыдущим обновлением, можно и подождать немного.

Короче, думайте сами.

Брайн Кребс сообщает, что вымогатели пытаются использовать максимальное количество инструментов, чтобы побудить жертву заплатить выкуп. На сей раз они запустили рекламную кампанию в Facebook.

Как мы знаем, на прошлой неделе оператор ransomware RagnarLocker успешно атаковал итальянскую Campari Group, всемирно известного производителя различной алкогольной продукции, часть из которой, например Campari и Aperol, является вполне себе эксклюзивной. Сумма выкупа составила 15 млн. долларов. С целью принудить итальянцев к выплате выкупа вымогатели разместили небольшую часть украденной информации в сети. После чего представители Campari стали отмораживаться и заявлять, что они "не могут полностью исключить утечку некоторых данных".

В понедельник стоящие за RagnarLocker хакеры взломали Facebook-аккаунт чикагского диджея Криса Ходсона и оплатили 500 долларов за рекламную кампанию в социальной сети, в ходе которой распространили заявление о взломе Campari. В частности, они подтвердили, что украли более 2 Тб конфиденциальных данных. Всего рекламу ransomware посмотрели более 7 тыс. человек.

Что дальше? Вечерний Ургант? Ну а что, с финансами у владельцев ransomware все в полном порядке, а деньги Ваня любит...

Компанию Apple можно не любить за пафос и ценовую политику, за постоянное урезание комплектаций своих устройств и постепенное техническое отставание, а также за многое другое. Но, в отличие от подавляющего большинства конкурентов, Apple заботится о приватности своих пользователей, а это очень ценно в современном мире.

Купертиновцы разместили сообщение для разработчиков приложений, в котором заявили, что с 8 декабря обновление и размещение новых приложений в AppStore возможно только при соблюдении новых правил.

Теперь разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры (маркетинговые компании, сторонние SDK и пр.) и в каких целях эти данные будут использоваться. Также Apple вводит понятие "отслеживания", которое подразумевает, связывание полученных приложением данных с конкретным пользователем или устройством.

В перечне собираемых данных есть исключения, которые можно не декларировать - например, когда собираемая информация используется в целях безопасности или для предотвращения мошенничества. Или когда пользователь дал четко выраженное согласие на передачу своих данных путем заполнения соответствующей формы в приложении.

Информация о собираемых данных и о том, куда они будут передаваться, будет публиковаться на странице приложения в AppStore и каждый пользователь сможет с ней ознакомиться.

За соответствие представляемых сведений реальной работе приложения разработчик несет персональную ответственность, полагаем, что в случае намеренного ввода в заблуждение он будет удален вместе со своими приложениями из AppStore.

Конечно, в этом механизме есть некоторые лазейки. Например "сбор данных в редких случаях, которые не являются частью основных функций приложения" необязателен для декларации. Но в целом это даст понимание пользователям того, кто и как за ними приглядывает.

Что наряду с другими шагами по обеспечению приватности делает продукцию Apple все более безальтернативной для использования.