T.Hunter

2021-10-05 19:33:23 #news Сегодня день работы над ошибками какой-то. Вслед за Apache, Google выпустила октябрьские обновления безопасности Android, в которых устранена 41 уязвимость. Их степень серьезности варьируются от высокой до критической. Из критических уязвимостей, обновление закроет следующие: CVE-2021-0870, CVE-2020-11264 и CVE-2020-11301.

@tomhunter Открыть/Комментировать

2021-10-05 19:28:24 #news Только вот написал вчера про Apache Airflow, а сегодня выяснилось кое-что похуже: в свежей Apache HTTP server есть активно эксплуатируемая критическая уязвимость, создающая риск атаки обратного пути.

Патч уже есть, советую обновиться прямо сейчас.

Уязвимость касается фикса нормализации путей, сделанного в недавно вышедшей версии 2.4.49. Атаки с «../» ловятся, а вот с %2E и %2e (закодированная точка) — уже нет. Новый фикс как раз это и закрывает.

Уязвимость затрагивает только сервера на v.2.4.49. Ещё нужно, чтобы в контроле доступа не было require all denied — увы, кажется, это стандартная конфигурация.

@tomhunter Открыть/Комментировать

2021-10-05 15:54:49 #news Вчера вечером Фейсбук, Инстаграм и Вотсап лежали около 6 часов. Думаю, почти все заметили. Причиной тому стало свежее косячное обновление на маршрутизатор, которое уронило DNS всех фейсбучных серверов. Пока всё это дело лежало, недовольные пользователи грузили и без того уроненную инфраструктуру кучей запросов. Почему кучей — потому что когда в ответ на запрос приходит ошибка, все сердито пробуют ещё раз и ещё. Касается как людей, так и всяких сервисных ботов, разве что последние это делают быстрее и немного агрессивнее.

Как бонус, внутри компании поднялся хаос: поскольку внутри всё донельзя продвинутое, модное и IoTное, сотрудники даже в офис и в переговорки внутри офиса не могли попасть — пропуска не работали. Удалённый доступ к серверам тоже упал, поэтому могущим исправить ситуацию сотрудникам приходилось с горем пополам пробираться в офис и добираться до лежащей инфраструктуры руками.

Подробности хорошо разобрали в своём блоге Cloudflare.

@tomhunter Открыть/Комментировать

2021-10-04 18:08:01 #news Как выяснилось в опубликованном сегодня исследовании от Intezer, множество популярных платформ пользуются неудачно настроенными Apache Airflow. Грозит это многими неприятностями — в первую очередь, конечно, сливами данных. Потенциальные цели для таких атак оч-чень внушительные.

В статье по ссылке выше можно почитать о самых распространённых уязвимостях и о том, как закрыть всевозможные дыры в своих Airflow. Начать стоит хотя бы с обновления.

@tomhunter Открыть/Комментировать

2021-10-04 12:35:31 #news С бодрым началом трудовой недели! Твой любимый канал про Apple и криптофейлы снова на связи. Сегодня в программе у нас полная анонимность и независимость от государственных институтов, но со звёздочкой. На днях платформа Compound в результате ошибки в смарт-контракте раздала пользователям своих токенов на $90 миллионов. Невольным получателям предложили замечательный выбор: или они возвращают деньги, оставив себе 10% на булавки, или владельцы платформы репортят это в налоговую как доход и попутно сливают им персональные данные получателей.

Сами по себе полученные из-за этого бага токены на балансе не отобразятся, нужно нажать на кнопочку. Судя по всему, увещевания вышли не очень убедительными: кто-то уже успел забрать себе на адрес $29 миллионов.

@tomhunter Открыть/Комментировать

2021-10-02 12:11:32 #news Желание стать хакером выразила пятая часть участников опроса ESET, проведенного среди российских пользователей в сентябре 2021 года. Больше всего в этой роли хотят попробовать себя молодые люди в возрасте от 18 до 24 лет, в т.ч. 23% мужчин и 16% женщин. По мнению 47% россиян, хакеры могут приносить пользу обществу, быть хорошими и честными, но 53% не согласны - по их мнению, хакеры - обманщики и мошенники.

@tomhunter Открыть/Комментировать

2021-10-02 10:01:21 #news Федеральная комиссия по связи США на этой неделе объявила, что приступила к разработке правил, которые остановят незаконный перевыпуск SIM-карт. Напомним, что перевыпуск SIM-карты позволяет злоумышленнику получить доступ к большинству онлайн-сервисов жертвы, использующих номер мобильного телефона в качестве средства двухфакторной идентификации.

Мер, в принципе, может быть две. Во-первых, запрет совершения действий с SIM-картой по доверенности. Т.е. без личного присутствия владельца этой SIM-карты. Во-вторых, введение кодового слова для совершения регистрационных действий. Аналогично тому, как кодовое слово используется для подтверждения личности клиента банка.

@tomhunter Открыть/Комментировать

2021-07-01 11:20:15 Доброго тебе утра! Или не очень доброго. Почти две недели назад я писал о том, что Роскомнадзор заблокировал встроенный ВПН Оперы и VyprVPN. Я ещё упоминал тогда список возможных целей по ВПН-блокировкам на будущее, который неофициально гулял по интернету с апреля. Так вот: он, похоже, вполне реалистичен.

Вчера Роскомнадзор попросил компании уведомить его, если они используют в своих процессах Hola!VPN, ExpressVPN, NordVPN, Speedify VPN, IPVanish VPN или KeepSolid VPN Unlimited. Вполне очевидно, что все эти провайдеры следующие на очереди — об этом сообщается прямым текстом. Пользующиеся ими компании вынесут в белый список, как при прошлых блокировках.

Пока любопытно, как именно это будут реализовывать. В Китае заблокированы все сайты компаний, на которых можно создать аккаунт и оплатить подписку, но примерно половина провайдеров из списка выше всё равно работает, если аккаунт и софт уже есть. Что ж, будем наблюдать за событиями грядущих дней: в прошлый раз РКН аналогичным образом предупреждали компании за месяц до блокировки.

https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac Открыть/Комментировать

2021-06-29 21:17:34 На днях в продаже оказался датасет из 700 миллионов (то есть, больше 90%) пользователей Линкедина. В базе есть, например, номера телефонов, метки геолокации, ссылки на аккаунты в соцсетях, предполагаемые зарплаты и много чего ещё.

Паролей в открытом виде там всё-таки нет, к счастью, так что можно чуть выдохнуть. Какие у этого есть потенциальные последствия? Вообще, не очень хорошие — от взломов аккаунтов и целого праздника социальной инженерии до краж личности. Датасет тут оставляет приличное пространство для творчества.

Никаких взломов или утечек в привычном понимании слова, однако, не было. Продавец сообщает, что все данные просто-напросто вытянул через API. Что-то похожее с Линкедином происходило в апреле, только тогда такие данные появились для 500 миллионов человек. Они сейчас открещиваются в СМИ и сообщают, что-де не виноваты, но возможность такого использования API — сама по себе серьёзная брешь.

Каждая такая сокровищница данных — отнюдь не лишнее напоминание о том, сколько всего мы иногда необдуманно оставляем где ни попадя. Сел делать красивое резюме на сайте с солидным синим логотипом, а оно уже составило на тебя мини-досье и покладисто его передает по первой просьбе играющимся с API даркнетовским торговцам. Такое себе.

https://restoreprivacy.com/linkedin-data-leak-700-million-users/ Открыть/Комментировать

2021-06-27 21:23:30 Я на днях писал о том, как предприимчивые хакеры торгуют куками, украденными с заражённых компьютеров. И без подобных историй вполне очевидно, что делиться с браузером всеми-всеми паролями — это не очень разумно. Может, у меня профдеформационная паранойя, но я браузерному менеджеру паролей доверяю только то, что в любом случае было бы не жалко потерять.

В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.

Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.

Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.

https://habr.com/ru/company/vdsina/blog/564578/ Открыть/Комментировать