Сайберсекьюрити и Ко.

alexlitreev_channel Нравится 1

Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизни.
VPN: https://veesecurity.com
Реклама: [email protected]
Гео и язык канала
Россия, Русский
Категория
Технологии


Написать автору
Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
09.05.2017 23:31
Последнее обновление
21.11.2018 00:31
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Searchee Bot
Поисковик по самой большой базе Telegram-каналов.
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
21 138
подписчиков
~14.5k
охват 1 публикации
~7k
дневной охват
~4
постов / нед.
68.4%
ERR %
102.25
индекс цитирования
Репосты и упоминания канала
240 упоминаний канала
115 упоминаний публикаций
856 репостов
Daredevils
Просто стёб
Баребухи 95
FSCP
Караульный
r/етранслятор
rxd_txd
WordPress & WooCommerce
Попячечная 🌚
vinger
Meowmetech🔥
FSCP
FSCP
United Memes Feed
Попячечная 🌚
FSCP
Meowmetech🔥
WordPress & WooCommerce
КИИ 187-ФЗ
Караульный
Andrew's link list
Абсурд в цене
Славентий
Зрада чи Перемога
ОПЕР Слил
Максимкализм
Зрада чи Перемога
Fuck you That's Why
Славентий
Зрада чи Перемога
Антискрепа
Ortega
Караульный
Эшер II
Эшер II
vinger
Каналы, которые цитирует @alexlitreev_channel
Vee Security
ITpro News & Reviews
r/етранслятор
r/етранслятор
Vee Security
Котян рисует
Эшер II
Litreev Says
Vee Security
Комитет по Этике
Digital Resistance
Павел Дуров
RKNSHOWTIME
ЛПР Петербург
Digital Resistance
DataArt
Vee Security
Paris Burns
Vee Security
Vee Security
Vee Security
Абсурд в цене
Vee Security
Павел Чиков
Дежурный DevOps
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
ЗаТелеком
Vee Security
Vee Security
Попячечная 🌚
лжец кучерявый
Караульный
Последние публикации
Удалённые
С упоминаниями
Репосты
Курс «Цифровая подпись в ИБ» начинается уже 22 ноября!

Очень рекомендую всем, кто хочет, что называется, погрузиться с головой в Сайберсекьюрити.

Запишитесь и займите своё место уже сейчас: https://otus.pw/714Z/

#реклама
🤔 Чем я занимаюсь?

Как вы могли заметить, дорогие читатели, в последнее время у меня не так много постов в моём канале. Причина тому — мой проект, над которым мы трудимся всей командой нашей небольшой эстонской компании @VeeSecurity (да, именно мы когда-то предоставляли доступ нашему прокси для Telegram — сейчас прокси-сервисы утеряли свою популярность, поэтому мы сосредоточились на чём-то новом). Именно этому проекту я и уделяю всё свободное (и не только) время.

Мы разрабатываем Connecto VPN — наш проект быстрого, дешевого и, главное, безопасного VPN-сервиса. За последние несколько месяцев мы сделали многое: с командой мы спроектировали и воплотили собственную IT-инфраструктуру с упором на безопасность, поддержку всех популярных и не очень протоколов, от OpenVPN и IKEv2/IPsec до OpenConnect'а. Иногда идея обезопасить всё у нас доходила до фанатизма: мы проектировали свою собственную сеть и ПО с недоверием к каждому из наших собственных серверов, подразумевая, что даже если какой-то из них будет скомпрометирован — пользователи не пострадают. В общем, вкладываем всю любовь и душу в этот проект — относимся к нему, как к общему ребёнку нашей команды.

В этом месяце мы сделали несколько обновлений: добавили новую локацию в США, разработали приложения для iPhone и macOS (они уже на пути к вам), создали с нуля свою собственную тикет-систему поддержки пользователей и перевели наш сайт на русский язык.

Я буду рад, если вы оцените то, что мы делаем. Более того, ваша конструктивная критика и предложения крайне приветствуются — присылайте их напрямую мне, на [email protected]

Попробуйте:
https://goo.gl/gGAm91
🎓 День открытых дверей курса «Цифровая подпись в ИБ»

Онлайн-лекторий «Отус» проводит курс, посвященный информационной безопасности, в частности — Цифровым Подписям. Благодаря участию в таком курсе, к вам придёт полное понимание основ информационной безопасности (проблемы, задачи, подходы к их решению), вы научитесь различать и грамотно применять различные механизмы защиты информации, а также сможете ориентироваться в существующих cредствах криптографической защиты информации и средствах электронной подписи. Курс не ограничен одной лишь теорией: вы также получите практические навыки работы с средствами криптозащиты и средствами электронной подписи и научитесь взаимодействовать с компонентами PKI.

Ранее мы сообщали о проведении открытого вебинара «Симметричное и асимметричное шифрование», который проходил в рамках этого курса. Теперь, перед началом самого курса, «Отус» проводит день открытых дверей.

На дне открытых дверей преподаватель (крутой мужик из iDSystems с 16 годами опыта за плечами, между прочим) расскажет о программе курса, формате обучения и перспективах для выпускников. Мероприятие пройдет в формате онлайн-трансляции. Участие бесплатное.

Подробнее:
https://otus.pw/mRU6/

#реклама
💡 В Nginx исправлены некоторые серьезные уязвимости

Команда Nginx выпустила новые версии для Stable и Preview веток популярного одноименного веб-сервера. Обновления коснулись вопросов безопасности: исправлены некоторые уязвимости, эксплуатация которых может привести к отказу в обслуживании (Denial of Service) из-за черезмерного потребления оперативной памяти и ресурсов процессора (CVE-2018-16843, CVE-2018-16844). Проблемы касались исключительно дистрибутивов Nginx версий 1.9.5 - 1.15.5, собранных с модулем http_v2.

Об этом сообщил Максим Дунин, один из разработчиков Nginx:
http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html
🎓 Открытый вебинар «Симметричное и асимметричное шифрование»

8 ноября в 20:00 в рамках курса «Цифровая подпись в ИБ», проводимого Отусом, состоится открытый вебинар «Симметричное и асимметричное шифрование» — бесплатный мастер-класс про особенности и различия разных алгоритмов шифрования. Вы узнаете больше о возможностях применения таких алгоритмов в разных областях, рассмотрев их особенности на наглядном примере.

Спикер-преподаватель — Алексей Александров, Директор по информационной безопасности в iDSystems. За плечами Алексея более 16 лет опыта работы в компаниях-разработчиках средств криптографической защиты информации. В общем, реальный эксперт в своём деле.

Сам же курс «Цифровая подпись в ИБ» подходит как для опытных разработчиков, так и для начинающих junior'ов, особенно для тех, кто планирует использовать и внедрять что-то вроде PKI в свое программное обеспечение. Настоятельно рекомендую всем, кто думает погрузиться в Сайберсекьюрити™ с головой.


Подробнее — по ссылке
:
https://otus.pw/6kKF/

#реклама
ℹ️ Как работают сторонние почтовые клиенты в мобильных ОС.

Mail.ru, безусловно, подментованная и провластная контора, в которой, я лично, не нахожу ничего хорошего. Но доступы к почтовым серверам IMAP/POP3 легко объясняются. Так делают и другие почтовые клиенты, например, Spark. Зачем?

Всё просто.
Мобильные приложения нуждаются в доставке Push-уведомлений о новой почте. К сожалению, iOS, например, как и некоторые другие мобильные ОС, которые уже кормят червей, не позволяет выполнять выгрузку с IMAP/POP3 серверов в фоне в неофициальном стороннем почтовом клиенте, поэтому многие вендоры пользуются такой хитростью — наличие новых сообщений проверяется сервером производителя приложения, и при нахождении оных, производится рассылка Push-уведомлений.

Поэтому подходя к выбору почтового клиента с подобным функционалом, всегда нужно здраво оценивать риск и понимать, что вы отдаете пароль от своей почты, де-факто, третьим лицам.

https://t.me/MicrosoftRus/661
ITpro News & Reviews
​​mail.ru хранит вашу корпоративную почту (оценочное суждение) Как вам такой заголовок? Вы можете обмазаться двухфакторкой, закрывать OWA за VPN или придумывать еще изощренные способы доступа к корпоративной почте, но стоит только пользователю дать возможность подключаться к почте с мобильника и тут вот оно. 😉 Давайте подробнее … Есть почтовое приложение Mail.Ru (android, iOS). Как следует из описания в сторе "Удобное и быстрое приложение для одновременной работы с несколькими почтовыми ящиками Mail.Ru, Yandex, Rambler, Gmail, Yahoo и других популярных почтовых сервисов". В этом мобильном приложении можно добавить вашу учетную запись корпоративного Exchange или Office 365. Нормальный бы почтовый клиент синхронизировал почту прямо с ваших почтовых серверов, которые вы добавили. Но мейлу хитрее, а знаете что они делают? Они агрегируют (читай - выкачивают) всю почту из ваших аккаунтов на свои серверы. Ах, какие же молодцы! Как минимум вот эти адреса засветились на сетевом оборудовании: 185.5.136.65, 217.69.140.243…
О, мне тут из канала «Ретранслятор» ответили.
Тот самый где эту утку запостили. Кря. 🦆

Ребята пишут: «Желтизны у нас не было и никогда не будет. Конкретно сегодняшняя новость про уязвимость в телеграме: Эксперт, занимающийся кибербезопасностью обнаружил».

Внезапно оказалось, что эксперт не эксперт, а уязвимость не уязвимость.

>Во-вторых, по логике Александра шифровать данные вообще не имеет смысла, ведь есть же вирусы, которые могут управлять комьютером удаленно. За эту идею благодарить Александра должны тысячи IT-компаний, которые зачем-то тратят миллаирды долларов каждый год на шифрование данных ( видимо они просто не знали про вирусы). Теперь сэкономят кучу денег!

UNEXPECTEDLY, шифровать можно весь диск средствами системы, а не одну БД в одном приложении! И как бы от вредоносного ПО, которое уже было установлено на вашу машину это вас никак не спасает.

https://t.me/retranslyator/3768
r/етранслятор
Мы никогда не позиционировали себя как канал, посвященный кибербезопасности, но уведомляли вас о главных событиях в этой области в общем порядке. Сегодня, один из самых «кибер безопасных каналов» обвинил нас в «желтизне, хайпе и дешевых заголовках» Объясняем, почему он не прав: 1. Желтизны у нас не было и никогда не будет. Конкретно сегодняшняя новость про уязвимость в телеграме: Эксперт, занимающийся кибербезопасностью обнаружил, что переписка в телеграме, хранящаяся на вашем компьютере, не шифруется. Мы об этом сообщили с ссылкой на источник, даже в заголовке написали «предварительно». Где здесь желтизна? 2. Александр (автор канала) обвиняет нас в неправильном трактовании слова «уязвимость», а также считает, что «Хранение переписки в незашифрованном виде не является уязвимостью». Окей, поехали Во-первых, телеграм - это не просто сервера для пересылки сообщений, но еще и клиентское ПО, которое разработано НЕ сторонними разработчиками. Более того, в десктопной версии Telegram есть возможность настроить…
Лента.ру и прочие бестолковые СМИ, работники которых незаслуженно называют себя журналистами, подхватили эту истерику. Печально, что многие издания даже не утруждают себя элементарным фактчекингом.
ℹ️ Об уязвимостях в Telegram

Очередной канал верещит про "СЕРЬЕЗНЫЕ УЯЗВИМОСТИ TELEGRAM" и публикует "ШОКИРУЮЩИЕ СЕНСАЦИИ". Последнее время с этим дерьмом, чего-то зачастили. Поэтому сейчас я коротко попробую объяснить, что с этими каналами/людьми/постами/уязвимостями не так.

В публикации по ссылке ниже утверждается, что клиент Telegram хранит переписку на вашем компьютере в незашифрованном виде. Приведён твит какого-то школьника по имени Nathaniel Suchy, который поковырялся в файлах Telegram, и вытащил оттуда свои сообщения. Таким образом, он продемонстрировал, что имея доступ к клиентской машине, он может получить доступ к сообщениям владельца устройства в Telegram.

Объясняю:

Назвать это уязвимостью нельзя. Сейчас бы при имеющемся доступе к клиенсткой машине что-то назывывать уязвимостью. Поверьте, если к вашему компьютеру кто-то получит доступ — получение сообщений из Telegram будет вашей наименьшей проблемой. Это дилетанство. Telegram гарантирует безопасность сообщений в процессе их передачи. Что на конечных узлах происходит — это уже не его забота. При доступе к вашему устройству, даже если бы локальное хранилище переписки было бы зашифровано, злоумышленник мог бы:

— установить ПО для перехвата нажатий клавиатуры и отследить ввод пароля для расшифровки;
— установить ПО для записи экран и получить в итоге скринкаст с процессом вашего общения в Telegram;
— и многое другое.

Уязвимостью в Telegram можно будет назвать только то, что позволит перехватывать сообщения без доступа к клиентским устройствам. Всё остальное — буллщит, публикации ради хайпа и дешевых заголовков в духе "ККООКОКОКООКОКОКОКОКОКОКО УЯЗВИМОСТЬ В ТЕЛЕГРАМЕ КОКОКООКОКОКОКОООКООКОКОКО".

Не ведитесь на желтизну.

https://t.me/retranslyator/3756
Если кто еще не слышал — IBM купила Red Hat. Сами сотрудники Red Hat уже поминают компанию, в которой работают, а в IBM всё еще надеятся отхватить кусочек облачного рынка.

https://bit.ly/2OZm0gW
⚡️В сети опубликовали список 420 тысяч сотрудников «Сбербанка» с контактными данными

Документ содержит более 420000 записей, в которых указаны Ф.И.О. сотрудников Сбербанка, адрес электронной почты, а также их логины для входа в операционную систему.

В пресс-службе банка заявили, что знают об утечке: это часть адресной книги, доступной всем сотрудникам Сбербанка. Угрозы для клиентов и сотрудников нет. О причинах инцидента не уточнялось.

https://www.bfm.ru/news/398309
На Хабре появился довольно интересный доклад Михаила Овчинникова с HighLoad++ о борьбе со спамом в соц. сетях.

Рекомендую к прочтению:
https://habr.com/company/oleg-bunin/blog/426843/
Опубликован скрипт для эксплуатации уязвимости в LibSSH 0.6

Сайберсекьюрити-энтузиаст Kshitij Khakurdikar опубликовал на Github PoC-скрипт для эксплуатации уязвимости, найденной ранее в этом месяц

https://github.com/kshitijkhakurdikar/pythonpentesting/tree/master/CVE-2018-10933
В библиотеке LibSSH 0.6 обнаружена до смешного простая в эксплуатации уязвимость.

Злоумышленнику достаточно просто отправить отправить сообщение SSH2_MSG_USERAUTH_SUCCESS на сервер по SSH в момент ожидания сообщения SSH2_MSG_USERAUTH_REQUEST. LibSSH никак не проверяет аутентичность запросов, и не проверяет, был ли на самом деле пройден процесс аутентификации, сразу предоставляя доступ к серверу без необходимости вводить какой-либо пароль. По данным IoT-поисковика Shodan, уязвимость может затрагивать более 6 тысяч доступных в сети серверов.

Говоря простым языком, достаточно "сказать" атакуемому серверу "эй, привет, я аутентифицирован", как сервер отвечает "ну что ж, брат, я тебе верю, вот тебе доступ".
В новых версиях LibSSH 0.7.6 и выше, данная уязвимость была устранена.

https://www.zdnet.com/article/security-flaw-in-libssh-leaves-thousands-of-servers-at-risk-of-hijacking/
Как хакеры провели это лето. Вспомним, что произошло в сфере Сайберсекьюрити™ начиная с июня этого года.

📯 Из-за эпичной ошибки Facebook приватные публикации некоторых юзеров стали общественным достоянием – соцсеть случайно изменила настройки приватности без ведома пользователей.

💸 А вот держатели цифровых активов, торговавшие на китайской бирже Coinrail, попали куда больше. Злоумышленники атаковали площадку и увели токенов на общую сумму $40 млн.

🧠 Однако самый зашкварные новости приходили из России. Так, во время операции на мозге ребенка в медцентре Тюмени отключилось оборудование из-за атаки вируса Purgen.

🛫 “Порадовал” Аэрофлот. Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений авиакомпании. По его словам, у Аэрофлота нет никакого шифрования или хотя бы даже аутентификации, так что любой может легко получить исходный код.

🚗 Но был и хороший пример: Tesla, давшая добро на взлом ПО своих автомобилей, изменив условия программы Bug Bounty. Теперь энтузиасты могут взламывать электрокары, не боясь отзыва гарантии. Более того, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов. Похвально, не правда ли?

Как видим, предоставление ПО для “белых” взломов – признак крутого проекта. Именно такие соберутся на конференции HackIT 4.0 в Киеве для контролируемого взлома. Само мероприятие посвящено кибербезопасности в Blockchain и крипто. Четыре дня программы включают конференцию, марафон Bug Bounty, дискуссии с разработчиком Bitcoin Core и экс-главой направления безопасности Twitter, а также поездку на (owwwh shit!) Чернобыльскую АЭС.

Подробнее — на сайте конференции: https://hackit.ua/
CloudFlare делает очень большой шаг в борьбе за свободный интернет: они анонсировали SNI Encryption. Использование TLS 1.3 и SNI Encryption делает DPI (их используют для ограничения доступа к заблокированным сайтам) бесполезными.

Подробное объяснение тут: https://blog.cloudflare.com/esni/

Когда SNI Encryption и TLS 1.3 станут стандартом и будут широко поддерживаться, российская система блокировок перестанет работать. Останутся всего два варианта — блокировать по IP, как сейчас делают небольшие провайдеры, и навязывать клиентам использование провайдерского DNS.

Но ведь DNS всегда можно сменить 1.1.1.1 или 8.8.8.8 (блокировать протокол они вроде как не собираются, да и страшно представить, сколько всего поломается, если они попробуют). А менять IP-адереса сейчас не составляет никакого труда (Telegram всё ещё работает, да?), да и IPv6 потихоньку развивается.
Халатность авиакомпании "Аэрофлот" в защите данных.

Неизвестный опубликовал на GitHub скрипт для выгрузки исходных кодов веб-приложений Аэрофлота. По его словам — авиакомпания никак не защищается от подобного, нет никакого шифрования или хотя бы даже аутентификации.

«...Получается годами весь исходный код всех внешних приложений авиакомпании "Аэрофлот" доступен публично и любой злоумышленник может их легко заполучить. Поэтому не удивительно, что данную корпорацию часто атакуют и что закономерно - удачно. Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки. Представляете масштаб проблемы, если этого не заметят программисты?...» — говорит владелец репозитория на Github.

https://github.com/aeroflotsrc/webapp
Пресс-Служба Лаборатории Касперского дала также официальный комментарий по этому поводу:

«В исходном посте приведена выдержка из курса, созданного в 2008 году по продуктам Kaspersky Anti-Virus 6.0 для рабочих станций на Windows и Kaspersky Administratiron Kit 6.0. Версия 6.0 – это продукты десятилетней давности, которые мы начали снимать с поддержки ещё в 2011 году. Курс также был убран из доступа по мере прекращения поддержки продукта. Т.е. это устаревшие сценарии (а не рекомендации) в онлайн-курсах по уже неподдерживаемым продуктам, которые некорректно трактовать как текущие рекомендации «Лаборатории Касперского», и более того, приведённое описание не являлось инструкцией к действию - это вырванное из контекста описание возможных действий администратора в рамках учебного курса»

Страницу с инструкциями поспешили удалить с портала поддержки. Были ли иными рекомендации по безопасности домена в 2008 году? Конечно же нет, не были.
Написал человек, представившийся рядовым сотрудником Лаборатории Касперского. Говорит, выдергиваю из контекста:

«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»


Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.

«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.

Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.

Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.