• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа, речь в сегодняшней статье я поведу о новостях прошедшей недели, равно как и делаю это уже на протяжении 13 месяцев. Новостей в этот раз ощутимо больше, нежели обычно, так что прошу выделить некоторое время на то, чтобы войти в курс событий прошедшей недели.

IbIt.jpg


Представьтесь!

Вы, наверное, помните, как много раз поднималась тема “приземления” иностранных компаний и тоже, вероятно, считали, что вопрос себя исчерпал и больше тут говорить не о чем. Однако, как говорится, снизу постучались. Роскомнадзор опубликовал список из 13 наименований, являющихся владельцами и управляющими популярных ресурсов сети. Список прилагаю ниже:
  • Google, включая YouTube и YouTube Music, а также сервисы Google Play, Google Chat, Gmail;
  • Apple, включая сервисы iCloud, App Store, Apple Musiс;
  • Meta, включая Facebook, Instagram, Whatsapp;
  • Twitter;
  • TikTok;
  • Telegram;
  • Zoom;
  • Likeme;
  • Viber;
  • Discord;
  • Pinterest;
  • Spotify;
  • Twitch.
Viber уже согласились открыть представительство, Discord же размышляют насчёт юридических требований со стороны РФ. Для каждой компании на сайте Роскомнадзора отображён статус исполнения требований. Вот, кстати, требования:
  • разместить на информационном(ых) ресурсе(ах) электронную форму: не исполнено;
  • создать филиал, или открыть представительство, или учредить российское юридическое лицо: не исполнено;
  • зарегистрировать личный кабинет на официальном сайте Роскомнадзора: не исполнено.
На данный момент ни к одной компании не применяются принуждающие меры, однако на ресурсе описано, что может грозить в случае игнорирования требований:
  • запрет на распространение рекламы иностранного лица и (или) его информационного ресурса в качестве объекта рекламирования;
  • запрет на распространение рекламы на информационном ресурсе иностранного лица;
  • запрет на поисковую выдачу.
С начала грядущего года все требования уже должны быть исполнены, а иначе мы будем наблюдать… Отсутствие рекламы? Будет интересно :)


ИдтиОтец поплыл

22 ноября, ровно в день публикации прошлого дайджеста, регистратор доменных имён и хостинг-провайдер GoDaddy раскрыл подробности произошедшего неделей ранее. 17 ноября специалисты компании обнаружили, что произошла утечка данных 1,2 миллионов клиентов WordPress, хотя сторонние ИБ-специалисты говорят, что эти данные появились в продаже ещё 4 ноября. Согласно пояснению GoDaddy, взлом базы данных клиентов услуги Managed WordPress произошел на платформе 6 сентября 2021 года. Для этого злоумышленник использовал рабочую скомпрометированную учётную запись одного из сотрудников. Хакер более месяца имел полный доступ к 1,2 млн аккаунтов клиентов WordPress, их электронным адресам, номерам клиентов, данным протокола sFTP, закрытым ключам SSL. На данный момент все пострадавшие клиенты уведомлены, их пароли сброшены, а сейчас компания работает над обновлением SSL-сертификатов, расследует инцидент и оценивает последствия.

От хакерской атаки на GoDaddy пострадали клиенты компаний-реселлеров tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet и Host Europe. GoDaddy внесла их в свою инфраструктуру после поглощения в 2013 году Media Temple и в 2017 году Host Europe Group. Эти компании предоставляли веб-хостинг и облачные услуги преимущественно в Европе, у них также были клиенты по всему миру.
Представитель GoDaddy пояснил, что никакие другие бренды компании не были затронуты при атаке. Со своей стороны, сотрудники техподдержки Media Temple, 123Reg, Domain Factory, Heart Internet и Host уже связались со своими клиентами и сообщили им подробности атаки и о необходимых действиях по защите их данных и аккаунтов.


Российские эксперты и учёные под угрозой

Северокорейская хакерская группировка Kimsuky атакует Россию. Под удар попали российские учёные, сотрудники неправительственных организаций и эксперты мировой политики, которые так или иначе связаны с КНДР. Причём, как это не банально, хакеры рассылали фишинговые письма от лица российских экспертов. В письмах содержалась ссылка, перейдя по которой можно было увидеть страницу, схожую с теми, которые есть на ресурсах, защищённых паролем, то есть банальное окно входа. Ещё в августе разработчики антивирусного ПО Malwarebytes обнаружили вредоносные русскоязычные файлы:
  • «Региональные экономические контакты дальневосточной России с корейскими государствами (2010-е годы)»;
  • «23-е заседание межправительственной Российско-монгольской комиссии по торгово-экономической, научно-технической эксплуатации».
В компании посчитали, что эти файлы принадлежат северокорейской хакерской группировке APT37, которая, как предполагается, связана с правительством КНДР. В Group-IB отмечают, что КНДР проводит киберпреступные операции не только против Южной Кореи, но еще и стран, которые поддерживают её в течение последних трех лет. Руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова предполагает, что в Kimsuky заинтересованы в документах отдельных чиновников и сотрудников научно-исследовательских центров.


ЕСИА авторизация в Яндекс

Минцифры и Яндекс планируют в ближайшее время запустить пилотный проект, в рамках которого можно будет авторизовываться в сервисах компании через единую систему идентификации и авторизации. Работа над этим проектом ведётся ещё с лета. Новый тип авторизации уже запущен на веб версии Авто.ру и скоро появится на сайтах hh.ru и ЦИАН. Пользователи портала Госуслуг с подтвержденной учётной записью смогут заходить под своими учётными данными на эти порталы и совершать там юридически значимые действия. Также новая функция поможет решить проблему использования агрегаторов товаров и услуг, ресурсов поиска работы и социальных сетей в мошеннических целях, так как эти пользователи уже проверены государственной информационной системой. Минцифры пояснило, что это тестовый проект по проработке авторизации через ЕСИА на сторонних площадках, он продлится до 1 июля 2022 года. Также к этому пилоту скоро будут подключены сервисы «Авито», «Петербургская сбытовая компания», система поиска недвижимости «Этажи» и ряд других площадок.



Блокировка сайта без суда
Незаконно?
Да, но вообще-то нет

Как вы помните, этим летом был создан реестр сайтов с информацией, запрещённой на территории РФ. На этой неделе Минздрав предложил вносить в этот реестр те ресурсы, которые предоставляют медицинские документы без проведения медицинский исследований. Включение подобных сайтов в реестр планируется осуществлять по запросу Росздравнадзора — в законопроекте ведомство наделили такими полномочиями. Также планируется блокировать организации, которые осуществляют доставку медицинских документов, а владельцам соцсетей вменяется проверять свои сервисы на наличие рекламы сайтов по продаже справок, выписок и других удостоверений.


Замедление Twitter вполне законно

К такому решению пришёл Таганский районный суд, в который несколько месяцев назад подавала иск “Роскомсвобода” от имени 23 российских пользователей Twitter, которые увидели в замедлении Twitter акт беззакония и присоединились к кампании “Битва за Twitter”. Согласно решению судьи, в исковом заявлении не указаны данные о том, какие права, свободы и интересы обратившихся в суд лиц были нарушены. Кроме того, судья посчитал, что действия Роскомнадзора по замедлению социальной сети вообще не содержат нарушений чьих бы то ни было прав. Глава юридической практики «Роскомсвободы» Саркис Дарбинян отметил, что суду потребовалось почти полгода, чтобы рассмотреть вопрос о незаконности замедления Twitter. По его словам, все сроки принятия решения о принятии иска давно уже вышли за рамки разумных. Дарбинян заметил, что юристы «Роскомсвободы» уже сталкивались с аналогичным решением российского суда — ранее суд решил, что права пользователей никак не затрагиваются требованиями ФСБ по передаче ключей шифрования Telegram. Сейчас юристы «Роскомсвободы» готовят частную жалобу в Мосгорсуд, однако там результат достаточно предсказуем, заявил Дарбинян. После прохождения всех необходимых инстанций юристы планируют обратиться в ЕСПЧ. Как отметил Дарбинян, ЕСПЧ в своё время посчитал приемлемыми жалобы пользователей Telegram на действия по блокировке мессенджера, и новый иск по замедлению Twitter имеет очень важное значение.


Абдельхамид Насери

Именно так звучит имя человека, выступившего против Microsoft, а точнее против тендении к снижению выплат по программам bug bounty. Для выражения своего протеста он выбрал весьма необычный и, как мне кажется, действенный путь – публикация 0-day эксплойта, который он сам ранее нашёл. Казалось бы, на сколько должны были снизить выплаты, чтобы человек решился на такое. Ну, скажем так, на много. Раньше за 0-day уязвимости платили 10 тысяч долларов, сейчас же эта сумма снижена ровно в десять раз и составляет одну тысячу. Исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM. Уязвимость до сих пор, как оказалось, не до конца закрыта разработчиками и ей подвержены все поддерживаемые Microsoft версии Windows, включая WIndows 10, Windows 11 и даже Windows Server 2022. Разработчик пояснил, что его эксплойт работает даже если ПК в домене — он обходит установленные групповые политики со стороны сервера Windows Server 2022, например, запрет «стандартным» пользователям выполнять операции установщика MSI. Это также возможно на Windows Server 2016 и 2019, если там установлены по умолчанию определенные службы повышения прав в системе. Принцип работы эксплойта — при его запуске происходит перезапись DACL (Discretionary access control list — избирательной таблицы управления доступом) службы повышения прав Microsoft Edge, которая копирует себя в расположение службы и выполняет ее под SYSTEM, что позволяет получить повышенные привилегии. Автор этой уязвимости советует администраторам дождаться патча от Microsoft, а не пытаться закрыть брешь самостоятельно.

Уязвимость уже эксплуатируется!


Социальная реклама повсюду!
Нет?
Ну значит подождите следующего года.

В 2022 году планируется привлечь к обязательному размещению социальной рекламы сервисы Яндекс, VK, Рамблер, Google, YouTube, Facebook, TikTok.
По словам генерального директора АНО «Институт развития интернета» Алексея Гореславского, институт уже запустил первый конкурс на размещение социальной рекламы в интернете от некоммерческих и благотворительных организаций, он завершится 7 декабря. После этого до конца года планируется проведение экспертной оценки заявок, и уже с февраля начнутся первые размещения на платформах «Яндекса», VK Group, Rambler Group, пояснил гендиректор. В нынешнем году «Институт развития интернета» уже проводил в тестовом режиме размещение социальной рекламы — она затрагивала темы донорства, вакцинации от коронавируса и поддержки пожилых людей. Результаты пилотных проектов проанализируют и скорректируют в соответствии с оценками эффективности, говорит Гореславский. Гендиректор отметил, что подключение зарубежных платформ планируется также в следующем году согласно действующему законодательству.


И ещё одно судебное дело

За этот дайджест уже несколько раз появлялась информация как кто-то на кого-то подавал в суд. И вот ещё один прецедент. Apple подала в суд на NSO Group из-за случая с Pegassus. Планируется привлечь NSO Group к ответственности за слежку за пользователями Apple и за распространение шпионского ПО. В юридической жалобе содержится новая информация о том, как израильские программы взламывали смартфоны на iOS. Кроме того, Apple будет добиваться законодательного запрета на использование NSO любого программного обеспечения, услуг или устройств компании. Уязвимость, за счёт которой шпионская программа Pegasus проникала на смартфоны с iOS, впервые обнаружили исследователи Citizen Lab летом этого года в рамках объединённого журналистского расследования. Apple исправила её в сентябрьском обновлении для iOS, iPadOS, watchOS и macOS, начиная с версии Catalina. По данным исследователей, для заражения устройства достаточно было отправить на него вредоносный PDF-файл. Он распространялся преимущественно через iMessage. Также Apple рассказала, что злоумышленники использовали идентификаторы Apple ID, через которые рассылали вредоносные файлы на устройства потенциальных жертв. Заражение и установка шпионской программы Pegasus проходили без ведома пользователя и не требовали никаких действий с его стороны. Несмотря на то, что серверы Apple использовались для рассылки вредоносных программ, компания заверила, что они не были взломаны. Сразу после описания способа заражения в обход iMessage, Apple начала описывать свои устройства как самые безопасные на рынке. Компания утверждает, что на iOS нацелено менее 2% вредоносных программ, в то время как для других мобильных операционных систем их в 15 раз больше. Вместе с этим Apple описала iOS 15 как систему с обновлёнными механизмами обеспечения безопасности BlastDoor. На текущий момент компания не обнаружила ни одного случая заражения iOS 15 и более поздних версий шпионскими программами от NSO. Apple поблагодарила Citizen Lab и Amnesty Tech за работу и пообещала оказать им безвозмездную техническую помощь в последующих исследованиях в области кибербезопасности. Компания планирует выделить на это $10 млн. Часть из этих средств пойдут на покрытие убытков от судебных исков для компаний, занимающихся исследованием и публикацией информации об актуальных киберугрозах. Apple также планирует в судебном порядке обязать NSO выплатить компенсацию за вред, полученный вследствие заражения устройств Apple.


Манифест против принудительной вакцинации в Google

В конце октября вице-президент по безопасности компании Крис Раков заявил, что до 12 ноября работники должны предоставить освобождение от прививки или сделать её. И хотя Google называет вакцинацию ключевой мерой для безопасного возвращения сотрудников в офисы, несколько сотен этих самых сотрудников написали и распространили манифест с целью показать своё недовольство. В сентябре президент США Джо Байден представил приказ, который обязывает американские компании до 4 января провести обязательную вакцинацию персонала и инициировать регулярное тестирование на предмет заражения COVID-19. Требование относится к организациям со штатом более 100 сотрудников. В ответ на это Google попросила у более 150 тыс. своих работников предоставить статус вакцинации до 3 декабря. Компания подчеркивает, что сотрудники, которые дистанционно работают по государственному договору, также должны быть вакцинированы. Манифест против прививки подписали минимум 600 сотрудников Google. Они требуют от руководства отказаться от государственных требований вакцинации и предложить свои. По их мнению, это создаст прецедент, который окажет влияние на другой бизнес в Америке. Манифестанты призывают других сотрудников противиться существующим требованиям. Несмотря на незначительное число подписавшихся сотрудников, Google опасается, что их число будет увеличиваться. Компания собирается вывести работников в офисы с 10 января. Руководство корпорации настаивает на том, что вакцинация является важным способом обеспечить безопасность внутри компании. В манифесте сотрудники заявляют, что требование вакцинироваться ошибочно. Они отмечает, что обязательство нарушает требование инклюзивности компании. Работники выступают против регистрации вакцинации, поскольку они не верят в то, что компания имеет право на доступ к истории болезней сотрудников. Автор документа считает, что требование вакцинации может стать началом для введения других принудительных мер. Политика Google приведёт к распространению практики навязывания медицинских требований на другие компании, сказано в манифесте. Разумеется, Google не единственная компания, которую коснулся этот указ, но, возможно, именно её сотрудники сдвинут ситуацию с принудительной вакцинацией с места.


Позитивный HackerOne

Positive Technologies создаст аналог иностранной платформы для получения вознаграждения за нахождение уязвимостей HackerOne. В PT уточнили, что их решение будет отличаться от традиционных программ bug bounty. В ней заказчикам будет проще делать верификацию инцидента, а участники-хакеры смогут получать вознаграждения как за обнаруженную одну уязвимость, так и за цепочку атак, что может принести более высокую выплату. Однако, несмотря на все “отличия”, принцип работы будет тот же самый. Нашёл уязвимость – получил деньги.


Exchange Server на Linux

Казалось бы, ещё год назад кто-то вряд ли мог с уверенностью сказать, что адекватная доменная инфраструктура на Linux возможна, однако ГК Astra делает красиво и после того, как удивила всех своим Astra Linux Directory (ALD), реализующим возможности Active Directory, показывает RuPost, который, как обещают в компании, сможет заменить почтовый сервер. В RuPost реализованы обмен письмами по протоколам SMTP и IMAP, работа с календарями, контактами и функция поиска в адресной книге. Продукт создан на базе интегрированных «открытых» компонентов Linux и включает в себя библиотеку специально разработанных и протестированных шаблонов конфигураций, кластерный сервер для построения масштабируемой отказоустойчивой корпоративной почтовой системы, единую панель управления – от развертывания до заведения почтовых ящиков и мониторинга состояния компонентов. Также имеются web-клиент и инструменты для миграции с Microsoft Exchange и других систем. Поддержка безопасной мобильной работы с почтой, календарями и документами для пользователей ALD Pro и RuPost реализована в новом программном решении нового поколения — защищённом мобильном клиент-контейнере для устройств на базе iOS и Android. Продукт позволяет создать мобильное рабочее место, а также платформу микроприложений и чат-ботов для оперативного подключения к ИТ-системам компании. Масштабируемый сервер со встроенными средствами и политиками защиты от утечек данных развертывается в корпоративной сети и не требует использования публичного «облака», что гарантирует организациям-пользователям полный контроль над их информацией. Заказчики получают обновленный мобильный «клиент» и полностью кроссплатформенную серверную часть нового поколения с поддержкой российских ОС, СУБД, службы каталогов и разных почтовых серверов, а также интегрированную серверную платформу для корпоративных ботов.


Блиц

  • “Гражданин” против порно и OnlyFans в частности!
    Лидер Общественного движения «Гражданин» подал.. | Общественное Движение "Гражданин" | VK
  • Покемон GO всех обыграл. Нас обманули, расходимся. На самом деле Niantic создали метавселенную, причём уже давно.
  • Срок ареста основателю Group-IB продлён ещё на три месяца. Теперь он будет сидеть до 28 февраля 2022 года.
  • Яндекс присоединился к международной группе по разработке “Matter” – единого протокола для устройств умного дома.
    Google, Apple и Amazon договорились о едином стандарте для умного дома
  • Доставка каннабиса в Канаде. Займётся Uber!
  • Сейчас реклама в каналах чиновников и госструктур появляется, но это временно, а разработчики мессенджера занимаются исключением из рекламной платформы таких каналов.
    Durov's Chat
  • Платы вам за это не будет, а вот отключение от API Telegram будет, так что будьте добры, разместите официальную рекламу от Telegram и в своих кастомных клиентах.
  • Столото удалили из Google Play, потому что это азартные игры, а вот мошеннические приложения, которые обманывают пользователей совсем уж открыто никто и не думал удалять. Кстати, владелец Столото подал на Google в суд именно по этому поводу.
  • Wireshark 3.6.0. Новые сетевые протоколы! Целых 38 штук! От Local Interconnect Network (LIN) до World of Warcraft World (WOWW)!
  • Короткие видео в Spotify? Да, но пока ещё в бете.
  • Кто-то выкладывает в ВК запрещённые ролики с YouTube, однако штрафуют ВК, хотя видео там лишь в качестве ссылки-предпросмотра. Деструктив, да и только!
    Роскомнадзор снова угрожает ВКонтакте штрафами за YouTube-ролики | Blog VK
  • Apple будет предупреждать пользователя, если на него будут совершаться атаки, спонсируемые государством. Как будут определять – непонятно, но звучит круто. Это, кстати, ещё один камень в огород NSO Group.
  • Seaberry Pi. Чудовищно много портов PCIe (11 штук!), формат mini ITX, все стандартные для Raspberry Pi 4 порты. И всё это – материнская плата для Raspberry Pi Compute Module 4.
  • Там опять набредили новые правила по предустановке российского ПО. Пойдите, почитайте, если хочется, а я уже устал от их постоянных правок в законе а-ля “сделайте чтобы хорошо”. Боюсь даже представить каково тем, кто обязан этому подчиняться и делать всё в соответствии с этим.
  • Вышел собственный Linux-дистрибутив от Amazon. Назвали его незамысловато – Amazon Linux 2022 (AL2022). Основан на Fedora. Новые версии каждые два года, поддержка пять лет, ну и ежеквартальные минорные обновления.
  • Ещё там баклажан семена разбрасывает. А когда Дуров спросил пользователей, что лучше, прекратить Telegram на iOS или удалить разбрасывающий семена баклажан, мнения сложились примерно 35/65. Я думаю кого сколько говорить не стоит? :)
    Павел Дуров
  • В ночь с 27 на 28 ноября падал Github.
    GitHub упал — и сайт, и сервер (upd: поднялось 2ч50м спустя)
Вот новости и подошли к концу, чему я несказанно рад, ибо в два часа ночи всё-таки хочется спать. Как проснусь – опубликую. Кстати, как вы могли заметить, формат блока “Блиц” немного изменился, теперь туда попадают не малоинтересные новости, а просто те, по которым нечего особо сказать, так что @Rook , тебе стоит подумать, как интегрировать этот блок в свои видео. А за сим откланяюсь, всем спасибо за внимание.
 
Последнее редактирование:
02.03.2021
550
398
BIT
224
Спасибо коллеги, с удовольствием прочитал новости.
В особенности понравился обидевшийся индус: "Не продал, а выложил в открытый доступ".
 
  • Нравится
Реакции: dieZel и Mogen
09.11.2017
258
261
BIT
5
Морти бро как всегда красава не могу не начитатся этого добра двигай мысли в массы=)
 
  • Нравится
Реакции: dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!