Здравия всем дамы и господа, на моём календаре сейчас пятница, а на ваших экранах новости. Перед тем, как начать повествование сие, скажу, что прошла уже неделя учёбы и я, честно говоря, уже устал. Не удивительно, с непривычки-то.
Большинство из вас ведь знают этот адрес. Это ip сервера разрешения доменных имён от Google. Я, когда настраивал различное оборудование, всегда ставил именно его в качестве DNS сервера. Думаю, я совсем не одинок в таком решении. К чему это всё. 8 сентября РКН без предупреждения заблокировал бесплатные публичные иностранные DNS сервера, включая 1.1.1.1 и вышеупомянутый 8.8.8.8. А в купе с недавним предложением гос.компаниям перейти на НСДИ (национальная система доменных имён) ситуация выглядит совсем грустно. Кроме того, планируется блокировка протоколов, облегчающих обход блокировок, уж простите за тавтологию. В немилость Роскомнадзору попал протокол DoH от Mozilla и Google. Если они таки решат блокировать иностранные DNS-сервера и протоколы, то мы останемся без безопасного сопоставления ip с доменными именами, что повлечёт за собой шквал киберпратак. Кроме того, это ухудшит производительность сети, ведь суверенные сервера доменных имён не готовы, как мне кажется, эффективно обрабатывать нагрузку вообще всего российского сегмента сети.
Седьмого числа сего месяца Microsoft написали о новой уязвимости, позволяющей компрометировать системы с помощью документа MS Office. Уязвимость является 0-day и на данный момент активно эксплуатируется. Она получила идентификатор CVE-2021-40444 и балл 8.08 по шкале CVSS. Такая высокая оценка вызвана возможностью удалённого выполнения кода на атакованном устройстве. Брешь кроется в MSHTML (Trident) – движке Internet Explorer, отвечающего за отображение веб-содержимого в документах MS Word, Excel и PowerPoint. Специалисты по безопасности Microsoft расследуют доклады об уязвимости удаленного выполнения кода в MSHTML. Они в курсе атак, нацеленных на ее эксплуатирование посредством специально созданных для этой цели документов MS Office. Атака проходит примерно следующим образом: атакующий создаёт вредоносный элемент ActiveX, внедряет его в документ Microsoft Office, где задействован движок MSHTML. А вы этот документик открываете, под тем или иным предлогом. При этом пользователи, имеющие ограниченные права доступа к системе, подвергаются меньшей угрозе, чем те, кто работает с правами администраторов. Нашли уязвимость и доложили о ней исследователи из EXPMON и Mandiant. Чтобы свести опасность к минимуму, нужно сконфигурировать офисные приложения таким образом, чтобы они открывали неизвестные документы в так называемом, режиме защищённого просмотра. В компании заявили, что по окончании расследования будет выпущен патч. А вот специальный или в рамках Patch Tuesday будет зависеть только от потребности пользователей.
Если у вас возник вопрос, что это и почему это такое крупное, то я вам отвечу. Этот текст был утверждён Роскомнадзором для маркировки контента иностранных компаний, нарушающих российские законы. Как и в случае с маркировкой иностранного агента, шрифт пометки не должен быть меньше, чем текст в ссылке. Всё это относится к иностранным юрлицам, зарубежным организациям без статуса юридического лица, иностранным гражданам и людям, не имеющим гражданства, которые ведут деятельность в интернете на территории Российской Федерации. Я бы, владея такой компанией, использовал эту маркировку в качестве рекламы. Основной текст ссылки делал бы 8, а пометку 36.
Ах да, домен gov.ru работает по http. О какой кибербезопасности вообще может идти речь, если они не удосужились прикрутить SSL? Даже не поспоришь, действительно гов.
Я напоминаю, это лишь четвёртый блок в нашем дайджесте, и уже третий, так или иначе, касающийся Роскомнадзора. Если такая тенденция сохранится, то скоро эти статьи начнут называться «Вестник бредней РКН». Но пока этого не произошло, хочу рассказать вам об очередном гениальном шаге, который сделал Роскомнадзор. Ведомство заблокировало 6 VPN-сервисов: Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN. И, разумеется, не было задето ни одного стороннего сервиса… Конечно, так я и поверил, ага. Как пишет «Ъ» массовые блокировки Роскомнадзором VPN-сервисов через DPI повлияли на работу в РФ сайтов Twitch, Avito, стримингового сервиса FlashScore, игр World of Tanks и World of WarShips. Wargaming уточнила, что блокировка VPN задела UDP порты World of Warships. Роскомнадзор отрицает свою причастность к случайно блокировке «мирных» сервисов и пишет, что реализация мероприятий по блокировке VPN не блокирует UDP порты и не влияет на доступные сайты. Ага. А ещё во время замедления Twitter и блокировки Telegram не полегло пол рунета. Сказки это всё какие-то. Враки.
Примерно в такую игру, по-видимому собирается играть правительство Москвы, ведь ДИТ (департамент информационных технологий) и департамент образования и науки Москвы решили, что распознавание лиц поможет обезопасить учеников и преподавателей на территории учебных заведений. ДИТ уточнил, что на данный момент только изучается возможность внедрения подробной системы и говорить, что это однозначно будет исполнено пока преждевременно. Однако в ведомстве разъяснили, что даже при внедрении системы, это будет производиться с разрешения директора, преподавательского состава и родителей. Текст законопроекта уже имеется на портале НПА (нормативно правовых актов) и сейчас соотношение голосов за/против равняется 0/105. Предлагаю проголосовать.
Согласно опросу ВЦИОМ только 7 % респондентов в возрасте от 18 до 24 лет верят в абсолютную безопасность своих персональных данных и 3 % в среднем среди опрошенных. Конечно, выборка составляет всего 1606 человек, что в масштабах страны крайне мало, однако это тоже кое-о-чём говорит. Опрос проводился в форме телефонного интервью, вопросы были о том, какие цели люди преследуют, когда делятся персональными данными, знают ли опрашиваемые, как их ПДн будут использованы, насколько они защищены и каков риск утечки. Чаще всего персональные данные передавали для получения банковских услуг (49 % ответов), определения геолокации (46 %), регистрации на сайтах госучреждений (45 %), оформления доставки на дом (38 %) и при взаимодействии в социальных сетях (38 %). Что насчёт использования - 37 % опрошенных россиян не знают, для чего и как будут использовать их данные, и только 15 % уверены, что знают. Основной причиной утечек данных 49 % опрошенных назвали злоупотребление запрашиваемой стороной, недостаточный уровень технологической защиты назвали только 13 % респондентов и 15 % указали небрежность в процессах передачи данных. А вот на вопрос, для чего госучреждения собирают данные граждан, в 26 % случаев респонденты отвечали — «Чтобы взять под контроль жизнь людей». В 37 % опрошенные указывали, что данные необходимы для подтверждения личности и в 32 % — для упрощения процедуры получения услуг. Большинство людей оценило безопасность своих данных в 5 баллов из 7, где 7 — абслютное доверие, а 1 — абсолютное недоверие. Странно, но, как утверждает ВЦИОМ, выше всего безопасность оценивала аудитория в возрасте 18—24 лет — на 6 баллов для госучреждений и на 5,5 баллов для банков. По-видимому люди не часто читают новости ИБ/IT. Не будьте, как они.
Как вы наверняка помните, REvil закрыл свою инфраструктуру и полностью исчез после их самой большой на данный момент атаки 2 июля, в результате которой было зашифровано 60 поставщиков управляемых услуг и более 1500 предприятий, использующих уязвимость нулевого дня в платформе удаленного управления Kaseya VSA. Затем REvil потребовал 50 миллионов долларов за универсальный дешифратор для всех жертв Kaseya, 5 миллионов долларов за расшифровку MSP и выкуп в размере 44 999 долларов за расшифровку на отдельных конечных предприятиях. Это было грандиозное событие, после которого шифровщики собрали свои вещички и сбежали куда подальше. Предполагалось, что вскоре они переименуются и вновь начнут работу, однако они решили не менять название, удивив эти действием очень многих. 7 сентября сайты группировки вновь заработали, а уже 11 числа на сайте для публикации утечек были опубликованы скриншоты украденных данных. Ранее все публикации Revil были от имени пользователя UNKWN («неизвестный»), однако недавно на русскоязычном хакерском форуме пользователь под ником REvil написал, что UNKWN, по-видимому арестован. Также пользователь пишет, что как только «неизвестный» пропал, все сервера были бэкапнуты и отключены, а после безуспешных поисков и некоторого ожидания, сервера были восстановлены из бэкапов и приведены в рабочее состояние. Основной сервер с ключами был отключен в штатном режиме немного позже. Также REvil написал одно важное замечание насчёт дешифратора для Kaseya VSA. Он пишет, что ключ не был скомпрометирован правоохранителями, как писалось ранее, а просто утёк из-за ошибки сотрудника. Самое важное здесь не то, из-за чего и как пропала группировка, а то, что сейчас она вернулась и вновь взялась за дело.
Злоумышленник опубликовал список из почти 500 000 имён и паролей для входа в Fortinet VPN, которые якобы были скопированы с уязвимых устройств прошлым летом. Хотя заявлено, что использованная уязвимость Fortinet была исправлена, они утверждают, что многие учетные данные VPN все еще действительны. Эта утечка является серьезным инцидентом, поскольку учетные данные VPN могут позволить злоумышленникам получить доступ к сети для кражи данных, установки вредоносных программ и выполнения атак программ-вымогателей. Список учетных данных Fortinet был бесплатно передан злоумышленником, известным как Orange, который является администратором недавно запущенного хакерского форума RAMP и предыдущим оператором Babuk Ransomware. После разногласий между членами банды Бабука, Orange отделился, чтобы основать RAMP, и теперь считается, что он является представителем новой операции вымогателей Groove. Вчера злоумышленник создал сообщение на форуме RAMP со ссылкой на файл, который якобы содержит тысячи учетных записей Fortinet VPN. Сообщение ведут к файлу, размещенному на сервере хранения Tor, который банда Groove использует для размещения украденных файлов, которые просочились, чтобы заставить жертв вымогателей заплатить. Причиной вскрытия всех этих данных стала ныне исправленная уязвимость CVE-2018-13379.
На этом новости нашли своё завершение, всех благодарю за прочтение и жду на следующей неделе.
8.8.8.8
Большинство из вас ведь знают этот адрес. Это ip сервера разрешения доменных имён от Google. Я, когда настраивал различное оборудование, всегда ставил именно его в качестве DNS сервера. Думаю, я совсем не одинок в таком решении. К чему это всё. 8 сентября РКН без предупреждения заблокировал бесплатные публичные иностранные DNS сервера, включая 1.1.1.1 и вышеупомянутый 8.8.8.8. А в купе с недавним предложением гос.компаниям перейти на НСДИ (национальная система доменных имён) ситуация выглядит совсем грустно. Кроме того, планируется блокировка протоколов, облегчающих обход блокировок, уж простите за тавтологию. В немилость Роскомнадзору попал протокол DoH от Mozilla и Google. Если они таки решат блокировать иностранные DNS-сервера и протоколы, то мы останемся без безопасного сопоставления ip с доменными именами, что повлечёт за собой шквал киберпратак. Кроме того, это ухудшит производительность сети, ведь суверенные сервера доменных имён не готовы, как мне кажется, эффективно обрабатывать нагрузку вообще всего российского сегмента сети.
Ссылка скрыта от гостей
Microsoft Office Wzlom
Седьмого числа сего месяца Microsoft написали о новой уязвимости, позволяющей компрометировать системы с помощью документа MS Office. Уязвимость является 0-day и на данный момент активно эксплуатируется. Она получила идентификатор CVE-2021-40444 и балл 8.08 по шкале CVSS. Такая высокая оценка вызвана возможностью удалённого выполнения кода на атакованном устройстве. Брешь кроется в MSHTML (Trident) – движке Internet Explorer, отвечающего за отображение веб-содержимого в документах MS Word, Excel и PowerPoint. Специалисты по безопасности Microsoft расследуют доклады об уязвимости удаленного выполнения кода в MSHTML. Они в курсе атак, нацеленных на ее эксплуатирование посредством специально созданных для этой цели документов MS Office. Атака проходит примерно следующим образом: атакующий создаёт вредоносный элемент ActiveX, внедряет его в документ Microsoft Office, где задействован движок MSHTML. А вы этот документик открываете, под тем или иным предлогом. При этом пользователи, имеющие ограниченные права доступа к системе, подвергаются меньшей угрозе, чем те, кто работает с правами администраторов. Нашли уязвимость и доложили о ней исследователи из EXPMON и Mandiant. Чтобы свести опасность к минимуму, нужно сконфигурировать офисные приложения таким образом, чтобы они открывали неизвестные документы в так называемом, режиме защищённого просмотра. В компании заявили, что по окончании расследования будет выпущен патч. А вот специальный или в рамках Patch Tuesday будет зависеть только от потребности пользователей.
Ссылка скрыта от гостей
«Иностранное лицо, владеющее информационным ресурсом, является нарушителем законодательства Российской Федерации»
Если у вас возник вопрос, что это и почему это такое крупное, то я вам отвечу. Этот текст был утверждён Роскомнадзором для маркировки контента иностранных компаний, нарушающих российские законы. Как и в случае с маркировкой иностранного агента, шрифт пометки не должен быть меньше, чем текст в ссылке. Всё это относится к иностранным юрлицам, зарубежным организациям без статуса юридического лица, иностранным гражданам и людям, не имеющим гражданства, которые ведут деятельность в интернете на территории Российской Федерации. Я бы, владея такой компанией, использовал эту маркировку в качестве рекламы. Основной текст ссылки делал бы 8, а пометку 36.
Ссылка скрыта от гостей
Ах да, домен gov.ru работает по http. О какой кибербезопасности вообще может идти речь, если они не удосужились прикрутить SSL? Даже не поспоришь, действительно гов.
Прощай VPN
Я напоминаю, это лишь четвёртый блок в нашем дайджесте, и уже третий, так или иначе, касающийся Роскомнадзора. Если такая тенденция сохранится, то скоро эти статьи начнут называться «Вестник бредней РКН». Но пока этого не произошло, хочу рассказать вам об очередном гениальном шаге, который сделал Роскомнадзор. Ведомство заблокировало 6 VPN-сервисов: Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN. И, разумеется, не было задето ни одного стороннего сервиса… Конечно, так я и поверил, ага. Как пишет «Ъ» массовые блокировки Роскомнадзором VPN-сервисов через DPI повлияли на работу в РФ сайтов Twitch, Avito, стримингового сервиса FlashScore, игр World of Tanks и World of WarShips. Wargaming уточнила, что блокировка VPN задела UDP порты World of Warships. Роскомнадзор отрицает свою причастность к случайно блокировке «мирных» сервисов и пишет, что реализация мероприятий по блокировке VPN не блокирует UDP порты и не влияет на доступные сайты. Ага. А ещё во время замедления Twitter и блокировки Telegram не полегло пол рунета. Сказки это всё какие-то. Враки.
Ссылка скрыта от гостей
Найдите школьника
Примерно в такую игру, по-видимому собирается играть правительство Москвы, ведь ДИТ (департамент информационных технологий) и департамент образования и науки Москвы решили, что распознавание лиц поможет обезопасить учеников и преподавателей на территории учебных заведений. ДИТ уточнил, что на данный момент только изучается возможность внедрения подробной системы и говорить, что это однозначно будет исполнено пока преждевременно. Однако в ведомстве разъяснили, что даже при внедрении системы, это будет производиться с разрешения директора, преподавательского состава и родителей. Текст законопроекта уже имеется на портале НПА (нормативно правовых актов) и сейчас соотношение голосов за/против равняется 0/105. Предлагаю проголосовать.
Ссылка скрыта от гостей
Вы думаете ваши данные защищены от утечек?
Согласно опросу ВЦИОМ только 7 % респондентов в возрасте от 18 до 24 лет верят в абсолютную безопасность своих персональных данных и 3 % в среднем среди опрошенных. Конечно, выборка составляет всего 1606 человек, что в масштабах страны крайне мало, однако это тоже кое-о-чём говорит. Опрос проводился в форме телефонного интервью, вопросы были о том, какие цели люди преследуют, когда делятся персональными данными, знают ли опрашиваемые, как их ПДн будут использованы, насколько они защищены и каков риск утечки. Чаще всего персональные данные передавали для получения банковских услуг (49 % ответов), определения геолокации (46 %), регистрации на сайтах госучреждений (45 %), оформления доставки на дом (38 %) и при взаимодействии в социальных сетях (38 %). Что насчёт использования - 37 % опрошенных россиян не знают, для чего и как будут использовать их данные, и только 15 % уверены, что знают. Основной причиной утечек данных 49 % опрошенных назвали злоупотребление запрашиваемой стороной, недостаточный уровень технологической защиты назвали только 13 % респондентов и 15 % указали небрежность в процессах передачи данных. А вот на вопрос, для чего госучреждения собирают данные граждан, в 26 % случаев респонденты отвечали — «Чтобы взять под контроль жизнь людей». В 37 % опрошенные указывали, что данные необходимы для подтверждения личности и в 32 % — для упрощения процедуры получения услуг. Большинство людей оценило безопасность своих данных в 5 баллов из 7, где 7 — абслютное доверие, а 1 — абсолютное недоверие. Странно, но, как утверждает ВЦИОМ, выше всего безопасность оценивала аудитория в возрасте 18—24 лет — на 6 баллов для госучреждений и на 5,5 баллов для банков. По-видимому люди не часто читают новости ИБ/IT. Не будьте, как они.
Ссылка скрыта от гостей
REvil, опять??
Как вы наверняка помните, REvil закрыл свою инфраструктуру и полностью исчез после их самой большой на данный момент атаки 2 июля, в результате которой было зашифровано 60 поставщиков управляемых услуг и более 1500 предприятий, использующих уязвимость нулевого дня в платформе удаленного управления Kaseya VSA. Затем REvil потребовал 50 миллионов долларов за универсальный дешифратор для всех жертв Kaseya, 5 миллионов долларов за расшифровку MSP и выкуп в размере 44 999 долларов за расшифровку на отдельных конечных предприятиях. Это было грандиозное событие, после которого шифровщики собрали свои вещички и сбежали куда подальше. Предполагалось, что вскоре они переименуются и вновь начнут работу, однако они решили не менять название, удивив эти действием очень многих. 7 сентября сайты группировки вновь заработали, а уже 11 числа на сайте для публикации утечек были опубликованы скриншоты украденных данных. Ранее все публикации Revil были от имени пользователя UNKWN («неизвестный»), однако недавно на русскоязычном хакерском форуме пользователь под ником REvil написал, что UNKWN, по-видимому арестован. Также пользователь пишет, что как только «неизвестный» пропал, все сервера были бэкапнуты и отключены, а после безуспешных поисков и некоторого ожидания, сервера были восстановлены из бэкапов и приведены в рабочее состояние. Основной сервер с ключами был отключен в штатном режиме немного позже. Также REvil написал одно важное замечание насчёт дешифратора для Kaseya VSA. Он пишет, что ключ не был скомпрометирован правоохранителями, как писалось ранее, а просто утёк из-за ошибки сотрудника. Самое важное здесь не то, из-за чего и как пропала группировка, а то, что сейчас она вернулась и вновь взялась за дело.
Ссылка скрыта от гостей
Утечка полумиллиона учётных записей Fortinet
Злоумышленник опубликовал список из почти 500 000 имён и паролей для входа в Fortinet VPN, которые якобы были скопированы с уязвимых устройств прошлым летом. Хотя заявлено, что использованная уязвимость Fortinet была исправлена, они утверждают, что многие учетные данные VPN все еще действительны. Эта утечка является серьезным инцидентом, поскольку учетные данные VPN могут позволить злоумышленникам получить доступ к сети для кражи данных, установки вредоносных программ и выполнения атак программ-вымогателей. Список учетных данных Fortinet был бесплатно передан злоумышленником, известным как Orange, который является администратором недавно запущенного хакерского форума RAMP и предыдущим оператором Babuk Ransomware. После разногласий между членами банды Бабука, Orange отделился, чтобы основать RAMP, и теперь считается, что он является представителем новой операции вымогателей Groove. Вчера злоумышленник создал сообщение на форуме RAMP со ссылкой на файл, который якобы содержит тысячи учетных записей Fortinet VPN. Сообщение ведут к файлу, размещенному на сервере хранения Tor, который банда Groove использует для размещения украденных файлов, которые просочились, чтобы заставить жертв вымогателей заплатить. Причиной вскрытия всех этих данных стала ныне исправленная уязвимость CVE-2018-13379.
Ссылка скрыта от гостей
На этом новости нашли своё завершение, всех благодарю за прочтение и жду на следующей неделе.
