Опитування: якість IT-освіти в українських вишах. Заповнюйте анкету!

Information Security дайджест #7: насколько вы доверяете вендорам?

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

Приветствуем! В этом выпуске: уязвимости в продуктах известных вендоров, организаторы NoNameCon запускают CFP, M.E.Doc снова в центре внимания.

01h > Горячее

Однозначно самое знаменательное и отчасти скандальное событие в отрасли информационной безопасности — обнародование уязвимостей в современных процессорах: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754. И публикация вариантов их эксплуатации (PDF): Meltdown, Spectre. Более подробно со всем этим можно разобраться, прочитав статью ребят из Project Zero. С наглядной демонстрацией использования Meltdown можно ознакомиться тут.

Отдельно стоит рассказать о драме, которая развернулась в сети после предложенных патчей, которые затрагивают производительность системы в целом. Очень много людей жаловалось на то, что после применения патчей совсем невозможно играть\работать\открыть терминал или упал сервер на AWS\Azure. Если некоторые жалобы были обоснованы лишь паникой и суетой, то патчи от Microsoft сделали свое темное дело, вследствие чего пропатченные OC перестали работать на старых процессорах AMD, как собственно перестали грузиться и некоторые виртуалки на Azure.

02h > Около секьюрити

Организаторы NoNameCon начали поиск докладчиков, открыв официальный CFP. Конференция обещает быть крутой, так что откладываем всё и спешим отправлять заявки! ;)

Все большее количество людей начинает интересовать приватность личных данных в сети, появляется много вендоров, которые обещают помочь в этом нелегком деле. Для того чтобы не запутаться во всем этом многообразии, рекомендуем посетить ресурс privacytools. Там можно найти описание продуктов, на которые стоит обратить внимание при выборе тех или иных технических средств.

Уже стало доброй традицией, что Россия оказывается в центре международного скандала с хакерами, взломом и экстрадицией.

Достаточно забавная новость о том, что ребята, которые разрабатывали криптолокеры, переходят на майнинг Monero, что в принципе не удивительно. На данный момент достаточно большое количество взломанных серверов, веб-ресурсов, персональных компьютеров устанавливают различные виды майнеров криптовалют.

Я думаю, что большинство наших читателей помнят плачевную ситуацию вокруг M.E.Doc и роли этого вендора в масштабной атаке на инфраструктуру Украины. Судя по посту Sean Townsend — урок так и не был извлечен. У нас всего один вопрос: «Доколе?».

03h > Интересное

Пользователь Twitter YoptaScript пишет, что разработал 0-Day RCE эксплойт под Google Chrome. Если это правда, то стоимость этого инструмента на черном рынке может достичь сумм c 5-ю нулями.

Если раньше через поисковые системы находили админки IP камер, то с развитием технологий IoT будет не удивительным, если в ближайшее время можно будет заказать еду для человека, живущего на другом континенте, через открытую админпанель холодильника, которую проиндексировал Google, как, например, сейчас можно мониторить состояния системы терморегуляции помещения.

Очень интересный материал о нахождении и эксплуатации 15-летней уязвимости в MacOS. Всячески рекомендуем ко вдумчивому прочтению. Сложно представить, сколько еще багов с многолетней историей таится в недрах операционных систем.

04h > Уязвимости && Эксплоиты

Появилась свеженькая RCE в Oracle Weblogic, основанная на уязвимости в механизмах десериализации.

Также исследователи не обошли стороной и продукты Cisco, в результате чего выкатили в свет замечательную RCE под Cisco IOS.

LPE на Linux системах через уязвимость в VMWare Workstation.

В современном мире, наверное, уже никого не удивить различными backdoor в продуктах мировых брендов. На этот раз оный был найден в D-Link DNS-320.

Уязвимость в ОС Sony PS4 версии 4.05 позволяет сделать джейлбрейк и обойти механизмы защиты контента.

05h > Фан

Свой антивирус для родителей предложил один из пользователей Twitter. Мы уверены, что в наших реалиях это также подойдет большинству пользователей ПК.

На фоне бурного обсуждения, какие CPU уязвимы к Spectre & MeltDown, а какие нет, эта картинка предельно просто проясняет ситуацию.

06h > Аутро

Мы наблюдаем забавную тенденцию увеличения количества уязвимостей, эксплоитов, проблем с кибербезопасностью в продуктах известных брендов, которые годами могли бы эксплуатироваться злоумышленниками, организациями, государствами. Неужели в скором времени наш мир будет находиться в состоянии перманентной и всепоглощающей кибервойны на всех уровнях и во всех сферах жизни человека?


← Предыдущий выпуск: Information Security дайджест #6.
Следующий выпуск: Information Security дайджест #8

LinkedIn

13 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

Есть впечатление что журналисты The Register сами того не ожидая нашвырнули субстанции на вентилятор и МС со прочими пришлось выкатывать сырые фиксы для Meltdown. Вот оно и получилось криво...

Если я правильно понимаю, то о проблеме знали достаточно давно как сотрудники Intel так и ребята с Microsoft и Apple, так например Apple выкатила MacOS 10.13.2 6.12.17 числа (публикация Spectre & Meltdown 1.3.18) который уже содержал фикс. Но с другой стороны возможно что ситуация разгонялась искусственно с целью махинаций на бирже. В любом случае всей правды мы так и не узнаем :)

И AWS и Гугла и все остальных мейджоров.
Вот то что я читал и слушал — те кто работал над этими уязвимости утверждают что публиковать должны были через неделю после статьи в The Register. И я видел как все то разворачивалось — изначально даже не было разговора что за уязвимость и то что их 2. Лично я думаю что журналисты спалили всех и заставили тот же МС раньше времени выкатить незрелый патч. Эпплу кстати в силу полного владения платформой проще ы подобных ситуациях.

Возможно так, возможно это можно объяснить «бритвой Хэнлона», но честно говоря мне в это слабо верится.

Я просто за ситуацией следил с самой первой статьи в The Register и было четко видно как дерьмо попало на вентилятор и половина статьи на следующий день стала уже неактуальной.

Я понимаю о чем Вы, меня больше интересует вопрос: «Зачем ?». Не смеха же ради ?
Про одни и те же события\факты можно написать совершенно по-разному. И если выбирать между вариантов:

1. Кто-то слил необходимую информацию журналистам для разгона ситуации в своих целях.
2. Журналисты каким-то образом все разузнали и не в даваясь в детали сделали публикацию.
3. Мискомуникация между всеми участниками\некомпетентность\стечение обстоятельств.
4. Комбинация вышеперечисленных пунктов.

Сделал бы ставку на первый вариант.

2. Журналисты обратили внимание на наличие в гите какого то патча с мутными комментами, проанализировали и написали что он что-т процом фиксит и они видят скрытую активность у ключевых игроков рынка. И что патчи ожидаются через неделю. Ну и тут оно попало на вентилятор...

Вот, The Verge об этой истории ain.ua/...​ltdown-and-spectre-secret

А как мимо внимания прошел мешок с бекдором и уязвимостями у WD MyCloud ? gulftech.org/...​tiple Vulnerabilities/125

Мимо не прошел, но я решил не упоминать так как «D-Link DNS-320» и «WD MyCloud» имеют одинаковый бэкдор, что уже само по себе наводит на определенные мысли(странное появления бэкдора D-Link ~4х летней давности в продуктах WD), решил не развивать эту тему, но с другой стороны Вы правы и стоило включить инцидент с WD и написать пару тезисов. Спасибо !

Ну там не только бекдор. Ну и если уж предупреждать людей то предупреждать обо всем. Моэет у кого дома такие стоят — продукт довольно популярный.

Посилання на pdf Meltdown поламана

Подписаться на комментарии