Information Security дайджест #8: «Новая Почта», Memcached, PS4, Apple

Дайджест создан в соавторстве с Егором Папышевым.

00h > Интро

В выпуске: фейковый мобильный банкинг, таргеритующий пользователей украинских банков, компрометация базы клиентов «Новой Почты» с их персональными данными, очередные баги в продуктах Apple и прочие интересности.

01h > Горячее

В феврале этого года в Google Play появилось вредоносное приложение «Универсальный мобильный банкинг». Целью мошенников были клиенты крупных украинских банков. С разбором инцидента от специалистов Cys Centrum можно ознакомиться тут.

Также в начале месяца всплыл факт компрометации базы клиентов компании «Новая Почта», которая продавалась неизвестными злоумышленниками за символическую сумму. Но, судя по всему, лица, продававшие базу с персональными данными, были наказаны.

Разного рода скандалы вокруг качества программного обеспечения Apple в последнее время стали доброй традицией. Так например, сообщения, содержащие специально созданный текст, отправили в нокаут не одну сотню яблочных девайсов. Подробнее о баге — на The Verge.

21-го апреля в Киеве пройдет конференция «Security BSides Kyiv 2018», на которой можно будет встретиться с одним из авторов сего дайджеста. Приходите, конференция обещает быть крутой ;)

02h > Около секьюрити

На тему необходимости обеспечения приватности в сети, как и безопасности электронной почты, написали ребята из ProtonMail. На данный момент у них есть несколько бесплатных сервисов, включая EMail и VPN. Если вам необходим бесплатный VPN или защищенная почта, рекомендуем обратить внимание на эти сервисы.

Внезапно ники пользователей XBox были заменены реальными именем и фамилией. Подробнее на Kotaku.

The Los Angeles Times стал жертвой злоумышленников, используя неправильно сконфигурированный S3. Майнер был размещен в одном из скриптов новостного сайта.

Любителям Raspberry Pi будет интересна инструкция по настройке Pi-Hole и OpenVPN на своем девайсе.

Материал о применении искусственного интеллекта для противодействия кибератакам.

03h > Интересное

Популярный инструмент для исследования исполняемых бинарных файлов IDA содержал уязвимость, позволяющую выполнять произвольный код на целевой системе.

Интересный материал об обходе ASLR на Linux написал исследователь @blackzert из PTSecurity. Рекомендуем к обязательному ознакомлению.

Анализ бэкдора Coldroot под OSX. Да-да, читатель, для твоего любимого MacBook также существует различного рода вредоносное программное обеспечение.

Пример статического анализа и распаковки малвари. В данном материале фигурирует бэкдор, таргетирующий пользователей бразильских банков.

В Skype была найдена уязвимость, которую будет сложно исправить без полного аудита кода.

04h > Уязвимости && Эксплоиты

Замечательный врайтап по нахождению и эксплуатации уязвимостей в PS4. Части материала: первая, вторая, третья.

Еще один врайтап по эксплуатации PS4. На этот раз через уязвимость в WebKit.

Пример эксплойта под Metasploit на редко встречающуюся в наше время уязвимость «Stack-Based Buffer OverFlow» в CloudMe Sync.

Мисконфигурация сервера memcached позволяет злоумышленникам использовать сервер для амплификации DDoS-атак. Эксплойт.

Множественные уязвимости в Trend Micro Email Encryption Gateway.

05h > Фан

Когда собрался написать эксплойт уровня ядра, но не знаешь с чего начать.

Когда решил заняться багбаунти, но хакнул не того вендора.

06h > Аутро

В этом выпуске вместо аутро мы хотим порекомендовать к прочтению «Don’t click shit» от Volodymyr Styran. Данный текст содержит много полезной информации о личной безопасности в информационном пространстве.


← Предыдущий выпуск: Information Security дайджест #7.

LinkedIn

7 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

С memcached получилась занимательная и поучительная история «на его месте должен был быть я» (к) (тм) особенно это актуально в свете «глобализации сети» когда по сути каждый холодильник и даже кофеварка будут иметь «публичный» айпи вопрос здесь исключительно в том что сам memcached выступил чисто функционально удобным точнее подходящим сервисом способным бросить мегабайтный пакет в ответ на простой короткий get.

... который прилетает с «подставным» обратным адресом и соотв. улетает «куда надо» или наоборот «куда не надо».

Вся фишка этой атаки именно в этом именно в возможности подмены адресов по сути «старинная» legacy реализация айпи таки устарела.

ЗЫ: тот же ж memcached уже активно «переезжает» на RDMA потому как на 10+ гигабитных интерфейсах айпи уже совсем не торт.

ЗЫ: кстати за секьюрити циска подсчитала что за 2017-й год половина глобального трафика была уже шифрованной и что самое занимательное треть malicious уже была шифрованной тоже. Например ходят слухи об чёрном рынке «настоящих белых» ssl сертификатов...

А можна хоч українські експерти будуть вірно писати назву столиці англійською?

Опечатался, правки отправил в редакцию, спасибо.

Мисконфигурация сервера memcached

Что конкретно имеется в виду под в этом слове «мисконфигурация»?

Ошибка в конфигурации сервиса, я не вижу не одного варианта использования memcached при котором понадобился публичный доступ к сервису, также использование UDP вместо TCP для работы с сервисом необходимо лишь в некоторых случаях.

А это точно не ошибка в конфигурации сети?

Думаю что можно сказать и так и так, зависит от контекста, но как правило когда говорят о проблемах конфигурации >= L4 используют слово «сервис».

Подписаться на комментарии