Если злоумышленники украдут пароль человека, то его можно сменить, однако если похищены отпечатки пальцев, это открывает широкий простор для совершения преступлений против конкретного гражданина на протяжении всей его жизни. Об этом, в частности, в своем недавнем интервью говорил исследователь Карстен Ноль (мы публиковали выдержки из него в блоге на Хабре). Теперь этот тезис получил еще одно подтверждение.

В начале лета 2015 года стало известно о том, что неизвестные злоумышленники осуществили атаку на Управление кадровой службы США (US Office of Personnel Management, OPM) и похитили личные данные более 21 миллионов американских госслужащих. Теперь Управление призналось в том, что среди украденной информации содержались и отпечатки пальцев 5,6 млн служащих.

Представители компании Mandiant (принадлежит FireEye) на этой неделе опубликовали результаты исследования безопасности маршрутизаторов Cisco. Им удалось обнаружить бэкдор, с помощью которых злоумышленники могут осуществлять ранее неизвестные атаки и собирать большие объёмы конфиденциальных данных, не привлекая к себе внимания.

Исследователь безопасности Мазин Ахмед (Mazin Ahmed) опубликовал результаты анализа способов обхода XSS-защиты в популярных межсетевых экранах уровня приложения (Web application firewalls, WAF).

Ахмед использовал несколько виртуальных машин, на которых запускались популярные браузеры Google Chrome, Opera, Mozilla Firefox и Internet Explorer.

Исследователь изучал коммерческие и открытые продукты: F5 Big IP, Imperva Incapsula, AQTRONIX WebKnight, PHP-IDS, Mod-Security, Sucuri, QuickDefence, Barracuda WAF. Для каждого продукта был представлен хотя бы один XSS-вектор, позволявший осуществить обход защиты.

Весной 2015 года исследователи обнаружили ряд критических уязвимостей в компоненте ядра мобильной ОС Android под названием Stagefright (библиотека для работы с файлами мультимедиа, например PDF). Ошибки безопасности позволяли злоумышленникамии удаленно получать доступ к смартфону, например, с помощью отправки зловредного MMS-сообщения — для проведения подобной атаки нужно знать лишь номер телефона жертвы.



На этой неделе был опубликован код эксплойта, использующий ошибки безопасности в компоненте Stagefright. Эти уязвимости были обнаружены исследователями компании Zimperium, которая в своем блоге описала атаку с помощью специально созданного эксплойта.

Китайское издание WooYun сообщило о компрометации 220 000 учетных записей iCloud. При этом злоумышленникам не пришлось обходить механизмы защиты iOS — доступ к учетным записям iCloud осуществлялся с помощью зловредного твика для устройств, прошедших процедуру джейлбрейка.

Европейские исследователи еще в 2012 году обнаружили серьезные уязвимости в криптотранспондере Megamos, который устанавлен в более 100 моделях автомобилей разных прозводителей (Audi, Ferrari, Cadillac, Volkswagen и т.п.). Найденные ими ошибки безопасности позволяли злоумышленникам заводить машины с функцией автозапуска без ключа.

Информация о том, что Windows 10 собирает данные о пользователях, не нова. Еще в 2014 году компания Microsoft опубликовала заявление о конфиденциальности, из которого следует, что на ее серверы может передаваться информация об использованных программах, устройстве и сетях, в которых они работают. Эти данные могут объединяться с идентификатором пользователя (учетная запись Microsoft), также собирается информация об адресе электронной почты, предпочтениях, интересах местоположении, и многом другом.

Чешское издание Aeronet.cz опубликовало расследование неназванного ИТ-специалиста, который решил отследить активность Windows 10 по сбору данных. В ходе исследования использовались следующие инструменты: программа Destroy Windows 10 Spying, блокирующая передачу данных на серверы Microsoft, PRTG Network Monitor, Windows Resource Monitor и Wireshark. По мнению исследователя, Windows 10 — больше похожа на терминал по сбору данных, чем на операционную систему.

По оценкам аналитиков Gartner, в 2016 году объем мирового рынка облачных сервисов вырастет на 16,5% и составит 204 млрд. долларов. Самый быстрорастущий сегмент — IaaS – 38,4% в год.

К 2019 году объем рынка IaaS составит уже 130 млрд. долларов. Данный прогноз подкрепляют все новые возможности, которые предоставляют клиентам IaaS-провайдеры.

На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги (Chris Hadnagy), который для получения информации использует особенности человеческой психики и не верит в технический прогресс: «Пока вы ищите уязвимости нулевого дня, мы просто поднимаем трубку телефона и узнаем ваши секреты». В этом материале мы расскажем несколько историй и наблюдений из практики 42-летнего американца.

Не так давно мы писали о том, что британские спецслужбы взламывали антивирусные продукты «Лаборатории Касперского», а исследователи из Google (Project Zero) — нашли серьезную уязвимость в продукте ESET NOD32. И надо сказать, что проблемы антивирусных компаний на этом не закончились. 31 июля СМИ растиражировали новость о хакерской атаке, которая привела к краже учетных данных пользователей продуктов BitDefender, кроме того, в этот же день появилась информация об обнаружении целого ряда серьезных уязвимостей в защитном софте компании Symantec.

Исследователи информационной безопасности обнаружили ряд серьезных уязвимостей в одном из компонентов ядра мобильной ОС Android под названием Stagefright (библиотека для работы с файлами мультимедиа, например PDF). Первым о проблемах в компоненте Stagefright заявил исследователь из компании Zimperium Labs Джошуа Дрейк (Joshua J. Drake). Кроме того, об обнаружении серьезной уязвимости в Android заявила компания TrendMicro.

Недавно стало известно об «уязвимости» в системе для корпоративных клиентов такси-сервиса Gett. Как выяснили исследователи, всем им по умолчанию выдавались одинаковые пароли (естественно, многие из них никто потом не меняет). В итоге, зная один пароль, злоумышленники могли попасть в множество аккаунтов сразу (среди клиентов Google Россия, «Вконтакте», Ozon и другие компании).



Скандалы, связанные с кражей паролей и похищением личных данных, случаются регулярно — только за прошедшие пару лет в сеть утекали пароли пользователей таких крупных компаний, как Adobe, популярных почтовых сервисов, хакеры взламывали даже сами сервисы для хранения паролей. Исследования также показали, что одними из главных проблем безопасности онлайн-банков являются авторизация и аутентификация.

В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit.



Согласно данным, представленным на видео, злоумышленник может скромпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение. В результате взломщик получал возможность сброса пароля учетной записи.

Агентство национальной безопасности (АНБ) США выпустило open-source инструмент для обеспечения сетевой безопасности госорганизаций и коммерческих компаний. Система называется SIMP (Systems Integrity Management Platform), ее код размещен в репозитории АНБ на GitHub.

В официальном пресс-релизе ведомства говорится, что этот инструмент призван помочь компаниям защитить свои сети от хакерских атак.

По сообщению агентства Associated Press, руководитель Национальной службы разведки Южной Кореи Ли Бён Хо признался в покупке софта для перехвата сообщений в мессенджерах (главным образом, в популярном в Азии Kakao Talk).

Это признание Ли Бён Хо (Lee Byoung Ho) сделал на закрытом брифинге для членов парламента страны (один из них позднее рассказал об этом журналистам). По словам руководителя разведслужбы, продавцом шпионских программ, позволяющих перехватывать информацию с мобильных телефонов и компьютеров, выступала итальянская кибергруппа Hacking Team (недавно она сама стала жертвой масштабного взлома). Факт переговоров с Hacking Team подтверждается и выложенным на WikiLeaks архивом переписки.

Автопроизводитель Land Rover отзывает более 65 000 автомобилей, чтобы исправить программный баг, который приводит к самопроизвольному отпиранию дверей автомобиля. При этом водитель не увидит никакого оповещения об открытии двери на приборной панели.

Ошибка обнаружена на автомобилях Range Rover и Range Rover Sport, выпущенные начиная с 2012 года. Автопроизводитель заявил о том, что неисправность компьютерной системы не приводила к каким-либо инцидентам или травмам.

Тем не менее, эта проблема в программном обеспечении также может приводить к повышению вероятности угона автомобилей — ошибке подвержены машины, зажигание в которых работает без ключа.

Предлагаем вашему вниманию перевод статьи из блога Eran Hammer — создателя фреймворка hapi.js. На этот раз речь пойдет об обеспечении безопасности идентификаторов сессий.



На Github прозвучал вопрос о том, зачем в Node.js-фреймворке Express к идентификационной cookie сессии добавляется хэш-суффикс? Отличный вопрос.

Но сначала небольшой дисклеймер: как и любой другой совет по безопасности от человека, не знакомого со спецификой конкретной системы, рассматривать все, что будет написано ниже, следует лишь с образовательной точки зрения. Безопасность — это сложная и крайне специфичная область знаний, поэтому, если обеспечение должного уровня защиты критически важно для конкретной компании, ей следует нанять выделенного ИБ-специалиста или обратиться к услугам профессионалов по защите информации.

В этом году в «Конкурентную разведку» играли не только традиционные любители конкурса, но и команды CTF, поэтому по уровню сложности задания были подобраны для тех и для других. Кроме того, разрешена была командная игра. (Но один человек не мог играть и в индивидуальном зачете, и за команду CTF, поэтому нам пришлось по взаимному согласию дисквалифицировать участника, занявшего по очкам 1-е место — azrael).

Под общей легендой государства United States of Soviet Unions были объединены все конкурсы, и в рамках «Конкурентной разведки» участникам пришлось искать информацию о служащих разных компаний, «прописанных» в USSU. Параллельно можно было отвечать на пять разных вопросов о пяти разных организациях; внутри одного блока вопросы открывались друг за другом, по мере получения ответов. (Одна команда нашла ответ методом перебора, но на следующий вопрос они так и не смогли ответить — у них не было на руках необходимых ресурсов.)

Всем известно, что современным миром правят «люди кода». Однако в российской художественной литературе наших дней это почти не отражается. Персонаж в виде программиста или хакера может иногда промелькнуть, но главным героем он почти никогда не бывает — в отличие, скажем, от женщин-милиционеров, которыми завалены все прилавки отечественных книжных.

Будучи организаторами хакерской конференции Positive Hack Days, мы решили как-то исправить этот крен в общественном сознании. Начали с того, что в прошлом году пригласили на PHDays IV создателей культовой радиопередачи «Модель для сборки» (МДС), предложив им прочитать со сцены нашей конференции пару рассказов в самом близком для нас жанре «киберпанк».

Технологическая сингулярность ожидается только через 15 лет, но фазовый переход Positive Hack Days происходит прямо сейчас. Пятый форум посетили рекордное число участников — более 3500 человек, что сравнимо с ведущими международными хакерскими конференциями, а количество докладов, секций и различных активностей перевалило за сотню. На площадке состоялась невероятная конкурсная программа со взломом ракет, электроподстанций, банкоматов, железной дороги, а главные хакерские соревнования года PHDays CTF выиграла команда More Smoked Leet Chicken, лучше всех преуспев в увлекательных биржевых спекуляциях, — поздравляем! Но обо всем этом мы подробно расскажем чуть позже. В данном материале коротко рассмотрим ряд сугубо практических техник и рекомендаций, которые мы отметили 26 и 27 мая в ЦМТ.