вторник, 19 декабря 2017
14:04

Запись за 19.12.2017 13:04:12 +0200

И это всё МОЁ
Взломавший Uber, Groupon и T-Mobile хакер-наркоторговец признал свою вину.

25-летний британец открыл в даркнете магазин, где продавал похищенные данные и наркотики.

На прошлой неделе житель Великобритании признал свою вину во взломе 17 сайтов крупных компаний и продаже похищенных данных в даркнете. Как сообщает Daily Mail, 25-летний Грант Уэст (Grant West) признался в осуществлении брутфорс-атак на Uber, Groupon, T-Mobile, Just Eat, Ladbrokes, Asda, Argos, Nectar, Sainsbury’s, AO.com, Coral Betting и пр.

По данным следствия, Уэст, также известный под псевдонимом Courvoisier, использовал инструмент для брутфорса Sentry MBA, позволяющий подобрать действительные учетные данные для авторизации на web-сайтах. С помощью полученных логинов и паролей хакер получал доступ к учетным записям жертв с целью сбора дополнительной информации. Уэст создавал наборы из электронных адресов, имен пользователей и паролей и продавал их за биткойны в собственном интернет-магазине в даркнете, где также приторговывал каннабисом.

В ходе обыска в квартире у преступника были обнаружены крупные суммы наличных и криптовалюты, а также предназначенные для продажи незаконные наркотические вещества. Уэст был арестован 30 сентября текущего года и в настоящее время ожидает вынесения приговора.
Взломавший Uber, Groupon и T-Mobile хакер-наркоторговец признал свою вину



URL
14:02

Запись за 19.12.2017 13:02:59 +0200

И это всё МОЁ
Трафик крупнейших тех.компаний был временно перенаправлен в Россию.

Перенаправленный трафик крупных организаций, в том числе Google, Microsoft, Apple и Facebook был перенаправлен в Россию в результате BGP-перехвата.

Служба интернет-мониторинга BGPmon сообщила о подозрительном инциденте, в ходе которого 80 IP-префиксов для ряда крупных компаний, таких как Google, Microsoft, Apple, Facebook, NTT Communications, Twitch, Riot Games и пр., были анонсированы ранее неиспользуемой российской автономной системой (AS).

12 декабря 2017 года было зафиксировано два краткосрочных инцидента, каждый из которых длился 3 минуты. По словам экспертов, несмотря на непродолжительность, данные инциденты являются довольно значительными, поскольку весь целевой трафик был связан с крупными организациями.

Анонсирование было замечено крупными интернет-провайдерами, такими как Hurricane Electric и Zayo в США, Telstra в Австралии и NORDUnet в скандинавских странах.

Как пояснили эксперты, подобного анонсирования от российских AS не было уже несколько лет до этого инцидента. В ходе инцидентов были затронуты назначения высокого профиля, а также несколько специфических префиксов, обычно не фигурирующих в интернете, что может говорить о намеренном перенаправлении трафика. По словам эксперта безопасности Криса Моралеса (Chris Morales), возможность манипулирования протоколом маршрутизации BGP для выполнения атак "человек посередине" (man-in-the-middle, MitM), также говорит о возможности манипулирования шифрованием TLS/SSL для прослушки пользователей.

BGP (Border Gateway Protocol) - протокол, используемый для обмена передаваемой информацией между независимыми сетями в интернете, также известными как автономные системы (AS). Протокол определяет наиболее эффективный маршрут между сетями. Каждая AS анонсирует список IP-адресов, так называемых префиксов, и делится данными с одноранговыми узлами для определения наиболее эффективного пути.
Трафик крупнейших техкомпаний был временно перенаправлен в Россию



URL
14:01

Запись за 19.12.2017 13:01:40 +0200

И это всё МОЁ
Зампредседатель ЦИК РФ заявил о невозможности хакерского взлома КОИБ.
Тестовые попытки перепрограммировать аппарат не увенчались успехом.

Зампредседателя Центризбиркома России Николай Булаев заявил о невозможности хакерского взлома комплексов обработки избирательных бюллетеней (КОИБ).

По словам Булаева, КОИБ не связан ни с одной информационной системой и не имеет доступа к Wi-Fi. Единственным действенным способом взломать устройство и совершить махинации с бюллетенями зампредседателя называет физический взлом КОИБ.

"Против лома нет приема, поэтому, если взять топор или молоток, можно разбить КОИБ, взломать ящик для голосования и вбросить туда бюллетени […] Я не понимаю, как его можно взломать, только если физически сломать на глазах у всей комиссии, но это преступление», - отметил Булаев.

Он также добавил, что в ходе тестирования комплексов предпринимались попытки перепрограммировать устройство, однако они не увенчались успехом.

Комплексы обработки избирательных бюллетеней будут использоваться на выборах президента России 18 марта 2018 года. В общей сложности будет применяться порядка 13 тыс. КОИБ, из которых 4750 - устройства нового поколения.
Зам.председатель ЦИК РФ заявил о невозможности хакерского взлома КОИБ



URL
13:59

Запись за 19.12.2017 12:59:40 +0200

И это всё МОЁ
Троян Loapi может вызвать перегрев батареи в Android-устройстве.

Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых».

Эксперты по кибербезопасности из «Лаборатории Касперского» обнаружили новый Android-троян Loapi, способный вызвать физическую поломку устройства путем перегрева.

По словам исследователей, Loapi является усовершенствованной версией трояна Podec, обнаруженного в 2015 году. Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых». После установки Loapi требует у пользователя права администратора, а при попытке отозвать права – закрывает окно настроек и блокирует экран. Помимо этого, если пользователь попытается установить антивирус, троян объявит данное приложение вредоносным и потребует его удалить.

Loapi обладает модульной структурой, позволяющей связываться с C&C-сервером и устанавливать дополнительные вредоносные модули не прерывая работу. В настоящее время троян может показывать нежелательные рекламные объявления, подписывать пользователей на платные сервисы, осуществлять с помощью инфицированного устройства DDoS-атаки, а также майнить криптовалюту Monero.

Как пояснили эксперты, именно майнинг является наиболее опасной функцией Loapi. Из-за длительной работы процессора на максимальной мощности зараженное устройство перегревается и выходит из строя. В ходе исследования через двое суток после заражения у тестового смартфона от перегрева вздулась батарея.

Вредонос распространяется посредством сторонних источников и в офицальном Google Play Store замечен не был. Эксперты рекомендуют устанавливать приложения только из официального сервиса Google Play.
Троян Loapi может вызвать перегрев батареи в Android-устройстве



URL
13:58

Запись за 19.12.2017 12:58:41 +0200

И это всё МОЁ
Неизвестный «мститель» удалил вредоносный код с сайта Netgear.

Вредоносное ПО присутствовало на принадлежащем Netgear сайте WiFiFamily в течение двух лет.

В течение двух лет на сайте Netgear присутствовал вредоносный код, пока неизвестный «мститель» наконец-то не взял дело в свои руки и не удалил его. Вредоносное ПО было установлено на принадлежащем компании сайте WiFiFamily, где публикуются статьи о том, как использовать различные технологии Netgear. Сообщение о взломе ресурса и его «очистке» неизвестным хакером впервые было опубликовано ИБ-экспертом Derek на портале MyOnlineSecurity.

По словам исследователя, он обнаружил проблемный сайт в ходе анализа недавно полученных спам-писем. Письма содержали ссылки, ведущие на полностью функциональные web-страницы техподдержки на портале WiFiFamily. HTML-файлы с этими страницами содержались в папке «/wp-content/uploads/» (сайт WiFiFamily работает на базе системы управления контентом WordPress).

Ресурс однозначно был скомпрометирован, поскольку доступ к содержимому папки был открыт, хотя в WordPress он ограничен по умолчанию. По словам исследователя, на сайте много спам-публикаций, сделанных от имени Netgear Admin и других пользователей. В www.wififamilyblog.com/wp-content/uploads/иссле... обнаружил множество открытых директорий, перенаправляющих на порно-сайты, мошеннические ресурсы и т.д.

Судя по временным меткам, некоторые вредоносные файлы в папке датируются февралем 2015 года – всего спустя месяц после регистрации домена. То есть, сайт был взломан вскоре после запуска. Когда Derek сообщил о своем открытии в блоге на MyOnlineSecurity, некто под псевдонимом Vigilante («Мститель») написал в комментарии под публикацией, что нашел шелл-код в www.wififamilyblog.com/wp-content/uploads/modx..... «Пароль был root. Удалил папку uploads», - сообщил Vigilante.

Хотя своими действиями Vigilante преследовал благие цели, с юридической точки зрения он поступил незаконно. В данном случае «мститель» находится даже в худшем положении, чем взломавшие сайт хакеры, отметил Derek. В отличие от Vigilante, хакеры не причинили сайту никакого ущерба – ничего не удалили и не разрушили. Кроме того, удалив папку, сердобольный активист наверняка удалил и оставленные киберпреступниками следы, которые позволили бы правоохранителям выйти на их след.



URL
13:56

Запись за 19.12.2017 12:56:36 +0200

И это всё МОЁ
Финская спецслужба следит за российскими вооруженными силами.

Спецподразделение анализирует электромагнитное излучение, генерируемое российскими ВС.

В субботу, 16 декабря, финское издание Helsingin Sanomat опубликовало статью о том, как Финляндия следит за российскими вооруженными силами.

Согласно статье, в городе Тиккакоски в центральной части страны расположено специальное подразделение, следящее за российскими военными на территории бывшего Ленинградского военного округа. Его задачей является создание так называемого электронного снимка, позволяющего оценить российские войска, их руководство, операции и пр. Для создания электронного снимка эксперты подразделения фиксируют, анализируют и классифицируют электромагнитное излучение, генерируемое российскими вооруженными силами. Кроме того, отдельное внимание уделяется проекту «Северный поток».

В 2010 году подразделение насчитывало 150 сотрудников, и будущем это число может увеличиться в два раза, сообщают журналисты Helsingin Sanomat. В течение десяти лет правительство Финляндии намерено вложить в киберзащиту 200 млн евро. Также планируется нанять штат сотрудников из 200 человек, и 40 из них будут заниматься сбором интернет-данных.

Издание получило вышеизложенные сведения из засекреченных документов, часть которых датирована еще 1999 годом. Тем не менее, каким образом бумаги попали в руки к журналистам, неизвестно. Президент Финляндии Саули Ниинисте и министр обороны Юсси Ниинисте потребовали от правоохранительных органов возбудить дело по факту получения посторонними лицами секретной информации.
Финская спецслужба следит за российскими вооруженными силами



URL
13:55

Запись за 19.12.2017 12:55:48 +0200

И это всё МОЁ
Северокорейские хакеры готовят новые кибератаки на криптовалютные компании.

Новая фишинговая компания замаскирована под предложение занять должность финансового директора в крупной криптовалютной фирме.

Исследователи безопасности из компании Secureworks опубликовали отчет о деятельности хакерской группировки Lazarus, предположительно связанной с правительством КНДР. Как следует из доклада, новыми объектами хакерских атак стали сотрудники компаний, занимающихся криптовалютой.

Группировка запустила новую фишинговую кампанию, замаскированную под предложение занять должность финансового директора в одной крупной криптовалютной фирмы, расположенной в Лондоне.
Перейдя по ссылке в фишинговом письме, жертва заражалась вредоносным ПО, позволяющим удаленно управлять инфицированным устройством, загружать дополнительные вредоносные программы и похищать данные. Эксперты обнаружили сходство данного ПО с другими вредоносными программами, использовавшимися в ходе предыдущих кибератак Lazarus.

Фишинговая кампания была обнаружена 25 октября 2017 года, однако, по мнению специалистов, хакеры работают в данном направлении по меньшей мере с 2016 года.

Напомним, с мая 2017 года эксперты зафиксировали хакерские атаки по меньшей мере на три южнокорейские криптовалютные биржи. Как полагают исследователи, атаки инициированы правительством Северной Кореи для обхода экономических санкций со стороны ООН.
Северокорейские хакеры готовят новые кибератаки на криптовалютные компании



URL
13:28

Запись за 19.12.2017 12:28:38 +0200

И это всё МОЁ
Сообществу требуется человек для ведения канала и чата Telegram.
За подробностями обращаться по ссылке vk.com/im?sel=58567852
Предпочтительно чтобы был школьник средних.старших классов или студент колледжа (у них больше времени).
В обязанности будет входить репост новостей со страници ВК в канал телеграма и поддержание порядка в создаваемой конференции.
Знание предметной области желательно, но не обязательно.




URL
09:58

Запись за 19.12.2017 08:58:03 +0200

И это всё МОЁ
Выпуск дистрибутива Parrot 3.10 с подборкой программ для проверки безопасности.

Доступен дистрибутив Parrot 3.10, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены полный iso-образ (3.9 Гб).

Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks. В качестве рабочего стола применяется MATE.

В новой версии доведена до полноценного состояния система изолированного выполнения приложений, построенная на основе инструментария firejail, в котором для изоляции используются пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf). Пакетная база синхронизирована репоизиториями Debian, обновлены ядро Linux 4.14, браузер Firefox 57, metasploit-framework 4.21, maltego 4.1. В состав включена подборка программ для пользователей, которые применяют Parrot для решения повседневных задач, например, добавлены планировщик работ, система управления финансами, TODO, построитель интеллект-карт.
Выпуск дистрибутива Parrot 3.10 с подборкой программ для проверки безопасности



URL
09:57

Запись за 19.12.2017 08:57:27 +0200

И это всё МОЁ
Выпуск Cloud-Init 17.2.

Компания Canonical представила релиз Cloud-Init 17.2, инструментария для настройки системы на стадии загрузки. Cloud-Init получил распространения для применения индивидуальных настроек в облачных окружениях, загружаемых с использованием единого системного образа. При применении унифицированных образов, в загружаемом окружении отсутствует информация о конфигурации конкретной системы, а Cloud-Init применяется для применения настроек, загруженных извне или из набора типовых вариантов конфигурации. Код написан на языке Python и распространяется под лицензией GPLv3.

Среди изменений в новом выпуске:

В интерфейс командной строки добавлены новые команды clean и status;
Добавлена поддержка идентификации источников виртуальных машин в формате OVF (Open Virtualization Format), предоставляемых VMware;
В системе непрерывной интеграции обеспечено выполнение тестов NoCloudKVM;
Оформлены свойства get_data и related в опции DataSource;
Вместо модуля prettytable задействован simpletable.
Выпуск Cloud-Init 17.2



URL
09:56

Запись за 19.12.2017 08:56:54 +0200

И это всё МОЁ
Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен.

Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации своей инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.

В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена двухфакторная аутентификация (домен был зарегистрирован 18 лет назад, а опция двухфактоной аутентификации появилась у регистратора относительно недавно).

Получив контроль за доменом, атакующие не несколько минут перенаправили электронную почту на свой сервер (для подтверждения владения доменом) и оперативно получили новый SSL-сертификат. Затем они направили домен clientportal.fox-it.com на свой сервер, на котором был организован перехват всего трафика. Для скрытия следов после перехвата запросы транслировались на оригинальный сервер, создавая у пользователей иллюзию, что они обращаются к легитимному сайту.
Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен



URL
06:33

Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен

И это всё МОЁ
Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации своей инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.



URL
06:06

Выпуск Cloud-Init 17.2

И это всё МОЁ
Компания Canonical представила релиз Cloud-Init 17.2, инструментария для настройки системы на стадии загрузки. Cloud-Init получил распространения для применения индивидуальных настроек в облачных окружениях, загружаемых с использованием единого системного образа. При применении унифицированных образов, в загружаемом окружении отсутствует информация о конфигурации конкретной системы, а Cloud-Init применяется для применения настроек, загруженных извне или из набора типовых вариантов конфигурации. Код написан на языке Python и распространяется под лицензией GPLv3.



URL
понедельник, 18 декабря 2017
23:04

Вышел Boost 1.66

И это всё МОЁ

Boost - кроссплатформенный набор библиотек C++ для разных задач.

Новые библиотеки:

  • Beast - реализация протоколов HTTP/1 и WebSocket поверх Asio;
  • CallableTraits - интроспекция и модификация callable types, наследник Boost.FunctionTypes;
  • Mp11 - библиотека метапрограммирования на основе C++11.

Из прочих изменений можно отметить:

  • Asio - API изменен в соответствии с Networking TS;
  • Atomic - новые экспериментальные операции fetch_negate, <op>_and_test, bit_test_and_set и другие;
  • Stacktrace - улучшена поддержка MinGW;
  • Thread - новые экспериментальные методы promise: set_value_deferred/set_exception_deferred.







 ,








URL
22:16

Запись за 18.12.2017 21:16:51 +0200

И это всё МОЁ
Игра LAYERS OF FEAR + SOUNDTRACK доступна на GNU/Linux бесплатно ограниченное время.
Buy Layers of Fear + Soundtrack from the Humble Store



URL
21:39

Запись за 18.12.2017 20:39:55 +0200

И это всё МОЁ
Humble Bundle устроил бесплатную раздачу Layers of Fear (до 20 декабря 21:00 по московскому времени)

Чтобы получить игру, необходимо зарегистрироваться на Humble Bundle и привязать к учётной записи свой аккаунт в Steam, а затем приобрести игру, нажав кнопку «Get it for free».

Layers of Fear — хоррор от первого лица, главный герой которого — художник, который хочет закончить своё главное произведение. Игроку предстоит исследовать особняк живописца, интерьер которого постоянно меняется из-за галлюцинаций героя. Игра доступна для Linux.
Humble Bundle устроил бесплатную раздачу Layers of Fear



URL
21:04

Запись за 18.12.2017 20:04:16 +0200

И это всё МОЁ
Эта была Astra Linux (смотри предыдущий пост), но участники нашей конференции это заранее знали t.me/linuxpublic



URL
20:02

Выпуск дистрибутива Parrot 3.10 с подборкой программ для проверки безопасности

И это всё МОЁ
Доступен дистрибутив Parrot 3.10, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены полный iso-образ (3.9 Гб).



URL
19:15

Запись за 18.12.2017 18:15:15 +0200

И это всё МОЁ
Метод подстановки троянского кода, невидимого при просмотре в git diff.

Опубликован метод скрытия частей кода при выводе изменений при помощи команды "git diff", которая часто используется для изучения присылаемых патчей. Добавив в код escape-последовательность "[8m" атакующий может сделать невидимой часть при выводе на экран с использованием терминала, поддерживающего команды VT100.
Проблемы также выявлены в команде "git rm", которая выводит имя удаляемого файла с обработкой escape-последовательностей в нём. Например, можно создать файл при помощи команды
touch `echo -e "\e[45mTest\e[0m"` и добавить его в git-репозиторий. Escape-последовательность будет обработана при удаления данного файла через "git rm". Аналогично можно добиться обработки escape-последовательностей в git-branch при их подстановке в имена файлов в каталоге .git/refs/heads (touch `echo -e ".git/refs/heads/\e[45mTest\e[0m"`).


Метод подстановки троянского кода, невидимого при просмотре в git diff



URL
19:10

Запись за 18.12.2017 18:10:27 +0200

И это всё МОЁ
Выпуск СУБД PouchDB 6.4, реализации CouchDB на Javasсript.

Представлен релиз документ-ориентированной СУБД PouchDB 6.4, реализующей вариант СУБД Apache CouchDB, написанный на языке Javasсript и работающий внутри браузера или под управлением Node.js. PouchDB совместим с CouchDB на уровне API для хранения и выборки данных. Модель хранения повторяет CouchDB и обеспечивает средства разрешения конфликтов. Код распространяется под лицензией Apache 2.0. Размер сжатого архива с PouchDB занимает 46 Кб.

PouchDB позволяет создавать web-приложения, способные полноценно функционировать в offline-режиме и реплицировать данные из стационарных БД на базе CouchDB. При отсутствии сетевого соединения web-приложение может накапливать изменения в локальном хранилище на базе PouchDB, а после выхода в сеть синхронизировать изменения с внешним сервером, поддерживающим API CouchDB, или обеспечивать синхронизацию данных между клиентами.

PouchDB может работать во всех современных браузерах, а также применяться в серверных решениях на базе Node.js и в обособленных клиентских приложениях на базе Cordova/PhoneGap, NW.js и Electron. PouchDB не привязана к web-фреймворкам, но отдельно предоставляет обвязки для различных фреймворков, в том числе для Angular, React, Ember и Backbone. Имеется даже надстройка Python-PouchD для использования PouchDB в проектах на языке Python и реализация обособленного CouchDB-совместимого сервера. Для локального хранения данных в браузерах задействован API IndexedDB, а при его отсутствии WebSQL. При работе не под управлением браузера для хранения используется LevelDB или SQLite.

Основные новшества:

В функции allDocs() и query() добавлен флаг update_seq, по аналогии с CouchDB включающий в ответ значение идентификатора последовательности;
Добавлено появившееся в CouchDB 2.0 свойство "pending" для передачи сведений о числе ожидающих репликации документов;
Обеспечено выполнение пакетного запроса ключей через allDocs в рамках одной транзакции indexedDB и WebSQL. В Chrome подобная оптимизация ускорила выполнение allDocs до 8 раз, а в Friefox до 2 раз;
Добавлена возможность сохранения cookie при работе под управлением Node.js.
Выпуск СУБД PouchDB 6.4, реализации CouchDB на Javasсript



URL