Специалисты компании Solar Security проверили безопасность популярных приложений, предназначенных для операций с криптовалютами.

#криптовалюты

Результаты.

Создатель малвари FruitFly для Mac шпионил за тысячами пользователей 13 лет
https://goo.gl/27afh7

Мобильная паранойя. 10 новых фактов о том, как носимые устройства следят за тобой

Meltdown и Spectre. Разбираем фундаментальные уязвимости в процессорах

Знатоков кибербезопасности наградили вредоносными флешками
https://goo.gl/xqyPu3

Пользователям браузера Chrome может оказаться интересным это расширение для браузера, показывающее, кто и как следит за вами на любом вебсайте
https://chrome.google.com/webstore/detail/kimetrak/calbcnenngoldabnjpmjionopmijimpa

страница этого проекта тут https://github.com/david-legrand/kimetrak

Мошенники уже начали рассылать фальшивые инвайты в TON, а Пашка ведь предупреждал чтоб не велись.

Получил в личку ряд вопросов о том, как именно от Spectre помогает режим strict site isolation.
Все просто - если включить этот режим, в хромиуме перестает работать SharedArrayBuffer.
Можете проверить сами:
   1. включите на 63 хромиуме strict site isolation chrome://flags/#enable-site-per-process;
   2. запустите тестовый PoC отсюда: https://github.com/ascendr/spectre-chrome, либо отсюда: http://xlab.tencent.com/special/spectre/spectre_check.html.

P.S. Если вдруг проверка не удалась, попробуйте удалить UserData, скорее всего вам уже прилетело отключение SharedArrayBuffer через конфиг экспериментов.

Что угрожает блокчейн-сетям: рассматриваем атаки и способы защиты
https://goo.gl/F3Cyru

VPN не для всех. Туннелируем трафик отдельных приложений с помощью Linux network namespaces

Патчи для Meltdown и Spectre вызывают частые перезагрузки машин на базе Broadwell и Haswell
https://goo.gl/h4YZ9u

Новость обсуждают давно, она не такая интересная как чипокалипсис, но все же: на устройствах с процессорами интел, у которых включен Intel AMT (система управления устройствами), можно получить админский доступ. Прада для этого нужен локальный доступ к устройству, но тем не менее проблема есть.

Два дня назад, когда эта проблема появилась, я как-то решил про нее не писать - слишком уж многое можно сделать, когда у тебя есть локальный доступ к компьютеру. Но тут выяснились подробности: оказывается вся проблема в расширении к биосу MEBx, в котором есть дефолтный пароль, и он разумеется очень сложный - “admin”. Тоесть для того, чтобы получить админский доступ к устройству, достаточно нажать ctrl+p при старте, вписать дефолтный пароль, сбросить пароли от основного биоса  и тп.

Есть в этой истории и положительный момент: если вашему компьютеру не нужен Intel AMT, нажмите ctrl+p при загрузке, зайдите в биос и отключите Intel AMT. Нет функции - нет проблемы.

https://press.f-secure.com/2018/01/12/intel-amt-security-issue-lets-attackers-bypass-login-credentials-in-corporate-laptops/

Злоумышленники похитили 400 000 долларов с кошельков BlackWallet
https://goo.gl/V2s7xb

Вредоносная программа для macOS MaMi нацелена на DNS-настройки
https://goo.gl/5cr5Ej

Git — сложная штука. Испортить все очень легко, а исправить проблему иногда чертовски сложно. В официальной документации прослеживается проблема курицы и яйца: сложно понять как выйти из сложной ситуации если не знаешь название штуки, которая тебе требуется чтобы исправить проблему.

@nuancesprog #статьи #git

Отличная статья о научной работе, показывающей как происходили манипуляции ценой биткоина от $150 до $1000 (во времена падения MtGox). Учитывайте, что в наше время такие манипуяции уже не пройдут - тогда было легко, потому что объем рынка и торгов был совсем мелкий.

UPD: сама статья в пдф http://weis2017.econinfosec.org/wp-content/uploads/sites/3/2017/05/WEIS_2017_paper_21.pdf

https://techcrunch.com/2018/01/15/researchers-finds-that-one-person-likely-drove-bitcoin-from-150-to-1000/

Тег вида <link rel=import> импортирует содержимое стороннего документа на текущую страницу (вжух http://w3c.github.io/webcomponents/spec/imports/index.html). А в Google Chrome можно импортировать html из любого файла, с абсолютно любым типом контента (заголовок Content-type) в том числе, если будет присутствовать указание не пытаться определить содержимое (X-Content-Type-Options: nosniff).

Для примера, создадим файл с случайными данными и добавим вконце тег script

head -c 1000000 /dev/urandom > /tmp/bin.bin
echo "<script>alert()</script>" >> /tmp/bin.bin

Теперь попробуем его импортировать: https://bo0om.ru/bin.html
И скрипт выполнится!

Таким образом, достаточно загрузить любой файл на ресурс, будь это валидное изображение или любой другой документ, в тело которого предварительно записан js - и вызвать его с помощью <link rel=import href=/path/to/file>. Так как обращение идет к ссылке текущего домена - такая ссылка не будет заблокированна Chrome XSS Auditor'ом.

#Событие #FYI #Facebook

Бытует мнение, что чем компания крупнее, тем лучше она защищена. Да, в корпорациях существуют крутые СКУД, продуманные групповые политики, строгий антивирус, современный WAF и полноценная песочница. Но никому, слышите, никому еще не удавалось избежать парадоксального человеческого фактора при построении систем или написании кода.

Как и в этом случае с Facebook. Их дочерняя компания Oculus, занимающаяся виртуальной реальностью, позволяет пользователям социальной сети привязывать аккаунты для лучшего социального опыта. Тут то рисечер Йосип Франкович из Хорватии и нашел уязвимость, позволяющую с помощью CSRF привязать Facebook к Oculus счету атакующего, а как следствие похитить и аккаунт жертвы, подменив мобильный телефон.

Причем после фикса со стороны Facebook, Йосип нашел новую дырку.

Источник: https://www.josipfranjkovic.com/blog/hacking-facebook-oculus-integration-csrf

Компьютеры пользователей BitTorrent под угрозой из-за уязвимости
https://goo.gl/pL93wg