новость, которая будет интересна читателям из Украины — тут пишут, что у популярного почтового сервиса (оффлайновой почты) Нова Пошта вроде как угнали базу клиентов. Компания отмазывается, что данные, которые выставлены на продажу, вроде как не её. Интересно, что в процессе директор по информационным технологиям рассказал, что компания "планирует запуск криптографической защиты, анонимизации персональных и аналитических данных", что у меня вызвало логичный вопрос — А ДО ЭТОГО ОНИ ЭТО НЕ ИСПОЛЬЗОВАЛИ, ЧТО ЛИ???
https://www.epravda.com.ua/news/2018/02/6/633812/

Mozilla анонсировали первый релиз Things Gateway - своего гейтвея для интернета вещей. Под громким названием пока скрывается прошивка для распбери, позволяющая управлять некоторыми типами устройств категории “интернет вещей”, не более. Мы все еще ждем обещанных удобных фреймворков для разработки IoT-девайсов от Мозиллы, но начинание интересное.

Так же, для интересующихся, посмотрите на спецификацию Web of Things, которая готовится в w3c в основном усилиями ребят из Мозиллы.

https://techcrunch.com/2018/02/06/mozilla-announces-an-open-framework-for-the-internet-of-things/

Тут на Гитхабе внезапно кто-то выложил кусок исходного кода iBoot - грубо говоря, БИОС айфона, та часть операционной системы, которая обеспечивает необходимые проверки доверенной загрузки остальной операционной системы. Официального подтверждения нет (и, скорей всего, не будет), но эксперты сходятся на том, что код настоящий.

Потенциально это очень серьезная проблема для Apple. Утечка такого кода не означает, конечно, что завтра все ваши айфоны внезапно взломают после простого посещения какого-нибудь веб-сайта, но наличие такого кода в открытом доступе существенно облегчит поиск уязвимостей в iBoot, что может привести к созданию новых версий джейлбрейка или методов компрометации устройств. Похоже, что код, который опубликовали, относится к версии iOS 9, и с тех пор многое могло измениться, но какие-то куски кода вполне могут присутствовать и в iOS 11. Утёкший код не собирается, так как там не хватает компонентов, но все равно очень и очень неприятная история. Примечательно, что за уязвимости в iBoot Apple платит 200 тыс долларов - максимум в рамках своей bug bounty программы.

Ссылку на сам архив я тут давать, разумеется, не буду — кто захочет, сам сможет найти её в интернете. Вот можно почитать статью об этой утечке
https://motherboard.vice.com/en_us/article/a34g9j/iphone-source-code-iboot-ios-leak

Баг в VPN-сервисе Hotspot Shield раскрывает личные данные пользователей
https://goo.gl/koMe9M

Считается, что циски весьма отличаются секурностью, но и на старуху найдется проруха. И не какая-то, а вполне себе полноценное RCE.

В данном случае речь о недавно анонсированной уязвимости CVE-2018-0101 в Cisco ASA, связанной с ошибками в обработке XML. Уязвимость позволяет без аутентификации удаленно выполнить произвольный код, ну или хотя бы вызвать отказ в обслуживании. Эсплуатируется через HTTPS сервисы или IKE2 RemoteAccess VPN. Эксплойтов не дам, сорян, ребята, они есть, но стоят $25k-$100k.

Далее имеем два пути - правильный и ленивый.

Правильный:

Вендор выпустил патчи уязвимости, надо их установить. Исправленные версии: 9.1.7.23, 9.2.4.27, 9.4.4.16, 9.6.4.3, 9.7.1.21, 9.8.2.20, 9.9.1.2 и выше в ветках 9.1, 9.2, 9.4, 9.6, 9.7, 9.8 и 9.9. Другие ветки не поддерживаются и не обновлены.

Ленивый "не хотим ничего тестировать и обновлять":

Можно отключить/ограничить доступ к уязвимым сервисам. Надо заметить, что способ ОЧЕНЬ неправильный, потому что сервисы когда-то могут оказаться внезапно включенными. Да и вообще нужны.

ASDM - скорей всего отключать не хочется, но можно ограничить доступ адресами админов:

http <remote_ip_address> <remote_subnet_mask> <interface_name>

AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN и Clientless SSL VPN - либо отключить, либо повесить ACL для списка легитимных клиентов (доступ к портам TCP/443, UDP/500 и где у вас настроен Client Services) . Можно юзать IPSec Remote Access с IKEv1, но он совместим только со старым VPN-клиентом Cisco, мда...

Local Certificate Authority - либо отключить (но тогда отвалится аутентификация по сертификатам, если не используется сторонний центр сертификации), либо повесить ACL для тех же клиентов (порт TCP/443).

Mobile Device Manager (MDM) Proxy - выключить или повесить ACL.

Mobile User Security (MUS) - та же фигня, порт конфигурируем, найти можно в строке конфигурации mus server enable port <port #>.

Proxy Bypass - опять же выключить или ACL (порт TCP/443 или другие, если настроены).

Все еще не хочется обновляться? =)

#Новость #Ростелеком #SolarSecurity #Поглощение

РБК сообщает о продолжающейся экспансии Ростелекома. На этот раз провайдер-монополист обратил свой взор на рынок ИБ. Сообщается о планируемой покупке компании Solar Security, известной своими услугами по мониторингу состояния ИБ и аутсорсингу SOC для различных организаций. Помимо чисто экономических интересов в этом шаге угадывается желание Ростелекома нарастить ИБ-е компетенции, чтобы соответствовать запросам государства и международным практикам.  Трудно сказать как это на практике скажется на работе самого Ростелекома. Окажет ли поглощение тонизирующий эффект на всю компанию, или Solar Security останется обособленным подразделением со своими порядками? Скорее всего произойдет последнее, но если нам повезет, то мы получим интересного работадателя для безопасников. Только представьте, что можно наворотить, используя наработки Solar Security в масштабах сети Ростелекома. Яровой и не снилось.

Источник: https://www.rbc.ru/technology_and_media/07/02/2018/5a79c03e9a79470b559e77f0

В защиту swap'а [в Linux]: распространенные заблуждения
https://habrahabr.ru/post/348324/

а вот и подъехал официальный ответ Apple (я ошибался, когда говорил, что Apple не будет отвечать) по поводу утечки исходного кода iBoot:

“Old source code from three years ago appears to have been leaked, but by design the security of our products doesn’t depend on the secrecy of our source code. There are many layers of hardware and software protections built into our products, and we always encourage customers to update to the newest software releases to benefit from the latest protections.”

Хакеры украли и выставили на продажу базу 18,5 миллионов пользователей украинского почтового сервиса «Новая Почта» https://ubr.ua/ukraine-and-world/incidents/zamuchajut-rejdery-i-kreditory-chem-ukraintsam-hrozit-sliv-bazy-novoj-pochty-3864390 . Собственно, для меня это не оказалось удивительным, так как безопасность их сайта довольно низкая. Однажды я предоставил им уязвимость, которая позволяла взломать аккаунт пользователя, но письмо тогда просто проигнорировали. После этого я больше не пытался искать  уязвимости на их сайте, посчитав это бессмысленным виду открытой беззаботности разработчиков.

В этом году выйдет около 150 новых эмодзи, есть видео с некоторыми из них.

Рыжие, кудрявые и пенсионеры, наконец-то займут почетное место среди нарисованных человеческих лиц. Ну и лысые конечно же.

https://youtu.be/5qLDBQ583Y8

Всемогущество взломщика. Оцениваем реальную степень угрозы хакерских атак

Эксплуатируй, GoAhead! Выполняем произвольный код в веб-сервере GoAhead

WWW: nginxconfig.io — сайт, который поможет настроить веб-сервер nginx
https://goo.gl/j8bcNP

В мире безопасности постоянно что-то происходит: утечки данных, взломы крупных корпораций, регулярные проблемы с криптовалюьами, выход новой малвари, изменения в законодательстве и прочая фигня. Обычно мы далеки от этого, сидим как паучки в своей сеточке и охраняем ее. Но сегодня я хочу написать о чем-то важном, о том, что сеточек наших не касается, но касается всех нас.

Booking.com передает данные вашей карты отелю. В том числе CVV. CVV! Критика!

По идее отели обязуются хранить их соответственно PCI DSS, но мы то понимаем, что это полный бред и никакого PCI DSS там нет.

Данные передаются в момент бронирования. У Букинга предусмотрена двухфакторная аутентификация для доступа в личный кабинет отеля: увидеть данные клиента может только уполномоченный сотрудник отеля. Но куда дальше пойдут ваши данные...

В общем, при желании пользоваться Букингом (ну а как же без него?) разумно завести для этого отдельную карту.

Источник: https://journal.tinkoff.ru/booking-card/

Небольшая группа хакеров fail0verflow, воспользовавшись уязвимостью в тегре запустила линукс на Nintendo Switch. О дыре было известно давно, она не опасная, но вот то что теперь на самой лучшей портативной консоли можно запусть нормальную операционную систему - это радость для всех гиков.

http://www.nintendolife.com/news/2018/02/hackers_get_linux_running_on_switch_and_claim_nintendo_cant_patch_the_exploit

Обновление для WordPress сломало функцию автоматических обновлений
https://goo.gl/6BvUvt

WFLA сообщили о взрыве, причём не газа в жилом доме, а Apple Air Pods в спортзале.

Житель Флориды тренировался в зале, в этот момент один из беспроводных наушников начал дымиться прямо в ухе у парня. Тот поспешно вытащил устройство и побежал за помощью к администратору (ну может быть у американцев так заведено). Когда они вернулись, наушник уже разорвало. Apple естественно заявила, что все исправит и все будет хорошо.

https://youtu.be/PCo_0cdX3Sk

История взлома одной MLM компании
https://goo.gl/aVa71t

Вышел новый мажорный релиз самого популярного видеоплейера VLC 3.0. Самое главное в нем - поддержка аппаратного ускорения видео теперь работает по-умолчанию, что позволяет проигрывать 4k HDR видео и не слишком тормозить.

Удивительно, как открытый бесплатный проигрыватель может уже столько лет быть самым очевидным выбором для практически любого видео. Мои поздравления команде разработчиков, вы делаете огромное дело!
https://www.videolan.org/vlc/releases/3.0.0.html