Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Российские блоги по информационной безопасности

[обновлено 22.05.2018г.]
Из списка были исключены блоги, в котором последний пост размещен более года назад.
 
Персональные блоги
http://www.itsec.pro - Агеев Артем
http://gatamanov.blogspot.ru/ - Атаманов Г.А.
http://bezmaly.wordpress.com - Безмалый Владимир
https://bezoblog.ru/ - Березов Андрей 
http://inf-sec.blogspot.ru - Бодрик Александр
http://secinsight.blogspot.com - Бондаренко Александр
http://sborisov.blogspot.com - Борисов Сергей
https://alexanderveselov.blogspot.ru/ - Веселов Александр
http://alexgerm.blogspot.ru/ - Германович Александр
http://vgninyuk.blogspot.ru - Гнинюк Владимир
http://sgordey.blogspot.ru - Гордейчик Сергей
http://davydych.blogspot.ru - Давыдыч Виктор
https://aodugin.blogspot.ru/ - Дугин Андрей
http://isqa.ru/ - Евменков Алексей
http://emeliyannikov.blogspot.com - Емельянников Михаил
http://spbsecurity.blogspot.ru/ - Казанцев Николай
https://smartgridib.blogspot.ru/ - Карантаев Владимир
http://eugene.kaspersky.ru - Касперский Евгений
https://kachalin.com/ - Качалин Алексей
http://zlonov.ru - Комаров Алексей (Злонов Тарас)
https://valerykomarov.blogspot.ru/ - Комаров Валерий
https://kochetkov.github.io/ - Кочетков Владимир
https://www.securitylab.ru/blog/personal/eNotepad/ - Кузнецов Александр
https://avleonov.com/ - Леонов Александр (англ.)
http://bo0om.ru/ -  Лопаницин Антон (Бумов Дмитрий )
http://lukatsky.blogspot.com - Лукацкий Алексей
https://plutsik.blogspot.ru/ - Луцик Павел
https://denismakrushin.com/ - Макрушин Денис
http://amatrosov.blogspot.ru - Матросов Александр
https://is-svm.blogspot.ru/ - Меньшиков Сергей
https://ipiskunov.blogspot.ru/ - Пискунов Иван
http://80na20.blogspot.ru - Прозоров Андрей
http://sitnoff.blogspot.ru/ - Ситнов Андрей
https://esguardian.ru/ - Соколов Евгений
http://reply-to-all.blogspot.ru - Солдатов Сергей
http://ser-storchak.blogspot.ru - Сторчак Сергей
http://rusrim.blogspot.ru - Храмцова Наталья
http://www.tsarev.biz - Царев Евгений
http://crypto-anarchist.blogspot.ru/ - Шамсутдинов Булат
http://shaurojen.blogspot.ru - Шауро Евгений
http://shipulin.blogspot.ru/ - Шипулин Антон
http://shudrova.blogspot.ru - Шудрова Ксения
https://yushchuk.livejournal.com/ - Ющук Евгений
http://raz0r.name - Raz0r
https://continuity.pro/
http://safebdv.blogspot.ru/ 
http://rustam-abdullin.blogspot.ru - Абдуллин Рустам
http://aguryanov.blogspot.ru - Агурьянов Игорь
http://obarsukov.blogspot.ru - Барсуков Олег
http://blogbdv.blogspot.ru/ - Батранков Денис
http://ivanboytsov.blogspot.ru/ - Бойцов Иван     
http://dimanb.wordpress.com - Буланов Дмитрий
http://ibsec.blogspot.com - Бурцев Игорь 
http://anvolkov.blogspot.com - Волков Алексей
http://oxod.ru/ - Воронцов Владимир (d0znpp)
http://glebovoleg.blogspot.ru - Глебов Олег
http://crisisidea.livejournal.com - Городилов Сергей
http://devteev.blogspot.ru - Евтеев Дмитрий 
http://a-yefremov.livejournal.com/ - Ефремов Алексей
http://mikhailzyryanov.blogspot.ru/ - Зырянов Михаил
http://blogs.osp.ru/users/cZerro - Коржов Валерий
http://whoguardtheguardians.blogspot.com - Лысюк Андрей (Asterix)
http://defec.ru - Макрушин Денис
http://notesonthecuff.blogspot.ru - Матвийчук Владимир
http://secure-your-life.blogspot.ru - Матиев Джабраил
http://pavelmir.blogspot.ru - Мир Павел
http://cmiheev.blogspot.ru - Михеев Константин
http://novokreshenov.blogspot.ru - Новокрещенов Михаил
http://r-a-permyakov.blogspot.ru - Пермяков Руслан
http://andrepetukhov.wordpress.com - Петухов Андрей 
http://ryndinvs.blogspot.ru - Рындин Владимир
http://www.sidorovamaria.ru/ - Сидорова Мария
http://travkin333.livejournal.com - Травкин Юрий
http://hayrov.blogspot.ru - Хайров Игорь
http://xpomob.blogspot.ru - Хромов Михаил (Ригельз Дыбр)
https://continuity.pro/ - Чеканов Алексей
https://aroundcyber.wordpress.com/ - Around Cyber
Корпоративные блоги
http://infowatch.livejournal.com - блог компании InfoWatch
https://rvision.pro/blog/ - блог компании R-Vision
http://blog.ptsecurity.ru - Positive Research
http://s3r.ru - "Эшелон"
http://securityinform.blogspot.ru - SearchInform
http://security-orcl.blogspot.com - Информационная Безопасность — Решения Oracle
https://securelist.ru/ - SecureList. Блог Лаборатории Касперского
https://revisium.com/ru/blog/ - Revisium
https://amonitoring.ru/article/ - Перспективный мониторинг
http://complexis.biz/blog - блог компании Complexis
http://kaskadsecurity.blogspot.ru - "Каскад security" (Игорь Пестов, Евгений Родыгин)
http://letablog.livejournal.com - блог компании LETA
http://sc-live.blogspot.ru -  журнал компании "Код Безопасности"

Список зарубежных блогов и дайджестов по ИБ от Андрея Прозорова.

P.S. Если кого-то забыл упомянуть или указана неверная информация, пишите, исправлю.

Дата: 2018-05-22 03:05:07

Источник: http://ser-storchak.blogspot.com/2018/02/blog-post_17.html



EternalView - All In One Basic Information Gathering And Vulnerability Assessment Tool

EternalView_2_eternal.gif

EternalView is an all in one basic information gathering tool

Update:
CLI tool, made in BASH <3
WAF/IDS/IPS detection is live!!!

Dependencies:


How to install:
  1. Download
git clone https://github.com/rpranshu/EternalView.git
OR
  1. Run -in terminal
chmod +x EternalView.sh
./EternalView.sh

Features:
FeatureExplanation
Whois InformationPrints the whois information of the entered web address
DNS lookupPrints the DNS information and web records
Cloudflare detectionTells whether a particular website is powered by cloudflare
IP locatorPrints the geolocation of a web server
HTTP Header analyzerPrints the header information of a website
Robots.txt scannerScans the robots.txt file of a webpage and prints the unindexed information
Associated LinksPrints the list of all accessible pages of a website
NMAP port scannerPerforms an extensive port scan on a given website or ip address
TraceroutePrints the route and measures the transit delays of packets across a given web/IP address
Autopwn™A simple bash based metasploit automation tool! With just a few clicks, own any android or windows device!!

Future updates:

Дата: 2018-05-21 22:45:07

Источник: https://www.kitploit.com/2018/05/eternalview-all-in-one-basic.html



[Из песочницы] Уязвимость Mikrotik позволяет получать список всех пользователей через winbox

Устройства компании Mikrotik стали широко распространены из-за своей цены по отношению к функционалу. Но и ошибки в программном обеспечении никто не отменял. И на этот раз вылез серьёзный баг.


25 марта один из пользователей форума Mikrotik сообщил об обнаружении подозрительной активности маршрутизаторов mikrotik с применением портов telnet (TCP port 23), TR-069 (TCP port 7547) и WINBOX (TCP 8291).


Сотрудники компании сослались на баг, который был закрыт год назад. В последствии выяснилось, что это новая уязвимость и 23 апреля компания Микротик сообщила о выпуске прошивок, где эта уязвимость устранена.


Несмотря на то, что компания довольно оперативно выпустила bugfix, устройства, подверженные уязвимости в сети исчисляются тысячами.


qpyprdhvre6mjevcfwznusbm8xe.pngЧитать дальше →

Дата: 2018-05-21 15:50:12

Источник: https://habr.com/post/359038/



Security Week 18: шифровальная истерика

kqghllwymsintcar5eplytb473o.pngНелегкая выдалась неделя для средств обмена зашифрованными сообщениями. Средства как бы работали, но то в одном найдут дыру, то в другом еще какую проблему. Все началось в понедельник, когда группа европейских исследователей анонсировала серьезные уязвимости в ряде почтовых клиентов, поддерживающих шифрование по стандартам OpenPGP или S/MIME (новость). Анонсировала, поделилась информацией с особо важными людьми «под эмбарго»: в мире уязвимостей так делают, чтобы попавшие под раздачу вендоры смогли, например, выпустить патч. А еще — чтобы «особо важные люди» высказались в пользу важности и нужности исследования в публичном порядке.

Но что-то пошло не так, и вместо вторника пришлось обнародовать информацию в тот же понедельник (судя по всему, в Твиттере пошло обсуждение и начали раскрываться детали). Для двух опубликованных сценариев атаки наличие своего бренда (Efail), логотипа и веб-странички выглядит странно, но, впрочем, ладно. Оба метода атаки эксплуатируют встроенный в почтовые клиенты просмотрщик сообщений в виде веб-страниц. В сообщение перед зашифрованными текстом вставляется битый тег img — так, чтобы на сервер атакующего отправился не только запрос на загрузку картинки, но чтобы к нему еще было прицеплено расшифрованное сообщение.

В первом методе атаки используется совсем простая схема, когда «отравленный» тег вставляется открытым текстом. Во втором все происходит чуть хитрее: эксплуатируется отсутствие проверки целостности в том же S/MIME (OpenPGP подвержен, но в меньшей степени), благодаря чему аналогичный «вредоносный» тег можно вставить непосредственно в зашифрованный текст.


Видеодемонстрация атаки

То есть злоумышленник должен не только получить доступ к зашифрованным сообщениям жертвы. Ему придется модифицировать их, отправить обратно жертве и надеяться, что на той стороне сработает встроенный «маячок». Не самый результативный метод, но, с другой стороны, речь идет о шифровании, а в шифровании уровень паранойи каждый выбирает для себя самостоятельно. Интересна также не совсем адекватная реакция фонда EFF: в понедельник, ознакомившись с отчетом еще под эмбарго, они написали, что «это очень серьезная проблема», и порекомендовали всем-всем-всем переходить на Signal. После выхода полного отчета детали были пересказаны на сайте EFF, но рекомендация установить Signal (и еще удалить плагины для дешифрования) осталась.


Эксперты шутят

Насчет «удалите плагины» и «не расшифровывайте уже полученные сообщения»: в случае Efail есть временное решение (до выпуска патча для используемого вами почтового клиента) куда проще: выключить HMTL-представление сообщений. В плейнтексте атака, очевидно, бессильна. А по поводу Signal: не очень понятно желание EFF рекламировать этот мессенджер по поводу и без повода, тем более что смена инфраструктуры (почта -> чатик) вот так, от одной маленькой проблемы, происходить не должна.


Дальше идут вообще продуктивные переговоры: «Мы починили! — А вот и нет!»

У Signal тоже нашли проблему, и также не самую ужасную в мире. Исследователи обнаружили в десктопной версии мессенджера чрезмерно вольное обращение с HTML-кодами, которое позволяет провести XSS-атаку и вообще может всячески вводить пользователей в заблуждение. Проблема сначала была запатчена, но потом оказалось — не до конца. А для мессенджера Telegram (точнее, для его десктопной версии) обнаружился троян Telegrab, крадущий историю сообщений жертв и складывающий ее на сервере с открытым доступом. В сложные времена мы живем!

Одной строкой:
Интересное развитие аппаратной атаки Rowhammer на персональный компьютер. Nethammer развивает идеи удаленной аппаратной атаки Throwhammer и показывает, как можно модифицировать данные на атакуемой системе, не выполняя на ней ни единой строчки кода.

У Cisco нашли и удалили очередной намертво вшитый пароль.

Дата: 2018-05-21 14:12:08

Источник: https://habr.com/post/359034/



Airpydump - Analyze Wireless Packets On The Fly. Currently Supporting Three Working Modes (Reader, Live, Stealth)

airpydump.png

Analyze Wireless Packets on the fly. Currently supporting three working Modes (Reader, Live, Stealth)

Description

airpydump is a wireless packet analyzer, providing the interface most likely that of airodump-ng from aircrack suite. It currently provides three working modes which are Reader, Stealth and Live. Reader Mode is used to read a written captured file earlier either with airodump, wireshark or airpydump itself. Stealth mode is used when you are on a run and don't want to see the live traffic but just on the end of your run. So, that you could press CTRL+C at the end of your run and captured packets will be displayed to you. Live mode which is not fully build yet, actually utilize curses library from python which have some problems until now, prints live packets i.e. as soon as they've captured by the wireless adapter. The problem with Live Mode is with resizing the terminal. So, don't try to maximize or restore the screen while live sniffing or else your terminal will be messed up. The only way then you have to get rid of it is forcily shut it down and then spawn a new terminal again.

MODES
READER MODE: python airpydump.py -r [/path/to/.cap/file]
STEALTH MODE: python airpydump.py -i [Monitor Interface] --live
LIVE MODE: python airpydump.py -i [Monitor Interface] --live --curses

USAGE
[usage] python airpydump.py [arguments]

ARGUMENTS
-h, --help                      prints help manual
-i, --interface=                Monitor Mode Interface to use
-r, --read=                     Read a captured file earlier, e.g. packets.cap
-w, --write=                    Write packets to a file.
-c, --curses                    Utilize curses library to print live packets
-i, --live                      Must be used for stealth and live modes

UPDATE
Terminal Error Resizing while Live sniffing

Author
[email protected]
https://www.shellvoide.com

Дата: 2018-05-21 13:30:04

Источник: https://www.kitploit.com/2018/05/airpydump-analyze-wireless-packets-on.html



В Волжском задержан похищавший средства с банковских карт хакер

От действий злоумышленника и его сообщников пострадали жители по меньшей мере 10 регионов РФ.

В городе Волжском сотрудники отдела по борьбе с киберпреступлениями задержали 32-летнего мужчину по подозрению в мошенничестве в сфере компьютерных технологий и легализации полученных преступным путем доходов. Об этом сообщает издание «КП-Волгоград».

По словам представителей правоохранительных органов, злоумышленник и его сообщники в течение 2 лет занимались хищением средств с банковских карт. Жертвам рассылались SMS-сообщения, содержащие ссылку на вредоносное ПО, предназначенное для хищения денег. Все украденные средства злоумышленники переводили в криптовалюту.

«В результате обысков в квартире подозреваемого оперативники изъяли более 30 сим-карт различных операторов, банковские карты, мобильные телефоны, около 130 тысяч рублей и другие предметы, имеющие значение для расследования уголовного дела», - отметили в пресс-службе ГУ МВД по Волгоградкой области.

Как полагают оперативники, подозреваемым удалось похитить порядка 1 млн рублей у жителей по меньшей мере 10 регионов РФ.

Дата: 2018-05-21 13:27:34

Источник: http://www.securitylab.ru/news/493435.php



Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно

jn5unierniuyvfrkiuppmsbog-y.png

Несколько месяцев назад разработчики Chrome объявили, что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено». Спрашивается, почему?

Вот как разработчики объясняют это в официальном блоге:

«Пользователи должны ожидать, что веб безопасен по умолчанию, а их предупредят при возникновении проблемы. Поскольку скоро все страницы HTTP будут отмечены как «незащищённые», мы делаем шаг вперёд и удаляем позитивные индикаторы безопасности, так что неотмеченное состояние по умолчанию становится безопасным».
Если задуматься, то это впечатляющая смена парадигмы. Судите сами: раньше обычными считались сайты HTTP, а защищёнными — сайты HTTPS. Теперь индикаторы сдвигаются на ступеньку вверх. Обычными становятся сайты HTTPS, а защищённых нет вообще, потому что все обычные сайты считаются защищёнными по умолчанию! Если сайт не защищён сертификатом TLS, то он не не обычный — и заслуживает отдельной индикации как незащищённый!

То есть защита сайта и шифрование трафика признаются нормой.

С октября 2018 года (версия Chrome 70) браузер начнёт ещё более явно сигнализировать пользователям о незащищённых сайтах HTTP: серый индикатор станет изменяться на красный, если пользователь попробует ввести данные на веб-странице без шифрования трафика.

f_lw3tdnp_skftcm_zqmn1uhnt4.gif

С точки зрения восприятия пользователями это важное изменение интерфейса. Исследования показали, что пользователи не воспринимают отсутствие зелёной иконки с замочком «Защищено» в качестве предупреждения. Явное указание на опасность сайта более заметно.

В России есть дополнительный повод для шифрования, потому что здесь скоро вступает в силу «закон Яровой» — с 1 октября провайдеры начнут хранить на серверах весь интернет-трафик пользователей. По этому закону операторы и веб-сайты обязаны предоставлять ключи шифрования по запросу спецслужб. Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане. Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.

Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS» с инструкциями в том числе для Let's Encrypt). Очень скоро Chrome и Firefox начнут помечать как «не защищённые» сайты без HTTPS, так что сайты без защиты рискуют ухудшить свою репутацию в глазах пользователей. Это может негативно отразиться на посещаемости ресурса, если уже не отразилось, ведь отсутствие сертификата уже три года немного понижает сайты в поисковой выдаче Google.



АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК

Защитите все субдомены одним сертификатом!

Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года!

Промо-код: WC001HRFR

Акция действует для подписчиков блога GlobalSign до 15 июня 2018 г.

Дополнительную информацию вы можете получить у менеджеров GlobalSign по телефону: +7 (499) 678 2210 либо заполнив форму на сайте с указанием промо-кода.

Дата: 2018-05-21 12:48:05

Источник: https://habr.com/post/359032/



Лидер Carbanak попался на нежелании вовремя заплатить за машину

Полиция вышла на Дениса К по несвязанному с киберпреступностью делу.

Как ранее сообщал портал SecurityLab, в марте текущего года в испанском городе Аликанте был арестован гражданин Украины, предположительно являвшийся руководителем печально известной киберпреступной группировки Carbanak, также известной как Anunak и Cobalt. По данным испанской газеты El Mundo, полиция вышла на Дениса К совершенно случайно и явилась к нему в дом по несвязанному с киберпреступностью делу.

За несколько месяцев до своего ареста Денис К приобрел автомобиль стоимостью в 70 тыс. евро, но не спешил вносить оплату. Правоохранители нанесли визит должнику в связи с долгом за машину и даже не подозревали, кто на самом деле перед ними стоит. Позднее полицейские сопоставили данные и пришли к выводу, что «должник» является одним из самых разыскиваемых киберпреступников в мире.

Как сообщается в статье, 34-летний гражданин Украины снял в Аликанте неприметную квартирку, которую превратил в центр своих операций. В отличие от многих скандальных хакеров, Денис К не кичился богатством во избежание ненужного внимания. Тем не менее, по данным El Mundo, у него было два дорогостоящих автомобиля.

Carbanak – ATP-кампания и одноименное вредоносное ПО для хищения средств с банковских счетов. Кампания была впервые обнаружена в 2014 году экспертами «Лаборатории Касперского». В ходе кампании киберпреступники похитили сотни миллионов долларов. По данным ЛК, хакеры в основном атаковали финорганизации в России. Далее шли США, Германия, Китай и Украина.

Дата: 2018-05-21 12:10:00

Источник: http://www.securitylab.ru/news/493434.php



Приложение TeenSafe хранило личные данные детей и родителей в открытом доступе

Исследователь Роберт Виггинс (Robert Wiggins) обнаружил, что приложение TeenSafe, предназначенное для слежки за детьми, хранило часть личных данных пользователей в открытом доступе. Сохраняемая на двух серверах Amazon информация была общедоступна без ввода пароля.

Уязвимость TeenSafe

На протяжении последних трех месяцев база данных содержала 10 200 записей. В ней числились электронные адреса Apple ID, имена устройств и уникальные идентификаторы. Фотографий и данных о местоположении детей и родителей в базе найдено не было.

Сервис TeenSafe требовал отключения двухфакторной аутентификации, что облегчало взлом аккаунтов. На сайте проекта указано, что для обеспечения безопасности приложение использует протокол SSL и технологии компании Vormetric. Каким образом пара серверов осталась без защиты — неизвестно. Разработчики уже отключили их и начали внутреннее расследование.

Предоставляемые услуги

По данным TeenSafe, услугой отслеживания действий детей пользуются миллионы родителей. Приложение дает доступ к истории браузера и звонков, а также позволяет следить за активностью в социальных сетях и мессенджерах.

Компания не считает слежение за собственными детьми нарушением закона и прав. Однако в случае с крупными компаниями и миллионами людей все обстоит иначе: в ноябре 2017 года Google обвинили в сборе данных пользователей Android.

Источник: ZDNet

Рамис Ганиев

Ещё интересное для вас:
Тест: что вы знаете о работе мозга?
Базовый чек-лист по SEO перед сдачей сайта заказчику
Что посмотреть и куда сходить разработчку — ближайшие события

Дата: 2018-05-21 11:41:33

Источник: https://tproger.ru/news/teensafe-leak/



Вышел новый курс «Развертывание 1С: Предприятие на платформе Microsoft Azure»

Дорогие друзья, предлагаем вам посмотреть готовый видео-курс, посвященный теме развертывания 1С: Предприятия на платформе Microsoft Azure. 

Курс посвящен размещению 1С-приложений на облачной платформе Microsoft Azure. В курсе на практических примерах показывается полный цикл развертывания 1С в облаке: начиная от выбора и конфигурирования виртуальной машины в облаке и заканчивая установкой и настройкой самого 1С-приложения, как с файловой базой, так и с SQL. Дополнительно будут продемонстрированы различные настройки.

Курс предназначен как для технических специалистов, которые уже имеют опыт проектирования, программирования, внедрения, автоматизации и мониторинга решений на платформе Microsoft Azure, так и для тех, кто с платформой еще не сталкивался, но хочет получить практические навыки и освоить технологию сразу «в деле». Курс не требует глубоких знаний 1С.

Курс включает в себя 4 видео-сессии. Для просмотра сессий необходимо заполнить регистрационные формы:

  1. Развертывание 1С: Предприятие на платформе Microsoft Azure. 1 сессия
  2. Развертывание 1С: Предприятие на платформе Microsoft Azure. 2 сессия
  3. Развертывание 1С: Предприятие на платформе Microsoft Azure. 3 сессия
  4. Развертывание 1С: Предприятие на платформе Microsoft Azure. 4 сессия

Курс бесплатный. Делитесь ссылками c коллегами!

Дата: 2018-05-21 11:30:14

Источник: https://blogs.technet.microsoft.com/rutechnews/2018/05/21/free-new-course-deploy-1c-in-azure/