Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Что грозит Burger King

Для тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:


Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.

Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:
Читать дальше →

Дата: 2018-07-14 07:21:52

Источник: https://habr.com/post/417165/



Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение

UPD: Пользователь Sabubu рассказал о том, что IT-директор компании Burger King начал публично угрожать автору расследования.

Вступление


Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.


Как выяснилось — людям небезразличен шпионаж за ними.


Расследование понравилось и хакерам. С момента публикации, на мой блог совершили десятки хакерских атак.




Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.


Для архивирования ссылок используется проверенный сервис archive.is.


Все оригинальные ссылки — в конце данной статьи.




Часть I. Ответы.


Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.


Какой ответ мы получили?

Читать дальше →

Дата: 2018-07-13 23:59:04

Источник: https://habr.com/post/417161/



ROPGenerator - Tool That Helps You Building ROP Exploits By Finding And Chaining Gadgets Together

ROPGenerator is a tool that makes ROP exploits easy. It enables you to automatically find gadgets or build ROP chains. The current version supports x86 and x64 binaries.

Overview

ROPGenerator is written in python. The tool has python2-only dependencies so it runs under python2 so far.

Please note that the current ROPGenerator version is still a beta under active development, therefore it might not work perfectly on some systems.


Why using ROPGenerator ?

Installation

Install ROPGenerator
You can download the source and run

$ python setup.py install
$ ROPGenerator

Install Dependencies
ROPGenerator depends on ROPgadget, prompt_toolkit, enum, python-magic, pwntools and barf v0.4.0:

Getting started
ROPGenerator is very easy to use ! For a quick starting guide, check ROPGenerator's Wiki

Screenshots
Get help

ropgenerator_2_help.png

Load gadgets from a binary
ropgenerator_3_load.png

Easily look for gadgets !
ropgenerator_4_search1.png

ropgenerator_5_search2.png

ropgenerator_6_search3.png

ropgenerator_7_search4.png

Дата: 2018-07-13 22:19:08

Источник: https://www.kitploit.com/2018/07/ropgenerator-tool-that-helps-you.html



Официальный сайт Ammyy Admin раздавал зараженную утилиту

Злоумышленники взломали официальный сайт разработчика RDP-утилиты Ammyy Admin, чтобы использовать его для распространения зараженной трояном версии программы. Для маскировки своей деятельности мошенники использовали бренд проходящего в России чемпионата мира по футболу, так как их C&C-центр находился по адресу fifa2018start[.]Info/panel/tasks.php.

Обнаружившие проблему исследователи фирмы ESET заявили, что раздача зловреда происходила с полуночи 13 июня до утра 14 июня — в день, когда прошла церемония открытия турнира и первый матч.

Скачавшие Ammyy Admin пользователи вместе с легитимным софтом получили многоцелевой троян Kasidet. Бот, известный также как Neutrino, разработали в 2013 году для проведения DDoS-атак, однако пару лет назад его начали применять для кражи информации из браузеров и памяти PoS-систем.

Новая сборка заточена под две основные цели — хищение данных, в которых могут содержаться пароли для доступа к криптокошелькам, и поиск процессов по заданным именам:

На сайте Ammyy Admin в числе клиентов указаны “Газпром Нефть”, МВД РФ, “Почта России”, сервис “Электронная Москва” и несколько российских банков. Портал компании уже неоднократно взламывали, поэтому некоторые антивирусные решения определяют утилиту как потенциально опасную.

Атака, аналогичная июньской, произошла в октябре 2015 года: тогда группировка Buhtrap распространяла скомпрометированный дистрибутив в течение недели. В апреле следующего года эксперты “Лаборатории Касперского” обнаружили, что инфицированная сборка устанавливала банковский троян Lurk.

Дата: 2018-07-13 21:00:00

Источник: https://threatpost.ru/ammyy-admin-hijacked-once-again/27193/



Приложение Burger King: насмешка над защитой персональных данных. Исправляем?

image

После того, как Хабр буквально за сутки разорвала серия статей про вкусную еду слежку за пользователями от Burger King (раз, два, три), разработчик приложения e-Legion опубликовал на Хабре ответный пост.

Да, ажиотаж эта тема вызвала серьезный, на текущий момент суммарно эти статьи просмотрели больше 230 тысяч раз и оставлено больше 1000 комментариев.

В своей статье разработчик пытается опровергнуть доводы молодого человека, рассказавшего о том, как приложение Burger King не очевидным образом мониторит поведение пользователей, и утверждает, что обработка персональных данных соответствует даже GDPR, который строже отечественного закона №152-ФЗ «О персональных данных».

РосКомСвобода покажет, почему приложение Burger King не соответствует закону №152-ФЗ и подарит ООО «Бургер Рус» час бесплатной консультации юриста по персональным данным.

Итак, поехали! Читать дальше →

Дата: 2018-07-13 19:26:39

Источник: https://habr.com/post/417145/



Хакер похитил военные документы США благодаря дефолтному паролю

Хакер похитил и выставил на продажу в даркнете сотни документов ВВС США, среди которых нашлись инструкции по управлению ударным беспилотником MQ-9 Reaper, танком М-1 Abrams и другие данные. К части из них злоумышленник получил доступ через панель администратора маршрутизатора Netgear, в котором логин и пароль были выставлены по умолчанию.

Взлом

Похититель использовал Shodan для поиска маршрутизаторов Netgear Nighthawk R7000, в которых FTP-пароль установлен по умолчанию. Среди них оказалось устройство одной из эскадрилий ВВС США в штате Невада. Получив контроль над маршрутизатором, преступник проник в сеть авиабазы, взломал компьютер одного из старших офицеров и выкрал файлы.

Уязвимость

Netgear обнаружила проблему еще в 2016 году. Даже если пользователь менял пароль роутера, частные серверы оставались с именем пользователя admin и паролем по умолчанию. Это происходило потому, что пароль внутренней сети не распространяется автоматически на протокол передачи файлов FTP, используемый серверами.

В июне 2018 года с помощью Shodan специлисты по безопасности обнаружили базу данных с 2 ТБ персональной информации 340 миллионов американцев и бизнес-организаций, которую маркетинговая компания Exactis опубликовала на общедоступном сервере.

Источник: TechSpot

Наташа Маркова

Ещё интересное для вас:
Тест: какой язык программирования вам стоит выбрать для изучения?
Тест: как хорошо вы разбираетесь в Data Science?
Соревнования и бесплатная онлайн-школа для программистов

Дата: 2018-07-13 17:05:32

Источник: https://tproger.ru/news/netgear-vulnerability-military-leak/



Раскрыты новые варианты атаки Spectre 1

Научный сотрудник Массачусетского технологического института Владимир Кирьянский и специалист по вычислительным системам и независимый консультант Карл Вальдспургер (Carl Waldspurger) опубликовали детали двух новых уязвимостей в процессорном механизме спекулятивного выполнения инструкций. Поскольку обе бреши позволяют провести атаку по стороннему каналу, схожую со Spectre 1, исследователи различают их под кодовыми обозначениями Spectre 1.1 и Spectre 1.2.

Напомним, атака Spectre по сценарию 1 с использованием уязвимости CVE-2017-5753 (bounds check bypass, обход проверки границ) позволяет с помощью вредоносного приложения получить конфиденциальную информацию посредством восстановления данных, осевших в кэше в результате выполнения спекулятивных операций. Обе новых разновидности Spectre-атаки тоже используют этот принцип, но каждая по-своему.

Вариант Spectre 1.1 (bounds check bypass on stores, CVE-2018-3693) предполагает инициирование выполнения спекулятивных операций записи (а не чтения, как в случае со Spectre 1), приводящих к переполнению буфера. Используя этот метод, можно, к примеру, получить доступ к областям памяти с данными вкладок в браузере.

Атака Spectre 1.2 (read-only protection bypass, CVE-идентификатора пока нет) проводится путем инициирования спекулятивных операций записи в память, защищенную флагом “только чтение”. Успешный эксплойт в данном случае позволяет перезаписать доступную лишь для чтения информацию, указатели и метаданные с целью обхода песочниц.

За обнаружение новых Spectre-подобных уязвимостей Intel выплатила исследователям $100 тыс. из фонда своей программы bug bounty. Это одна из крупнейших премий, которые когда-либо получали баг-хантеры. Степень опасности уязвимости CVE-2018-3693 лидер рынка микропроцессоров оценил в 7,1 балла по шкале CVSS.

После раскрытия результатов исследования Intel и ARM обновили свои публикации, посвященные Spectre и Meltdown, признав, что новые бреши тоже затрагивают их продукты. AMD с официальным заявлением пока не выступила, но поскольку атаки Spectre для ее портфеля актуальны, можно предположить, что варианты 1.1 и 1.2 этому вендору также придется учитывать. Компании Microsoft, Oracle и Red Hat пока пытаются оценить степень влияния Spectre 1.1 на свои продукты.

Патчей для новых Spectre-багов пока нет; в комментарии для Bleeping Computer представитель Intel заявил, что в их руководстве по противодействию Meltdown и Spectre разъясняется, каким образом разработчик может проверить и модифицировать свой исходный код, чтобы ограничить эксплойт на программном уровне.

Сами исследователи считают, что существующие методы предотвращения атак Spectre 1 с помощью статического анализа или инструментов компиляции малоэффективны как защита от Spectre 1.1 и 1.2. Положение можно спасти добавлением инструкции LFENCE в процессе компиляции — она уже включена в состав обновлений микрокода, выпущенных Intel. Полезной также может оказаться защита от переполнения буфера, уже заложенная в компиляторах. Сами авторы исследования предложили с этой целью три аппаратных решения для Spectre 1.1 и одно для Spectre 1.2.

Браузерная защита от Spectre, как недавно было доказано, тоже неспособна предотвратить подобные атаки, хотя некоторые из этих методов могут оказаться вполне успешными — например, изоляция сайтов с запуском отдельного процесса для каждого домена или применение масок при индексировании массивов. Так, на прошлой неделе Google заявила, что во избежание Spectre-атак для 99% пользователей Chrome 67 уже включен режим строгой изоляции сайтов. Правда, это вызовет рост потребления памяти браузером на 10-13%. Тем не менее, вендор намерен и впредь полагаться на эту меру защиты и даже планирует восстановить точность таймера и поддержку SharedArrayBuffer.

Дата: 2018-07-13 16:00:39

Источник: https://threatpost.ru/new-spectre-1-variants-come-to-light/27187/



В Нидерландах судят создателей CoinVault

Вчера в Роттердаме состоялось заседание суда, на котором было заслушано дело братьев Мелвина и Денниса ван де Б., обвиняемых в создании и распространении шифровальщиков CoinVault и Bitcryptor (он же CoinVault 2.0).

Ссылаясь на местную прессу, репортер Bleeping Computer сообщает, что прокурор настаивает на тюремном сроке для подсудимых (три месяца за решеткой, девять — условно), а также предлагает назначить им 240 часов общественных работ, а защита просит условный срок и общественно полезный труд.

Вымогательское ПО CoinVault появилось в Интернете в 2014 году; это был один из первых Windows-зловредов, шифрующих файлы и требующих плату за ключ расшифровки. Распространялся он преимущественно под видом “кряков” и за полтора года умудрился проникнуть в 108 стран, хотя подавляющее большинство жертв CoinVault составили голландцы.

Предполагаемых авторов этой вымогательской кампании удалось выявить в результате расследования, проведенного киберполицией Нидерландов и “Лабораторией Касперского”. Дело в том, что один из подозреваемых допустил фатальный промах: в коде зловреда он оставил свое имя, и этот фрагмент привлек внимание исследователей.

“В нашей первоначальной блог-записи о CoinVault был представлен скриншот с именем одного из подозреваемых в пути к файлу базы данных программы, — цитирует Bleeping Computer представителя “Лаборатории Касперского”. — В ходе работы над этим делом полиция попросила нас удалить скриншот (что мы и сделали), чтобы подозреваемые не осознали свою ошибку”. На судебном слушании обвиняемые признались, что успели увидеть скриншот до того, как его сняли с сайта, однако решили продолжать свою кампанию.

Молодые люди были арестованы в сентябре 2015 года. Голландской полиции также удалось захватить командный сервер CoinVault, благодаря чему “Лаборатория Касперского” смогла собрать базу из 14 тыс. ключей для жертв заражения. Эксперты также создали бесплатную утилиту для расшифровки файлов, полоненных вымогателем. Тем не менее, некоторые жертвы, по словам представителя ИБ-компании, так и не смогли восстановить свои данные: зловред шифровал их по нескольку раз, и файлы оказались поврежденными.

По оценке прокуратуры, атаки CoinVault принесли инициаторам более 10 тыс. евро (с жертв взимали по 1 биткоину, курс которого в те годы составлял примерно 220 долларов). Голландская полиция зарегистрировала около 1,3 тыс. жалоб; некоторые заявители дали показания в суде. Одна из жертв даже попыталась вернуть свой биткоин, который отдала за ключ расшифровки в 2015 году, — в надежде подзаработать на разнице: 1 Bitcoin сейчас эквивалентен почти 6,24 тыс. долларов США.

Один из представших перед судом братьев, Мелвин, предположительно является автором вредоносной программы, второй (Деннис) занимался ее распространением. По заявлению защиты, Мелвин в настоящее время трудоустроен и на своем месте “незаменим”, Деннис учится в Техническом университете Эйндховена.

Источник: https://threatpost.ru/coinvault-authors-on-trial-in-the-netherlands/27161/

Дата: 2018-07-13 15:45:41

Источник: https://exploit.in/2018/11555/



Хакеры-«новаторы» задержаны за попытку кражи средств из банкоматов

Сотрудники правоохранительных органов Беларуси задержали четырех минчан, подозреваемых в попытке хищения средств из банкоматов с помощью нового вредоносного ПО.

Об инциденте стало известно после обращения в ГУВД Минска представителей одного из банков в связи с тем, что на ряде банкоматов были обнаружены просверленные отверстия, при этом кассеты с купюрами оказались нетронутыми. Как выяснилось впоследствии, это были следы неудачного хищения денег.

По словам начальника управления по раскрытию преступлений в сфере высоких технологий МВД РБ Кирилла Вяткина, для хищения наличных средств злоумышленники использовали специальное программное обеспечение. Для его запуска требовалось подключение к электронным системам устройства выдачи денег, при этом нужно было повредить корпус банкомата.

Нелегальная программа предлагалась на подпольных форумах и сопровождалась видеороликом, пошагово демонстрирующим процесс взлома. Как заверяли разработчики ПО, метод позволяет полностью опустошить банкомат. Подозреваемые приобрели программное обеспечение за несколько тысяч долларов и попытались применить его по назначению, однако довести дело до конца так и не смогли.

Преступники были задержаны в начале июля. В отношении подозреваемых возбуждено уголовное дело по ст. 14 и ч. 4 ст. 212 УК Беларуси (покушение на хищение путем использования компьютерной техники в особо крупном размере) и по ч. 1 ст. 218 УК Беларуси (умышленное повреждение имущества).

Источник: https://www.securitylab.ru/news/494452.php

Дата: 2018-07-13 15:36:01

Источник: https://exploit.in/2018/11553/



Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm

Неизвестный хакер получил доступ к учетной записи разработчика менеджера пакетов npm и внедрил вредоносный код в популярную библиотеку JavaScript. Код был предназначен для хищения учетных данных пользователей.

Скомпрометированный пакет JavaScript под названием eslint-scope является подмодулем популярного инструмента для анализа кода ESLint.

По словам представителей проекта ESLint, хакер использовал созданный им токен npm для аутентификации и внедрения новой версии библиотеки eslint-scope в репозиторий jpm. Злоумышленник скомпрометировал версию eslint-scope 3.7.2, поддержка которой недавно была прекращена.

«Судя по всему, злоумышленник похитил учетные данные npm, поэтому мы рекомендуем всем, кто установил данную версию изменить свой пароль npm и (если это возможно) отключить токены npm и сгенерировать новые», — отметили представители проекта.

В ходе инцидента были скомпрометированы порядка 4,5 тыс. учетных записей. В качестве меры предосторожности, команда npm отключила все токены доступа, созданные до 12 июля 2018 года (до 17:30 по московскому времени). Данная мера требует, чтобы каждый зарегистрированный пользователь npm повторно аутентифицировался на npmjs.com и сгенерировал новые токены доступа.

Источник: https://www.securitylab.ru/news/494444.php

Дата: 2018-07-13 15:30:48

Источник: https://exploit.in/2018/11551/