Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




CloudMapper - Tool To Analyze Your Amazon Web Services (AWS) Environments

cloudmapper_1_ideal_layout.png

CloudMapper helps you analyze your Amazon Web Services (AWS) environments. The original purpose was to generate network diagrams and display them in your browser. It now contains more functionality.
Demo: https://duo-labs.github.io/cloudmapper/
Intro post: https://duo.com/blog/introducing-cloudmapper-an-aws-visualization-tool
Post to show usage in spotting misconfigurations: https://duo.com/blog/spotting-misconfigurations-with-cloudmapper

Installation
Requirements:
On macOS:
# clone the repo
git clone [email protected]:duo-labs/cloudmapper.git
# Install pre-reqs for pyjq
brew install autoconf automake libtool jq awscli python3
cd cloudmapper/
python3 -m venv ./venv
source venv/bin/activate
pip install -r requirements.txt
On Linux:
# clone the repo
git clone [email protected]:duo-labs/cloudmapper.git
# (Centos, Fedora, RedHat etc.):
# sudo yum install autoconf automake libtool python34-devel jq awscli
# (Debian, Ubuntu etc.):
# You may additionally need "build-essential"
sudo apt-get install autoconf automake libtool python3-dev jq awscli
cd cloudmapper/
python3 -m venv ./venv
source venv/bin/activate
pip install -r requirements.txt

Run with demo data
A small set of demo data is provided. This will display the same environment as the demo site https://duo-labs.github.io/cloudmapper/
python cloudmapper.py prepare --config config.json.demo --account demo
python cloudmapper.py webserver
This will run a local webserver at http://127.0.0.1:8000/

Setup

  1. Configure information about your account.
  2. Collect information about an AWS account.

1. Configure your account

Option 1: Edit config file manually
Copy the config.json.demo to config.json and edit it to include your account ID and name (ex. "prod"), along with any external CIDR names. A CIDR is an IP range such as 1.2.3.4/32 which means only the IP 1.2.3.4.

Option 2: Generate config file
CloudMapper has commands to configure your account:

python cloudmapper.py configure {add-account|remove-account} --config-file CONFIG_FILE --name NAME --id ID [--default DEFAULT]
python cloudmapper.py configure {add-cidr|remove-cidr} --config-file CONFIG_FILE --cidr CIDR --name NAME
This will allow you to define the different AWS accounts you use in your environment and the known CIDR IPs.

2. Collect data about the account
This step uses the CLI to make describe and list calls and records the json in the folder specified by the account name under account-data.
Locally, AWS CLI must be configured with proper access key and region information. Generate new access keys in AWS Console and input the generated keys to aws configure if you have not done so yet.
You must have AWS credentials configured that can be used by the CLI with read permissions for the different metadata to collect. This can be granted via the SecurityAudit policy, or can be reduced to an even more minimal set of permissions if desired for network visualization. The minimal policy needed is:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Resource": "*",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcPeeringConnections",
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "rds:DescribeDBInstances",
        "elasticloadbalancing:DescribeLoadBalancers"
      ]
    }
  ]
}
Collecting the data can be performed with a bash script or via the python code base. Both options support a --profile to specify the AWS account profile to use.

Option 1: Bash script
Using the script is helpful if you need someone else to get this data for you without fiddling with setting up the python environment.
NOTE The script will collect a small subset of available data. It is preferable to use Option 2 below whenever possible.

./collect_data.sh --account my_account
my_account is just a name for your account (ex. "prod"). You can also pass a --profile option if you have multiple AWS profiles configured. You should now have a directory with .json files describing your account in a directory named after account name.

Option 2: Python code

python cloudmapper.py collect --account my_account

Commands

Дата: 2018-07-15 14:04:19

Источник: https://www.kitploit.com/2018/07/cloudmapper-tool-to-analyze-your-amazon.html



Франция «перехватила» у США и РФ «криптовалютного короля» Винника

Греческий суд одобрил ускоренную экстрадицию Винника во Францию.

Суд в Греции удовлетворил запрос французских властей о выдаче россиянина Александра Винника, подозреваемого в отмывании денег через криптовалютную биржу BTC-E, сообщает «Интерфакс». Во Франции Виннику предъявлены обвинения в совершении киберпреступлений, нанесших ущерб в размере €130 млн.

По словам адвокатов россиянина, суд постановил применить ускоренную форму экстрадиции. Защита Винника намерена обжаловать решение судебной инстанции. «Мы обязательно обжалуем сегодняшнее решение. До того, как жалоба будет рассмотрена Верховным судом Афин, Александра никуда не смогут экстрадировать, он будет находиться в Греции», - отметил адвокат россиянина Илиас Спирлиалдис.

Французские власти обвиняют Винника в отмывании денежных средств и в мошенничестве, в частности, в том, что россиянин похищал персональные данные граждан, а затем якобы возвращал их за деньги. Потерпевшими признаны 5,7 тысяч человек по всему миру, из них гражданами Франции являются всего 100 человек.

В свою очередь Винник отрицает причастность к киберпреступлениям во Франции. По словам его адвоката, французская сторона не предоставила доказательства вины Винника во вменяемых преступлениях.

Примечательно, в декабре 2017 года Верховный суд Греции одобрил выдачу «криптовалютного короля» в США. В июле текущего года РФ направила Греции новый запрос на экстрадицию Винника в связи с возбуждением нового уголовного дела в его отношении.

Дата: 2018-07-15 08:40:46

Источник: http://www.securitylab.ru/news/494464.php



Хакеры опубликовали обновление анализатора кода JavaScript с трояном

Администраторы репозитория NPM сообщили о компрометации пакетов eslint-scope 3.7.2 и eslint-config-eslint 5.0.2, в которых содержался анализатор JavaScript-кода ESLint. Злоумышленник получил доступ к учетной записи разработчика менеджера пакетов npm, внедрил вредоносный код для хищения пользовательских данных и опубликовал обновление анализатора.

Взлом

При установке пакета с сайта pastebin.com запускался скрипт, который отправлял токен для аутентификации в NPM на сервер учета статистики посещений. Взломщики просматривали захваченные токены через web-интерфейсы счетчиков посещений histats.com и statcounter.com.

Хакеры допустили в коде ошибку, которая приводила к сбою установки при определенных условиях, что привлекло внимание пользователей пакета. В течение часа они обнаружили троянский код и отправили уведомление разработчикам.

Ущерб

С момента публикации до блокировки вредоносного обновления преступники получили токены для доступа к учетным записям приблизительно 4500 разработчиков.

В апреле 2018 года стало известно, что ошибка в JavaScript-классе привела к генерации уязвимых ключей для криптокошельков.

Источник: блог npm

Наташа Маркова

Ещё интересное для вас:
Тест: какой язык программирования вам стоит выбрать для изучения?
Тест: как хорошо вы разбираетесь в Data Science?
Соревнования и бесплатная онлайн-школа для программистов

Дата: 2018-07-15 07:53:04

Источник: https://tproger.ru/news/eslint-gone-bad/



Забудьте про Бургер Кинг! Есть утечка документов куда опаснее

Все ещё не можете перестать изливать праведный гнев на несчастную бургерную? Ещё помните про индексацию каких-то там полуприватных Гуглдоков поисковиками? Тут нашлось кое-что более впечатляющее!

Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!

Пример поисковой строки.

+1 ) 152 фз ? Не, не слышали

Опубликовано Павлом Медведевым Четверг, 12 июля 2018 г.

impifq2llju35f7qythq1hq7uhm.jpeg
Читать дальше →

Дата: 2018-07-15 06:54:22

Источник: https://habr.com/post/417219/



Daily Blog #422 Solution Saturday 7/14/18

Hello Reader,
         Things are always changing in forensics and especially forensic analysis of cloud hosted systems. This weeks challenge involved Office 365 audit logs and while the contest was going this week Microsoft announced welcome changes that will be rolled out that will change both the question and this weeks answer. So congratulations to this weeks winner Adam Harrison .

The Challenge:
Explain in a compromise of a Office365 account what you could review in the following circumstances.

Scenario a: only default logging in a E3 plan

Scenario b: Full mailbox auditing turned on

You are attempting in both scenarios to understand the scope of the attackers access 

The Winning Answer from Adam Harrison:

The first point to note is that a compromise of Office 365 (while commonly referred to as Business Email Compromise (BEC)) is not necessarily limited to email accounts. Depending on how an organisation employs Office 365 they may host a wealth of information besides just email and attachments in O365, much of which could be valuable to an attacker. In the case of the in-scope E3 plan, each compromised user account could potentially expose:
Exchange — Email messages, attachments and Calendars (Mailbox size up to 100GB)
OneDrive — 1TB per user, unless increased by admins to up to 25TB.
SharePoint — Whatever sites that user has access to.
Skype — Messages, call and video call history data
Microsoft Teams — Messages, call and video call history data as well as data within integrated apps.
Yammer — Whatever it is people actually do on Yammer. Are you prepared for a full compromise of your organisation's memes, reaction gifs and cat pictures?
All of that before you concern yourself with the likelihood of credential reuse, passwords which may be stored within O365 (Within documents and emails) for other services, delegated access to other mailboxes and MDM functionality.
Specifically answering the two questions:
Scenario a: only default logging in a E3 plan
Below is a non-comprehensive list of evidence sources which may be available to an examiner to assist in understanding the scale/scope of an O365 compromise:
  • Unified Audit Log, via Audit Log Search in the Security & Compliance Centre and accessible using Search-UnifiedAuditLog' cmdlet. This will need to be enabled if not already enabled and will provide retrospective visibility if enabled after the fact.
  • Mailbox Content
  • Read Tracking 
  • Message Tracking Logs
  • Mailbox Rule information
  • Proxy Logs/ DNS Logs/ Endpoint AV Logs / SIEM
  • Office 365 Management Activity API
  • Azure Active Directory reports and Reporting Audit API (With Azure AD P1/P2)
Scenario b: Full mailbox auditing turned on
By default, Auditing is not enabled, nor are the more granular Mailbox Auditing and SharePoint Site Collection Audit options. However, if we assume that 'audit log search' has been enabled as well as the optional logging associated with enabling 'mailbox auditing' and that audit has been configured for all SharePoint site collections then the following additional evidence sources become available.
  • Unified Audit Log - but now with more detailed events recorded as a result of enabling 'mailbox auditing'. The 'Search-MailboxAuditLog' will now also be available.
  • SharePoint Audit log reports
It should be noted that simply enabling mailbox audit logging for all mailboxes is not enough to capture all useful events. By default, only the 'UpdateFolderPermissions' action is logged with additional events requiring configuration, these include Create, HardDelete, MailboxLogin, Move, MoveToDeletedltems, SoftDelete and Update events.
SharePoint audit logging is pretty granular and, in my experience, rarely enabled. However, if correctly configured a record of user actions including document access, modification and deletion actions can be generated.
These evidence sources, their usefulness and some suggested methodologies to leverage them are outlined in my recent blog post.

Дата: 2018-07-15 06:17:58

Источник: http://www.hecfblog.com/2018/07/daily-blog-422-solution-saturday-71418.html



KillerBee - IEEE 802.15.4/ZigBee Security Research Toolkit

killerbee.png

This is KillerBee - Framework and Tools for Attacking ZigBee and IEEE 802.15.4 networks.

REQUIREMENTS
KillerBee is developed and tested on Linux systems. OS X usage is possible but not supported.
We have striven to use a minimum number of software dependencies, however, it is necessary to install the following Python modules before installation:

On Ubuntu systems, you can install the needed dependencies with the following commands:
# apt-get install python-gtk2 python-cairo python-usb python-crypto python-serial python-dev libgcrypt-dev
# git clone https://github.com/secdev/scapy
# cd scapy
# python setup.py install
The python-dev and libgcrypt are required for the Scapy Extension Patch.
Also note that this is a fairly advanced and un-friendly attack platform. This is not Cain & Abel. It is intended for developers and advanced analysts who are attacking ZigBee and IEEE 802.15.4 networks. I recommend you gain some understanding of the ZigBee protocol (the book ZigBee Wireless Networks and Transceivers by Shahin Farahani is reasonable, though still not great) and familiarity with the Python language before digging into this framework.

INSTALLATION
KillerBee uses the standard Python 'setup.py' installation file. Install KillerBee with the following command:
# python setup.py install

DIRECTORIES
The directory structure for the KillerBee code is described as follows:

REQUIRED HARDWARE
The KillerBee framework is being expanded to support multiple devices. Currently there is support for the River Loop ApiMote, Atmel RZ RAVEN USB Stick, MoteIV Tmote Sky, TelosB mote, and Sewino Sniffer.
Support for Freaklab's Freakduino with added hardware and the Dartmouth arduino sketch, Zigduino, and Sewio Sniffer board is available but are not listed below as they are not maintained.

ApiMote v4beta (and v3):
The devices typically come preloaded and do not need to be reflashed for basic use.
The hardware is open-source at https://github.com/riverloopsec/apimote. It is available assembled by contacting team at riverloopsecurity dot com.
This is currently supported for beta, and supports sniffing, injection, and jamming.

Texas Instruments CC2530/1 EMK:
This USB dongle is produced by Texas Instruments and is sold as an evaluation kit for their CC2530 or CC2531 integrated circuit.
It can be purchased from electronics distributors, or directly from them here.
This is currently supported for beta, and supports sniffing only.

MoteIV Tmote Sky or TelosB mode:
This device can be loaded with firmware via USB. Attach the device, and then within killerbee/firmware, run:

$ ./flash_telosb.sh
These boards can be obtained via multiple distributors, however this vendor has stated that their "clone" of the original hardware is compatible. We have not tested nor do we endorse any specific "clone".

Atmel RZ RAVEN USB Stick:
See http://www.atmel.com/tools/RZUSBSTICK.aspx. This hardware is convenient as the base firmware is open source with a freely-available IDE. The KillerBee firmware for the RZ RAVEN included in the firmware/ directory is a modified version of the stock firmware distributed by Atmel to include attack functionality.
The RZ RAVEN USB Stick is available from common electronics resellers for approximately $40/USD:

The stock firmware shipped with this hardware allows you to leverage the passive functionality included in the KillerBee tools and framework (such as receiving frames), but does not allow you to do packet injection, or to impersonate devices on the network.
In order to get the full functionality included in KillerBee, the RZ RAVEN USB Stick must be flashed with the custom firmware included in the firmware/ directory. See firmware/README.md for details.

TOOLS
KillerBee includes several tools designed to attack ZigBee and IEEE 802.15.4 networks, built using the KillerBee framework. Each tool has its own usage instructions documented by running the tool with the "-h" argument, and summarized below.

Additional tools, that are for special cases or are not stable, are stored in the Api-Do project repository: http://code.google.com/p/zigbee-security/ and at https://github.com/riverloopsec/beekeeperwids.

FRAMEWORK
KillerBee is designed to simplify the process of sniffing packets from the air interface or a supported packet capture file (libpcap or Daintree SNA), and for injecting arbitrary packets. Helper functions including IEEE 802.15.4, ZigBee NWK and ZigBee APS packet decoders are available as well.
The KillerBee API is documented in epydoc format, with HTML documentation in the doc/ directory of this distribution. If you have epydoc installed, you can also generate a convenient PDF for printing, if desired, as shown:

$ cd killerbee
$ mkdir pdf
$ epydoc --pdf -o pdf killerbee/
The pdf/ directory will have a file called "api.pdf" which includes the framework documentation.
To get started using the KillerBee framework, take a look at the included tools (zbdump and zbreplay are good examples to get started) and the simple test cases in the t/ directory.
Since KillerBee is a Python library, it integrates well with other Python software as well. For example, the Sulley library is a fuzzing framework written in Python by Pedram Amini. Using the Sulley mutation features and KillerBee's packet injection features, it is staightforward to build a mechanism for generating and transmitting malformed ZigBee data to a target.

Дата: 2018-07-14 22:35:08

Источник: https://www.kitploit.com/2018/07/killerbee-ieee-802154zigbee-security.html



Burger King обвиняют в тайном сборе банковских данных

Пользователь портала Pikabu под ником fennikami проанализировал трафик мобильного приложения Burger King и обнаружил, что оно выполняет захват видео с экрана пользователя. По словам представителей компании, полученные данные, включая ввод банковской информации, отправляются на сторонний сервер для анализа взаимодействия с программой.

Как объяснили в Burger Kung, видео записывается на протяжении всего сеанса работы, сбор этой информации необходим для выяснения причин ошибок сбоев приложения.

Анализ трафика показал, что сведения отправляются на удаленный сервер платформы Appsee, который возвращает программе инструкции об интересующих разработчиков элементах интерфейса. Клиентов сети ресторанов возмутило, что захват экрана продолжается даже во время ввода данных банковской карты.

Пресс-служба Burger Kung подтвердила, что компания сотрудничает с сервисом Appsee в рамках анализа поведения пользователей. Подчеркивается, что инструмент ведет запись только с 10% устройств, если возникают проблемы при оформлении заказа.

По словам представителей Burger King, передача данных происходит только при наличии WiFi-соединения. При этом вся финансовая информация, включая номер карты клиента, автоматически скрывается согласно политике конфиденциальности Appsee. Для того чтобы исключить себя из выборки, пользователю необходимо написать об этом в форме обратной связи.

На сайте Appsee сказано, что сервис подчиняется GDPR и принимает необходимые меры для того, чтобы обезопасить информацию пользователей. Однако не гарантирует сохранность личных данных, хранящихся у них или у сторонних сервисов.

Позднее представители Burger King уточнили, что транзакции осуществляются через решение Яндекс.Касса, поэтому ни сеть ресторанов, ни Appsee не хранят банковские данные. Директор департамента диджитал-проектов Сергей Очеретин в комментарии РБК подчеркнул, что все личные сведения обезличены и передаются в зашифрованном виде.

Несмотря на попытки Burger King успокоить пользователей, рейтинг приложения сети ресторанов на Google Play упал до 2,8 баллов. Более того, инцидентом заинтересовался Роскомнадзор. Регулятор направил в компанию официальный запрос с требованием подтвердить или опровергнуть возможность записи видео с экранов устройств и факт ее передачи третьим лицам. На выполнение запроса у сети ресторанов есть 30 дней.

Если информация подтвердится, Burger King должен будет объяснить, каким образом у неопределенного круга лиц оказался доступ к конфиденциальным сведениям и какие шаги планирует предпринять разработчик для исправления ситуации.

Недавнее исследование Северо-Восточного университета зарегистрировало несколько похожих случаев скрытой записи звука и видео в мобильных приложениях. Обработка персональных данных без согласия пользователей может стать серьезной угрозой конфиденциальности. Чтобы сторонние лица не завладели личными данными, пользователям следует внимательно проверять, к каким функциям мобильное приложение запрашивает доступ.

Обновлено 14 июля в 23:38

Пользователь fennikami выпустил пост-продолжение, в котором доказал, что:

Дата: 2018-07-14 16:19:11

Источник: https://threatpost.ru/burger-king-secretly-collects-financial-data/27197/



Ibombshell - Dynamic Remote Shell


faraday-728x90%2B%25282%2529.png
").attr("id",s+"-sticky-wrapper").addClass(r.wrapperClassName);n.wrapAll(u);if(r.center){n.parent().css({width:n.outerWidth(),marginLeft:"auto",marginRight:"auto"})}if(n.css("float")=="right"){n.css({"float":"none"}).parent().css({"float":"right"})}var a=n.parent();a.css("height",n.outerHeight());i.push({topSpacing:r.topSpacing,bottomSpacing:r.bottomSpacing,stickyElement:n,currentTop:null,stickyWrapper:a,className:r.className,getWidthFrom:r.getWidthFrom,responsiveWidth:r.responsiveWidth})})},update:o,unstick:function(t){return this.each(function(){var t=e(this);var n=-1;for(var r=0;r

Ibombshell - Dynamic Remote Shell Ibombshell - Dynamic Remote Shell Reviewed by Lydecker Black on 10:30 AM Rating: 5
");

Дата: 2018-07-14 14:30:25

Источник: https://www.kitploit.com/2018/07/ibombshell-dynamic-remote-shell.html



Обновленный Firefox Focus научился использовать биометрическую блокировку

Разработчики из Mozilla выпустили очередное обновление для мобильного браузера Firefox Focus. Теперь iOS-версия приложения умеет блокировать открытые вкладки и историю посещений после ухода в фоновый режим. Новая функция работает как с Touch ID, так и с Face ID.

Подробнее о новой версии Firefox Focus

По словам представителей компании, неавторизованные пользователи не смогут просматривать веб-страницы и историю браузера. Обновленное iOS-приложение автоматически блокируется после перехода в другую программу или фоновый режим. Функцию можно найти в настройках браузера:

Firefox Focus settings

Версия для Android тоже получила новую функцию: если установить ее браузером по умолчанию, то ссылки из других мобильных приложений будут открываться в окне Firefox Focus в виде, стилизованном под исходную программу.

Кроме того, версии для обеих мобильных платформ обзавелись функциями «Найти на странице» и «Запросить десктопную версию сайта» для удобства просмотра контента.

Напомним, что конфиденциальный браузер вышел на Android в 2017 году, а на iOS — годом ранее. В числе его ключевых особенностей — повышенное внимание к вопросам защиты данных, встроенный блокировщик рекламы и онлайн-трекеров, а также автоматическое удаление файлов cookie и истории посещений.

Источник: Engadget

Тимур Кондратьев

Ещё интересное для вас:
Тест: какой язык программирования вам стоит выбрать для изучения?
Тест: как хорошо вы разбираетесь в Data Science?
Соревнования и бесплатная онлайн-школа для программистов

Дата: 2018-07-14 12:02:54

Источник: https://tproger.ru/news/firefox-focus-biometric-lock/



Власти США обвинили 12 сотрудников ГРУ во взломе серверов Демократической партии

Обвинение выдвинуто в рамках расследования вмешательства в выборы президента США 2016 года.

Власти США выдвинули заочное обвинение предполагаемым 12 сотрудникам Главного разведывательного управления российских Вооруженных сил. Данное обвинение выдвинуто в рамках расследования взлома серверов Демократической партии США, произошедшего накануне выборов президента в 2016 году.

В документе указаны имена предполагаемых хакеров, их должности, псевдонимы, а также другие подробности касательно операции по взлому серверов. Как следует из обвинения, во взломе предположительно участвовали Виктор Нетыкшо, Борис Антонов, Дмитрий Бадин, Иван Ермаков, Алексей Лукашев, Сергей Моргачев, Николай Козачек, Павел Ершов, Артем Малышев, Александр Осадчук, Алексей Потемкин и Анатолий Ковалев.

Согласно документу, указанные лица занимались рассылкой фишинговых писем, содержащих ссылку, при переходе по которой жертвам предлагалось ввести свой логин и пароль. Помимо этого, некоторые письма обманом заставляли жертв установить вредоносное ПО, предназначенное для шпионажа и хищения информации.

Кроме того, как следует из обвинения, сотрудники части ГРУ 74455 15 июня 2016 года в промежутке между 16:19 и 16:56 московского времени, используя сервер, числящийся за этой частью, искали в поисковике перевод на английский язык определенных слов и фраз. Затем, в тот же день на сервисе WordPress от имени хакера Guccifer 2.0, якобы в одиночку взломавшего серверы Демократической партии, был опубликован пост со ссылкой на DCLeaks, в котором фигурировали данные термины и выражения.

Дата: 2018-07-14 09:31:02

Источник: http://www.securitylab.ru/news/494460.php