el_cesar

Друг форума
  • Публикации

    825
  • Зарегистрирован

  • Посещение

256/500

6 подписчиков

О el_cesar

Информация

  • Пол
    Мужчина

Контакты

  • ICQ
    000000
  1. 5 минут назад модератор соседнего борда написал, что @euship кидала.
  2. Facebook выплатил российскому эксперту по безопасности Андрею Леонову (ник 4lemon) рекордную в своей истории наградную сумму за обнаружение критической уязвимости в размере $40 тыс. До сих пор крупнейшим разовым вознаграждением за нахождение «багов» для Facebook было $33,5 тыс., которые в 2014 г. получил «охотник за уязвимостями» Реджинальдо Сильва (Reginaldo Silva). Леонов обнаружил в ПО соцсети «баг», который позволяет запускать на серверах Facebook произвольный код. В качестве «точки входа» использовалась серьезная уязвимость в сервисе ImageMagick, который предназначен для быстрого масштабирования и конвертации изображений (не только в Facebook, но и множестве других веб-сервисов). На личной странице Леонова в Facebook указано, что с августа 2015 г. по настоящее время он работает директором по безопасности в международной маркетингово-аналитической компании SEMrush в Санкт-Петербурге. История вопроса Серьезная уязвимость в ImageMagick, которую эксперты обозвали ImageTragick, обнаружилась в апреле 2016 г. «Баг» в декодере ImageMagick допускал инициацию произвольного кода на удаленном сервере — для этого достаточно было просто загрузить на сервер специально подготовленное изображение. Чрезвычайная популярность ImageMagick привела к тому, что уязвимой оказалась огромная часть веб-сервисов во всем мире. Моментально начали плодиться эксплойты для этого «бага». К чести разработчиков ImageMagick, они довольно оперативно выпустили новые версии, исправив уязвимость на своей стороне. Но усилия потребовались и со стороны владельцев веб-сервисов, использующих ImageMagick. Тайный эксплойт По словам Андрея Леонова, осенью 2016 г. он тестировал некий ресурс, который перенаправил его на Facebook. В итоге обнаружилось, что серверы Facebook по-прежнему содержали уязвимость ImageTragick. В октябре 2016 г. Леонов подготовил эксплойт и предоставил его и всю необходимую информацию техническим службам Facebook. Спустя три дня уязвимость устранили. Леонов подробно описал результаты своих исследований на собственном сайте, однако, в соответствии с договоренностью с Facebook, код эксплойта он выкладывать не стал.
  3. Новые модификации вредоносного ПО Carbanak используют ряд сервисов Google (Google Apps Script, Google Sheets и Google Forms) для хостинга своей C&C-инфраструктуры, сообщают эксперты компании Forcepoint Security Labs. По данным исследователей, злоумышленники рассылают спам-сообщения с прикрепленным вредоносным RTF-документом, содержащим OLE объект с файлом VBScript. При открытии документа пользователям предлагается разблокировать контент двойным щелчком мыши. После осуществления данного действия на экране отображается диалоговое окно для запуска unprotected.vbe, однако в действительности на компьютер будет загружен банковский троян Carbanak. Предыдущие версии Carbanak связывались с C&C-сервером для получения дальнейших указаний и отправляли похищенную информацию на другой web- или FTP-сервер. Однако новая модификация действует иначе. Оказавшись на системе, вредонос генерирует уникальный идентификатор для каждой жертвы, а затем пингует Google Apps Script, сообщая ID инфицированного компьютера. Google Apps Script предоставляет вредоносу URL Google Spreadsheet и Google Forms, которые нужно использовать для данной жертвы. В Google Spreadsheet хранится конфигурация и команды, которые вредоносная программа должна выполнить, а Google Forms используется для выгрузки похищенной информации. Исследователи Forcepoint совместно с Google уже ведут работу по прекращению операции Carbanak. Группировка Carbanak продолжает искать новые техники для уклонения от обнаружения. Эксплуатация Google в качестве независимого C&C-канала, вероятнее всего, будет более действенным методом, чем использование свежесозданных доменов или доменов без репутации, отмечают эксперты.
  4. Согласно заявлению журналиста Брайана Кребса, специализирующегося на расследованиях в области кибербезопасности, ему удалось установить личности создателя вредоносного ПО Mirai и одного из его помощников. Напомним, в сентябре прошлого года сайт Кребса подвергся мощнейшей в истории DDoS-атаке. Как оказалось, для ее осуществления злоумышленники использовали ботнет из IoT-устройств, зараженных вредоносным ПО Mirai. Через несколько дней некто под псевдонимом Anna Senpai выложил исходный код вредоноса в открытый доступ, сославшись на риски, связанные с продолжением киберпреступной деятельности. Первой зацепкой в расследовании Кребса стал тот факт, что Mirai является новейшим вариантом трояна, довольно популярного в последние три года. Летом прошлого года сайт журналиста уже подвергался нескольким мощным DDoS-атакам с использованием ботнетов из IoT-устройств, инфицированных предшественником Mirai, известным под названиями Bashlite, Gafgyt, Qbot, Remaiten и Torlus. Все его варианты действуют подобно червям, сканируя интернет на наличие уязвимых систем. В 2014 году предшественник Mirai использовался группировкой «интернет-хулиганов» lelddos. Чаще всего она атаковала серверы игры Minecraft, приносившие своим владельцам порядка $50 тыс. в месяц. Lelddos отлично понимали, что, атакуя серверы, они причиняют их операторам серьезный материальный ущерб. Кроме того, пользователи, столкнувшиеся с проблемами при подключении к серверу, попросту находили другой, и владелец оставался без заработка. В июне 2014 года группировка атаковала компанию ProxyPipe, предоставляющую защиту серверов Minecraft. Мощность атаки достигала 300 Гб/с. Согласно отчету компании Verisign, у которой ProxyPipe покупала защиту от DDoS, на то время это была самая мощная атака. Для ее осуществления злоумышленники использовали ботнет из более 100 тыс. серверов. В середине 2015 года серверы Minecraft подвергались атакам с использованием ботсети Qbot, состоящей из IoT-устройств. Атаки последовали сразу после того, как 17-летний Кристофер Скалти (Christopher Sculti) создал компанию по защите от DDoS-атак Datawagon. Ее клиентами также являлись владельцы серверов Minecraft. Серверы компании размещались в месте, числившемся за еще одним сервисом по защите серверов Minecraft от DDoS-атак ProTraf Solutions. Данная компания активно пыталась отбить у ProxyPipe клиентов. В 2015 году Скалти связался с вице-президентом ProxyPipe Робертом Коэльо (Robert Coelho) и заявил о намерении деактивировать его учетную запись в Skype (эксплоит для уязвимости в Skype на то время продавался online). Спустя несколько минут после угрозы аккаунты Коэльо и ряда других сотрудников ProxyPipe были отключены, и клиенты компании лишились связи с ней. Далее серверы ProxyPipe подверглись мощной DDoS-атаке, из-за чего большинство пользовавшихся ее услугами владельцы серверов Minecraft перешли к ProTraf Solutions. Кребсу история Коэльо показалась знакомой, ведь с ним произошло практически то же самое. В июле 2015 года Скалти связался с журналистом по Skype с целью похвастаться сканированием интернета на наличие IoT-устройств с заводскими учетными данными. По словам подростка, он обнаружил более 250 тыс. таких устройств и загрузил на них определенное ПО. Второй раз Скалти связался с Кребсом 20 сентября прошлого года – за день до атаки на его сайт. Подростка разозлила опубликованная журналистом статья с упоминанием его имени. Устав от злобных сообщений, Кребс заблокировал Скалти в Skype, а минутой позже его приложение наводнили запросы со взломанных аккаунтов, и пользоваться им уже было нельзя. Спустя 6 часов сайт журналиста подвергся DDoS-атаке мощностью до 620 Гб/с. По мнению Коэльо, в активную в 2014 году группировку lelddos входили Скалти и совладельцы ProTraf Solutions. Данную информацию также подтвердил бывший сотрудник ProTraf Solutions Аммар Зубери (Ammar Zuberi). Вскоре после атаки на сайт Кребса на хакерских форумах стала распространяться информация, что автором вредоноса Bashlite/Qbot является сотрудник ProTraf Solutions 19-летний программист из Вашингтона Джосайя Уайт (Josiah White). Несколькими годами ранее Уайт был известен в хакерских кругах как LiteSpeed. Бывший хакер подтвердил Кребсу, что действительно написал некоторые компоненты Bashlite/Qbot, но никогда не пытался их продать. По словам Уайта, один из друзей по форуму Hackforums предал его, опубликовав код online и пригрозив раскрыть личность LiteSpeed. Еще одним действующим лицом в данной истории является 20-летний сотрудник ProTraf Solutions Парас Джха (Paras Jha). Проанализировав его профиль на сайте LinkedIn, Кребс пришел к выводу, что точно такой же список навыков он уже где-то видел. Как оказалось, указанные на сайте LinkedIn данные совпадают с данными, опубликованными на хакерском форуме Hackforums кем-то под псевдонимом Anna-Senpai. До публикации исходного кода Mirai большинство постов Anna-Senpai на форуме были посвящены насмешкам над теми, кто использовал Qbot. В июле 2016 года хакер предупредил участников форума о создании вредоносного ПО, способного удалять Qbot с инфицированных устройств и предотвращать повторное заражение.
  5. Вы проверку прошли?
  6. Среди множества Android-троянцев широкое распространение получили вредоносные программы, которые незаметно загружают ПО на мобильные устройства. С их помощью злоумышленники получают вознаграждение за каждое успешное скачивание или установку того или иного приложения. Один из таких троянцев, которого обнаружили вирусные аналитики компании «Доктор Веб», внедряется в активный процесс программы Play Маркет и незаметно накручивает счетчик установок в каталоге Google Play. Android.Skyfin.1.origin предположительно попадает на мобильные устройства благодаря некоторым троянцам семейства Android.DownLoader (например, Android.DownLoader.252.origin и Android.DownLoader.255.origin), которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. Код этих троянцев содержит характерные для Android.Skyfin.1.origin строки, поэтому с большой долей вероятности можно говорить о том, что распространением Android.Skyfin.1.origin занимаются именно указанные вредоносные приложения. При запуске Android.Skyfin.1.origin внедряет в процесс программы Play Маркет вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами компании Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Затем модуль передает эти сведения основному компоненту троянца Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер. Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения Play Маркет. Троянец может выполнять следующие запросы: /search – поиск в каталоге для симуляции последовательности действий пользователя; /purchase – запрос на покупку программ; /commitPurchase – подтверждение покупки; /acceptTos – подтверждение согласия с условиями лицензионного соглашения; /delivery – запрос ссылки для скачивания apk-файла из каталога; /addReview /deleteReview /rateReview – добавление, удаление и оценка отзывов; /log – подтверждение скачивания программы, которое используется для накручивания счетчика установок. После скачивания заданного злоумышленниками приложения Android.Skyfin.1.origin не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. В результате троянец увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play. Вирусные аналитики компании «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin. Одна из них умеет скачивать из каталога Google Play единственное приложение – com.op.blinkingcamera. Троянец имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. Другая модификация Android.Skyfin.1.origin более универсальна. Она может скачивать любые приложения из каталога – для этого троянец получает от злоумышленников список программ для загрузки.
  7. Добрый день! В связи с тем, что многие новички (да и не только новички), часто задают вопросы: - Как шоп палит дедик/ssh? - Почему шоп меня посылает? Хочу поделиться с вами видео вебинара одного из лучших специалистов в области IT-безопасности - Vektor T13. Из видео вы узнаете: Как защитить виртуалку от детекта и настроить браузер. Надеюсь, после этого видео, подобных тем будет появляться гораздо меньше, а КПД вашей работы увеличится! Видео на ютубе - Анти-детект виртуалки и браузера:
  8. Перепродажа с 50% накруткой цены?
  9. Бывший сотрудник американских спецслужб Эдвард Сноуден при желании может получить российское гражданство, для этого у него есть все юридические основания. Об этом сообщает информагентство «РИА Новости» со ссылкой на адвоката Анатолия Кучерену, представляющего интересы Сноудена в РФ. «По существу, у него сейчас есть все основания для того, чтобы в дальнейшем получать гражданство (РФ), в течение какого-то времени, поскольку по закону у нас срок проживания на территории России (для получения гражданства) – не менее 5 лет. То есть в случае, если он посчитает возможным в будущем, в ближайшее время, юридически это уже будет возможно», - отметил Кучерена, добавив, что Сноуден уже 4 года живет на территории РФ и претензий к нему нет, что является одним из оснований для продления вида на жительство. Как ранее стало известно, Эдварду Сноудену продлили вид на жительство еще на три года, до 2020 года. По словам пресс-секретаря президента РФ Дмитрия Пескова, Кремль не интересуется деятельностью Сноудена и не располагает информацией о дальнейших планах экс-сотрудника АНБ и ЦРУ. По его словам, все контакты Сноудена с внешним миром осуществляются через юристов, в том числе адвокатов в США.
  10. Бельгийский исследователь Инти Де Кекелайре (Inti De Ceukelaire) утверждает, что выявил новый метод, позволяющий получить доступ к скрытым мобильным номерам пользователей Facebook, сообщает издание Computerworld. Как заявил эксперт, он может легко идентифицировать номера телефонов известных лиц, в том числе политиков и знаменитостей, путем анализа номеров, связанных с профилем пользователя в Facebook. Стоит отметить, что данные номера относятся к конфиденциальной информации, которая не должна быть видима окружающим. Согласно изданию, при помощи обнаруженного метода Де Кекелайре удалось получить номер Министра внутренних дел Бельгии Жана Жамбона (Jan Jambon). Эксперт уже дважды предупреждал о проблеме команду безопасности Facebook, однако, по мнению представителей компании, это не уязвимость, а функция. При этом Facebook сослалась на документацию, поясняющую как контролировать поиск пользователя по номеру мобильного телефона или адресу электронной почты. Тем не менее, исследователь утверждает, что данная ситуация - серьезная угроза конфиденциальности, поскольку речь идет о номерах, неразрешенных для просмотра широкой публики. Проблема далеко не нова. О ней стало известно еще в 2012 году. С тех пор Facebook модифицировала настройки конфиденциальности, но, по всей видимости, не до конца устранила уязвимость. Де Кекелайре не предоставил подробности о том, как именно работает обнаруженный им метод, однако пообещал обнародовать информацию, если Facebook не исправит ситуацию.
  11. Хакеры повторно используют похищенные учетные данные пользователей для взлома аккаунтов на различных сайтах, причем в 0,1-2% случаев попытки оказываются успешными. Таковы результаты исследования, проведенного компанией Shape Security. По информации Shape Security, в 2016 году злоумышленники похитили свыше 3 млрд учетных записей, факт утечки данных признала 51 компания. Украденные логины и пароли регулярно используются злоумышленниками для несанкционированного доступа к учетным записям пользователей на разных ресурсах. Успешность даной тактики обуславливается тем, что многие пользователи часто устанавливают одну и ту же комбинацию логин\пароль на нескольких сайтах. Ранее эксперты компании Keeper Security выяснили, что в 2016 году список самых распространенных паролей практически не изменился по сравнению с прошлыми годами - наиболее популярными у пользователей по-прежнему остаются 123456 и 123456789. Согласно докладу Shape Security, на многих крупных ресурсах более 90% трафика составляют атаки credential stuffing - вброс регистрационных данных, напоминающий брутфорс, однако перебор вариантов при этом осуществляется не по словарю или спискам расхожих логинов и паролей, а по заранее приобретенной базе краденых данных. «Shape зафиксировала миллионы попыток использования учетных данных, похищенных в результате обнародованных утечек информации, причем до 2% успешных попыток взлома относятся к сайтам, которые ранее не сообщали об утечках данных. Наиболее часто атакуемые системы включают банковские учетные записи, аккаунты в интернет-магазинах, а также программы лояльности авиакомпаний и отелей», - отмечается в отчете исследователей. В минувшем году безусловным лидером по утечкам данных стала компания Yahoo!. За ней следуют FriendFinder, MySpace, Badoo и LinkedIn. В результате взломов техкомпаний было похищено больше всего учетных данных - в общей сложности 1,75 млрд записей.
  12. @roc-a-fella Staff имел ввиду 100$ и 10к$.
  13. Пользователи Facebook Messenger, предпочитающие аудиосообщения текстовым, рискуют стать жертвами атаки «человек посередине». Как сообщает издание The Hacker News, египетский исследователь Мохамед А. Басет (Mohamed A. Baset) обнаружил в мессенджере уязвимость, позволяющую похищать с сервера Facebook пересылаемые аудиофайлы и прослушивать голосовые сообщения пользователей. При каждой записи голосовое сообщение сначала загружается на сервер CDN (https:// z-1-cdn.fbsbx.com/...), а уже оттуда по протоколу HTTPS передается как отправителю, так и получателю. Находящийся в той же сети злоумышленник может с помощью инструмента SSL Strip осуществить атаку «человек посередине» и получить абсолютные ссылки (в том числе встроенный в URL секретный токен для аутентификации) на все аудиофайлы, которыми обмениваются отправитель и получатель. Затем атакующий может изменить HTTPS на HTTP и загрузить файлы без аутентификации. Атака возможна, поскольку сервер CDN не использует HSTS – механизм, активирующий форсированное защищенное соединение через протокол HTTPS. Кроме того, компания не позаботилась об обеспечении надлежащего процесса аутентификации. Пересылаемые между двумя пользователями файлы должны быть доступны только им двоим, даже если у кого-то третьего есть абсолютная ссылка на данные файлы с секретным токеном. Исследователь уведомил Facebook об уязвимости, однако компания не спешит исправлять ее. Согласно полученному экспертом ответу, в настоящее время Facebook занимается развертыванием HSTS на своих поддоменах facebook.com.
  14. В 2016 году вымогательское ПО Locky, шифрующее файлы на компьютерах жертв и требующее выкуп за их восстановление, стало одной из наиболее эффективных и серьезных угроз в интернете. Тем не менее, сейчас его операторы, похоже, ушли на зимние каникулы. По данным исследователя из Cisco Talos Джейсона Шульца (Jaeson Schultz), в последние три недели (как раз в период зимних праздников) активность вредоноса существенно снизилась. Это не первый раз, когда распространители Locky берут отпуск. В конце октября прошлого года, на Хэллоуин, киберпреступники прекратили свою деятельность на две недели. Еще раньше, в июне, распространяющие Locky C&C-серверы ботнета Necurs по непонятным причинам временно потеряли контроль над своими ботами. Учитывая сложившуюся закономерность, можно предположить, что за затишьем последует новая волна атак, и Locky еще даст о себе знать. «Для вредоносного ПО такое поведение вполне характерно, и для него может быть много причин. Точно так же, как много причин есть на то, что некоторую рекламу транслируют по ТВ чаще в одни недели и реже в другие», - сообщил изданию Motherboard ИБ-эксперт из Virus Bulletin Мартийн Гроотен (Martijn Grooten). Однако, как отметил исследователь, Locky по-прежнему распространяется в наборах эксплоитов. Удивление экспертов вызывает не само исчезновение вредоноса, а время, когда оно произошло. Предполагается, что праздники – наиболее «урожайный» период для хакеров. Как бы то ни было, но затянувшее празднование Нового года хакеров только на руку пользователям.
  15. Исследователи из компании Fallible осуществили реверс-инжиниринг 16 тыс. Android-приложений из Google Play и обнаружили в 304 из них закрытые ключи. Эксперты не приводят названия программ, однако, по их словам, они работали с наиболее популярными приложениями. В 2,5 тыс. проанализированных программ содержались либо ключи, либо неизменяемые строки для авторизации (api secret). Некоторые из них вполне безобидны и необходимы для нормального функционирования приложения (к таковым в частности относятся ключи API Google). Тем не менее, в 304 программах исследователи нашли строки для авторизации которых не должно было быть. Данные api secret принадлежат различным сторонним сервисам. К примеру, эксперты обнаружили неизменяемые строки для авторизации в сервисах Uber, которые могут использоваться для рассылки уведомлений внутри приложений Uber. В ряде программ также содержались строки для авторизации в Amazon Web Services. Некоторые из них обладали полными правами на создание и удаление объектов класса. Ниже представлен список популярных сервисов, чьи строки для авторизации были обнаружены в приложениях.