Архив за месяц: Январь 2023

Парень нашел "уязвимость" в VK и ему стали массово писать в личку заинтересованные девушки

Парень нашел "уязвимость" в VK и ему стали массово писать в личку заинтересованные девушки. 🙂 Этот забавный кейс я увидел в канале Standoff News. Технически там не очень интересно. Но как пример простой "уязвимости" для иллюстрации почему искать уязвимости это прикольно и как противостоять эксплуатации уязвимостей - вполне норм (студентам младших курсов, школьникам на профориентации т.п.).

В чем там было дело:

1. В VK пользователи могут видеть кто смотрел их сторисы (формат вертикальных публикаций, которые исчезают из ленты через 24 часа). В отличие от обычных сообщений в ленте, для которых видно только тех, кто полайкал.
2. В VK не было лимита на просмотр сторисов. Было возможно автоматически "просматривать" хоть миллионы чужих сторисов в день. (не конкретизируется как)
3. Было возможно массово получить идентификаторы пользователей из групп типа "любители котиков". (не конкретизируется как)
4. Было возможно автоматически получить сторисы для идентификаторов пользователей. (не конкретизируется как)

Некоторый Накрутчик массово получал идентификаторы пользователей из больших "женских" групп, массово получал для них сторисы, массово их "просматривал". Пользователи (в основном девушки) были заинтригованы кто ж это их сторисы регулярно смотрит, переходили на страницу Накрутчика.

Далее конверсия: миллионы просмотренных сторисов -> десятки тысяч заходов от любопытных пользователей на страницу Накрутчика -> сотни сообщений от тех, кому совсем уж любопытно. Profit.

Вопросы, которые можно задать аудитории:
1. Что можно было бы предусмотреть на стороне VK, чтобы так было делать нельзя? Возможный ответ: установить лимиты, при превышении таймаут или показывать капчу.
2. Что ждет Накрутчика, когда это обнаружится? Возможный ответ: как минимум забанят профиль, т.к. автоматизация действий нарушает пользовательское соглашение.
*3. Как можно подвести действия Накрутчика под УК РФ? Возможный ответ: по факту это скрэпинг, можно в теории натянуть на 272 и 273.

После этого можно поставить риторический вопрос. Что лучше: сдать уязвимость в VK и получить $100/спасибо, или пытаться эксплуатировать и подставляться? Каждый сам для себя решает.

Программу мероприятия подкрутили, круглый стол убрали

Программу мероприятия подкрутили, круглый стол убрали. А жаль. 🙂 Но остальные доклады на месте.

Свести к минимуму непредсказуемый интерактивчик в текущей ситуации и правда выглядит весьма разумным решением. Мало ли что журналисты по итогам свободной дискуссии ИБшников могли себе додумать и нагенерить. Яндексу сейчас такое точно ни к чему. 🤫

Сканировать принтеры на уязвимости следует с осторожностью

Сканировать принтеры на уязвимости следует с осторожностью

Сканировать принтеры на уязвимости следует с осторожностью. Классической является ситуация, когда взбесившийся принтер начинает печатать страницы крякозябр пока у него бумага в лотках не закончится. 🙂 Это значит, что кто-то натравил на принтер сканер уязвимостей с дефолтным профилем сканирования.

Некоторые Vulnerability Management вендоры вообще не рекомендуют активно сканировать принтеры. Например, в #Tenable относят принтеры к "хрупким устройствам" ("fragile devices") и рекомендуют использовать для обнаружения уязвимостей на них пассивные детекторы. Т.е. перехватывать трафик и определять по нему версию устройств и связанные уязвимости. Продвигают этим Nessus Network Monitor (NNM), бывший Passive Vulnerability Scanner (PVS), но тем не менее.

Если будете активно сканировать принтеры (например в связи с уязвимостью Lexmark-ов), покопайтесь в настройках профиля вашего сканера, там должны быть специальные опции. А лучше спросите службу поддержки вашего VM вендора.

RCE в 130 моделях принтеров (МФУ) Lexmark (CVE-2023-23560)

RCE в 130 моделях принтеров (МФУ) Lexmark (CVE-2023-23560)

RCE в 130 моделях принтеров (МФУ) Lexmark (CVE-2023-23560). Нашли в наиболее уязвимом, в web-интерфейсе. Получив контроль над устройством, злоумышленник может воспользоваться дополнительными сетевыми доступами для развития атаки. Непонятно может ли получить доступ к тому, что печатается/сканируется, но тоже исключать нельзя. Либо патчимся, либо отключаем TCP 65002 (WSD Print Service) в настройках.

Хороший повод, чтобы поразмышлять об активах неудобных для VM:

1. Вы обо всех принтерах в вашей инфраструктуре знаете?
2. Ваш сканер уязвимостей умеет детектировать уязвимости для ваших принтеров?
3. Давно вы сканировали принтеры на наличие уязвимостей?
4. Давно вы обновляли принтеры? Есть понимание кто, как и в какой срок это должен делать?

Это касается не только принтеров, но и вообще любых железок в сети. Возни по их обновлению гораздо больше чем с обычными хостами/софтами, а значит вероятность найти там что-то старое и эксплуатабельное гораздо выше.

Яндекс проведет Yet Another Security Meetup на следующей неделе в четверг

Яндекс проведет Yet Another Security Meetup на следующей неделе в четверг

Яндекс проведет Yet Another Security Meetup на следующей неделе в четверг. Мероприятие похоже планировалось заранее, но на фоне недавних новостей получилось иронично. 🙂

"После докладов мы проведём круглый стол про фокусы и вызовы для информационной безопасности в 2023 году."

Фокус с 44.7 ГБ слитых исходников в среду был и правда эффектный. 🙂 Хотя разумеется от такого никто на 100% не застрахован. Нужно делать выводы, учиться на ошибках. Причем желательно чужих.

Про борьбу с утечками в программе мероприятия ничего не видно, но вряд ли эту тему проигнорируют. Из заявленных наиболее интересным кажется доклад "Организация привилегированного доступа к Linux-инфраструктуре" от команды Wildberries.

Есть смысл зарегаться и послушать.

upd. 30.01 Программу мероприятия подкрутили, круглый стол убрали. А жаль. 🙂 Но остальные доклады на месте.

Стипендия студентам-ИБшникам от Тинькофф

Стипендия студентам-ИБшникам от Тинькофф

Стипендия студентам-ИБшникам от Тинькофф. 25 000 ₽ в месяц, отложенный оффер, прочие плюшки.

За какие достижения дают стипендию по треку «Информационная безопасность»:
"• призерство или победа в школьных и студенческих олимпиадах, перечисленных в приложениях 1 и 2 к Положению;
• хорошая и отличная успеваемость в университете;
• наличие призовых мест и побед в олимпиадах, чемпионатах и соревнованиях и хакатонах по информационной безопасности, CTF;
• участие в научных конференциях;
• наличие научных публикаций;
• наличие опубликованных учебных пособий;
• участие в конференциях в качестве спикера;
• участие в методических советах;
• опыт преподавания;
• личные проекты.
Достижения должны быть не старше трех лет."

Для получения нужно собрать документы, заполнить анкету, сдать четырехчасовой экзамен с задачами поИБ, пройти устную беседу с Оргомитетом.

Подробности на сайте и в Положении о стипендии.

Карту российских около-VM-ных вендоров делаю не просто так, а для конфы

Карту российских около-VM-ных вендоров делаю не просто так, а для конфыКарту российских около-VM-ных вендоров делаю не просто так, а для конфы

Карту российских около-VM-ных вендоров делаю не просто так, а для конфы. Встретимся на CISO-FORUM, обсудим! 😉

14 апреля, 2023
Холидей Инн Сокольники
https://infosecurity-forum.ru/