информационная безопасность

Подписчиков:
17
Постов:
46

Злоумышленники уже эксплуатируют свежий 0-day баг в Microsoft Office

Эксперты предупредили, что китайские хакеры уже активно эксплуатируют уязвимость нулевого дня в Microsoft Office, известную под названием Follina, для удаленного выполнения вредоносного кода в уязвимых системах.
Напомню, что об обнаружении Follina стало известно на прошлой неделе, хотя первые исследователи обнаружили баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему. Теперь уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать через обычное открытие документа Word или предварительный просмотр в «Проводнике», применяя для выполнения вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).
Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее.
Ранее эксперты уже сообщали, что обнаружение Follina является весьма тревожным сигналом, так как уязвимость открывает новый вектор атак с использованием Microsoft Office. Дело в том, что баг работает без повышенных привилегий, позволяет обойти Windows Defender и не требует активации макросов для выполнения бинарников или скриптов.
Как теперь рассказывают специалисты компании Proofpoint, проблему Follina уже взяли на вооружение китайские «правительственные» хакеры из группы TA413, нацелив свои атаки на международное тибетское сообщество.
лоумышленники распространяют среди жертв  ZIP-архивы, содержащие вредоносные документы Word, предназначенные для атак на CVE-2022-30190. Приманки замаскированы под послания Центральной тибетской администрации и используют домен tibet-gov.web[.]app.
Известный ИБ-исследователь MalwareHunterTeam тоже пишет, что обнаружил документы DOCX с именами файлов на китайском языке, которые используются для доставки вредоносных полезных нагрузок через домен http://coolrat[.]xyz, в том числе малвари для кражи паролей.
Так как патча для Follina пока нет, администраторы и пользователи могут блокировать атаки на CVE-2022-30190, отключив протокол MSDT URI, который злоумышленники используют для запуска дебагеров и выполнения кода в уязвимых системах.  Также рекомендуется отключить предварительный просмотр файлов в «Проводнике» Windows, потому что атака возможна и таким способом.
Источник:
xakep.ru

Отличный комментарий!

Когда твой софт пишут низкооплачиваемые индусы, там и не такое можно найти.
Когда ты отказываешься признавать ошибку, то это уже первый шаг к провалу. Если по чесноку, то крупные компании начинают шевелиться только если кто-то из крупных клиентов несёт убытки, если убытки несёт сама компания или если небольшая группа людей начинает активно привлекать к проблеме внимание. К сожалению чаще всего это именно так и работает

в тему последних событий

В сети появилась объединённая база данных на основе утечки с Яндекс.Еды

Теперь к адресам из Еды добавились данные из Авито, Wildberries, ВТБ, ГИБДД и других сервисов — есть номера машин, VIN и дата регистрации, номер паспорта и иногда дата выдачи, user-agent, ссылка на профиль VK, наличие счета ВТБ и еще другие данные в зависимости от попадания в базы. Для поиска по базе достаточно номера телефона или фамилии.

Ссылка на базу

А> А> А> А>
Имя Beeline:	Федор
Адрес: Москва уп
Интернет: 450 Безлимит 30 Мбит/с L2TP Интернет: 500 Ускорение 40 Мбит/с L2TP й ФИО:	Федор
й ФИО:	Федор
fi Модель автомобиля: СЕАТ ЛЕОН fi Госномер: й Год: 2012 й Дата рождения:
й Модель автомобиля: ШКОДАФАБИЯ й Госномер: fi VIN: й Год: 2011 й

Отличный комментарий!

Никнейм на пикабу... Яяясно.
Лжец! Небось ещё и девственник?
о о
1пе11с]го\л/
поставил 0 плюсов и 2 минуса
97	О
рейтинг	подписчиков
3
комментария
Подписаться
О
постов
о
в горячем,утечка,яндекс,интернет,информационная безопасность,информационная небезопасность

Соблюдайте информационную безопасность

prnt. sc на втором же случайном скриншоте выдал пароли от криптосайтов.
Не делайте так :) а то меня жадность чуть не задушила
Все поудалял и скрин и историю посещений, чтобы не было соблазна
8 1.98824	♦ 3.44862 ES 0
Request transfer:
Bitcoin (BTC),скриншот,биткоин,эфир,информационная безопасность,песочница

Роскомпозор лочит публичные ноды Tor браузера, российский анон в опастности?

Сап реактор, в последние время правительство РФ в край охуело 1)нацелилось на превращение российского сегмента интернеа в "Чебурнет" и помимо повсеместной блокировки VPN - сервисов они взялись за святое. Сегодня (8 декабря) публичные ноды Tor браузера стали недоступны или же подключение занимает приличное количество времени. В связи с этим я решил поделится с вами некоторй полезной информацией. Я стараюсь подкидывать вам интересные ссылки и мануалы. Сейчас я предлогаю вам ознакомится с этим.
1) Сообщество Tor Project обратилось к пользователям из России с призывом поднимать ноды и мосты:
"С 1 декабря некоторые интернет-провайдеры в России начали блокировать доступ к Tor . Сегодня мы узнали, что Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), государственная бюрократическая структура, угрожает подвергнуть цензуре наш основной веб-сайт (torproject). Россия - вторая по величине страна пользователей Tor: более 300 000 пользователей в день или 15% всех пользователей Tor. Поскольку кажется, что эта ситуация может быстро перерасти в блокировку Tor по всей стране , мы срочно отреагируем на эту цензуру! Нам нужна ваша помощь СЕЙЧАС, чтобы россияне оставались на связи с Tor! Запустите мост Tor."
2) Благодоря вот этой статейке вы можете поднять собственный, а главное БЕСПЛАТНЫЙ vps север.

3) И благодаря вот это ссылке вы сможете настроить собсвенный L2TP VPn сервер.

UPD: новость
UPD2: статья как настроить мосты  Много лишней воды, но полезно.
UPD3: Готовый фильтр в поиске активных нод "клац"

Отличный комментарий!

,Tor browser,роскомпозор,запреты,блокировки,обход,Реактор познавательный,реактор образовательный,системный администратор,it,информационная безопасность,информация,TOR,The Onion Router, ТОР

Главной угрозой для общества стали компании, которые «защищают безопасность»

Автор оригинала: Эдвард Сноуден

Получив новый телефон, я всегда его разбираю. Не из любопытства и не по политическим причинам, а просто для безопасности. Первый шаг — удаление двух или трёх крошечных микрофонов на плате. Это лишь начало сложного процесса. Но даже после нескольких дней работы с паяльником смартфон всё равно остаётся самым опасным предметом в моей квартире.
https://habrastorage.org/r/w1560/webt/5u/xt/eo/5uxteoophrf-fmmjue5jjcowi7g.png
Микрофоны на материнской плате смартфона перед удалением

Теперь все поняли, о чём речь.

Много лет публиковались репортажи, что компания NSO Group занимается взломом телефонов с целью получения прибыли, причастна к гибели и задержаниям журналистов и правозащитников. Что операционные системы смартфонов изобилуют катастрофическими дырами (а код написан на устаревших языках, давно уже признанных небезопасными). Много лет специалисты объясняют: даже когда всё работает как положено мобильная экосистема — это адская антиутопия, смесь слежки за пользователями и откровенного манипулирования. Однако до сих пор многие не видят зла в индустрии, которая кажется такой хорошей.

В последние восемь лет я словно убеждал единственного друга бросить курить и меньше пить, в то время как реклама кричит со всех щелей: «Девять из десяти врачей курят айфоны!», «Незащищённый мобильный сёрфинг освежает!»

Но я не теряю оптимизма, поэтому проект Pegasus кажется мне поворотной точкой. Это хорошо изученная, детальная и совершенно безумная история о «троянском коне» с крыльями (в греческой мифологии Пегас — крылатый конь, сын горгоны Медузы, ударом копыта о землю мог выбивать источники, — прим. пер.), который превращает телефон в вашем кармане в универсальный жучок. Его можно дистанционно включить или выключить без вашего ведома.

Вот как это описывает Washington Post: https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/

«Клод Манген — жена французского политического активиста, заключённого в тюрьму в Марокко. Месяц назад на её iPhone 11 с неизвестного аккаунта пришло сообщение iMessage, которое доставило вредоносное ПО на телефон. Софт установился без каких-либо предупреждений и нотификаций, минуя системы безопасности Apple.

Экспертиза не смогла раскрыть, что именно было скопировано и отправлено. Это могло быть что угодно: Pegasus имеет доступ к электронной почте, голосовой связи, сообщениям в социальных сетях, паролям, списку контактов, фотографиям, видео, звукозаписям и истории сёрфинга. Шпионская программа может активировать камеры или микрофоны для получения свежих изображений и записей. Может прослушивать звонки и голосовую почту. Вести логи геолокации и определять, где пользователь находится сейчас: стоит ли человек на месте, а если движется, то в каком направлении.

И всё это без малейшего участия человека. Пользователю не требуется прикасаться к телефону, он даже не знает, что получил таинственное сообщение от незнакомого человека — в случае Манген, некоего linakeller2203@gmail.com».

Короче говоря, телефон в вашей руке существует в состоянии вечной незащищённости. Он всегда открыт для заражения кем угодно, у кого достаточно денег. Весь бизнес этой «индустрии информационной безопасности» заключается в создании новых инфекций, которые обходят последние обновления безопасности. Эти инструменты затем продают странам, которые остро нуждаются в самых изощрённых средствах угнетения своего населения.


Подобная индустрия, единственной целью которой является производство уязвимостей, должна быть ликвидирована.


Даже если завтра NSO Group и всех представителей этой индустрии внезапно сотрёт с лица земли вулканом общественного возмущения, это не изменит того факта, что мы в разгаре величайшего кризиса компьютерной безопасности в истории. И разработчики Apple, Google, Microsoft, которые хотят продавать продукт, а не доводить его до совершества, и их полная противоположность — благонамеренные разработчики Linux, которые хотят доводить продукт до совершенства, а не продавать его — все они спокойно пишут код на небезопасных языках, потому что… ну, потому что так привыкли, а модернизация требует значительных усилий, не говоря уже о расходах. Подавляющее большинство уязвимостей, которые потом эксплуатируются индустрией небезопасности, появляются по техническим причинам, связанным с управлением памятью. Поэтому выбор более безопасного языка — критически важная мера защиты… но мало кто об этом думает.

https://habrastorage.org/r/w1560/webt/nw/ik/n9/nwikn936ti6fdeecybh4n3lyu08.png
По данным Google, 70% серьёзных ошибок в браузере Chrome связаны с безопасностью памяти. Их можно устранить, используя более безопасные языки

Если вы хотите изменений, их нужно стимулировать. Например, если хотите вызвать сердечный приступ у Microsoft — предложите идею юридической ответственности за плохой код в коммерческом продукте. Хотите лишить сна Facebook — расскажите об идее юридической ответственности за любые утечки личных данных, собранных без необходимости. Только представьте, как быстро Цукерберг начнёт нажимать клавишу Delete.


Где нет ответственности, нет и подотчётности… и это приводит нас к роли государства.


Спонсируемое государствами хакерство стало настолько обычным соревнованием, что на Олимпийских играх у него должна быть отдельная категория.

Продолжение: https://habr.com/ru/company/dcmiran/blog/576290/

Отличный комментарий!

А с государствами, которые "защищают безопасность", уже покончили? Ну те, у кого силовой и судебный аппарат, возможность вломится ночью в любую квартиру, посадить в кутузку, ну или подогнать пацанчиков с зеленкой, без возможности из прижать по закону? Ааааа, это компании оказывается главная угроза, ооок

Что почитать,статьи,книги

Ну вот защитил диплом ,теперь бы и работу поискать специальность ИБ ,можете что посоветовать почитать чтобы быть готовым к этому
Из-за короновируса не было практики в предприятии хотя до этого уже и списки были готовы и терь я ваще не шарю что должен знать для помощника специалиста ИБ и тд
Может кто знает компании где без опыта и желающих обучатся(практически) берут?
КУПОН
НА 1 помощь,пидоры помогите,реактор помоги,спасибо,информационная безопасность,работа,песочница

Как потерять больше 500 тысяч долларов из-за обиженного сотрудника или Индусы Наносят Ответный Удар

Экс-сотрудник американской консалтинговой компании взломал сеть компании-клиента, поспособствовавшей его увольнению, и удалил 1200 учеток в Microsoft 365 из 1500. Это полностью нарушило работу компании, и восстановить все удалось лишь спустя три недели и почти $600 тыс., потраченных на услуги специалистов. Теперь сотрудника ждут два года тюрьмы и штраф в размере этой же суммы.
Месть удалась, но не совсем
Бывший сотрудник ИТ-консалтинговой компании Дипаншу Кхер (Deepanshu Kher) решил отомстить за свое увольнение удалением аккаунтов сотрудников одной из компании-клиента, расположенной в Карлсбаде (Калифорния, США) в сервисе Microsoft 365. На нем, согласно обвинительному заключению окружным судом Калифорнии, были завязаны все основные бизнес-процессы, и диверсия Кхера остановила работу компании более чем на два дня. Названия обеих компаний в документах суда не раскрываются.Кхер удалил 1200 аккаунтов из 1500 имеющихся. Пользователи потеряли доступ к документам, календарям встреч, корпоративным каталогам, видео- и аудиоконференциям, а также к контактам – они не могли связаться с клиентами, а те в свою очередь не имели возможности выяснить, что происходит, и почему сотрудники этой компании вдруг резко перестали выходить на связь.Согласно судебным документам, Дипаншу Кхер, гражданин Индии, работал на ИТ-консалтинговую компанию в период с 2017 г. по май 2018 г. В 2017 г. компания из Карлсбада обратилась за консалтинговыми услугами в эту фирму – ей нужна была помощь в переводе сотрудников на Microsoft 365. Выполнить эту работу руководство поручило Кхеру, но Carlsbad Company осталась недовольна им, и в январе 2018 г. Кхера отстранили от проекта. 4 мая 2018 г. Кхер был уволен, а в июне 2018 г. он вернулся в Дели (Индия), затаив обиду на компанию из Карлсбада.
««««/-
ж««««,индусы,взлом,информационная безопасность,Америка,cisco,Microsoft,Майкрософт,многобукв
Спустя около трех месяцев после своего увольнения, в начале августа 2018 г., Кхер, находясь в Индии, взломал сервер калифорнийской компании и удалил учетные записи сотрудников. Как именно ему удалось проникнуть на сервер, следствие не раскрывает.

Последствия взлома
Атакованная Кхером компания частично восстановила работу лишь спустя двое суток после взлома. Тем не менее, на тот момент удалось вернуть не все данные, и сотрудники по-прежнему испытывали немало трудностей с получением доступа к необходимым им корпоративным материалам. На полное восстановление потребовалось три месяца и почти $600 тыс., и под конец вице-президент компании по вопросам ИТ заявил: «За свои 30 с лишним лет работы в сфере ИТ я никогда не попадал в более трудную рабочую ситуацию».
На арест Дипаншу Кхера был выдан ордер, и его смогли задержать 11 января 2021 г., когда он вылетал из Индии в США. Расследование вело ФБР, и Кхер до последнего не знал, что американским властям удалось получить разрешение на его арест.
Вынося приговор, судья окружного суда США Мэрилин Хафф (Marilyn Huff) отметила, что Кхер совершил серьезное и изощренное нападение на компанию, нападение, которое было спланировано и явно было местью. Хафф приговорила его к двум годам тюремного заключения, трем годам под надзором полиции (после освобождения) и штрафу в размере около $567,1 тыс. (43,05 млн руб. по курсу ЦБ на 24 марта 2021 г.) – в эту сумму пострадавшей компании обошлись мероприятия по устранению последствий хакерской атаки Кхера.
ИТ-диверсии индусов в тренде
Месть при помощи информационных технологий за несправедливое (по мнению уволенных) лишение работы в XXI веке стала весьма распространенным явлением. Одним из ярких примеров является ситуация, в которой оказалась компания Cisco.
В конце сентября 2018 г. экс-сотрудник Cisco Судхиш Касаба Рамеш (Sudhish Kasaba Ramesh) с индийскими корнями в отместку за увольнение взломал облако компании в Amazon WebServices и запустил туда некий код, который хранился в его аккаунте Google Cloud Project. Это привело к удалению 456 виртуальных машин, на которых функционировали приложения Cisco WebEx Teams, что в итоге привело к исчезновению аккаунтов в WebEx Teams вместе со всем содержимым.
Cisco потратила две недели на восстановление удаленных данных. Ущерб от действий Рамеша она оценила в $2,4 млн – $1 млн компания потратила на компенсации пострадавшим клиентам, а оставшиеся $1,4 млн пошли на оплату труда ее специалистов, помогавших восстанавливать данные.
В июле 2020 г. Рамеш признал себя виновным в содеянном. Как сообщал CNews, в середине декабря 2020 г. его приговорили двум годам тюрьмы, полутора годам под надзором полиции и $15 тыс. штрафа.
В марте 2018 г. стало извесно о похожем случае в Санкт-Петербурге. Сотрудник туристической фирмы из северной столицы после своего увольнения уничтожил базу данных собственной компании. В ней хранилась информация, необходимая для доступа сотрудников турфирмы в офис. Мотивом к уничтожению данных послужил конфликт злоумышленника с руководителем ИТ-отдела, а сам инцидент произошел 14 февраля 2017 г. Для уничтожения базы данных он использовал свой ПК, откуда имелся доступ к серверу компании, где хранилась база. Против него было заведено уголовное дело, расследованием которого занялось ГУ МВД России по Санкт-Петербургу и Ленобласти. Хакеру грозило до четырех лет лишения свободы.
В апреле 2017 г. в США завели уголовное дело против Нимеша Пателя (Nimesh Patel), который в течение 14 лет работал системным администратором в компании Allegro MicroSystems. Ему пришлось уйти из компании, и он решил отомстить бывшему работодателю путем заражения вирусом базы данных его бухгалтерии на СУБД Oracle.
В сентябре 2016 г. системный администратор Джо Вито Вензор (Joe Vito Venzor), уволенный из компании по производству обуви Lucchese Bootmaker, в отместку обрушил ее сервер. Он также удалил файлы, необходимые для его восстановления. Производство ковбойских сапог Lucchese Bootmaker, существующее с 1883 г., простаивало, пока сторонний подрядчик не починил сервер, и компании пришлось потратить две недели, чтобы полностью восстановить производство и наверстать упущенные заказы.
Если работодатель недостаточно платит своим сотрудникам, то он тоже рискует стать жертвой ИТ-мести. На себе это испытал в 2002 г. банк UBS Paine Webber. Когда «логическая бомба» удалила все файлы на главном сервере его центральной базы данных и двух тысячах серверов в 400 филиалах, при этом отключив систему резервного копирования. Виновником случившегося оказался системный администратор банка – он получил вдвое меньшую премию по итогам года, что и заставило его отомстить работодателю.

Как я нашел в публичном доступе исходники нескольких сервисов ФНС

Предыстория
Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.
Суть приложения «Проверка чеков»
Я не помню как это работало раньше, но с 2016-2017 годов, благодаря 54-ФЗ «О применении ККТ» появились некие ОФД с целью «...осуществления операций по приёму, обработке, хранению и передаче фискальных данных в ФНС», а всех кого только можно обязали использовать кассовое оборудование, генерирующее те самые фискальные данные и что немаловажно, обязали эти данные посредством ОФД передавать в ФНС.
Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.
К этому моменту — мы еще вернёмся, кстати.
Проверка чеков ФНС России («3
ФГУП ГНИВЦ ФНС России
Покупки: № 143 в этой категории
★ ★ ★ ★ ★ 4,8 • Оценок: 608
Бесплатно,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста
Страница приложения «Проверка чеков» в App Store
Прикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.
После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс
Яндекс ОФД
кассовый чек / приход	19.03.2021 23:28
Общество с ограниченной ответственностью "ЯНДЕКС.ЕДА"
https://eda.yandex.ru
127410, Москва г, Алтуфьевское ш 9, дом № ЗЗГ
ИНН	9705114405
Налогообложение	ОСН
№	Наименование	Сумма
1.	Сэндвич Сабвэй Мелт	354.00Р х 2 = 708.00Р
Сумма с НДС 0%
Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».
В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.
Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.
Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».
История версий приложения «Проверка чека»Обновление 2.15.0
Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время».
В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».
Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.
Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.
Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.
При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».
Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.
Крайне безответственно, но не фатально.
Sentry
В процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.
Studio TG
Sign in with your Gitlab account to continue.
Login with Gitlab,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста
Страница входа в Sentry команды Studio TG
Рядом сразу же был обнаружен gitlab.studiotg.ru.
Страница входа в GitLab команды Studio TG
Дальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.
Содержимое публичных репозиториевзаставило меня биться в истерике.
Публично доступный репозиторий ansible_conf/install_geo Содержимое архивов из репозитория ansible_conf/install_geo
Пояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.
Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ru
Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.
uppod-styles.txt на сайте lkip2.nalog.ru Содержимое файла .env судя по всему прямиком с боевых серверов В итоге
Фактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.
Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.
Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.
По их вине исходный код данных сервисов находится в публичном доступе уже около года.
Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.
,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста
Как-то так.

Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.


Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.

Всё началось с гипотезы


В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!



То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.

Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.

В поисках Немо владельца системы


Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.

Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os

Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…

За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.



А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.

Вот некоторые из найденных сервисов с паролями по умолчанию:

1. Камеры наружного наблюдения — подавляющее большинство.




Даже офисы внутри

192.
60/view/index.shtml
AX IS-	AXIS 216FD Network Camera	Live View I Set
		
Video format		
| Motion JPEG v,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.

2. Ip-телефоны и FreePBX сервера также большое количество.


4r O A HG3ammuGHo | 10.
3/index.html
•••
IRMATIKA
onfiguration Settings
Network Print Log Settings
retwcrk Applications
'hone Settings
IP NAT Settings
>ial Plan Settings
peed Dial Settings
rovisionmg Settings
IP Accounts
Account 1
Account 2
'all Settings
Account 1
Account 2
Ludio


3. IPMI серверов:

Asus
4r O A HG3ammuGHO 192
51/indGx.html
ASMB8,kvm
6 American Megatrends Ina
Dashboard FRU Information Server Health Configuration Remc
Dashboard
Dashboard gives the overall information about the status of the device and remote serve
Device Information
Firmware Revision: 1.13
Firmware Build
Dell (их подавляющее большинство)
Supermicro
G A Hg 3amnmeHO | 10	i/url_rGdirGct.cgi?url_namG=mainmenu
System	Server Health	Configuration	Remote Control Virtual Media	Maintenance
© System
© FRU Reading
© Hardware Information
© System
Firmware Revision: 03.65 Firmware Build Time : 12/16/2017 BIOS Version: 3.1 BIOS Build Time: 06/06/2018
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt

Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)

4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП

6. Внутренние сервисы





Что-то похожее на мониторинг состояния систем обеспечения здания.

Система управления кондиционированием и вентиляцией

Различные системы управления табло на перронах :-)

Эта самая красивая

Некий терминал, но внутри модифицированный дебиан.

Таких нашёл около 20

Кстати, аптайм у него почти год:




6. Сетевое оборудование



Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.

Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.

Не полный кусок лога по прокси.

Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) < HttpProxy (proxy server) Jotik HttpProxy (proxy server) □Proxy (proxy server) Ikrotik НщЯ^^ргоху server) Mikrotik


Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.

И все же кто же хозяин?


Думаю, что уже все и так догадались.

Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

Это здец. Сеть просто в решето.

Причём это устройства по всей РФ.

Например, вот это вокзал Уфы
Антропово Костромской области

Развёрнута профессиональная система видеонаблюдения.

Нашёл презентацию по вокзалам.

macroscop
1С
100:8080
тасгоБсор
\УеЬ-Клиент Масгозсор
Название конфигурации: Анапа. Текущее состояние: Сервер активен.. Время запуска: 04.11.2020 12:36:25. Версия сервера: 2.0.94,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и

Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.

Как же так получилось?


Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.

root@debian3:~# nslookup 8 1	0.in-addr.arpa,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…

Получилась вот такая картина:

Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например
Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?



У меня лично есть всего три варианта ответа на этот вопрос:

1. У Вас исходно плохая команда.

Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.

,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

СЫН МАМИНОЙ ПОДРУГИ,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.



Стоимость уязвимости


«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД».
Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.

Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.

Рандомно выбранная из списка установленных модель стоит ~13к рублей.

Ве\л/агс1 В2710РМР
Производитель: BEWARD
Макс, разрешение видеокамеры: 1920x1080
ИК-подсветка: Да
12 900 Р
Бесплатная доставка, 1 -3 дня Есть самовывоз
Оплата наличными курьеру
Арсенал-СБ ★★★★★ 408отзывов
В магазин,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная


А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.

Гипотетическому злоумышленнику потребуется:

Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два.
Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.

Двигаемся дальше.

Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.

А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…

Кажется счёт уже уходит за миллиарды…

Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.

2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончанию пентестов своими силами объявить Bug Bounty

Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.

В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.

Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.

Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».

Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.

General Dial Out Status Traffic
Connect To: vpn .mythtime .xyz
User: u: 1 Password Profile
Keepalive Timeout Use Peer DNS
u^M37
default-encryption
60
□	Dial On Demand
□	Add Default Route
Default Route Distance: 1
Allow: 0 mschap2 0 mschapl 0 chap 0 pap
OK
Cancel
Apply
Enable
Comment


Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.

В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…

Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.

Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os

Кстати, Евгений Игоревич, с повышением!

14.12.2020 14:20:00 ЖД Транспорт / Новости
Заместителем генерального директора РЖД стал Евгений Чаркин
Решением совета директоров Евгений Чаркин, ранее занимавший должность директора по информационным технологиям ОАО «РЖД», назначен заместителем генерального директора компании. Об этом сегодня


Источник

А ВОТ И Я
«notivat on.mi,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Отличный комментарий!

Сама статья: https://habr.com/ru/post/536750/
https://habr.com/ru/users/LMonoceros/ - UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.
Премию дадут?
Аванс: его жизнь.
Оплата: его не посадят.
Здесь мы собираем самые интересные картинки, арты, комиксы, мемасики по теме информационная безопасность (+46 постов - информационная безопасность)