Один "современный облачный провайдер" столкнулся с обиженными сотрудниками. Вот что они сами пишут про это у себя в телеграме:
Ряд сотрудников, воспользовавшись своими полномочиями вывели из строя ряд локаций. Вредители уже выявлены, которые работали против нас, а наши старшие инженеры, вместе с вышестоящими сотрудниками и руководством хостинга, делают всё возможное, чтобы вернуть сеть недоступных локаций в рабочий режим. (орфография и стилистика оригинала сохранена)
Переводя с корявого корпоративного на русский: не работает почти ничего уже много часов. Оставляя в стороне вопросы разграничения доступов, правильного увольнения потенциальных инсайдеров и аккуратной работы с персоналом, наличия планов восстановления после сбоя, скажем, что злоумышленники нанесли ущерб не столько своему бывшему работодателю, сколько огромному количеству совершенно посторонних людей.
Понять это невозможно, но наверное, мы просто не умеем думать, как обиженный бегемот из анекдота.
Сидят два бегемота на берегу Нила,вяжут шапочки.К ним подходит крокодил и спрашивает:
— Бегемоты, вы не в курсе, здесь какое дно,каменистое или илистое?
Первый отвечает:
— Илистое.
Крокодил прыгает и разбивает себе голову о каменистое дно.
Второй спрашивает:
— Ты зачем ему сказал, что здесь дно илистое?
— А зачем ты мне вчера шапочку распустил?
Ряд сотрудников, воспользовавшись своими полномочиями вывели из строя ряд локаций. Вредители уже выявлены, которые работали против нас, а наши старшие инженеры, вместе с вышестоящими сотрудниками и руководством хостинга, делают всё возможное, чтобы вернуть сеть недоступных локаций в рабочий режим. (орфография и стилистика оригинала сохранена)
Переводя с корявого корпоративного на русский: не работает почти ничего уже много часов. Оставляя в стороне вопросы разграничения доступов, правильного увольнения потенциальных инсайдеров и аккуратной работы с персоналом, наличия планов восстановления после сбоя, скажем, что злоумышленники нанесли ущерб не столько своему бывшему работодателю, сколько огромному количеству совершенно посторонних людей.
Понять это невозможно, но наверное, мы просто не умеем думать, как обиженный бегемот из анекдота.
Сидят два бегемота на берегу Нила,вяжут шапочки.К ним подходит крокодил и спрашивает:
— Бегемоты, вы не в курсе, здесь какое дно,каменистое или илистое?
Первый отвечает:
— Илистое.
Крокодил прыгает и разбивает себе голову о каменистое дно.
Второй спрашивает:
— Ты зачем ему сказал, что здесь дно илистое?
— А зачем ты мне вчера шапочку распустил?
Forwarded from Новости Москвы
🛴 В Москве на электросамокаты начали клеить фальшивые QR-коды, чтобы своровать данные карты
Будьте аккуратны. Лучше сканировать код самоката через камеру приложения, а не просто через камеру.
Будьте аккуратны. Лучше сканировать код самоката через камеру приложения, а не просто через камеру.
Если вы ещё не знакомы со сравнительно новой модой в области социнженерии среднего уровня технологичности, то знакомьтесь, вам обязательно пригодится, ибо за последние несколько месяцев мы видели это в университетах, госкорпорациях и крупных акционерных обществах. И нет никаких оснований полагать, что завтра это не случится с вами.
Сценарий таков: сотруднику организации демократичненько пишет в мессенджере аккаунт с именем и аватаркой главного начальника (в примере выше — ректора МИФИ), называет по имени-отчеству и сообщает, что сейчас с по телефону будет звонить куратор от спецслужб. После такого размягчения восприятия, сценарий стандартный: идите к банкомату, переведите куда-нибудь деньги.
Методы борьбы — тоже стандартные. Донесение до сотрудников, что о любом "звонке от куратора" сообщать будет непосредственный начальник, либо люди, специально для этого выделенные. И не в мессенджере, а более подходящими путями. А уж если руководитель имеет привычку писать рядовым сотрудникам, то аккаунт, с которого он это делает, должен быть проверяемым.
Сценарий таков: сотруднику организации демократичненько пишет в мессенджере аккаунт с именем и аватаркой главного начальника (в примере выше — ректора МИФИ), называет по имени-отчеству и сообщает, что сейчас с по телефону будет звонить куратор от спецслужб. После такого размягчения восприятия, сценарий стандартный: идите к банкомату, переведите куда-нибудь деньги.
Методы борьбы — тоже стандартные. Донесение до сотрудников, что о любом "звонке от куратора" сообщать будет непосредственный начальник, либо люди, специально для этого выделенные. И не в мессенджере, а более подходящими путями. А уж если руководитель имеет привычку писать рядовым сотрудникам, то аккаунт, с которого он это делает, должен быть проверяемым.
Telegram
Кипящий МИФИ
И всё это было бы очень смешно, если бы не было так грустно.
Благодарим подписчика за скриншот, а так же напоминаем:
- никакой ректор не пишет в лс произвольно взятому сотруднику, с которым не знаком;
- никто никому не звонит по поводу утечек.
Сообщите…
Благодарим подписчика за скриншот, а так же напоминаем:
- никакой ректор не пишет в лс произвольно взятому сотруднику, с которым не знаком;
- никто никому не звонит по поводу утечек.
Сообщите…
This media is not supported in your browser
VIEW IN TELEGRAM
Не можем пройти мимо истории про три миллиона зубных щёток, якобы составлявших ботнет. "Якобы" - потому, что ссылаются все на одну довольно мутную статью за пэйволлом в которой нет подробностей ни про производителя щёток, ни про жертву и вообще всё выглядит кликбейтненько.
Так или иначе, в интернет уже сейчас торчат миллионы чайников, холодильников и собачьих ошейников, которые подключаются к каким-то сомнительной надёжности облакам производителя, благодаря чему злоумышленник обычно может миновать ваш роутер и оказаться прямо внутри квартиры и в лучшем случае DDOSить швейцарскую компанию, а в худшем - послеживать за вашим бытом и привычками, сами угадайте для чего.
UPD: говорят не было никаких миллионов зубных щёток. Авторы статьи пошли на попятную и говорят, что это была гипотетическая история. Ну как мы и предположили.
Так или иначе, в интернет уже сейчас торчат миллионы чайников, холодильников и собачьих ошейников, которые подключаются к каким-то сомнительной надёжности облакам производителя, благодаря чему злоумышленник обычно может миновать ваш роутер и оказаться прямо внутри квартиры и в лучшем случае DDOSить швейцарскую компанию, а в худшем - послеживать за вашим бытом и привычками, сами угадайте для чего.
UPD: говорят не было никаких миллионов зубных щёток. Авторы статьи пошли на попятную и говорят, что это была гипотетическая история. Ну как мы и предположили.
Тинькофф для борьбы с мошенниками завел разъяснительные бригады!
Telegram
Раньше всех. Ну почти.
Тинькофф запустил специальные выездные бригады для спасения особо «зомбированных» клиентов от мошенников, пишут «Известия».
Бригады «скорой психологической помощи» приезжают на дом к находящимся в трансе клиентам, которые не верят сотрудникам банка и не…
Бригады «скорой психологической помощи» приезжают на дом к находящимся в трансе клиентам, которые не верят сотрудникам банка и не…
CVE-2024-3094 — это всё, как мы тут любим.
Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.
Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.
То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.
Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.
Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.
Во всём этом есть хорошие новости и есть плохие.
Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.
Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.
Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.
Литература:
https://www.opennet.ru/opennews/art.shtml?num=60880 — последовательность событий, приведших к образованию бэкдора
https://mastodon.social/@AndresFreundTec/112180406142695845 — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
https://news.ycombinator.com/item?id=39866275 — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.
Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.
Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.
То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.
Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.
Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.
Во всём этом есть хорошие новости и есть плохие.
Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.
Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.
Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.
Литература:
https://www.opennet.ru/opennews/art.shtml?num=60880 — последовательность событий, приведших к образованию бэкдора
https://mastodon.social/@AndresFreundTec/112180406142695845 — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
https://news.ycombinator.com/item?id=39866275 — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.
www.opennet.ru
Ретроспектива продвижения бэкдора в пакет xz
Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил статус сопровождающего и выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java…