#391, 27.07.2018
Попасть под лошадь
dl // 27.07.18 14:39
Уже пару недель разворачивается история с очередным скамом, в котором людям демонстрируют давно утекший пароль от одного из популярных сервисов (благо за последний десяток лет таких случаев хватало), после чего рассказывают страшилку о том, как за ними следили и их снимали (в духе эпизода Shut Up and Dance из Black Mirror), требуя выкуп в биткойнах (порядок сумм - от тысячи долларов). Вишенка на торте - демонстрируют только пароль, а поскольку многие не заморачиваются их сменой и разнообразием, неопытные пользователи действительно могут занервничать и повестись. Внезапно выяснилось, что на угрозы повелось уже полторы сотни человек (на самом деле даже больше, кошельки в письмах фигурируют разные).
Вчера ровно такое же письмо счастья пришло и мне, под раздачу попал древний пароль от заброшенного аккаунта в myspace (в упор не помню, зачем его вообще там заводил). Запросили, правда, уже 7 штук - видимо, после поднятого шума дела у ребят пошли хуже.
From: Berty Holwell <ymbrynacbf@outlook.com>
To: "dl@bugtraq.ru" <dl@bugtraq.ru>
Subject: dl - XXX
Date: Thu, 26 Jul 2018 19:19:51 +0000
XXX is your password. Lets get straight to the point. You don't know me and you're probably wondering why you're getting this e mail? Neither anyone has paid me to check you.
Well, I installed a malware on the adult vids (adult porn) site and there's more, you visited this site to have fun (you know what I mean). When you were viewing videos, your web browser started out operating as a RDP having a keylogger which provided me with access to your screen as well as webcam. Just after that, my software obtained your complete contacts from your Messenger, FB, and e-mailaccount. After that I made a video. 1st part displays the video you were watching (you have a good taste haha . . .), and second part displays the recording of your webcam, yeah its u.
There are only 2 options. Shall we read up on each one of these choices in aspects:
First solution is to just ignore this e-mail. Consequently, I am going to send your actual video recording to every single one of your contacts and also you can easily imagine about the disgrace you will see. Do not forget if you are in a romantic relationship, precisely how this will affect?
Next solution is to pay me $7000. We are going to name it as a donation. As a consequence, I will right away discard your video footage. You will keep your way of life like this never occurred and you will never hear back again from me.
You'll make the payment by Bitcoin (if you do not know this, search for "how to buy bitcoin" in Google).
BTC Address: 1PrfQHXSKv1ZuKCjJTtxUZEXjcsBeyrK4Z
[CASE SENSITIVE so copy & paste it]
If you have been planning on going to the police, good, this e mail can not be traced back to me. I have covered my steps. I am also not trying to ask you for money much, I wish to be compensated. You have one day to pay. I've a special pixel within this e-mail, and at this moment I know that you have read through this message. If I don't receive the BitCoins, I definitely will send out your video to all of your contacts including family members, colleagues, etc. Having said that, if I do get paid, I'll erase the recording right away. If you really want proof, reply with Yes & I will send out your video to your 7 contacts. It is a non-negotiable offer, and thus do not waste my personal time & yours by replying to this message.
Источник: Bleeping Computer
Последний спокойный день для сайтов без https
dl // 23.07.18 18:08
Начиная с версии 68, выходящей 24 июля, Chrome начинает отмечать сайты, не использующие https, как небезопасные. В первом миллионе самых популярных сайтов таковых нашлось 542 тысячи.
Источник: The Register
Google по-тихому включила изоляцию сайтов в последних версиях Chrome
dl // 12.07.18 16:13
Внезапно выяснилось, что начиная с вышедшей в конце мая 67-й версии у большинства пользователей в Chrome по умолчанию включена строгая изоляция сайтов. С практической точки зрения включение этой опции приводит к созданию отдельного процесса для каждого домена ценой десятипроцентного роста потребления памяти. В Google считают, что это поведение позволит откатить предыдущие изменения, которые делались для блокировки Meltdown и Spectre (загрубление таймеров и запрет SharedArrayBuffer).
Честно говоря, не вполне понятно, кто все эти 99% пользователей, у которых включилась эта настройка, в большинстве комментариев на slashdot отмечается, что у chrome://flags/#enable-site-per-process стоит значение Disabled. Возможно, речь идет о соседнем флаге #site-isolation-trial-opt-out.
Источник: Google Security Blog
25 лет FreeBSD
dl // 19.06.18 12:33
19 июня 1993 года при обсуждении анонса нового форка BSD 4.3 Дэвид Гринман (David Greenman) предложил использовать имя FreeBSD. Спустя 25 лет FreeBSD Foundation объявила этот день днём FreeBSD.
К сожалению, побывав за это время в лидерах серверных систем для веба, в последние годы FreeBSD уверенно скатывалась до теперь уже примерно 1% всех юниксов на вебе. Вот и у нас так уж получилось, что пару дней назад BugTraq.Ru отметил приближение юбилея FreeBSD окончательной миграцией с неё на Debian.
Источник: FreeBSD Archives, FreeBSD Day
Уязвимости в реализациях OpenPGP и S/MIME
dl // 15.05.18 17:31
Немецкие исследователи обнародовали информацию об уязвимостях в реализации стандартов OpenPGP и S/MIME под общим названием EFAIL (как известно, в последнее время главное при обнародовании уязвимости - придумать звучное название).
Идея атаки заключается в предварительном перехвате зашифрованного почтового сообщения и внедрения в него html-тега (например, img), ссылающегося на внешний ресурс и захватывающего при этом блок с зашифрованным текстом.
Первый вариант атаки использует уязвимые реализации почтовых клиентов (Apple Mail, iOS Mail, PostBox, MailMate и Thunderbird), которые при этом расшифровывают текст и прикладывают его к запрашиваемому внешнему url.
Второй вариант, который проще реализовать для S/MIME (в случае OpenPGP задача усложняется предварительным сжатием исходного текста), ориентирован на стандартное поведение почтовых клиентов и использует атаку по открытому тексту (как минимум стандартному Content-type: multipart/signed, за которым можно добавить нулей по вкусу) на режимы шифрования CBC и CFB.
Источник: EFAIL