информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2018
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Попасть под лошадь; Последний спокойный день для сайтов без https; Google по-тихому включила изоляцию сайтов в последних версиях Chrome; 25 лет FreeBSD; Уязвимости в реализациях OpenPGP и S/MIME.

#391, 27.07.2018

Попасть под лошадь
dl // 27.07.18 14:39
Уже пару недель разворачивается история с очередным скамом, в котором людям демонстрируют давно утекший пароль от одного из популярных сервисов (благо за последний десяток лет таких случаев хватало), после чего рассказывают страшилку о том, как за ними следили и их снимали (в духе эпизода Shut Up and Dance из Black Mirror), требуя выкуп в биткойнах (порядок сумм - от тысячи долларов). Вишенка на торте - демонстрируют только пароль, а поскольку многие не заморачиваются их сменой и разнообразием, неопытные пользователи действительно могут занервничать и повестись. Внезапно выяснилось, что на угрозы повелось уже полторы сотни человек (на самом деле даже больше, кошельки в письмах фигурируют разные).

Вчера ровно такое же письмо счастья пришло и мне, под раздачу попал древний пароль от заброшенного аккаунта в myspace (в упор не помню, зачем его вообще там заводил). Запросили, правда, уже 7 штук - видимо, после поднятого шума дела у ребят пошли хуже.

From: Berty Holwell <ymbrynacbf@outlook.com>
To: "dl@bugtraq.ru" <dl@bugtraq.ru>
Subject: dl - XXX
Date: Thu, 26 Jul 2018 19:19:51 +0000

XXX is your password. Lets get straight to the point. You don't know me and you're probably wondering why you're getting this e mail? Neither anyone has paid me to check you.

Well, I installed a malware on the adult vids (adult porn) site and there's more, you visited this site to have fun (you know what I mean). When you were viewing videos, your web browser started out operating as a RDP having a keylogger which provided me with access to your screen as well as webcam. Just after that, my software obtained your complete contacts from your Messenger, FB, and e-mailaccount. After that I made a video. 1st part displays the video you were watching (you have a good taste haha . . .), and second part displays the recording of your webcam, yeah its u.

There are only 2 options. Shall we read up on each one of these choices in aspects:

First solution is to just ignore this e-mail. Consequently, I am going to send your actual video recording to every single one of your contacts and also you can easily imagine about the disgrace you will see. Do not forget if you are in a romantic relationship, precisely how this will affect?

Next solution is to pay me $7000. We are going to name it as a donation. As a consequence, I will right away discard your video footage. You will keep your way of life like this never occurred and you will never hear back again from me.

You'll make the payment by Bitcoin (if you do not know this, search for "how to buy bitcoin" in Google).

BTC Address: 1PrfQHXSKv1ZuKCjJTtxUZEXjcsBeyrK4Z [CASE SENSITIVE so copy & paste it]

If you have been planning on going to the police, good, this e mail can not be traced back to me. I have covered my steps. I am also not trying to ask you for money much, I wish to be compensated. You have one day to pay. I've a special pixel within this e-mail, and at this moment I know that you have read through this message. If I don't receive the BitCoins, I definitely will send out your video to all of your contacts including family members, colleagues, etc. Having said that, if I do get paid, I'll erase the recording right away. If you really want proof, reply with Yes & I will send out your video to your 7 contacts. It is a non-negotiable offer, and thus do not waste my personal time & yours by replying to this message.


Источник: Bleeping Computer

Последний спокойный день для сайтов без https
dl // 23.07.18 18:08
Начиная с версии 68, выходящей 24 июля, Chrome начинает отмечать сайты, не использующие https, как небезопасные. В первом миллионе самых популярных сайтов таковых нашлось 542 тысячи.
Источник: The Register


Google по-тихому включила изоляцию сайтов в последних версиях Chrome
dl // 12.07.18 16:13
Внезапно выяснилось, что начиная с вышедшей в конце мая 67-й версии у большинства пользователей в Chrome по умолчанию включена строгая изоляция сайтов. С практической точки зрения включение этой опции приводит к созданию отдельного процесса для каждого домена ценой десятипроцентного роста потребления памяти. В Google считают, что это поведение позволит откатить предыдущие изменения, которые делались для блокировки Meltdown и Spectre (загрубление таймеров и запрет SharedArrayBuffer).

Честно говоря, не вполне понятно, кто все эти 99% пользователей, у которых включилась эта настройка, в большинстве комментариев на slashdot отмечается, что у chrome://flags/#enable-site-per-process стоит значение Disabled. Возможно, речь идет о соседнем флаге #site-isolation-trial-opt-out.
Источник: Google Security Blog


25 лет FreeBSD
dl // 19.06.18 12:33
19 июня 1993 года при обсуждении анонса нового форка BSD 4.3 Дэвид Гринман (David Greenman) предложил использовать имя FreeBSD. Спустя 25 лет FreeBSD Foundation объявила этот день днём FreeBSD.

К сожалению, побывав за это время в лидерах серверных систем для веба, в последние годы FreeBSD уверенно скатывалась до теперь уже примерно 1% всех юниксов на вебе. Вот и у нас так уж получилось, что пару дней назад BugTraq.Ru отметил приближение юбилея FreeBSD окончательной миграцией с неё на Debian.
Источник: FreeBSD Archives, FreeBSD Day


Уязвимости в реализациях OpenPGP и S/MIME
dl // 15.05.18 17:31
Немецкие исследователи обнародовали информацию об уязвимостях в реализации стандартов OpenPGP и S/MIME под общим названием EFAIL (как известно, в последнее время главное при обнародовании уязвимости - придумать звучное название).

Идея атаки заключается в предварительном перехвате зашифрованного почтового сообщения и внедрения в него html-тега (например, img), ссылающегося на внешний ресурс и захватывающего при этом блок с зашифрованным текстом.

Первый вариант атаки использует уязвимые реализации почтовых клиентов (Apple Mail, iOS Mail, PostBox, MailMate и Thunderbird), которые при этом расшифровывают текст и прикладывают его к запрашиваемому внешнему url.

Второй вариант, который проще реализовать для S/MIME (в случае OpenPGP задача усложняется предварительным сжатием исходного текста), ориентирован на стандартное поведение почтовых клиентов и использует атаку по открытому тексту (как минимум стандартному Content-type: multipart/signed, за которым можно добавить нулей по вкусу) на режимы шифрования CBC и CFB.
Источник: EFAIL




обсудить  |  все отзывы (0)
[29455]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach