Все самое интересное и сочное :3
Сегодня чтобы привлечь внимание к уязвимости недостаточно простого описания и доказательств работоспособности. Нужно хлесткое название, лого и пачка мемов впридачу. Исследователи, IT-журналисты, работники индустрии и сочувствующие развлекают друг друга.
И это работает — увидев мем, многие идут разбираться, что случилось, и иногда предпринимают меры для устранения уязвимости. Ну или хотя бы стараются сами не наступить на эти грабли. По мемам вокруг очередного инцидента можно составить представление о масштабах проблемы. Если бы мы в мире информационной безопасности ориентировались только по мемам, 2021 год запомнился бы нам вот таким…
0️⃣1️⃣Январь: обновленная политика конфиденциальности WhatsApp
Миллионы пользователей WhatsApp столкнулись с обновлением политики конфиденциальности. Результат — массовый исход в Telegram и Signal: оба мессенджера отметили рост аудитории. А мем получился такой:
0️⃣2️⃣Февраль: эпический разбор безопасности IoT-камер FootfallCam 3D plus
С безопасностью в IoT-устройствах дела обстоят плохо — об этом уже все знают. И все же некоторым производителям умных устройств удалось нас удивить. Почитайте эту ветку в Твиттере — и вы поймете, о чем речь.
❗ берегите лицо, без множественных фейспалмов точно не обойдется:
0️⃣3️⃣Март: уязвимость ProxyLogon
В марте в Microsoft выпустили заплатки для Exchange, которые устраняли несколько серьезных уязвимостей. В целом обычное дело, но есть нюанс: некоторые из уязвимостей активно использовались атакующими чуть ли не с января. И к моменту выпуска патча число взломанных организаций в США перевалило за 30000.
0️⃣4️⃣Апрель: Signal троллит Cellebrite
Cellebrite производит оборудование для взлома смартфонов и работает в интересах сотрудников, так называемых, компетентных органов. Поэтому компания занимают особенное место в сердцах поборников приватности. В конце 2020 Cellebrite объявили, что их продукция будет «поддерживать» Signal. В ответ команда Signal опубликовала исследование уязвимостей в оборудовании Cellebrite и сопроводила это бесподобным тизером:
0️⃣5️⃣Май: ransomware-атака на Colonial Pipeline
Colonial Pipeline, крупнейшая в США система трубопроводов для передачи нефтепродуктов, была атакована шифровальщиком-вымогателем. В итоге всё юго-восточное побережье пострадало от перебоев поставок бензина и дизеля. Инцидент вызвал море дискуссий о том, как защищать подобные корпорации, а в соцсетях разошлось объявление о поисках ИБ-менеджера с комментарием «теперь-то они, наверное, нашли нормальный бюджет»:
0️⃣6️⃣Июнь: конгрессмен случайно опубликовал пароль от почты и пин-код
Конгрессмен Мо Брукс, член комитета Палаты представителей США по вооруженным силам, работающий с вопросами кибербезопасности, внес необычный вклад в популяризацию идеи безопасного хранения паролей. В своем Твиттере он опубликовал фотографию монитора с наклейкой, на которой был пароль от учетной записи Gmail и ПИН-код. Живая классика! Твит провисел пару часов и разошелся на мемы. Когда Брукс его удалил, было уже поздно — читатели успели сделать скриншот и опубликовать с ехидным комментарием:
0️⃣7️⃣Июль: уязвимость PrintNightmare
Исследователи опубликовали на GitHub доказательство осуществимости атаки через уязвимость CVE-2021-34527 и CVE-2021-1675 в диспетчере очереди печати Windows (Print Spooler). Опасаясь, что злоумышленники примут этот метод на вооружение, Microsoft выкатила патч, не дожидаясь привычного вторника. Запатчили даже устаревшие Windows 7 и Windows Server 2012. Но патч решал проблему не до конца, а некоторые принтеры вообще перестали работать после его установки.
0️⃣8️⃣Август: Black Hat и DEF CON
В августе все было спокойно — по меркам 2021. Не обошлось без парочки инцидентов, достойных увековечивания в меме, но особенно запомнились страдания завсегдатаев конференций BlackHat и DEF CON, которые в этом году из-за ограничений, связанных с COVID-19, не попали в Лас-Вегас.
0️⃣9️⃣Сентябрь: уязвимость OMIGOD
Пользователи Microsoft Azure заметили, что с выбором ряда сервисов при создании виртуальной Linux-машины платформа ставит агент управления Open Management Infrastructure. Это было бы не так страшно, если бы а) в агенте не было известных уязвимостей, б) об установке этого агента хоть как-нибудь извещали клиентов, в) у OMI была предусмотрена нормальная автоматическая система обновлений, и ж) эксплуатация уязвимостей не была столь простой.
1️⃣0️⃣Октябрь: Facebook удалил себя из Интернета
Октябрь запомнился крупным сбоем в работе Facebook. Судя по отчетам ликвидаторов аварии, в итоге некоего обновления DNS-серверы Facebook стали недоступны из Интернета. Так пользователи Facebook более 6 часов не имели доступа к социальной сети и другим продуктам компании, таким как Messenger, Instagram и WhatsApp. Недовольство изливалось в другие сети и мессенджеры (перегружая уже их). При этом по Интернету ходили дикие слухи, например, что администраторы компании не могут попасть к серверам, потому что пропускная система завязана на тот же Facebook.
1️⃣1️⃣Ноябрь: поддельные Green Pass
Нашумевшие подделки европейских сертификатов вакцинации появились в конце октября, а основная волна паники выпала на ноябрь. В Интернете начали продавать поддельные Green Pass, которые проходили проверку, а в качестве примера предъявлялись сертификаты на имя Адольфа Гитлера, Микки Мауса и Губки Боба. Судя по новостям, проблема распространения поддельных Green Pass все еще актуальна.
1️⃣2️⃣Декабрь: уязвимость Log4Shell
Практически весь декабрь прошел под знаменем Log4Shell — критической уязвимости в библиотеке Apache Log4j. Из-за популярности библиотеки в Java-приложениях уязвимы стали миллионы программ и даже устройств. Apache Foundation выпустила несколько патчей, но исследователи всякий раз находили методы обхода контрмер. Вскоре после первой публикации ботнеты начали сканировать Интернет в поисках уязвимых программ, а авторы шифровальщиков взяли уязвимость на вооружение. Мемов на эту тему было так много, что кто-то даже создал сайт с подборкой.
Что тут скажешь — будем надеяться, что следующий год будет все-таки поспокойнее. С наступившим вас, дорогие читатели!