Zero Day Wekelijks: CurrentC gehackt, White House geschonden, APT28 blootgesteld, Verizon beschaamd

Welkom op de Week Zero Day’s in de beveiliging, onze roundup van opmerkelijke beveiliging nieuwsberichten voor de week die eindigde op 31 oktober 2014. Covers onderneming, controverses, rapporten en nog veel meer.

Deze week, antwoord WalMart aan Apple Pay en Google portemonnee ben afgedroogd met een breuk in de ontwikkeling, het Witte Huis gebagatelliseerd dat de EOP netwerk is geïnfiltreerd, FireEye ontleed APT28, Popular Science diende kwaadaardige code aan de lezers, en de Shellshock aanvallen gestapeld.

Apple lanceerde haar nieuwe virtuele portemonnee dienst met de iOS 8.1-update van gisteren, terwijl Google het systeem lopen voor een paar jaar heeft gehad. de website van Matt Miller nam twee apparaten naar McDonald’s en was in staat om te betalen zonder een echte portemonnee.

Apple Pay rivaal CurrentC, de WalMart, Sears, 7-Eleven en Best Buy-backed mobiele betalingssysteem, werd een lachertje in de beveiliging gemeenschappen wereldwijd als het deze week werd gehackt. De breuk; belicht een onbekende hoeveelheid e-mailadressen, (en postcodes) van iedereen die ook belangstelling voor deelname aan de pilot geuit. Na wervend zijn sterke security practices, nu iedereen weet wie is een speler in de Merchant Customer Exchange (MCX) – ontwikkelaars van het CurrentC systeem. MCX CEO Dekkers Davison uitdagend struikelde door middel van een persbericht sessie over de breuk, aan te dringen dat het was helemaal geen schending, misschien dacht dat hij de betekenis van een inbreuk zou herdefiniëren door dit te doen. Om de zekerheid van helemaal niemand, Davison per ongeluk gleed dat “andere informatie werd gestolen” en herhaalde, “Dit is niet in strijd. Het was slechts e-mailadressen.” De toelating van wordt pwned in het begin testfase komt vóór de officiële lancering van de dienst, die ergens volgend jaar wordt verwacht.

Het Witte Huis vertelde de NYT deze week dat de EOP netwerk twee of drie weken geleden werd gehackt, en wordt gespeeld langs de breuk in te drukken door te benadrukken dat het was op slechts een niet-geclassificeerde netwerk – “. Vrij standaard spionage”, waar de hackers uitgevoerd Dus eigenlijk, de indringers betreden het netwerk dat alles wat er gebeurt op geclassificeerde computers in het uitvoerend bureau van de president, wat aangeeft dat deze inbreuk is zeer waarschijnlijk veel ernstiger dan wordt gerapporteerd afgehandeld. Mitigation opgenomen stafmedewerkers dat ze hun wachtwoorden en intranet of VPN-toegang te wijzigen die tijdelijk uitgeschakeld. The Washington Post meldde dat de Russische hackers kan worden verweten.

FireEye openbaarde APT28 toen zij haar nieuwste geavanceerde Persistent Threat rapport vrijgegeven op dinsdag, “APT28: een venster in de Russische Cyber ​​Spionage Operations” (.PDF link). In een blogpost schreef FireEye

Dit rapport richt zich op een dreiging groep die we hebben aangewezen als APT28. Terwijl APT28’s malware vrij goed in de cyberveiligheid gemeenschap bekend is, ons rapport beschrijft aanvullende informatie bloot te stellen aan de gang, gericht operaties die we geloven dat duiden op een regering sponsor gevestigd in Moskou.

In tegenstelling tot de in China gevestigde bedreiging actoren die FireEye tracks, heeft APT28 niet op grote schaal diefstal van intellectueel eigendom voor economisch gewin uit te voeren. In plaats daarvan, APT28 richt zich op het verzamelen van inlichtingen die het meest nuttig zijn om een ​​regering zou zijn.

Specifiek, FireEye vond dat sinds minstens 2007, APT28 is gericht bevoorrechte informatie met betrekking tot de regeringen, militairen en veiligheidsorganisaties die waarschijnlijk zou het voordeel van de Russische regering.

; Apple Betaal versus Google Wallet: hands-on ervaringen bij McDonald’s, Apple lanceerde haar nieuwe virtuele portemonnee dienst met de iOS 8.1-update van gisteren, terwijl Google zijn systeem heeft gehad running voor een paar jaar. de website van Matt Miller nam twee apparaten naar McDonald’s en was in staat om te betalen zonder een echte portemonnee;. Lees meer

Het Witte Huis vertelde de NYT deze week dat de EOP netwerk twee of drie weken geleden werd gehackt, en wordt gespeeld langs de breuk in te drukken door te benadrukken dat het was op slechts een niet-geclassificeerde netwerk – “. Vrij standaard spionage”, waar de hackers uitgevoerd Dus eigenlijk, de indringers betreden het netwerk dat alles wat er gebeurt op geclassificeerde computers in het uitvoerend bureau van de president, wat aangeeft dat deze inbreuk is zeer waarschijnlijk veel ernstiger dan wordt gerapporteerd afgehandeld. Mitigation opgenomen stafmedewerkers dat ze hun wachtwoorden en intranet of VPN-toegang te wijzigen die tijdelijk uitgeschakeld. The Washington Post meldde dat de Russische hackers kan worden verweten.

Verizon en AT & T werd de doelstelling voor een stortvloed van woede toen bleek dat zowel de telco’s zijn het inbrengen van een Unique Identifier Header (UIDH, aka ‘header verrijking’) perma-cookies op te sporen, te registreren en te controleren activiteiten van de gebruikers voor het bouwen van geheime, niet-consensuele gebruikersprofielen. Verizon woordvoerster Debra Lewis vertelde Wired dat “er is geen manier om het uit te schakelen.” De situatie is verslechterd sinds ProPublica meldde donderdag dat Iemand al gebruik van Verizon’s ID Gebruikers Track – namelijk, Twitter, via haar MoPub reclame eigendom. Twitter heeft tot dusver geweigerd commentaar te geven. ProPublica zei: “Google heeft voorgesteld een nieuwe internet protocol genaamd SPDY dat zou voorkomen dat dit soort header injecties – tot groot ongenoegen van veel telecombedrijven die lobbyen tegen.

Popular Science is ten behoeve van kwaadaardige code uit zijn website: Websense gepost eerder deze week dat de officiële website van PopSci in gevaar is gebracht om de bezoekers van malware injectieplaats omleiden. Websense Security Labs contact op met het team van Popular Science met de kennisgeving van het compromis.

Soms diepste oplossing is om het gehele probleem veranderen.

De grootste Europese cyberveiligheid oefening tot nu toe gaat af op dit moment, met meer dan 200 organisaties en 400 deskundigen uit een totaal van 29 Europese Unie en de EVA-landen die deelnemen aan Cyber ​​Europe 2014, een grootschalig evenement dat is georganiseerd om de twee jaar. Vertegenwoordigers van de nationale CERT’s, telecom- en energiebedrijven, cyber security agentschappen, financiële instellingen, internet service providers en andere organisaties in de private en publieke sector zullen hun vaardigheden op de proef gesteld in een realistische simulatie van een cybersecurity scenario.

FireEye openbaarde APT28 toen zij haar nieuwste geavanceerde Persistent Threat rapport vrijgegeven op dinsdag, “APT28: een venster in de Russische Cyber ​​Spionage Operations” (.PDF link). In een blogpost schreef FireEye

Verizon en AT & T werd de doelstelling voor een stortvloed van woede toen bleek dat zowel de telco’s zijn het inbrengen van een Unique Identifier Header (UIDH, aka ‘header verrijking’) perma-cookies op te sporen, te registreren en te controleren activiteiten van de gebruikers voor het bouwen van geheime, niet-consensuele gebruikersprofielen. Verizon woordvoerster Debra Lewis vertelde Wired dat “er is geen manier om het uit te schakelen.” De situatie is verslechterd sinds ProPublica meldde donderdag dat Iemand al gebruik van Verizon’s ID Gebruikers Track – namelijk, Twitter, via haar MoPub reclame eigendom. Twitter heeft tot dusver geweigerd commentaar te geven. ProPublica zei: “Google heeft voorgesteld een nieuwe internet protocol genaamd SPDY dat zou voorkomen dat dit soort header injecties – tot groot ongenoegen van veel telecombedrijven die lobbyen tegen.

De Shellshock aanvallen stapelen zich op. Organisaties zijn niet in staat om gelijke tred te houden met Shellshock patchen processen en incident response praktijken te verkleinen: Beveiliging onderzoekers twee nieuwe Shellshock-gerelateerde aanval waarschuwingen donderdag als ze getuige zijn aanvallers profiteren van de Bash bug in UNIX- en Linux-systemen.

We wisten dat twee weken geleden, toen de Drupal team bekendgemaakt, een echt, echt slecht SQL injection kwetsbaarheid in Drupal 7; dat het belangrijk was voor admins om snel te werken. Drupal claimt een miljoen gebruikers op projectsite drupal.org en meer dan 30.000 ontwikkelaars. Maar er is, maar toch van de werkelijke, wijdverspreide aanvallen geen bewijs.

Hoe het niet om een ​​data-inbreuk te controleren (en waarom sommige echt willen dat je “pwned” get)

Re-thinking veiligheid fundamentals: Hoe verder te gaan dan de FUD

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

Popular Science is ten behoeve van kwaadaardige code uit zijn website: Websense gepost eerder deze week dat de officiële website van PopSci in gevaar is gebracht om de bezoekers van malware injectieplaats omleiden. Websense Security Labs contact op met het team van Popular Science met de kennisgeving van het compromis.

Een probleemoplossende benadering IT’ers moeten leren van robotica ingenieurs, soms de meest ingrijpende oplossing is om het hele probleem te veranderen. Lees meer

De Shellshock aanvallen stapelen zich op. Organisaties zijn niet in staat om gelijke tred te houden met Shellshock patchen processen en incident response praktijken te verkleinen: Beveiliging onderzoekers twee nieuwe Shellshock-gerelateerde aanval waarschuwingen donderdag als ze getuige zijn aanvallers profiteren van de Bash bug in UNIX- en Linux-systemen.

De volgende versie van de Google Chrome-browser naar verwachting in zes weken, komt met ondersteuning voor Terugvallen op SSLv3 standaard uitgeschakeld. Chrome 39, zal worden uitgebracht in zes weken tijd, zal de eerste stap in Google’s plan om SSLv3 steun te verwijderen uit de Chrome browser.

We wisten dat twee weken geleden, toen de Drupal team bekendgemaakt, een echt, echt slecht SQL injection kwetsbaarheid in Drupal 7; dat het belangrijk was voor admins om snel te werken. Drupal claimt een miljoen gebruikers op projectsite drupal.org en meer dan 30.000 ontwikkelaars. Maar er is, maar toch van de werkelijke, wijdverspreide aanvallen geen bewijs.

Veiligheid, Hoe het niet om een ​​data-inbreuk te controleren (en waarom sommige echt willen dat je “pwned” get), veiligheid, Re-thinking veiligheid fundamentals: Hoe verder te gaan dan de FUD; Innovatie; M2M-markt stuitert terug in Brazilië, veiligheid;? FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS gov’t ambtenaren