Historia końca Parlera?
W piątek Twitter podjął decyzję, by na stałe zablokować prezydenta Donalda Trumpa na swojej platformie – wraz z wieloma głównymi kontami QAnon. Osoby powiązane z prawicową alternatywą dla Twittera- Parlerem, który pozycjonuje się jako „portal społecznościowy wolności słowa”, a jest raczej wylęgarnią teorii spiskowych już zacierały ręce. John Matze dyrektor generalny Parlera pewnie skrycie marzył o tym, że Trump przeniesie swoje 80 milionów obserwujących z Twittera na Parler. Podnosząc oglądalność. Stało się inaczej.
Po pierwsze, w ciągu kilku minut od zablokowania Trumpa na Twitterze, Google ogłosił, że banuje Parler w swoim sklepie. Powodem było wyjątkowo luźne podejście do moderowania. Dzień później Apple poszedł w jego ślady, a w niedzielę Amazon Web Services, gdzie Parler hostuje swoją platformę, wypowiedział usługę.
I tak Parler zgasł. Ale nie był to koniec, a raczej początek.
Haker o pseudonimie Crash Override na Twitterze twierdzi, że znalazł adres internetowy, którego Parler użył wewnętrznie do pobierania danych. Pozwoliło to na sporządzenie listy wszystkich postów, filmów i zdjęć przesłanych do Parlera – w tym postów usuniętych przez użytkowników, takich jak te odnoszące się do ataku na Kapitol w zeszłą środę.
Podobnie jak większość usług online, Parler w rzeczywistości nie usuwał postów użytkowników: po prostu oznaczyli je jako niewidoczne i pominęli w wynikach wyszukiwania.
Początkowo haker sam pracował nad pobieraniem danych, ale kiedy Amazon ogłosił, że zamierza odciąć dostęp, namówił obserwujących, by się przyłączyli, publikując listę wszystkich postów.
Haker stworzył system crowdsourcingowy, w którym wiele osób mogło pomóc w pobieraniu treści. Pobrane dane są obecnie przetwarzane, zanim zostaną przesłane do archiwum internetowego, gdzie każdy będzie mógł je przeglądać lub pobierać – w tym społeczność wywiadowcza open source i organy ścigania.
A możliwość, że wszystko wyjdzie na jaw, przestraszyła niektórych zwolenników Trumpa. Zaczęły pojawiać się informacje, że zarchiwizowano ponad 70 TB danych z serwerów Parler. Podobno dane obejmują posty, dane osobowe, lokalizacje, filmy, obrazy itp.
Portal ma również kłopoty ze znalezieniem firmy hostingowej. „Prawdopodobnie przestaniemy działać dłużej niż oczekiwano [ponieważ] większość ludzi z wystarczającą liczbą serwerów, aby nas gościć, zamknęła przed nami swoje drzwi” – powiedział Matze.
Manipulacje skradzionymi danymi z Europejskiej Agencji Leków
Europejska Agencja leków poinformowała w piątek, że dokumenty szczepionki COVID-19 skradzione z jej serwerów nie tylko wyciekły do sieci, ale także zostały „zmanipulowane”.
Trwające dochodzenie wykazało, że hakerzy mieli dostęp od listopada do e-mail’i i dokumentów związanych z oceną eksperymentalnych szczepionek na koronawirusa. Agencja, która działa w 27 państwach członkowskich UE posiadała poufne dane dotyczące COVID-19 w ramach procesu zatwierdzania szczepionek.
„Część korespondencji została zmanipulowana przez sprawców przed publikacją w sposób, który może podważyć zaufanie do szczepionek” – powiedziała agencja.
„Widzieliśmy, że część korespondencji została opublikowana nie w oryginalnej formie, ale z komentarzami lub dodatkami sprawców (włamania)”.
Agencja nie wyjaśniła dokładnie, jakie informacje zostały zmienione – ale eksperci od cyberbezpieczeństwa twierdzą, że takie praktyki są typowe dla kampanii dezinformacyjnych prowadzonych przez rządy.
Włoska firma zajmująca się cyberbezpieczeństwem, Yarix, powiedziała, że znalazła 33-megabajtowy wyciek na znanym podziemnym forum zatytułowany „Zdumiewające oszustwo! Evil Pfffizer! Fałszywe szczepionki! ” Najwyraźniej został po raz pierwszy opublikowany 30 grudnia, a później pojawił się na innych stronach, w tym w dark necie.
Yarix powiedział, że „intencja stojąca za wyciekiem danych przez cyberprzestępców jest pewna: spowodowanie znaczącej szkody dla reputacji i wiarygodności EMA i Pfizer”.
EMA stwierdziła, że organy ścigania podejmują „niezbędne działania” w odpowiedzi na włamanie, a dochodzenie jest w toku.
Microsoft kończy łatać Zerologon
Microsoft opublikował w tym tygodniu przypomnienie, że aktualizacja zabezpieczeń z 9 lutego rozpocznie drugą fazę łatania luki Zerologon.
Śledzona jako CVE-2020-1472 i naprawiona poprawkami z sierpnia 2020 r., krytyczna luka w zabezpieczeniach została zidentyfikowana w protokole zdalnym Microsoft Windows Netlogon (MS-NRPC) i może zostać wykorzystana do złamania zabezpieczeń kontrolerów domeny Active Directory i uzyskania dostępu administratora.
Wykorzystywana przez nieuwierzytelnionych atakujących, którzy są w stanie uruchomić specjalnie spreparowaną aplikację na urządzeniu w sieci, zelektryzowała „świat cyber” we wrześniu, po tym, jak Departament Bezpieczeństwa Wewnętrznego (DHS) powiedział agencjom federalnym, aby natychmiast zastosowały dla niej poprawki.
Niedługo potem zaobserwowano ataki wymierzone w tę lukę, a firma Microsoft wydała wskazówki, jak organizacje mogą zabezpieczyć systemy, których dotyczy błąd. Jednak ataki na Zerologon były kontynuowane.
Microsoft powiedział klientom, że łatanie tej luki zostanie przeprowadzone w dwóch etapach: wdrożenie łatek z 11 sierpnia i faza egzekwowania, która rozpocznie się 9 lutego 2021 roku.
Po włączeniu trybu wymuszania kontrolera domeny wszystkie urządzenia z systemem Windows i inne niż Windows będą musiały używać bezpiecznego RPC z bezpiecznym kanałem Netlogon. Jednak klienci będą mieli możliwość dodania wyjątków dla niezgodnych urządzeń, nawet jeśli spowodowałoby to narażenie ich kont.
Przygotowując się do fazy trybu wymuszania, organizacje powinny zastosować dostępną poprawkę do wszystkich kontrolerów domeny oraz zidentyfikować i rozwiązać niezgodne urządzenia, aby mieć pewność, że nie nawiążą one połączeń narażonych na ataki.
Mogą również włączyć tryb wymuszania kontrolera domeny w swoich środowiskach przed aktualizacją z 9 lutego.
W raporcie obejmującym krajobraz zagrożeń w 2020 r. Tenable uważa Zerologon za największą lukę w zabezpieczeniach zeszłego roku, spośród 18 358 zgłoszonych CVE.