Автор Неизвестен - Хакер №292

редактором рубрики «Кодинг» при Пойзоне, потом при Куттере долгое
время заведовал выпуском, в команде Никитоса снова стал редактором
«Кодинга», потом на несколько номеров захватил еще и SYN/ACK и в какой-то
момент возглавил новую рубрику — Malware. А потом и «Кодинг» снова попал
в его заботливые руки.
Саша, если еще читаешь «Хакер», не забывай, что «Кодинг» всегда ждет
тебя! Только пришли весточку.
Вообще, карьерный путь амбициозного редактора прослеживается такой:
человек набирает на себя одну рубрику за другой, а потом через сколько-то
номеров либо становится главным или хотя бы выпускающим, либо пропадает из титров — видимо, страшно задолбавшись.
Из набиральщиков должностей и рубрик самый яркий пример — Андрей
«Andrushock» Матвеев. Он в течение десяти лет вел рубрику Unixoid, но под
конец карьеры в «Хакере» взвалил на себя еще SYN/ACK, X-Mobile
и Phreaking; делал раздел DVD, посвященный Linux, и был замом главреда
по техническим вопросам. Где только берут таких работников?

Номер 181, где Степа прощается с нами
При том, что титры и присутствие в них вроде бы всех заботили, составлялись
они с криминальной небрежностью. Какие-то люди работали в журнале пару
месяцев и успели отметиться, но есть и герои, которые внесли огромный
вклад в развитие «Хакера», а в титры никогда не попадали.
Статьи легендарного Криса Касперски в иных номерах составляли чуть ли
не до трети объема. Но про заслуги Криса ты, наверное, уже в курсе. Если
нет, то обязательно глянь цикл по книге «Фундаментальные основы хакерства», которую Юра Язев только недавно закончил обновлять.
Другой герой и источник скрытой силы «Хакера» — Мария Нефёдова.
Маша писала в рубрику «Сцена» больше десяти лет подряд и при этом никогда не стремилась засветиться в редакторском составе.
Заведовали «Сценой» сначала Олег «mindwOrk» Чебенеев, потом Илья
Александров, потом во времена номеров 112 и 113 — загадочные «Петя
и Волк» (я так и не понял, кто это и почему так подписывался), а потом долго-долго слово «Сцена» просто не появлялось в титрах, пока рубрика не упала в руки Ильи Илембитова, а спустя год — в мои.
Все это время Маша, помимо «Мегановостей», открывающих каждый
выпуск, стабильно радовала читателей топовыми материалами о знаменитых
хакерах и важных событиях. Спасибо ей за это!
Вообще, если интересуешься ранней историей «Хакера», рекомендую
глянуть таймлайн журнала с 1999-го по 2007 год и биографии нескольких
ключевых сотрудников (у кого-то, видимо, был такой же порыв копнуть историю).
А еще можешь почитать интервью, которое я брал у основателя Gameland
Димы Агарунова, тоже в рамках очередного изыскания. И думаю, не последнего.

Мария «Mifrill» Нефёдова
nefedova@glc.ru

В этом месяце: в стандарте транкинговой радиосвязи TETRA
нашли множество проблем, китайские хакеры похитили
у Microsoft важный криптографический ключ, 900 тысяч маршрутизаторов MikroTik уязвимы перед новым багом, Google
разрабатывает «DRM для интернета» и другие интересные
события июля.

БАГ В MIKROTIK

Критическая уязвимость, допускающая повышение привилегий до уровня
Super Admin, угрожает более чем 900 тысячам маршрутизаторов MikroTik
с RouterOS на борту.
Проблема отслеживается под идентификатором CVE-2023-30799 и позволяет злоумышленникам, у которых уже есть учетная запись администратора, повысить свои привилегии до Super Admin через интерфейс WinBox
или HTTP.
Специалисты компании VulnCheck объясняют, что проблема не выглядит
серьезной лишь на первый взгляд. Ведь, казалось бы, если потенциальный
атакующий должен заранее иметь привилегии администратора, все не так уж
плохо. Но к сожалению, это вряд ли остановит злоумышленников, так
как RouterOS не предотвращает брутфорс-атаки, не предъявляет жестких
требований к паролю администратора, а также по умолчанию имеет аккаунт
admin, о котором известно очень давно.
Хуже того, до октября 2021 года пароль администратора по умолчанию
был пустой строкой, и эту проблему исправили только с релизом RouterOS
6.49. По данным исследователей, около 60% устройств MikroTik все
еще используют эту учетную запись, хотя производитель давно рекомендует
ее удалить.

«

«Ìàññîâàÿ ýêñïëóàòàöèÿ (óÿçâèìîñòè) îñëîæíÿåòñÿ òåì, ÷òî äëÿ àòàêè
òðåáóþòñÿ äåéñòâèòåëüíûå ó÷åòíûå äàííûå. Îäíàêî ìàðøðóòèçàòîðàì
íå õâàòàåò áàçîâîé çàùèòû îò ïîäáîðà ïàðîëÿ, — ãîâîðÿò ýêñïåðòû
VulnCheck. — Ìû íàìåðåííî íå ïóáëèêóåì PoC-ýêñïëîèò, íî áóäü îí
äîñòóïåí, òî --">