Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Что вызывает ошибки HTTPS в Google Chrome?

Исследователи из Google, Университета Пердью, Международного института информационных технологий Хайдарабада и Ганноверского университета имени Вильгельма Лейбница несколько лет прочесывали 2000 отчетов об ошибках, составленных из более чем 300 миллионов ошибок, с которыми сталкивались пользователи Google Chrome, чтобы лучше классифицировать предупреждения об ошибках сертификатов.

Исследователи, в числе которых Эмили Старк (Emily Stark), Адрианна Портер Фелт (Adrienne Porter Felt) и Райан Сливи (Ryan Sleevi) из Google, надеялись обнаружить источник сообщений об ошибках. В идеале по результатам проекта они хотели реализовать более полезные предупреждения HTTPS, которые бы не слишком пугали пользователей, но при этом и не игнорировались ими.

В прошедшую пятницу исследователи опубликовали свои выводы в документе «Места обитания диких предупреждений: первопричины ошибок сертификатов HTTPS в Chrome» (Where the Wild Warnings Are: Root Causes of Chrome HTTPS Certificate Errors в формате PDF) и планируют представить свои находки на 24-й конференции ACM по компьютерам и информационным технологиям, которая состоится в конце октября в Далласе, штат Техас.

Our team has spent years debugging the cause of HTTPS cert errors at scale, and the finding are now public � https://t.co/lykCaJux1G

— Adrienne Porter Felt (@__apf__) September 15, 2017

our CCS cert errors paper is up!!! https://t.co/CgMMviYOzN (cc @meacer @__apf__ @laparisa @sleevi_)

— Emily Stark (@estark37) September 15, 2017

Исследователи обнаружили, что многие ошибки спровоцированы на стороне клиента или происходят из-за проблем с сетью.

Об этом они пишут так: «В своей предыдущей работе мы связывали проблемы HTTPS с  действиями разработчиков. Однако выяснилось, что проблемы клиента и сети имеют как минимум не меньшее влияние, чем неправильная конфигурация сервера. Из тех отчетов, которые классифицированы автоматически, половина — это ошибки сервера (31,2% от общего количества отчетов), а другая половина — ошибки клиента или сети (31,6%). После ручного анализа неклассифицированных отчетов чаша весов склонилась в пользу ошибок несерверного происхождения».

Значительная часть ошибок связана с работой так называемых Captive Portal — порталов, перехватывающих пользователя при подключении, например, к публичным сетям (в аэропортах, отелях и так далее), которые подменяют имя сайта и тем самым вызывают сообщение об ошибке.

Исследователи сообщают, что теперь вместо предупреждения безопасности для ошибок, связанных с работой Captive Portal, в Chrome предусмотрен более информативный отдельный интерфейс. Также с целью лучшего обнаружения Captive Portal в браузер включен список «сертификатов для потенциальных ресурсов Captive Portal», распространяемый через канал разработчиков.

Кроме того, неправильно выставленное время на системах Windows спровоцировало на удивление большое число «ложных ошибок», как их называют сами исследователи. 33,5% ошибок сертификатов появлялись из-за неправильно установленного локального времени в системе. Если в системе установлены время и дата «из будущего», браузер может прийти к выводу, что пользователь столкнулся с истекшим сертификатом.

Теперь Chrome будет бороться с ошибками времени, показывая специальное предупреждение для таких пользователей — красные часы с подписью «Ваши часы спешат».

«Для более точного определения ошибки часов клиента мы создали защищенную службу времени, у которой Chrome запрашивает точное время при возникновении ошибки с датой сертификата. Столкнувшись с сертификатом с неправильной датой, браузер отправляет HTTP-запрос, чтобы узнать текущее время, и задерживает отображение предупреждения на время до трех секунд. Полученный ответ должен быть подписан закрытым ключом, соответствующим открытому ключу, встроенному в Chrome. Если в течение трех секунд ответ будет получен и время в нем будет значительно отличаться от локальных часов, браузер отобразит предупреждение с часами», — пишут исследователи.

По словам исследователей, компания недавно изменила механизмы, из-за которых в Chrome для Android появлялись ошибки с нехваткой промежуточных сертификатов,  составлявшие основную долю всех ошибок сертификатов в этой ОС, а именно 36%. Эти ошибки возникают, если сервер не предоставил нужные сертификаты и клиент не может составить правильную цепочку сертификатов. В Google добавили механизм под названием Authority Information Access в Chrome 58, чтобы исправить эту проблему.

«Если удостоверяющий центр сертификата сообщает о неверном издателе, Chrome находит последний сертификат без издателя в отправленной сервером цепочке. Если этот сертификат содержит URL-адрес AIA, браузер снова отправляет сертификат на проверку удостоверяющим центром. В случае неудачной попытки Chrome будет повторять процесс до составления корректной цепочки сертификатов или пока не будет исчерпано максимальное число попыток».

Этот механизм помог сократить количество ошибок сертификатов. Исследователи утверждают, что после майского внедрения системы в Chrome 58 к августу количество ошибок, связанных с отсутствием промежуточных сертификатов, снизилось с 36% до всего лишь 3%.

За последние годы в Google сделали немало для улучшения информативности предупреждений, отображаемых в Chrome. В 2014 году в Chrome дебютировал красный экран, который появляется, если Google считает сайт фишинговым или подозревает о наличии вредоносных программ. В 2015 году предупреждения в браузере стали более понятными для обычных людей. Теперь просто пишется «Ваше соединение не защищено» красными буквами на сером фоне и изображен перечеркнутый красный замок.

Всего через пару недель Chrome начнет считать HTTP-страницы, которые запрашивают такие сведения, как учетные данные и пароли, «небезопасными». В планах Google в конечном счете отображать предупреждение на всех HTTP-страницах, даже если пользователь открывает их в режиме инкогнито. Все для того, чтобы пользователи четко понимали, что в режиме HTTP обмен данными между браузером и веб-сервером происходит в открытом, незащищенном виде.

Дата: 2017-09-21 15:28:03

Источник: https://threatpost.ru/whats-triggers-https-chrome-browser-warnings/22394/



День открытых дверей «Лаборатории Касперского»: закрываем данные от взлома, открываем новые возможности

Эксперты поделятся историями о самых громких киберпреступлениях 2017 года, поговорят о машинном обучении применительно к защите от атак и мошенничества, а также об опасности IoT-сегмента, который пока еще обделен вниманием с точки зрения кибербезопасности. В программе — доклады, посвященные вопросам личной эффективности: публичным выступлениям, тайм-менеджменту и т.п. Отдельные секции на Open Day будут отданы бизнес-инкубатору для новых идей. В общем, будет интересно.

Дата: 2017-09-21 14:43:01

Источник: https://habrahabr.ru/post/338224/



Эксперты вынудили АНБ отказаться от двух методов шифрования

Эксперты из разных стран опасаются, что агентство навязывает стандарты шифрования для шпионажа за своими союзниками.

Международная группа экспертов по криптографии вынудила Агентство национальной безопасности США отказаться от двух методов шифрования, известных как Simon и Speck, которые спецслужба предлагала установить в качестве международных стандартов. Как полагают эксперты из разных стран, включая Германию, Японию и Израиль, АНБ продвигает новые методы не по причине их эффективности, а потому, что знает как их взломать. Об этом сообщает Reuters со ссылкой на оказавшиеся в распоряжении агентства электронные письма и сообщения экспертов.

АНБ согласилась отказаться от данных алгоритмов, за исключением наиболее защищенных от взлома версий. Делегация США по вопросам шифрования в Международной организации по стандартизации (International Organization for Standardization, ISO) включает в себя несколько должностных лиц АНБ, хотя контролируется Американским национальным институтом стандартов (American national standards institute, ANSI).

Откровения бывшего подрядчика АНБ Эдварда Сноудена о попытках агентства манипулировать принятием стандартов шифрования вызвали подозрения касательно мотивов делегации США. По словам некоторых делегатов из других стран, большая часть скептицизма связана с 2000-ми годами, когда эксперты АНБ разработали метод шифрования Dual Elliptic Curve, который был принят в качестве мирового стандарта. Согласно документам, обнародованным Сноуденом, внутри агентства это считалось успехом.

Как пояснили представители АНБ, новые инструменты шифрования были разработаны для защиты правительственного компьютерного и коммуникационного оборудования без потери вычислительной мощности.

На сегодняшний день ISO дважды проголосовала за то, чтобы отложить процесс утверждения алгоритмов Simon и Speck.

Международная организация по стандартизации - неправительственная организация, занимающаяся выпуском стандартов. На сегодняшний день в состав ISO входит 165 стран. Россия вошла в Совет ISO в сентябре 2005 года.

Дата: 2017-09-21 13:52:00

Источник: http://www.securitylab.ru/news/488661.php



Уязвимость в Joomla позволяет похитить учетные данные

Уязвимость в странице авторизации Joomla возникает при активированном плагине LDAP.  

Исследователи компании RIPS Technologies обнаружили серьезную уязвимость (CVE-2017-14596) в системе управления контентом Joomla. Проблема возникает при использовании протокола LDAP для аутентификации и затрагивает версии от 1.5 до 3.7.5. LDAP реализован в Joomla через «родной» плагин аутентификации, активировать которой можно в менеджере плагинов.

Анализ страницы авторизации Joomla при включенном плагине LDAP показал недостаточный уровень проверки вводимых данных. В результате, злоумышленник может символ за символом угадать учетные данные.

«Путем эксплуатации уязвимости в странице авторизации удаленный неавторизованный атакующий может успешно получить все учетные данные сервера LDAP, используемого в установках Joomla. Сюда входят имя пользователя и пароль суперпользователя, администратора Joomla», – пояснили исследователи.

По словам экспертов, злоумышленник может использовать похищенные данные для авторизации в панели управления и получить контроль над установкой Joomla (а также потенциально над web-сервером), загрузив кастомизированные расширения Joomla для удаленного выполнения кода.

Исследователи опубликовали PoC-код для эксплуатации уязвимости, демонстрирующее атаку видео и техническую информацию о проблеме. По словам экспертов, для эксплуатации уязвимости также необходимо осуществить обход фильтра, однако подробности о том, как это сделать, не раскрываются.

Производитель узнал о проблеме 27 июля текущего года, но выпустил обновление Joomla 3.8 только на этой неделе. По классификации RIPS Technologies уязвимость является критической, однако производитель характеризует ее как средней опасности.

LDAP (Lightweight Directory Access Protocol) – протокол прикладного уровня для доступа к службе каталогов X.500. Протокол был разработан Инженерным советом интернета (IETF) как облегченный вариант протокола DAP. LDAP является относительно простым протоколом, использующим TCP/IP и позволяющим осуществлять аутентификацию (bind), поиск (search) и сравнение (compare), а также операции добавления, изменения или удаления записей.

Дата: 2017-09-21 11:59:59

Источник: http://www.securitylab.ru/news/488660.php



Equifax в течение недели перенаправляла пользователей на поддельный сайт

Программист создал поддельную версию сайта Equifax, чтобы указать на проблемы в безопасности.

Бюро кредитных историй Equifax по ошибке разместило ссылку на поддельную версию своего сайта, созданную одним из инженеров-программистов специально для того, чтобы указать компании на проблемы безопасности ее официального ресурса.

После произошедшей ранее утечки данных 143 миллионов клиентов Equifax создала сайт equifaxsecurity2017.com, на котором пользователи могли проверить, пострадала ли их информация. Инженер-программист Ник Свитинг (Nick Sweeting) заметил, что сайт размещен на отдельном домене вместо доверенного домена equifax.com. Фишеры могут легко подделать такой сайт, например, используя метод тайпсквоттинга, пояснил програмист. Для того чтобы указать компании на данную уязвимость, Свитинг создал поддельную версию сайта на домене securityequifax2017.com. Компания несколько раз по ошибке указала ссылку на поддельный сайт в сообщениях в Twitter. После того, как об ошибке стало известно публике, сообщения были удалены.

После того, как браузеры Chrome, Firefox и Safari заблокировали доступ к фальшивому сайту, Свитинг удалил его. По словам программиста, к моменту удаления ресурс посетило порядка 200 тыс. человек.

Свитинг намеренно изменил некоторую информацию на своем сайте, чтобы его можно было отличить от подделки, также он убрал форму регистрации, присутствовавшую на оригинальном ресурсе.

Представитель Equifax Мариса Салcинес (Marisa Salcines) не предоставила комментария относительно того, почему компания создала отдельный сайт, а не поддомен equifax.com. Это, по мнению экспертов, было главной ошибкой, поскольку фишеры не смогли бы создать страницу в домене equifax.com.

Ранее Equifax Inc заявила об утечке данных 143 миллионов своих клиентов. По словам представителей бюро, компания заметила подозрительную активность спустя четыре месяца после компрометации базы данных.

Equifax - бюро кредитных историй, базирующееся в Атланте, США. Одно из трех крупнейших американских бюро кредитных историй наряду с Experian и TransUnion. В базе компании содержатся кредитные истории более 800 млн клиентов из 24 стран, в том числе России.

Дата: 2017-09-21 11:25:00

Источник: http://www.securitylab.ru/news/488642.php



Конец RAMP: закрыта старейшая площадка по продаже наркотиков

Позавчера, 19 сентября, МВД сообщило об успешной ликвидации RAMP (Russian anonymous marketplace) — старейшего подпольного магазина наркотиков, работавшего в даркнете. Как сообщили представители структуры в ответ на запрос депутата Госдумы Антона Горелкина, интернет-площадка была закрыта еще в июле.

Согласно заявлению заместителя министра МВД Михаила Ваничкина, за последние полгода ведомству удалось пресечь деятельность 1345 интернет-ресурсов, торговавших наркотиками на территории России, однако ни один из них не мог сравниться по объемам торговли и количеству пользователей с RAMP.

RAMP — крупнейший в российском сегменте Интернета магазин, специализирующийся на продаже исключительно наркотиков. Его создатель, скрывающийся под никнеймом Darkside, заявлял в одном из интервью, что в 2014 году прибыль ресурса превысила 250 тыс. долларов. С тех пор количество пользователей RAMP постоянно росло, и, по данным Lenta.ru, к маю 2017 года на площадке было зарегистрировано более 295 тысяч человек.

Представители МВД не сообщили никаких подробностей о ходе проведенной операции. Фактически RAMP не работает с июля, однако никаких официальных заявлений о его закрытии от администрации ресурса не поступало.

Специфическая организация работы магазина — по сути это полностью анонимный форум — позволяла ему вести относительно спокойное существование на протяжении пяти лет. Как утверждала администрация ресурса, не привлекать внимание правоохранительных органов им удавалось благодаря узкой специализации — на RAMP, в отличие от других крупных торговых площадок в даркнете, не продавали оружие, поддельные документы и порнографию.

Пользователи заходили на сайт через Tor или другой анонимайзер, покупали и продавали наркотики через закладки в общественных местах и никогда не знали, кто находится на другом конце сделки. Служители закона ежедневно задерживали закладчиков, но эти аресты никак не сказывались на работе RAMP — место арестованных курьеров мгновенно занимали новые охотники за легкой наживой.

RAMP — не первый подпольный магазин, закрывшийся в последнее время. Так, 21 июля правоохранительные органы нескольких стран мира провели операцию, в результате которой была ликвидирована площадка AlphaBay — настоящий гигант нелегальной торговли. В отличие от RAMP, тут можно было купить не только наркотики, но и оружие, документы и вредоносное ПО.

До закрытия AlphaBay крупнейшей операцией по борьбе с подпольными торговыми площадками в даркнете было уничтожение группы сайтов SilkRoad, на которых пользователи также могли купить оружие, вредоносное ПО, наркотики и базы данных с конфиденциальной информацией.

Дата: 2017-09-21 11:17:28

Источник: https://threatpost.ru/ramp-is-shut-down/22390/



Популярное расширение для Google Chrome тайно майнит криптовалюту

Расширение SafeBrowse для Chrome тратит вычислительные мощности компьютера для добычи криптовалюты.

В коде популярного расширения SafeBrowse (версия 3.2.25) для браузера Google Chrome обнаружен скрипт JavaScript, заставлявший браузеры пользователей майнить криптовалюту. Странное поведение расширения не осталось незамеченным, поскольку нагрузка на центральный процессор возрастала, что значительно влияло на производительность «инфицированного» компьютера.

В исходном коде расширения был обнаружен встроенный майнер Coinhive JavaScript Miner – браузерная версия алгоритма CryptoNight, используемого Monero, Dashcoin, DarkNetCoin и прочими криптовалютами. В настоящее время Coinhive JavaScript Miner поддерживает только майнинг Monero.

Данная проблема затрагивает практически всех пользователей, установивших SafeBrowse. 

Как выяснилось, сами разработчики SafeBrowse не подозревали о его странном поведении. По их словам, программа не обновлялась несколько месяцев, в связи с чем, они высказали предположение, что речь идет о взломе. Сейчас авторы SafeBrowse разбираются в ситуации совместно с командой Google.

В последнее время участились случаи внедрения скриптов для скрытой добычи криптовалют в код сайтов. К примеру, ранее в тайной установке на компьютеры пользователей ПО для майнинга криптовалюты был уличен пиратский ресурс The Pirate Bay. Подобная ситуация обеспокоила многих специалистов в области безопасности и некоторые из них уже предложили свое решение. В частности, шотландский программист Рафаэль Керамидас (Rafael Keramidas) создал расширение No Coin, которое действует по принципу блокировщика рекламы, но блокирует именно майнинг через браузеры. В настоящее время программа поддерживает только блокировку CoinHive.

SafeBrowse - расширение для браузера Google Chrome, предназначенное для блокировки рекламы. Аудитория расширения составляет примерно 140 тыс. пользователей.

 

 

Дата: 2017-09-21 10:22:46

Источник: http://www.securitylab.ru/news/488633.php



Уязвимости в Cisco SMI по-прежнему открывают доступ к сетевым коммутаторам

Уязвимости в протоколе Cisco SMI позволяют злоумышленникам получить полный контроль над целевыми устройствами.

Уязвимости в протоколе Cisco Smart Install (SMI) по-прежнему позволяют злоумышленникам удаленно подключиться к сетевым коммутаторам, похитить конфиденциальные данные и получить полный контроль над целевым устройством. С момента выхода в 2010 году в протоколе было найдено множество опасных уязвимостей и, несмотря на выпускаемые Cisco патчи, количество уязвимых устройств практически не изменилось, показало исследование компании по безопасности Rapid7.

Протокол SMI предназначен для настройки и управления коммутаторами Cisco и использует комбинацию DHCP, TFTP и протокола TCP. С момента выхода было обнаружено несколько уязвимостей в SMI, включая CVE-2011-3271, позволявшую удаленно выполнить код, а также CVE-2012-0385, CVE-2013-1146, CVE-2016-1349 и CVE-2016-6385, предоставлявшие возможность провести DDoS-атаку.

В 2016 году исследователи обнаружили ряд новых проблем безопасности в SMI. Эксперты из Tenable, Trustwave SpiderLabs и Digital Security в рамках конференции по безопасности Zeronights обнародовали информацию о ряде уязвимостей в SMI, позволявших скомпрометировать устройство.

Уязвимости в SMI могут позволить злоумышленнику получить полный контроль над целевым коммутатором, отметил старший исследователь безопасности Rapid7 Джон Харт (Jon Hart). Злоумышленники также могут получить доступ к конфиденциальным данным, таким как имена пользователей, пароли, хэши, настройки межсетевого экрана и пр. Более того, уязвимости в SMI могут позволить злоумышленнику скомпрометировать целевое устройство и загрузить произвольный код, после чего изменять, перенаправлять или перехватывать трафик. По утверждению Cisco, данные проблемы являются не уязвимостями, а скорее, «неправильным использованием протокола». Тем не менее, компания все равно порекомендовала клиентам по возможности отключать SMI.

Наибольшее количество уязвимых устройств зафиксировано в США (26,3%), России (7%) и Японии (6,9%).

Дата: 2017-09-21 09:28:00

Источник: http://www.securitylab.ru/news/488621.php



Есть ли OpenVPN GUI для Linux?

Название статьи подсказала тема на одном из форумов. Несмотря на то, что с момента возникновения вопроса прошло шесть лет, в этом направлении мало что изменилось. А поскольку в последнее время у меня на слуху постоянно был OpenVPN, то было решено исправить данную ситуацию. Так родилась графическая утилита VpnGUI для создания, редактирования, запуска и контроля выполнения утилиты openvpn.

После запуска утилиты VpnGUI в трее появится иконка (квадрат разбитый на четыре сине-красных квадратика) утилиты:
Читать дальше →

Дата: 2017-09-21 08:16:03

Источник: https://habrahabr.ru/post/338390/



Роструд отказался от надзора за выполнением требований главы 14 Трудового кодекса

Писать в блог некогда совершенно, проектной работы выше крыши. Но парадокс в том, что она дает огромное количество тем для постов – это же практика, там все время что-то интересное и полезное всплывает. Выстроилась уже целая очередь тем – и GDPR для российских компаний, и пересмотр Европейским судом дела Богдана Барбулеску, и проблема получения согласий работников в рамках статьи 88 ТК РФ, и VPN на рабочем месте, и много чего другого.
А начнем, пожалуй, с мини-сенсации, вынесенной в заголовок поста.
Довольно длительная переписка с Рострудом через официальный сайт надзорного органа закончилась весьма неожиданно.
Вопрос касался передачи персональных данных в нескольких ситуациях:
1. Для направления в служебные командировки, связанные с выполнением работником трудовых обязанностей, на учебу и повышение квалификации, для проведения профилактического медицинского осмотра работника, арендодателю для обеспечения прохода работника в арендуемые производственные и офисные помещения.  
2.  Организациям, которым работодатель, в соответствии с заключенными договорами, поручает обработку персональных данных работников в целях ведения кадрового и бухгалтерского учета, а также выполнения иных функций, возложенных на него законодательством.
3.  Трансграничной передачи компаниям за рубежом с целью реализации корпоративной политики кадрового учета и карьерного роста персонала международных и иностранных компаний, имеющих дочерние предприятия и организации, а также представительства в России.
Как это часто бывает при общении с госорганами, ответ я получил ровно один и совсем не на тот вопрос, который задавал: «Работодатель не вправе принуждать работника дать согласие на обработку персональных данных. Обработка персональных данных работника без согласия работника возможна только в случаях, предусмотренных в законе».
Так что же делать в этом случае, выяснить не удалось.
Ответ был лаконичный, и, если честно, меня не просто удивил, а ошеломил: «Консультирование граждан по вопросам соблюдения законодательства о персональных данных не входит в компетенцию Роструда. Вам следует обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций». Ошеломил, потому что на сайте Роструда дано уже более полутора тысячи ответов на вопросы, касающиеся получения согласия работников на обработку, в том числе передачу, персональных данных.
Вторая причина удивления была вызвана тем, что в соответствии со ст.3 «Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля» Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», одним из основных принципов защиты прав юридических лиц при осуществлении государственного контроля является недопустимость проводимых в отношении одного юридического лица несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. В связи я попросил Роструд разъяснить, в компетенции какого надзорного органа находится проверка обязательных требований трудового законодательства, установленных статьей 88 Трудового кодекса РФ.
И вот ответ: Проверка требований, установленных статьей 88 ТК РФ, относится к компетенции Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. За нарушение положений статьи 88 ТК РФ работодатель может быть привлечен к ответственности в соответствии со ст. 5.39 КоАП РФ, ст. 13.11 КоАП РФ и ст. 13.14 КоАП РФ. Государственные инспекторы труда привлекать работодателя к ответственности, установленной вышеуказанными статьями, не вправе».

Осталось только выяснить, что по этому поводу думает Роскомнадзор, чем и придется заняться в ближайшее время.

Дата: 2017-09-21 07:51:11

Источник: http://emeliyannikov.blogspot.ru/2017/09/14.html