Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Microsoft устранила нарушения антимонопольного законодательства

ФАС рассмотрит вопрос по антимонопольному делу Microsoft 25 июля.

Компания Microsoft проинформировала Федеральную антимонопольную службу (ФАС) о выполнении в установленный срок предупреждений за дискриминацию сторонних производителей антивирусов. Об этом сообщило издание РБК.

Сейчас ведомство проводит анализ полученной информации на предмет исполнения требований предписаний. Вопрос по антимонопольному делу Microsoft планируется рассмотреть на заседании 25 июля.

В минувшем июне ФАС вынесла предупреждение Microsoft о недопустимости дискриминации производителей антивирусных решений. Ведомство предоставило компании месяц на устранение действий, которые могут расцениваться как нарушение российского антимонопольного законодательства.

Напомним, ФАС начала расследование в отношении Microsoft в ноябре 2016 года после жалобы российского производителя антивирусов «Лаборатория Касперского», обвинившего американского техногиганта в злоупотреблении доминирующим положением на рынке операционных систем и недобросовестной конкуренции на рынке продуктов по обеспечению кибербезопасности.

Дата: 2017-07-19 04:27:40

Источник: http://www.securitylab.ru/news/487423.php



Security Foresight: стеганография

Довелось мне тут поучаствовать в одном проекте Cyber Security Foresight (по прогнозированию того, что будет в/с ИБ через несколько лет). Теперь буду по мере возможности выкладывать краткие зарисовки с этого проекта - там есть интересные мысли и выводы, о которых нечасто задумываешься в рамках ежедневной рутины. Понятно, что предсказывать будущее у нас еще не научились, но опираясь на знание прошлого и понимание настоящего можно попробовать спрогнозировать будущее (и оно будет не одно). Это и называется foresight, а в контексте нашей индустрии - cyber security foresight.

Придерживаться какого-то порядка и системы не буду - просто зарисовки. Первая - стеганография, известная нам с 440-го года до нашей эры и описанная в геродотовской "Истории" (сам термин ввел в 1499-м году аббат-бенедектинец Иоганн Тритемий в одноименной книге). Суть метода заключается в сокрытии не самого сообщения, которое хочется оставить в тайне (как это делает криптография), а самого факта отправки такого сообщения или наличия сокрываемой информации. Преимущество стеганографии очевидно - она не вызывает подозрений, так как скрывает сам факт наличия чего-то тайного.

Мне видится два сценария применения стеганографии, о которых стоит задуматься. Первый касается обхода различных блокировок VPN-сервисов и запретов криптографии. Не секрет, что многие государства (специально не называю их тоталитарными, так как эта идея фикс присуща многим, даже демократическим государствам) в интересах борьбы с терроризмом и экстермизмом стараются ограничить применение шифрования или ослабить его. И стеганография вполне способна помочь в решении этой проблемы, так как она никак не регулируется государством (и я с трудом представляю как это можно сделать) и ее сложно детектировать (она и предназначена для сокрытия самого факта тайной передачи какой-то информации). Поэтому мне забавно наблюдать, когда представители спецслужб якобы заявляют о том, что необходимо блокировать или взять под контроль различные мессенджеры или VPN-сервисы, которыми активно пользуются террористы. Возможно они это делают под влиянием политической ситуации, так как сами-то они прекрасно понимают, что любой преступник может обойти все ограничения воспользовавшись либо непопулярным мессенджером, либо найдя программу для стеганографии (в 2012-м году Аль-Кайеда уже использовала такой трюк, сокрыв ряд своих инструкций и документов в порнофильме). И второй вариант даже хуже, так как существенно усложняет жизнь спецслужбам. Одно дело пытаться "вскрыть" зашифрованный текст или найти лазейку в реализации/алгорите криптографии и совсем другое - перелопатить зетабайты информации в поисках следов якобы переданной секретной информации. И те законопроекты и инициативы, которые сейчас продвигаются нашими законодателями, подталкивают всех (и рядовых пользователей, и преступные элементы) к более активному использованию стеганографии. Это, кстати, в корпоративной среде тоже является угрозой.

Второй сценарий заключается в применении стеганографии разработчиками вредоносного кода. Первый пример такого использования был зафиксирован в случае с Duqu в 2011-м году. Этот вредонос шифровал данные и скрывал их внутри графических файлов JPEG, позже отправляемых на сервер управления. В 2014-м году аналогичная техника использовалась в банковском трояне Zeus. Потом были Zbot, Stegoloader, Shady RAT, DNSChanger, Sundown, Cerber, TeslaCrypt и другие. Детектировать такие вещи непросто и проникновение вирусов и утечки данных через них могут долго оставаться незамеченными специалистами служб ИБ.

Проекты Foresight обычно не подразумевают мгновенного поиска решений - они просто описывают различные варианты грядущего будущего, что позволяет задуматься и попробовать к ним подготовиться. В случае со стеганографией существуют различные методы ее обнаружения, которые описаны в той же Википедии. А вот про коммерческий инструментарий, который бы позволял бороться со стеганографией (исключая отдельные методы, используемые антивирусными вендорами), я что-то не слышал (возможно он и существует, но я его особо не искал).

ЗЫ. А может быть столь ругаемый закон Яровой принят в такой формулировке именно потому, что спецслужбы понимают, что переход на стеганографию не за горами, и поэтому, имея в руках архивы всей переданной по коммуникационным каналам информации, они могут (с течением времени) все-таки найти интересующие их следы? Кто знает...

ЗЗЫ. Кстати, сами спецслужбы активно используют стеганографию для сокрытия своих коммуникаций. Например, в 2010-м году ФБР обвинило Службу внешней разведки (СВР) в использовании стеганографии в разведывательной деятельности.

Дата: 2017-07-19 02:36:08

Источник: http://lukatsky.blogspot.com/2017/07/security-foresight_19.html



What is Cross-Site Contamination and How to Prevent it

What is Cross-Site Contamination and How to Prevent it

If you suffer multiple reinfections and your site is one of many in an account, the odds are high that you’re suffering from cross-site contamination.

Cross-site contamination is when a site is negatively affected by neighboring sites within the same server due to poor isolation on the server or account configuration. This phenomenon is one of the greatest contributors to the VPS/Dedicated/Shared hosting secure or insecure debate.

The greatest contributor to cross-site contamination is what I call soup-kitchen servers.

Continue reading What is Cross-Site Contamination and How to Prevent it at Sucuri Blog.

Дата: 2017-07-18 17:30:15

Источник: https://blog.sucuri.net/2017/07/cross-site-contamination-and-how-to-prevent-it.html



В FreeRADIUS пропатчены баги, неподвластные статанализу

Разработчики FreeRADIUS, популярного RADIUS-сервера с открытым исходным кодом, выпустили обновление с патчами для ряда уязвимостей, обнаруженных голландским исследователем Гвидо Франкеном (Guido Vranken) при помощи кастомного фаззера.

Франкен написал собственную версию libFuzzer и благодаря этому смог обнаружить серьезные баги в OpenVPN, которые были с успехом пропатчены в конце июня. Кроме этих уязвимостей, в FreeRADIUS также проявилась утечка памяти, связанная с неправильным использованием OpenSSL API в OpenVPN, и участники проекта посчитали нужным заказать исследователю более тщательную проверку их серверного софта. В итоге Франкен обнаружил 15 уязвимостей: девять в RADIUS (пять из них неэксплуатируемые, а две – RCE) и шесть в DHCP.

«Все оказалось гораздо хуже, чем мы думали», – комментирует результат Алан Декок (Alan DeKok), основатель проекта FreeRADIUS. Дело в том, что четыре коммерческих инструмента для статистического анализа, используемые на проекте со времени выхода версии 3, пропустили все эти баги.

«Меня больше всего обескуражила несостоятельность этих анализаторов, – продолжает Декок. – Каждый из них что-то выловил, но ни один не нашел ошибки, выявленные фаззингом. Похоже, инструменты статического анализа лучше всего отыскивают проблемы при более сложном состоянии программ, к примеру, при вызове функций другими функциями. Сложные состояния данных, такие как при парсинге пакетов, они анализируют гораздо хуже».

Некоторые уязвимости, обнаруженные с помощью фаззера, оценены как критические, однако их эксплойт в большинстве случаев проблематичен. Он возможен, например, если RADIUS-сервер находится в частной сети и доступен лишь управляемым устройствам. Тем не менее, разработчики предупреждают, что атака все же вероятна в тех случаях, когда работа сервера регламентируется соглашением о роуминге или он размещен в общедоступном сегменте интернета (что не рекомендуется).

«Внесу ясность: из конечной точки эксплуатировать эти уязвимости невозможно, – подчеркнул Декок. – Даже роуминг-группы обычно используют IPSec или TLS для транспортировки RADIUS-трафика, то есть в большинстве случаев эти бреши им тоже не страшны. Уязвимы те, кто разместил RADIUS-сервер в открытом доступе, это всегда затрудняло обеспечение безопасности – из-за проектных ограничений RADIUS».

Серверы RADIUS работают по одноименному протоколу, облегчающему аутентификацию и авторизацию пользователей, подключенных к сетевым сервисам. Безопасность таких серверов, по мнению Декока, «неудовлетворительна» с точки зрения проектировщика, так как пакеты запроса доступа на сервер (Access Request) не содержат цифровой подписи.

«Если бы они имели подпись, нынешние проблемы не были бы столь остры, – пояснил собеседник Threatpost. – Предложение стандартизировать подпись для пакетов Access-Request было впервые озвучено еще в 2007 году, когда был опубликован RFC 5080. Сам я добиваюсь этого как минимум с 2004 года, если мне не изменяет память».

«Меня огорчает, что большинство вендоров RADIUS не последовали этому совету десятилетней давности и ограничились соответствием RFC 5080, – продолжает Декок. – Расходы на введение подписей для пакетов ничтожны: 18 байт на пакет, один прогон HMAC-MD5 да разве что 20 строк кода. Тем не менее, прошло 10 лет, а я так и не могу назвать хотя бы одного вендора RADIUS (FreeRADIUS не в счет), который бы подписывал все пакеты Access-Request по умолчанию».

Уязвимостям, подробно изложенным в бюллетене FreeRADIUS, подвержены версии 2 и 3 этого продукта. По словам Декока, созданный Франкеном фаззер будет интегрирован в дальнейшие релизы FreeRADIUS.

Дата: 2017-07-18 17:28:14

Источник: https://threatpost.ru/freeradius-update-patches-bugs-static-analysis-tools-missed/21946/



Личные данные 4 миллионов клиентов Dow Jones утекли в Сеть

Крис Викери обнаружил очередную базу в открытом доступе. На этот раз пострадала аналитическая компания Dow Jones.

Американская аналитическая компания Dow Jones ненамеренно опубликовала в открытом доступе данные 4 миллионов своих клиентов. Утечка была обнаружена в июне текущего года исследователем безопасности Крисом Викери (Chris Vickery).

В открытом доступе оказались личные данные подписчиков аналитической компании Dow Jones, включая имена, внутренние идентификаторы, адреса, платежные реквизиты и 4 последние цифры пластиковых карт.

Компания Dow Jones подтвердила утечку данных, однако не считает инцидент чем-то серьёзным. По мнению аналитиков Dow Jones, попавшие в открытый доступ данные не являются конфиденциальными, поскольку не содержат пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об утечке.

Утечка произошла из-за некорректно настроенных политик безопасности AWS S3.

Дата: 2017-07-18 16:19:22

Источник: http://www.securitylab.ru/news/487419.php



Более 70 тыс. серверов Memcached позволяют удаленное выполнение кода

Исследователи Cisco Talos опубликовали статистику по количеству уязвимых установок Memcached в интернете.

Подразделение Cisco Talos опубликовало статистику по количеству уязвимых установок уязвимой версии популярного кеширующего сервера Memcached. В прошлом году исследователи обнаружили 3 уязвимости в Memcached CVE-2016-8704, CVE-2016-8705 и CVE-2016-8706, позволяющих удаленно выполнить произвольный код.

Спустя почти 8 месяцев после выхода исправлений безопасности от производителя далеко не все пользователи установили обновление. Исследователи из Cisco Talos провели два сканирования сети Интернет в феврале и июне текущего года в поисках уязвимых версий Memcached и получили слегка шокирующие результаты.

 

Февраль 2017

Июнь 2017

Общее количество серверов Memcached

107786

106001

Кол-во уязвимых серверов

85121

73403

Кол-во уязвимых серверов, защищенных паролем

23707

18012

Таким образом, более 69% установок Memcached в сети Интернет уязвимы и позволяют злоумышленнику выполнить произвольный код на уязвимой системе.

Memcached – популярный кеширующий web-сервер с открытым исходным кодом.

Дата: 2017-07-18 15:50:02

Источник: http://www.securitylab.ru/news/487418.php



Google предлагает попробовать новый метод двухэтапной авторизации

На этой неделе Googleinfo-icon планирует начать предлагать пользователям попробовать систему двухэтапной аутентификации Google Prompt, внедренную около года назад.

Google Prompt доступна для смартфонов на базе операционных систем Androidinfo-icon и iOS, она позволяет подтверждать запрос на двухэтапную авторизацию, просто нажав кнопку «Да» на всплывающем окне. В феврале этого года Google добавила отображение уведомлений о попытках входа в систему в режиме реального времени.

Помимо этого, Google Prompt предоставляет пользователям возможность блокировать несанкционированный доступ к своей учетной записи.

«Пользователям должно прийти приглашение попробовать Google Prompt вместо SMS в качестве способа двухэтапной авторизации. У вас будет возможность сразу выбрать, включить или отключить эту функцию» - объясняет интернет-гигант в своем блоге.

В июле прошлого года Национальный институт стандартов и технологий (NIST) признал двухэтапную SMS-авторизацию устаревшей после того, как был опубликован документ, в котором раскрываются уязвимости этого метода, позволяющие проводить простые атаки.

«Мы пытаемся показать преимущества нового метода перед SMS-сообщениями и одноразовыми паролями, ведь он гарантирует, что аутентификация происходит через зашифрованное соединение» - отмечает Google.

Чтобы использовать новый метод двухэтапной авторизации на устройствах iOS, потребуется установить приложение Google Search.

Дата: 2017-07-18 15:42:09

Источник: https://www.anti-malware.ru/news/2017-07-18/23457



Критическая уязвимость в Cisco WebEx

Злоумышленник может выполнить произвольный код на уязвимой системе.

В популярном браузерном плагине Cisco WebEx для видеоконференций исправлены опасные уязвимости. Компания Cisco вчера выпустила исправления безопасности, затрагивающие расширение для браузеров Mozilla Firefox и Google Chrome. Плагины для других браузеров не подвержены уязвимости.

Обнаруженная уязвимость CVE-2017-6753 позволяет злоумышленникам выполнить произвольный код на системе пользователя при посещении вредоносного сайта. Никаких дополнительных действий со стороны пользователя не требуется для успешной эксплуатации уязвимости.

Производитель рекомендует всем пользователями плагина Cisco WebEx установить последнюю версию 10.0.12.

Cisco WebEx – программное обеспечение для проведения вебкастов. Является достаточно распространенным приложением и насчитывает около 20 миллионов пользователей во всем мире.

Дата: 2017-07-18 15:21:00

Источник: http://www.securitylab.ru/news/487417.php



Уничтожен твиттер-ботнет «для взрослых»

В прошлом месяце исследователи обнаружили Twitter-ботнет «для взрослых» (его уже деактивировали). Он включал в себя 86 262 аккаунта, и за последние полгода от их лица вышло более 8,6 миллионов твитов, которые пытались заманить мужчин на порнографические сайты или дейтинговые сервисы.

Команда ZeroFOX провела исследование, уникальное тем, что ботнет был активен на момент, когда его нашли. По словам менеджера компании Зака Аллена, исследователям редко удается наблюдать такой тип ботнетов в действии, и это дало команде уникальные знания о том, как он работает.

Также Зак утверждает, что ботнет задействовал обширную сеть автоматически сгенерированных Twitter-аккаунтов, распространявших ссылки, которые вели на заспамленные порнографические сайты.

По словам исследователей, боты заманивали пользователей двумя путями: либо они цитировали твиты «жертв», либо оставляли вредоносную ссылку в своем профиле или в закрепленном твите.

Анализ «живого» ботнета позволил команде ZeroFOX определить, что за период с февраля по июнь 2017 года 30 миллионов пользователей кликнули по зловредным ссылкам.

Исследование также говорит о том, что этот ботнет связан с другим, обнаруженным ранее Брайном Кребсом. В обоих случаях использовалась схожая тактика, а пользователей вели на одну и ту же сеть порно-ресурсов. Они располагались на пяти доменах, два из которых принадлежат Deniro Marketing (Калифорния). Компанию подозревают в том, что она работает как рекламный партнер и получает комиссию, генерируя трафик на сайты «для взрослых».

Deniro Marketing не предоставила нашему изданию комментарий по этому поводу.

Уникальность Twitter-ботнета заключается в том, что для его работы не нужно захватывать или оплачивать ресурсы, как это делают при создании обычных ботнетов. Также Twitter-боты не засоряют почтовые ящики пользователей, а «ловят» их в социальных сетях.

Дата: 2017-07-18 14:40:18

Источник: https://threatpost.ru/botnet-tweeting-spamming-porn-shut-down/21939/



SET v7.7 - The Social-Engineer Toolkit “Blackout”

The Social-Engineer Toolkit (SET) was created and written by the founder of TrustedSec. It is an open-source Python-driven tool aimed at penetration testing around Social-Engineering. SET has been presented at large-scale conferences including Blackhat, DerbyCon, Defcon, and ShmooCon. With over two million downloads, SET is the standard for social-engineering penetration tests and supported heavily within the security community.

The Social-Engineer Toolkit has over 2 million downloads and is aimed at leveraging advanced technological attacks in a social-engineering type environment. TrustedSec believes that social-engineering is one of the hardest attacks to protect against and now one of the most prevalent. The toolkit has been featured in a number of books including the number one best seller in security books for 12 months since its release, “Metasploit: The Penetrations Tester’s Guide” written by TrustedSec’s founder as well as Devon Kearns, Jim O’Gorman, and Mati Aharoni.


The next major revision of The Social-Engineer Toolkit (SET) v7.7 codename “Blackout” has just been released. This version incorporates support for hostnames in the HTA attack vector, and a redesigned Java Applet attack vector. Java is still widely used in corporations and with a valid code signing certificate can be one of the easiest ways to get a shell in an organization. In this version, the Java Applet is substantially more improved on reliability, evasion, and code execution. In addition, it’s now possible to specify a text file that has multiple commands to execute which you can incorporate your own payloads. Before you could only use either your own EXE or the Meterpreter shells built into SET. If you are doing something like your own PowerShell payload or another framework, you can have multiple commands:
command1,command2,command3

This will execute each command in sequence and since through HTML parameters, can be as large as you want them to be.

 For a video on the new text feature within the Applet, visit below.

"https://player.vimeo.com/video/225029775?title=0&byline=0&portrait=0"


Changelog:
~~~~~~~~~~~~~~~~
version 7.7
~~~~~~~~~~~~~~~~

* rewrote grab_ipaddress() function to be a centralized routine that incorporates hostnames or IP addresses.
* rewrote grab_ipaddress() to include automatic detection of ipaddress or failover to manual entry. This will allow easier selection fo IP addresses without having to drop into a different window
* add hostname support for hta attack vector
* removed deploy binaries as a default option in the set.config file
* added ability for new menu for java applet that now allows you to specify multiple commands – useful if you want to insert things like empire payloads, etc.
* rewrote java applet to have additional functionality for multiple command menu
* better handling on command output
* fixed custom applet from not working properly
* fixed custom executable from not working properly
* added new unsigned obfuscated jar file
* added Java.java source files for customization
* added new Java Applet self-signed with new expirations

Дата: 2017-07-18 14:30:38

Источник: http://www.kitploit.com/2017/07/set-v77-social-engineer-toolkit-blackout.html