Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Серверы и приложения на JavaScript уязвимы к ReDoS-атакам

О проблеме известно еще с 2012 года, однако до сих пор она оставалась недооцененной.

Web-приложения на JavaScript уязвимы к атакам отказа в обслуживании с использованием регулярных выражений (Regular expression denial of service, ReDoS). Атака известна уже давно, однако до сих пор оставалась недооцененной.

ReDoS предполагает отправку злоумышленником объемных и сложных текстов web-серверу на JavaScript или приложению. Если компонент сервера или библиотека приложения не настроена специально для обработки краевых случаев, вводимые атакующим данные могут заблокировать работу приложения или сервера на секунды или даже на минуты, пока сервер будет анализировать эти данные и искать соответствия.

ReDoS-атаки на серверы на базе JavaScript были описаны исследователями еще в 2012 году. Однако в то время JavaScript, в частности Node.js, не пользовался такой популярностью у web-разработчиков, как сейчас, поэтому над исправлением проблемы никто не задумывался. Согласно прошлогоднему исследованию , 5% от всех уязвимостей в библиотеках и приложениях Node.js – это ReDoS-уязвимости.

Как сообщают специалисты Дармштадтского технического университета, сейчас проблема становится все более серьезной. Кристиан-Александру Стаику (Cristian-Alexandru Staicu) и Михаэль Прадел (Michael Pradel) обнаружили в популярных модулях Node.js 25 ранее неизвестных уязвимостей. По их словам, злоумышленник может создать специальные пакеты и с их помощью атаковать сервер через эти уязвимости.

Данные пакеты на несколько секунд или даже минут заблокируют работу сервера. Дело в том, что сервер будет пытаться сопоставить текст внутри пакетов с регулярными выражениями (regex) и решить, как дальше поступать с полученными данными. Подобные regex-фильтры в полях для ввода данных весьма распространены, поскольку являются основой для XSS-фильтров.

Сама по себе атака может вызвать неприятные последствия, однако повторяющаяся отправка пакетов способна причинить еще больший ущерб.

Регулярные выражения – формальный язык поиска и осуществления манипуляций с подстроками в тексте, основанный на использовании метасимволов. Для поиска используется строка-образец, состоящая из символов и метасимволов и задающая правило поиска.

Дата: 2018-08-20 12:57:43

Источник: http://www.securitylab.ru/news/495174.php



Ошибка в Twitch позволила читать сообщения пользователей

Некоторые сообщения содержали конфиденциальную информацию.

Платформа Twitch предупредила пользователей об ошибке в одной из устаревших функций. Проблема позволяет прочитать некоторые сообщения пользователей.

«5 мая 2018 года Twitch удалил устаревшую функцию «Сообщения» и предоставил пользователям возможность загружать архив прошлых сообщений», - следует из сообщения компании.

«Из-за ошибки в коде, который генерировал файлы архива сообщений, небольшой процент данных был включен в неправильные архивы. В результате некоторые пользователи могут иметь одно или несколько ваших сообщений в своем архиве», - добавили представители Twitch в письме.

Проблема затронула только сообщения Twitch. В архивах отсутствовали данные, отправленные через систему Twitch Whisper.

Пользователи могут посетить twitch.tv/messages/archive и посмотреть, не включена ли чужая информация в их архивы. Как сообщили пользователи Twitch в соцсети Twitter, некоторые сообщения содержали конфиденциальную информацию.

Дата: 2018-08-20 11:14:43

Источник: http://www.securitylab.ru/news/495165.php



[Перевод] USB-агитация от HRF (Human Rights Foundation) “Flash Drives for Freedom”

image
Пролог
Действенным компонентом защищенного периметра агрессивной стратегии Информационной Безопасности является процедура запрета на подключение, использование и любое задействование USB-накопителей, встроенных считывателей (карт-ридеров) и дополнительных устройств на защищаемом оборудовании.

Ведь внешние (принесенные пользователем) USB-накопители часто являются потенциальными источниками заражения (носителями вирусов и шпионских программ) и хаоса на рабочем месте.
Кроме этого, пользователь может скопировать конфиденциальную информацию, вынести USB-накопитель, потерять его и т.д.

Даже когда просто находишь USB-накопитель на улице, то лучше проверить его, подключив к устройству с Linux.

Ну хорошо, а когда под рукой много USB-накопителей – не выкидывать же их? Я, например, записываю на такие неиспользуемые USB-накопители образы Linux Mint и просто раздаю знакомым и друзьям для их установки.

Но вот как можно использовать такие ненужные накопители против целой страны… Про это история ниже.


Сокращение далее по тексту — Human Rights Foundation — HRF.

Организация по защите прав человека пытается оказать влияние извне на часть населения самого закрытого общества в мире, используя только USB-накопители (пожертвованные, использованные ранее и т.п.).

image

В 2016 году фонд Human Rights Foundation запустил механизм «Flash Drives for Freedom» (пожертвуй Флэшки за Свободу) с целью дестабилизации канонов тоталитарной системы Северной Кореи, делая упор на создание в будущем более свободного и открытого общества, путем предоставления возможности населению доступа к внешней цифровой обучающей информации, не полагаясь на помощь дипломатов и без проведения любых военных операций.

К концу 2016 года в страну было нелегально доставлено порядка 10000 USB-накопителей, загруженных «подрывным» контентом.

«Истина — невероятно опасное оружие, — сказал Алекс Гладштейн, директор по стратегическим вопросам Human Rights Foundation.

Часто называемая «Королевством отшельника», Северная Корея является одним из самых закрытых обществ в мире.

image

Жителям Северной Кореи запрещено иметь «неодобренные» электронные устройства, даже такие как портативные DVD-плееры, но многие из них покупают такие устройства на черном рынке. Помимо воспроизведения DVD-дисков, многие такие устройства могут подключать и читать USB-накопители или внешние жесткие диски.

image

Поскольку портативные DVD-плееры стали более популярными у жителей Северной Кореи, то активистские организации за пределами страны проанализировали возможность того, что эти устройства могут быть идеальным элементом троянского коня для подрыва текущей пропаганды режимы.

В Северной Кореи происходит бурный рост черного рынка различных товаров, от одежды и сигарет до современной электроники.

Вот тут и начинает действовать механизм «Flash Drives for Freedom».

HRF и ее южнокорейские партнеры наполняют черный рынок бесплатными USB-накопителями с простым и понятным видео или аудио контентом. Например, Южнокорейское телевизионное шоу, ведь это очень открытый и понятный способ убедить граждан Северной Кореи, что их соседи нормальные люди, у которых есть своя бурная жизнь и экономический рост.

HRF позволяет своим южнокорейским партнерам, которым помогают перебежчики из Северной Кореи, выяснять, какою информацию лучше копировать на USB-носители. В основном это записи южнокорейских мыльных опер, статей из Википедии, копии фильмов Болливуда и Голливуда.

Как только набирается достаточная партия из USB-накопителей, их обрабатывают (стирают все данные, убирают все логотипы и надписи, записывают агитационный медаиконтент), HRF передает партии от 500 до 1000 накопителей за один раз своим партнерам.

image

В первое время использовались воздушные шары для таких поставок.

image

Сейчас используются дроны, которые позволяют разбрасывать USB-накопители не сразу большими партиями, а по несколько штук, например.

image

Дронов дистанционно пилотируют из Южной Кореи в приграничную и далее области Северной Кореи, где население внутри страны забирает их и помогает их распределять. Дроны обычно возвращаются обратно, чтобы перенести следующую партию накопителей.

«У некоторых наших партнеров есть контакты, которые получают накопители и разбрасывают их по рынкам и прочих местам внутри городков и деревень», — утверждает Гладштейн. «Затем, в рассветные часы, местные дети находят многие из накопителей и даже продают их ради прибыли, учитывая, что они ценны. Гениально!»

Гладштейн заявил, что перебежчики и западные журналисты, которые посещали Северную Корею, все чаще видят изменения внутри. «Почти каждый северокорейский перебежчик и беженец, с которым мы когда-либо встречались, вступали в контакт с высылаемой нами иностранной информацией, когда они жили в Северной Корее», — сказал он.

Эпилог
Более двух лет работает данная программа уже и продолжает функционировать.
О ней можно ознакомится по этому адресу:
flashdrivesforfreedom.org

В итоге в 2018 году механизм «Flash Drives for Freedom» реализовал:
— 125,000 флэшек были пожертвованы, обработаны и запущены внутрь периметра страны;
— 1.3 миллиона человек в Северной Корее получили материалы косвенно или ознакомились с контентом с флэшек напрямую;
— в общем 50 миллионов часов необходимо для чтения материалов, что содержал контент в составе накопителей;
— в общем 2.1 миллиона часов медиаконтента было записано на накопителях.

Вопрос про механизм стирания пожертвованных накопителей остается. Как и возможность их восстановления за периметром.


image

Дата: 2018-08-20 11:13:13

Источник: https://habr.com/post/420659/



Конференция и тренинги по безопасности железа Hardwear.io 2018

С 11 по 14 сентября в Гааге, Нидерланды, пройдет Hardwear.io 2018 — конференция и тренинги о последних исследованиях в сфере атак и защиты аппаратных решений.

О чем расскажут?

В этому году поговорят о телекоммуникациях, смарт-устройствах, автомобильной индустрии, устройствах SCADA/ICS, реверс-инжиниринге интегральных схем, медицинском оборудовании и не только.

Как будет проходить?

Еще что-нибудь?

Традиционный конкурс по взлому железа — Hardware CTF. В списке тем — RFID, Bluetooth, автомобили, радио и другое. Вам предоставят инструменты для взлома оборудования, такие как паяльник и логический анализатор, а также руководство по их использованию. К участию приглашаются все желающие.

Как попасть на Hardwear.io?

Зарегистрироваться на официальном сайте мероприятия и приобрести билет.

Кристина Климовских

Дата: 2018-08-20 11:08:33

Источник: https://tproger.ru/events/hardwear-io-2018/



В модулях Node.js обнаружены 25 уязвимостей, открывающих веб-приложения и серверы для ReDoS-атак

Исследователи из Дармштадтского технического университета (Германия) обнаружили 25 новых уязвимостей в модулях Node.js. Они открывают веб-серверы и приложения для ReDoS-атак, приводящих к отказу в обслуживании на протяжении от нескольких секунд до минуты.

На данный момент обнаружено 340 веб-сайтов, содержащих хотя бы одну из уязвимостей. Полное описание брешей доступно в статье.

Вид атаки

ReDoS-атаки (Regular Expression Denial of Service) используют недостатки производительности кода при работе с регулярными выражениями. Злоумышленник может загрузить на сервер или в приложение в качестве входных данных большой и сложный кусок текста. Если компоненты сервиса специально не предназначены для обработки таких разнообразных типов данных, это полностью заблокирует ресурс или приложение на время, которое ему потребуется, чтобы разобраться с входным массивом.

Отправка друг за другом нескольких таких пакетов приведет к более продолжительной «заморозке» сервера.

Для такой атаки уязвимы множество языков программирования и веб-сервисов. В случае с JavaScript последствия хуже из-за того, что язык использует однопоточную модель выполнения, когда каждый запрос обрабатывается по очереди. В итоге ReDoS-атака не замедляет какую-то конкретную операцию, а блокирует работу всего сервера.

О ReDoS-атаках стало известно еще в 2012 году, однако в то время JavaScript, а конкретно — Node.js, не так широко использовался в веб-разработке, поэтому больше пяти лет проблему игнорировали.

25 модулей

Исследователи привели список модулей, в которых обнаружена хотя бы одна из неизвестных ранее уязвимостей:

уязвимые для ReDoS-атак модули Node.jsуязвимые для ReDoS-атак модули Node.js

Они сообщили о наличии брешей разработчикам npm-модулей и выложили на GitHub proof-of-concept-эксплойт для каждой из них. Также исследователи создали инструмент, с которым можно выявлять уязвимые сайты, не проводя полноценную атаку. Таким образом было обнаружено 339 ресурсов — 12 % от всех, что основаны на Node.js.

В июле 2018 года хакеры смогли незаметно подменить npm-пакеты для анализа JavaScript-кода на копии с вредоносным ПО для хищения учетных данных. До того, как взлом обнаружили, злоумышленники получили доступы к записям 4,5 тысячи разработчиков.

Источник: Bleeping Computer

Екатерина Никитина

Дата: 2018-08-20 10:03:54

Источник: https://tproger.ru/news/redos-25-nodejs-vulnerabilities/



В первой половине 2018 года в ходе утечек было раскрыто 2,6 млрд записей

Наиболее пострадали от утечек представители сферы бизнеса, здравоохранения, госуправления и образования.

В первой половине 2018 года зафиксировано 2308 утечек данных, в ходе которых было раскрыто порядка 2,6 млрд записей, следует из опубликованного компанией Risk Based Security отчета.

Согласно докладу, 5 утечек привели к раскрытию 100 млн записей каждая. Самый крупный связанный с хищением данных киберинцидент, зарегистрированный в текущем году, является утечкой индийской биометрической базы Aadhaar. В ходе происшествия было раскрыто 1,19 млрд записей.

Наиболее пострадали от утечек представители сферы бизнеса (40%), здравоохранения (8,3%), госуправления (8,2%) и образования (4,5%). 40% организаций не были классифицированы в отчете.

Как отметили эксперты, заметно значительное сокращение числа утечек данных в первом квартале по сравнению с 2017 годом, однако во втором квартале число инцидентов снова возросло.

Самым популярным методом атаки для хищения учетных данных остается фишинг. Украденные учетные данные используются для получения доступа к системам при целенаправленных атаках.

«Хотя мы ожидаем, что хакерство останется основной причиной утечек данных, нельзя не принимать во внимание и случайности. Некорректно настроенные сервисы, серверы S3 и даже неправильная обработка электронной почты привели к большому количеству инцидентов», - отметили специалисты.

Дата: 2018-08-20 09:17:58

Источник: http://www.securitylab.ru/news/495163.php



Обнаружен способ обхода двухфакторной аутентификации Microsoft

Авторизоваться от имени легитимного пользователя можно, проэксплуатировав уязвимость в службе ADFS.

Эксперты по кибербезопасности из компании Оkta REX обнаружили способ обхода двухфакторной аутентификации в ОС Windows с помощью уязвимости в службе ADSF (Active Directory Federated Services). Проблема позволяет злоумышленнику повторно использовать один и тот же токен для авторизации от имени легитимного пользователя.

По словам специалистов, система аутентификации ADFS не проверяет соответствие данных при получении запроса на доступ. Таким образом, хакер может использовать перехваченный ранее ключ авторизации.

Для успешного обхода аутентификации злоумышленнику необходимо параллельно отправить два запроса на авторизацию от лица двух разных пользователей. Далее хакеру нужно обнаружить MFA-контекст одного из пользователей, подтверждающий ввод дополнительного ключа.

Проблема заключается в том, что актуальность данного файла определяется файлом cookie, однако операционная система не соотносит контекст с именем пользователя, позволяя злоумышленнику отправить данные одного пользователя с cookie-файлом другого, после чего авторизоваться.

Данная атака работает и на других устройствах, использующих решения на базе ADFS, например, Authlogics, Duo Security, Gemalto, Okta, RSA и SecureAuth. В настоящее время Microsoft выпустила исправления, устраняющие проблему.

Дата: 2018-08-20 08:50:00

Источник: http://www.securitylab.ru/news/495162.php



Екатеринбургские хакеры похитили у банков 1,2 млрд руб.

Преступники разработали и распространяли через интернет вредоносное ПО для доступа к счетам клиентов кредитных организаций.

Жители Екатеринбурга Константин М. и Игорь М. обвиняются в участии в преступной группировке, проворачивающей крупные мошеннические операции в сфере компьютерной информации.

По данным следствия, совместно с сообщниками преступники разработали и распространяли через интернет вредоносное ПО, с помощью которого им удалось получить несанкционированный доступ к счетам клиентов различных кредитных организаций. В общей сложности группировка похитила 1,2 млрд руб.

Помимо чужих банковских счетов, злоумышленники также сумели получить доступ к базе данных екатеринбургского аэропорта Кольцово, сообщает сайт banki.ru.

Генеральная прокуратура выдвинула против мужчин обвинения в участии в преступном сообществе, мошенничестве в особо крупном размере, неправомерном доступе к компьютерной информации, а также в создании, использовании и распространении вредоносных компьютерных программ.

В настоящее время уголовное дело против Константина М. и Игоря М. направлено в Кировский районный суд Екатеринбурга. В качестве меры пресечения для обвиняемых выбрано заключение под стражу.

Дата: 2018-08-20 07:05:33

Источник: http://www.securitylab.ru/news/495160.php



Обзор инцидентов безопасности за период с 13 по 19 августа

Краткий обзор главный событий в мире ИБ за прошедшую неделю.

Прошедшая неделя оказалась богатой на события в сфере информационной безопасности. Инциденты отличаются большим разнообразием, начиная от взлома Apple и заканчивая утечкой секретных данных британского и канадского правительств. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ за период с 13 по 19 августа 2018 года.

На прошлой неделе SecurityLab несколько раз сообщал о различных мошеннических схемах, главным инструментом в которых является шантаж. В частности, злоумышленники сообщают жертвам по электронной почте о взломе их телефона и записи видео с помощью web-камеры. За удаление «компрометирующего» ролика шантажисты требуют $1 тыс. в биткойнах.

Еще один вид мошенничества, о котором сообщал SecurityLab, – угрозы доложить властям о незаконным репосте. Известен как минимум один случай вымогательства выкупа в размере $150 в биткойнах у пользователя соцсети «ВКонтакте» за недонесение за репост.

Что касается взломов, то на прошлой неделе стало известно об атаке на второй крупнейший в Индии банк Cosmos Bank. За три дня хакерам удалось украсть более 940 млн рупий ($13,5 млн).

Жертвой взлома также стала компания Apple, однако в данном случае хакера не интересовали деньги. Австралийскому подростку удалось поникнуть в сети компании и похитить 90 ГБ данных. По словам адвокатов юноши, он является горячим поклонником продукции Apple и взломал компанию в надежде привлечь к себе ее внимание и получить работу.

Если Apple стала жертвой утечки по вине хакера, то правительства Великобритании и Канады допустили утечку конфиденциальных данных по собственному недосмотру. Из-за некорректной настройки страниц сервиса для управления проектами Trello в Сеть утекла информация об уязвимостях в ПО, планы по обеспечению безопасности, пароли и пр.

Вероятно, тысячи данных жителей Омска оказались разбросанными по улицам также по недосмотру. В среду, 15 августа, на улице 10 лет Октября между улицами Жукова и Пушкина были разбросаны тысячи оплаченных квитанций за газ. Разносимые ветром бланки содержали такую информацию, как имена и фамилии граждан, их адреса и номера лицевых счетов.

Точкой входа в корпоративные сети для хакеров могут послужить факсы. На конференции DEFCON в Лас-Вегасе специалисты компании Check Point представили атаку Faxploit на протокол передачи факсов T.30. Атака предполагает эксплуатацию двух уязвимостей переполнения буфера в компонентах протокола, обрабатывающих маркеры DHT и COM (CVE-2018-5924 и CVE-2018-5925 соответственно).

Специалисты Принстонского университета представили атаку на электросети с использованием водонагревательных приборов и другой энергоемкой бытовой техники. По данным ученых, с помощью IoT-ботнета можно спровоцировать скачки напряжения, способные вывести электросети из строя и вызвать масштабное отключение света.

На прошлой неделе в очередной раз напомнила о себе печально известная группировка DarkHotel. Исследователи безопасности из компании Trend Micro раскрыли подробности о новой вредоносной кампании, в ходе которой группировка активно эксплуатировала уязвимость нулевого дня в движке VBScript.

Дата: 2018-08-20 06:57:35

Источник: http://www.securitylab.ru/news/495159.php



В России хакер взломал платежный терминал прямо из тюрьмы

Злоумышленник с помощью сообщника похитил из терминала более 35 тыс. рублей.

29-летний хакер похитил из установленного в Орске платежного терминала 35 300 рублей, находясь при этом в в одной из исправительных колоний Ивановской области, сообщает портал Orsk.ru.

Данное преступление злоумышленник совершил с помощью сообщника, которого нашел по объявлению в интернете. Пособник хакера установил на терминал программу для получения удаленного доступа, после чего заключенный взломал его с помощью смартфона.

Правоохранительные органы вычислили злоумышленника, когда он уже вышел на свободу. Хакер признался в совершении преступления и заключил со следствием досудебное соглашение.

Советский районный суд города Орска приговорил мужчину к 1 году и 7 месяцам лишения свободы в колонии строгого режима с последующим ограничением свободы на 6 месяцев. Уголовное дело в отношении сообщника в настоящее время находится на рассмотрении суда.

Дата: 2018-08-20 06:52:49

Источник: http://www.securitylab.ru/news/495158.php