Загрузка...

Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 26.04.2016, 08:33   #1031
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума

IT-безопасность-свежие новости.


Спамеры научились обманывать защиту сайтов невидимыми буквами

Специалисты компании Sucuri, занимающейся защитой сайтов от вторжений и DDoS-атак, обнаружили необычную разновидность спама, появляющегося на взломанных сайтах. Чтобы скрыться от фильтров, он возрождает полузабытые трюки, которые были в ходу у поисковых оптимизаторов двадцать лет назад.

Специалист Sucuri Питер Грамантик рассказывает в блоге компании про найденный на взломанном сайте фрагмент HTML, который выглядит как поисковый спам с призывом покупать виагру в Канаде.
Нажмите чтобы раскрыть спойлер

На первый взгляд в этом объявлении нет ничего необычного. После взлома спам про виагру появляется на сайтах с WordPress или Joomla так часто, что для него даже придумали специальный термин: pharma hack. Как правило, смысл такого спама заключается в том, чтобы окольными путями повлиять на позиции, которые торгующий виагрой магазин занимает в результатах Google.

Внимание Грамантика привлекла одна странность: программное обеспечение Sucuri почему-то не засекло добавленное спамером объявление, хотя оно сверху донизу набито подозрительными словами. Фильтры не должны были пропустить «виагру», но это произошло.

Ларчик открывался просто. Чтобы увидеть, что не так с этим спамом, достаточно выделить его текст. Буквы, которые видят посетители сайта, со всех сторон окружены невидимой бессмыслицей.
Нажмите чтобы раскрыть спойлер

Писать белыми буквами по белому фону — это старейший трюк в арсенале поисковых оптимизаторов. Во времена, когда главной поисковой системой считалась Altavista, только ленивый не прятал в подвале сайта невидимый список популярных запросов. Этого было достаточно для того, чтобы обмануть и поисковик, и посетителей.

Времена изменились, и довольно давно. Google и «Яндекс» провести гораздо сложнее, чем Altavista. Сегодня попытка спрятать на странице невидимый текст может закончиться исключением провинившегося сайта из результатов поиска.

С точки зрения поисковой оптимизации объявление про виагру, которое нашёл Грамантик, в лучшем случае бессмысленно, в худшем — опасно. Выходит, что оно рассчитано не на поисковики, а на людей, хотя и распространяется типичным для поискового спама методом.

Что касается доисторических фокусов с невидимым текстом, то их адресат тоже иной. Они призваны обманывать не поисковики, которые видали и не такое, а бесхитростные противоспамовые фильтры — такие, например, как у Sucuri. «Древность трюка вовсе не значит, что он устарел», — заключает Грамантик.

источник
__________________
  Ответить с цитированием
Загрузка...
Re: IT-безопасность-свежие новости.
Старый 26.04.2016, 08:40   #1032
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Ключевая утилита Windows помогает обойти AppLocker

Служебную программу командной строки Regsvr32, выполняющую регистрацию DLL в реестре Windows, можно использовать для удаленного исполнения кода в обход средств защиты, работающих на основании белых списков, – таких как AppLocker.

Эту возможность обнаружил и приватно раскрыл Microsoft исследователь, пожелавший остаться инкогнито. Пока неясно, будет ли решение Microsoft оформлено бюллетенем безопасности или появится в будущем релизе.

Утилита Regsvr32, также известная как Microsoft Register Server, – это подписанный Microsoft бинарный код, работающий на Windows по умолчанию. PoC-атака, разработанная исследователем, позволяет загружать и запускать JavaScript или VBScript, используя URL, вызываемый из командной строки. При этом сценарии атакующий должен находиться в системе. Технические детали PoC были опубликованы на прошлой неделе.

«JavaScript и VBScript блокируются многими защитными средствами, работающими по белым спискам, но здесь ограничений не будет, – пояснил исследователь журналистам Threatpost. – Тот факт, что код размещен на удаленной системе, предельно облегчает задачу. Кроме того, Regsvr32 поддерживает прокси и SSL, а значит, дополнительных настроек не потребуется. Можно добиться исполнения из любой удаленной точки».

По словам исследователя, возможность абьюза он открыл, исследуя способы обхода AppLocker. «На самом деле патч здесь не требуется, это не эксплойт, – добавляет собеседник Threatpost. – Это просто использование штатного инструмента непредусмотренным образом. По сути это обход, тактика маневра уклонения».

Проблему усугубляет тот факт, что Regsvr32 обычно требует прав администратора для запуска, лишь в этом случае утилита сможет регистрировать COM-объекты и DLL в операционной системе. «Ее обычно запускают только админы, – подтвердил исследователь-аноним. – Однако в данном случае я могу запустить ее как обычный пользователь. Мне удалось вызвать незарегистрированные методы и исполнить их с правами обычного пользователя».

В документации по Regsvr32 нет и намека на то, что утилита может принимать скрипты из интернета. В ходе недавних атак бесфайловых зловредов их загрузка из интернета осуществлялась с помощью Windows PowerShell; похоже, новую лазейку можно использовать аналогичным образом.

Автор PoC также подчеркнул, что обнаружить такую атаку будет очень трудно. «В системе остается не так уж много следов исполнения, – отметил исследователь, добавив, что аудитор командной строки вроде SysMon, конечно, зафиксирует в логах, что кто-то запустил Regsvr32 с URL в параметре. – Поскольку файл загружается по ссылке, отпечаток будет минимальным. Не уверен, что в системе при этом останется много индикаторов прогона».

источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 26.04.2016, 23:21   #1033
l| ЌǾĶ ╬ ŞỬ∑Ŧ§ |l
 
Аватар для kok-suets

 
Регистрация: 03.10.2010
Адрес: Санкт Петербург
Возраст: 32
Сообщений: 1 405

kok-suets вне форума
По умолчанию Re: IT-безопасность-свежие новости.

https://www.youtube.com/watch?v=TVwc9SZ3nJY
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 28.04.2016, 20:00   #1034
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Корректное понимание индикаторов взлома

Текст Dave Dittrich and Katherine Carpenter

Отчеты об APT-активности содержат подробности компрометации многочисленных организаций, секторов экономики, различных отраслей и даже стран (на протяжении многих лет). Как подчеркнули в некоммерческой исследовательской организации MITRE: «Организациям важно иметь доступ к данным о киберугрозах, и ключевым компонентом в этом случае является возможность обмена информацией с партнерами, коллегами по отрасли и другими доверенными организациями». Обмен данными об угрозах полезен для любых организаций, так как поступающие извне сведения способствуют усилению внутренней безопасности.

В ИБ-отрасли нередко можно встретить определение APT-активности как «атак», то есть подспудно, на уровне языковых средств, дефиниция формулируется таким образом, чтобы оправдать свое право на самооборону (с использованием очень эмоционального и широко трактуемого термина active defense, «активная оборона»). Мы считаем, что более корректным термином для определения APT-активности является «компрометация»: это в должной мере описывает нарушение целостности, доступности и/или конфиденциальности ИТ-систем и данных в атакуемой организации.

Меры, требуемые для гарантирования и поддержания работоспособного состояния организации при угрозе компрометации, включают в себя защиту, детектирование и ответную реакцию. Более агрессивные меры составляют категорию, которую исследователи Химма и Диттрих (Himma and Dittrich) называют Active Response Continuum — «континуум активного отклика». Если сторонник более агрессивных действий с целью обороны неспособен четко сформулировать и проанализировать последствия с точки зрения этики и права, он не может участвовать в реализации самых жестких мер и не может рассчитывать на снисхождение при нарушении закона с целью «самообороны«.

Если мы «закладываемся на взлом», то есть признаем, что может произойти компрометация и что обычный цикл мер защиты, обнаружения и реагирования должен быть нормой, а не исключением, то разумным будет задействовать всю имеющуюся информацию, чтобы эффективнее справиться с компрометацией. Эта информация поступает в виде характерных признаков (observables) и индикаторов компрометации (indicators of compromise, IOC) — в формате, описанном в статье MITRE от 2012 года, посвященной фреймворку Structured Threat Information eXpression, STIX.

Зачастую люди неправильно понимают характерные признаки и IOC ввиду недостатка знаний, неточности определений и других проявлений человеческого фактора (в некоторых случаях это «непонимание» имеет определенную цель и более походит на самоцель, чем на стремление улучшить состояние национальной безопасности для общего блага). Давайте посмотрим, как MITRE определяет эти термины.

«Характерные признаки компрометации — это имеющие определенное состояние свойства и измеряемые события безопасности, связанные с работой компьютеров и сетей. Информация о файле (название, хэш, размер и т.п.), значение ключа системного реестра, запуск службы, отправка HTTP-запроса — вот простые примеры характерных признаков компрометации. […] Индикаторы компрометации — это конструкции, используемые для подачи характерных признаков компрометации в совокупности с контекстной информацией с целью представления артефактов и/или заслуживающего внимания поведения в контексте кибербезопасности. Индикатор включает в себя несколько характерных признаков, контекстуализированных с учетом потенциально возможных инструментов, тактик и процедур, а также ряд релевантных метаданных — например, степень уверенности в индикаторе, ограничения по обработке, подтвержденные временные окна, возможный негативный эффект, различимость индикатора, необходимые для обнаружения механизмы тестирования структуры, оптимальный порядок действий, источник индикатора и т.п.».

MITRE также определяет ряд связанных между собой терминов, которые характеризуют более общие логические структуры и организационные цели: «инциденты»; «инструменты, тактики и процедуры» (TTP); «кампания»; «злоумышленник»; «порядок действий».

Как отметил в блоге Infosec Zanshin Алекс Сиейра (Alex Sieira), объединение характерных признаков и IOC, а также неправильное использование признаков приводят к большому количеству ложных срабатываний. То, что обычно преподносят как «сведения об угрозах», часто оказывается набором характерных признаков, которые не должны использоваться как единственное основание для генерации предупреждений системы безопасности. Вывод автора в целом верен, но то, о чем он пишет (IP-адреса, доменные имена, URL), — это характерные признаки, а не IOC. Автор разъясняет, что нельзя поднимать тревогу лишь из-за присутствия характерных признаков. По его мнению, предупреждения должны генерироваться на основании IOC, сочетающих множество характерных признаков и метаданные (степень уверенности и т.п.), — лишь таким образом можно снизить вероятность ложных срабатываний.

Давайте проанализируем еще один пример, как его описывает Джессика Децианно (Jessica Decianno) из Crowdstrike: «В сообществе экспертов-криминалистов IOC зачастую определяют как найденное на компьютере свидетельство, указывающее на нарушение безопасности сети». При этом она не приводит уместных цитат, и вообще непонятно, имеет ли эта дефиниция «от криминалистов» какое-либо отношение к данному вопросу.

Уилл Граджидо (Will Gragido) также использует термин «криминалистический артефакт«, но при этом подчеркивает, что IOC — это нечто большее.

И вновь обратимся к Crowdstrike: «Для киберсообщества IOC — это хэш MD5, C&C-домен, прописанный в коде IP-адрес, ключ реестра, имя файла и так далее. Эти IOC постоянно меняются, что делает проактивный подход к защите предприятия невозможным». И вновь подчеркнем: согласно определениям MITRE от 2012 года, все вышеперечисленное — это не IOC, а характерные признаки компрометации.

Росс и Брим (Ross, Breem) приводят живой пример IOC (ниже), демонстрирующий взаимосвязь составляющих и учет «постоянных изменений».
Нажмите чтобы раскрыть спойлер

Децианно применяет к индикаторам компрометации определения «унаследованный» и «пассивный», а также ассоциирует слово «проактивный» с новой концепцией — «индикатором атаки» (IOA); этот термин, по ее мнению, лучше, чем IOC. Определение IOA довольно размыто, но включает фразу «дает представление о ряде действий, которые нужно выполнить злоумышленнику, чтобы атака была успешной», — по аналогии с шагами, необходимыми для совершения преступления.

«С точки зрения кибербезопасности ценность IOA заключается в способности показать, каким образом злоумышленник проник в ваше окружение, получил доступ к файлам, выгрузил пароли, продвигался по сети и в конечном итоге вывел ваши данные», — пишет Децианно.

В терминах MITRE здесь речь явно идет об IOC вкупе со связанными «инцидентами», TTP, «кампанией» и «злоумышленником». Тот факт, что все эти сведения собираются и обрабатываются в реальном времени, не обуславливает их отличие от IOC. Он лишь подчеркивает необходимость сбора характерных признаков компрометации, их объединения и обогащения дополнительной информацией. Таким образом, они станут более полезными для «общих усилий по созданию, развитию и улучшению обмена структурированной информацией об угрозах», согласно MITRE. Зачем изобретать новый термин для уже существующего явления и отвергать общеупотребительную концепцию, которая помогает улучшить общее положение дел в киберобороне?

Если целью действительно является укрепление национальной безопасности в условиях роста киберпреступности (как в США, так и в других странах) путем повышения эффективности защиты, обнаружения и реагирования на угрозы, нужно в рамках отрасли перейти на ясный и единый язык ради общего блага. Если этого не сделать, намерения обеспечить безопасность могут не привести к желаемому результату. Дейв Диттрих — исследователь информационной безопасности из Центра изучения данных при Университете Вашингтона в Такоме.

Дейв ведет борьбу с компьютерными преступлениями с конца 1990-х и много пишет о состоянии хостов и сетей, о ботах и ботнетах, о DDoS, а также об этике компьютерных исследований и об Active Response Continuum.

Кэтрин Карпентер (Katherine Carpenter) — независимый консультант. Она занимается исследованиями в области обеспечения приватности и безопасности данных, а также вопросами этики компьютерных исследований. В прошлом Кэтрин специализировалась в области этики биотехнологий и здравоохранения.


Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 29.04.2016, 09:10   #1035
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Компания из Франции спрятала бэкдор в 12 миллионах компьютеров

Специалисты Cisco обнаружили, что популярные приложения французской фирмы Tuto4PC ведут себя как типичные трояны. Они прячутся от антивирусов, собирают информацию о пользователях, ожидают указаний с командного сервера и могут без разрешения устанавливать и запускать любые другие программы.

Компания Tuto4PC специализируется на создании учебных материалов для пользователей различных компьютерных приложений. На её сайте опубликованы сотни уроков, рассказывающих, как обращаться с Adobe Flash, Photosop, Word, Excel и другими программами. Чтобы получить к ним доступ, пользователь должен установить софт Tuto4PC, который будет показывать ему рекламу.

Специалисты Cisco узнали о скрытых возможностях софта Tuto4PC, когда изучали сообщения о неизвестном трояне, который заметило антивирусное программное обеспечение компании. Всё указывало на то, что их алгоритмы били тревогу из-за приложения, разработанного Tuto4PC.

Более тщательное изучение приложения подтвердило, что автоматика не ошиблась. Единственное отличие софта Tuto4PC от обычной малвари заключается в том, что его разработчики не скрываются от закона. Это серьёзные люди: акции Tuto4PC даже размещены на французской бирже.

После инсталляции софт Tuto4PC сканирует компьютер жертвы. Его интересуют антивирусы, браузеры и средства компьютерной экспертизы, а также сессии программ удалённого администрирования. Затем он открывает защищённое соединение с сервером компании и сливает туда найденную информацию.

Кроме того, софт Tuto4PC обладает функциональностью бэкдора. Он позволяет французской фирме самовольно устанавливать и запускать на компьютерах пользователей произвольный код, в том числе вредоносные программы. И они пользовалась этой возможностью. Подозрительная деятельность Tuto4PC уже привлекала внимание регулирующих органов во Франции, но компания сумела выкрутиться.

Количество компьютеров, на которые установлен софт Tuto4PC, может достигать 12 миллионов. По данным Cisco, он замечен у пользователей в Соединённых Штатах, Австралии, Японии, Испании, Великобритании, Франции и Новой Зеландии.

источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 30.04.2016, 09:19   #1036
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Как устроена киберармия «Исламского государства»: исследование Flashpoint

В начале апреля хакеры, поддерживающие «Исламское государство» (в России эта организация признана террористической и запрещена), объявили о создании группировки под названием «Объединённый киберхалифат». Исследование компании Flashpoint объясняет, кто эти люди, чего от них ожидать, и стоит ли верить их угрозам.

По данным Flashpoint, в «Объединённый киберхалифат» влились по меньшей мере пять хакерских групп, которые работали на исламистов. Само по себе сотрудничество между ними не представляет собой ничего экстраординарного. Эти хакеры и раньше время от времени объединяли свои усилия, а некоторые из них участвовали в деятельности сразу нескольких групп.

Уровень хакеров «Исламского государства» прекрасно демонстрируют похождения группы «Исламская киберармия», заявившей о взломе компьютеров американских спецслужб и похищении паролей электронной почты сотен агентов ФБР. Специалисты Flashpoint изучили список и обнаружили, что громкие заявления исламистов не соответствуют действительности. Эти пароли были похищены ещё три года назад, и не «Исламской киберармией», а хакерами LulzSec.

Никто из участников «киберхалифата» не совершил ничего, заслуживающего внимания. Специалисты Flashpoint дают их умениям невысокую оценку и утверждают, что хакеры исламистов плохо организованы и не получают серьёзного финансирования.

Лидером первого «киберхалифата» был выходец из Великобритании по имени Джунейд Хусейн. В 2011 году, ещё до контактов с исламистами, он выложил на Pastebin похищенную адресную книгу бывшего премьер-министра страны, после чего тут же угодил за решётку. В 2013 году Хусейн вышел из тюрьмы и сбежал в Сирию. Исследование Flashpoint называет его «безыскусным и не таким продуктивным, как следовало бы ожидать».

Ещё один видный деятель «киберхалифата» — косовский хакер Ардит Феризи по кличке Th3Dir3ctorY. Он интересен тем, что, возможно, даже не является сторонником «Исламского государства». Тем не менее, именно Феризи передал Хусейну список, якобы содержащий персональные данные и географические координаты 1350 американских военных и правительственных чиновников. Специалисты Flashpoint полагают, что Феризи собрал эту информацию в открытых источниках. В октябре 2015 года его арестовали в Малайзии, и теперь у хакера есть все шансы стать первым человеком, осуждённым в США за кибертерроризм. Феризи грозит тюремное заключение сроком до 35 лет.

В августе 2015 года американский беспилотник уничтожил Хусейна. Новым главой «киберхалифата» стал гражданин Бангладеш Сифул Хак Суджан, получивший образование в Великобритании и неплохо разбиравшийся в компьютерных технологиях. Чтобы проявить свои познания, Суджану не хватило времени. В ноябре 2015 года американский беспилотник нашёл и его.

По информации Flashpoint, до сих пор деятельность «киберхалифата» сводилась к периодическому DDoS, взлому аккаунтов в соцсетях и дефейсам плохо защищённых сайтов с целью саморекламы. Все эти атаки не требуют особой квалификации и доступны даже новичкам. Известно, что исламисты время от времени обсуждают взлом систем промышленной автоматики, но до дела никогда не доходит. Никто из хакеров «Исламского государства» не обладает необходимыми для этого умениями.

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 02.05.2016, 12:23   #1037
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Оверлейные Android-зловреды наступают

Рынок вредоносного ПО для Android заметно оживился с ростом популярности оверлейных зловредов. По свидетельству IBM X-Force, такие вредоносные приложения умеют похищать учетные данные со смартфонов и помогают атакующим обходить системы двухфакторной аутентификации.

Оверлейные вредоносные программы создают прозрачный экран для наложения дополнительной информации на основную, отображаемую легитимным Android-приложением. Этот фишинговый экран позволяет атакующим выманить конфиденциальные данные у пользователя, которые после ввода зловред отправляет на удаленный сервер.

По словам исследователей, спрос на оверлейных зловредов породил настоящую войну цен и поток новых предложений, которые последние месяцы льются рекой. По словам Лимор Кессем (Limor Kessem), эксперта исследовательского подразделения IBM, интерес к оверлейным зловредам пробудился в криминальной среде в конце прошлого года, после утечки исходников GM Bot (в «Лаборатории Касперского» его называют Acecard). В итоге этот исходный код подвергся модификации; обновленный GM Bot стоит гораздо дороже, чем версия полугодовой давности, – $15 тыс. против прежних пяти тысяч.

Столь высокие цены, как отметила Кессем, комментируя ситуацию для Threatpost, вызвали ожесточенную ценовую конкуренцию в среде вендоров аналогичного вредоносного ПО для Android. Команда X-Force обнаружила ряд новых вариаций на черном рынке, в частности, Bilal Bot и Cron Bot. Объем продаж ранее созданного KNL Bot тоже сильно возрос. Цены на эти альтернативные боты колеблются в диапазоне от 3 тыс. до 6 тыс. долларов, некоторые из них также предоставляются как услуга.

«На черном рынке ныне наблюдается отход от банковских троянцев (для ПК), – констатирует Кессем. – Новый «швейцарский нож» киберкриминала – оверлейные зловреды. Они обладают гибкостью и эффективны как средство кражи финансовых идентификаторов, а также множества других видов конфиденциальных данных с Android-устройств».

GM Bot был впервые обнаружен в 2014 году. Как и его преемники Bilal Bot, Cron Bot и KNL Bot, этот зловред использует уязвимость в устаревших версиях Android (ниже 5.0), открывающую возможность для слежки за действиями пользователя. Кессем не готова с уверенностью утверждать, что все перечисленные итерации GM Bot используют тот же базовый код: «Велик шанс, что это так, но сэмплы мы пока не анализировали».

Новейшие варианты оверлейных зловредов схожи, в числе прочего, тем, что продаются разработчиками напрямую. «Посредников становится меньше, – комментирует Кессем. – Поддержка софта теперь осуществляется самим разработчиком, который регулярно выпускает обновления, исправляет баги и оказывает услуги техподдержки».

Исследователи из X-Force также отметили сходство наборов функций во всех APK; помимо способности отображать фишинговый экран, все оверлейные зловреды умеют перехватывать SMS, переадресовывать телефонные вызовы и отслеживать коды стран. Чтобы избежать детектирования, все они используют полиморфизм.

Исследователи ожидают расцвет ботнетов на основе оверлейных зловредов, уже доказавших свою эффективность как средства кражи финансовых идентификаторов, кодов аутентификации и прочих пользовательских данных с мобильных устройств. Есть и хорошее известие. «Оверлейных зловредов легко одолеть, – заявила Кессем, отметив, что разработчикам приложений нужно учитывать возможность оверлейных атак. – Приложения должны быть более технологичными и уметь защищать от таких атак или как минимум предупреждать пользователя, если на устройстве появляется оверлей».

источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 04.05.2016, 08:58   #1038
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

В Steam устранили баг, позволявший просматривать чужие пароли в виде простого текста

Разработчики компании Valve выпустили обновление для клиента Steam, устранив очень серьезную проблему с шифрованием. Несколько уязвимостей обнаружил девятнадцатилетний исследователь Натаниэль Тейс (Nathaniel Theis), так же известный как XMPPwocky. Тейс пишет, что при соблюдении определенных условий, атакующий мог получить доступ к трафику жертв и перехватывать пароли в виде простого текста.

Чтобы разобраться в атаке, представленной Тейсом, нужно понимать, как работает криптография в Steam. Steam шифрует весь важный трафик, используя сессионный ключ, которые генерируется при помощи алгоритма AES-256-CBC, шифруется с применением RSA-1024 и жестко закодированного публичного ключа, а затем отправляется на серверы Valve, где и используется для дешифрации трафика идущего от пользователя.

В блоге на steamdb.info Тейс подробно рассказал, что обнаружил проблему в системе аутентификации, так как специалисты Valve не сумели должным образом защитить используемый MAC (Message Authentication Code). Это позволило исследователю реализовать man-in-the-middle атаки с применением replay, которые приводили либо к VAC-бану ни в чем неповинных пользователей, либо вообще раскрывали их пароли в виде простого текста. Последнее стало возможно благодаря использованию атак padding oracle (PDF), которые помогли исследователю по частям восстановить содержимое отдельных секретных идентификаторов.

Исследователь сообщает, что на устранение проблемы Valve понадобилось меньше суток, — временное исправление было выпущено менее чем через 12 часов, а позже был представлен полноценный патч.

Тейс рассказал, что в исследовании ему помогал друг, известный под псевдонимом Zemnmez. Так как у Valve нет официальной bug bounty программы, обоих исследователей включили в зал славы Valve’s Security, а также вознаградили уникальными внутриировыми шапками Finder’s Fee с Burning Flames эффектом.

подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 04.05.2016, 09:35   #1039
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

0-day уязвимость в ImageMagick ставит под угрозу множество сайтов

В наборе утилит ImageMagick, который предназначен для чтения и редактирования файлов различных графических форматов, выявлена опасная уязвимость нулевого дня, которую сами исследователи назвали ImageTragick. Так как набор ImageMagick является основой для множества библиотек обработки изображений и модулей, его использует огромное количество сайтов, и он широко поддерживается Ruby, JavaScript, PHP, Java, NodeJS и так далее. Проблема в том, что эксплоиты уже существуют, а патча пока нет.

Сообщается, что очередную «именную» уязвимость нашли двое исследователей, один из которых известен под псевдонимом Stewie, а второй под реальным именем — это Николай Ермишкин, сотрудник компании Mail.ru.

Исследователи обнаружили в ImageMagick 7.0.1-1 и 6.9.3-10 ряд проблем, основной из которых является CVE-2016–3714. Она позволяет удаленное выполнение произвольного кода, и эксплуатировать ее очень легко – достаточно чтобы на сайте была разрешена загрузка пользовательских изображений.

Эксперты пишут, что баг уже используется злоумышленниками для атак. Именно по этой причине уязвимость решили придать огласке, не дожидаясь выхода официального патча. Исследователи уверены, что предупредив администраторов сайтов о 0-day и новой атаке, а также рассказав им, как не стать жертвой злоумышленников, они делают доброе дело.

Единственное необходимое для выполнения атаки условие: пользователи должны иметь возможность загружать на сервер собственные изображения. Такое встречается на миллионах сайтов, к примеру, пользователям предоставляют возможность загрузить свой аватар. Так как для обработки аватарки или очередной картинки с мемом, скорее всего, будут использованы утилиты ImageMagick, это может привести к компрометации сервера.

Подробности атаки исследователи пока не раскрывают, не желая вкладывать в руки злоумышленников оружие в виде фактического эксплоита. Тем не менее, эксперты признают, что эксплоит для этой уязвимости очень прост. Из описания проблемы и способов уклонения от нее, можно понять, что она касается кодеков ImageMagick и так называемых magic bytes: первые несколько байтов в коде файла, которые, как правило, используются для идентификации типа файла. К примеру, GIF начинаются с «47 49 46 38», JPEG с «FF D8» и так далее.

Разработчики ImageMagick уже знают об уязвимости. Хотя среди исходных кодов проекта можно найти зачатки будущего патча, он пока не готов. Пока исправление не вышло, на официальном сайте опубликованы инструкции о том, как защититься от нового вектора атак. В частности, администраторам сайтов рекомендуется проверять magic bytes всех пользовательских файлов, а также отредактировать файл policy.xml, добавив туда следующие строки:

<policymap>
<policy domain=»coder» rights=»none» pattern=»EPHEMERAL» />
<policy domain=»coder» rights=»none» pattern=»URL» />
<policy domain=»coder» rights=»none» pattern=»HTTPS» />
<policy domain=»coder» rights=»none» pattern=»MVG» />
<policy domain=»coder» rights=»none» pattern=»MSL» />
</policymap>

Хотя на официальном сайте уязвимости эксплоит пока не опубликован, его появление, очевидно, вопрос ближайших часов. К примеру, исследователь Дэн Тентлер пишет в твиттере, что ему удалось создать работающий эксплойт всего за сорок минут.

Подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 04.05.2016, 19:56   #1040
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 8 030

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Reuters: хакеры похитили данные 57 млн аккаунтов Mail.ru

Хакеры провели крупную кибератаку, в результате которой злоумышленникам удалось получить доступ к паролям и логинам от 272 млн учетных записей, сообщает Reuters. Об этом агентству рассказал эксперт Алекс Холден, глава компании Hold Securities, которая специализируется на кибербезопасности. По данным агентства, больше всего из-за атаки пострадал Mail.ru — хакеры могли похитить пароли и логины 57 млн учетных записей сервиса. Кроме этого, хакеры получили сведения об аккаунтах на сервисах Yahoo, Microsoft и Gmail.

В Mail.ru заявили, что связались с Алексом Холденом и «получили от него данные для анализа».«Исследование первой рандомной выборки показало, что она не содержит паролей, подходящих к активным живым аккаунтам. Кроме того, обращает на себя внимание тот факт, что база содержит большое количество одних и тех же логинов с разными паролями, что свидетельствует о том, что она была скомпилирована из фрагментов разных баз, где юзеры использовали в качестве логина свою электронную почту. Мы продолжаем проверку базы»,— заявили в компании.

По данным «Лаборатории Касперского», Россия занимает пятое место в мире по числу DDoS-атак. Также в топ-10 входит Украина, а лидерами по этому показателю остаются Китай, Южная Корея и США. При этом в первых десяти странах рейтинга происходят более 90% всех кибернападений.

источник
__________________
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 111 15.03.2017 13:12
Новости кино DolphinDаrk Кино, Видео и ТВ 265 13.11.2016 08:33
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 01:53.




Загрузка...
Яндекс.Метрика