Рубрика «klsw» - 6

Security Week 36: уязвимость в Nexus 5X, криптолокер постит картинки, атака на Linux-серверы через Redis - 1Комбинация стандартных инструментов разработчика и пары недокументированных возможностей позволяет взломать телефоны Nexus 5X — работающие на «чистом» Android смартфоны, выпускаемые компанией LG. Об этом сообщает лаборатория X-Force компании IBM (новость, исследование), естественно уже после того, как Google закрыла уязвимость патчем на этой неделе.

Судя по всему уязвимость возможно было эксплуатировать с уникальной комбинацией прошивки и загрузчика. Для эксплуатации требуется физический доступ к смартфону, либо довольно хитрая и непрактичная манипуляция компьютером, к которому подключается Nexus. Если завладеть телефоном, все просто и надежно. Заходите в меню загрузчика в режиме fastboot, подключаетесь по USB. Далее через интерфейс adb отдаете команду fastboot oem panic — а это приводит к сохранению полного дампа памяти. Этот дамп также можно вытащить с устройства, а в нем, в свою очередь, открытым текстом хранится пароль доступа к телефону.

Все, можно перезагружаться, вводить украденный пароль и дальше делать все, что душе угодно. Интересен еще один потенциальный вектор атаки: через «вредоносный» USB-зарядник, правда на практике это возможно не во всех случаях. В IBM не наблюдают примеров эксплуатации атаки, так что дыру закрыли раньше, чем ей могли бы воспользоваться. Но сценарий использования здесь хорошо укладывается в каноны какого-нибудь шпионского сериала: под покровом темноты меняем штатную зарядку на подготовленную и получаем полный доступ к устройству. Вопрос в том, сколько еще открытий чудных готовят нам современные устройства. Это вам не разъем для наушников, тут все серьезно.

Все выпуски сериала доступны по тегу.
Читать полностью »

Security Week 35: перехват клавиатуры через WiFi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет - 1Перехват клавиатурного ввода постепенно становится моей любимой категорией ИБ-новостей. Я уже писал о серии исследований компании Bastille Networks: эти ребята подробно изучили механизмы взаимодействия беспроводных мышей и клавиатур с приемниками и выяснили, что у ряда производителей дела с безопасностью обстоят не очень хорошо. Можно вспомнить еще более древнюю новость про перехват клавиатурного ввода с помощью анализа видеозаписи.

Нравятся мне они тем, что представляют собой (пока) теоретические исследования потенциальных угроз будущего. На практике пароли крадут кейлоггерами, делают это массово, но это другая тема. Новое исследование (новость и PDF) коллектива американских и китайских ученых показывает, как можно перехватывать клавиатурный ввод, имея доступ к низкоуровневым данным о работе Wi-Fi роутера.

Не, ну круто же, правда? Эксперты использовали обычный роутер TP-Link WR1043ND, а для перехвата требовалось, чтобы роутер работал в стандартах WiFi 802.11n/ac. Конечно, требовался доступ к роутеру, что, как мы знаем, достаточно легко обеспечить — из-за уязвимостей, или из-за неправильной конфигурации. Анализируя данные Channel State Information, они смогли отслеживать даже небольшие движения в зоне действия роутера. Все благодаря тому, что CSI содержит в себе данные о качестве передачи данных, которые обычно используются для одновременной работы нескольких антенн (MIMO), переключения на иные частотные диапазоны и изменения мощности радиосигнала.

Инсинуации под катом. Все выпуски дайджеста — тут.
Читать полностью »

Security Week 34: уязвимость в iOS, Powershell-троян, коллизии против 3DES и Blowfish - 1Уязвимости в iOS — это определенно главная новость недели. Вчера компания Apple выпустила срочный апдейт для своих мобильных устройств, и в этот раз, пожалуй, действительно надо быстрее обновиться. Уязвимость была обнаружена лабораторией Citizen Lab в Университете Торонто и компанией Lookout. На сайте Citizen Lab опубликован подробный отчет, и пожалуй именно он делает событие особенно важным, так как дает важный контекст о том, как дыра эксплуатировалась до обнаружения. Это не так уж часто происходит.

Уязвимости CVE-2016-4655 и 4656 затрагивают ядро iOS: если первая может обеспечить утечку данных, то эксплуатация второй приводит к выполнению произвольного кода. Еще одна уязвимость (CVE-2016-4657, хотя в отчете Lookout порядок нумерации другой) обнаружена в компоненте WebKit и также приводит к выполнению произвольного кода при посещении зараженного вебсайта. Все три уязвимости используются комплексно: сначала заражение через веб-сайт, потом джейлбрейк устройства, причем с использованием публично доступных джейлбрейк-компонентов (Cydia).

Расследование, закончившееся обнаружением уязвимостей, началось с подозрительных SMS со ссылками, которые гражданский активист Ахмед Мансур переслал в Citizen Lab. По клику на ссылку на телефон скрытно устанавливался шпионский модуль, который блокировал обновления устройства, и собирал данные из популярных мессенджеров, программ для общения в соцсетях и так далее. По мнению представителя Lookout, эта дыра могла использоваться начиная с 2013 года и версии iOS 7. Кроме того, в истории есть и политический подтекст: в Citizen Lab утверждают, что данный образец кибероружия был разработан одной из компаний, специализирующейся на продаже подобных систем государственным и правоохранительным органам. Впрочем с выпуском патчей информация об эксплойтах и методах атаки может начать использоваться более широко, посему повторюсь — стоит обновиться прямо сейчас.
Читать полностью »

Security Week 33: отключение Secure Boot, сортировка адресатов в GMail, последствия TCP-бага в Linux - 1На этой неделе по ландшафту угроз бурным потоком разлилась река политики. Тема безопасности и так политизирована донельзя, но если вам вдруг кажется, что уже как-то многовато, то спешу вас расстроить. Все только начинается. 13 августа анонимы, скрывающиеся под псевдонимом ShadowBrokers, выставили на продажу арсенал инструментов, предположительно использовавшихся в кибершпионской кампании The Equation. Напомню, исследование этой атаки опубликовали в феврале прошлого года эксперты «Лаборатории», назвав ее «Звездой смерти из галактики вредоносного ПО». Было за что: впечатляет как длительность кампании (с 2001 года, а может и раньше), так и сложность и широкая функциональность инструментов для взлома и кражи данных. Ну и технический уровень заодно, вплоть до помещения вредоносного кода в прошивку жестких дисков.

Распродажа устроена по лучшим стандартам коммерческого делопроизводства: «шлите деньги, а мы подумаем». Но помимо обещаний, в сеть был выброшен набор файлов, явно вырезанный из чьей-то среды разработки: немножко кода, немножко скриптов, документации и так далее. Если не вестись на поводу у СМИ, которые всю неделю обсуждают версии авторства утечки — то, что априори невозможно подтвердить фактами, про ShadowBrokers можно определенно сказать следующее. Во-первых, имплементация алгоритмов шифрования RC5 и RC6 в утечке совпадает с таковой у The Equation. Это позволяет с определенной долей уверенности говорить, что связь между, строго говоря, кодом, обнаруженным в сети сейчас и пару лет назад, имеется. Подробнее с примерами тут. Во-вторых, в утечке обнаружены реальные уязвимости в устройствах Cisco (очень подробно написано у них в блоге) и Fortinet.
Читать полностью »

Security Week 32: проект Саурон, уязвимость в iOS, червь в PLC - 1Между тем уютным секьюрити дайджестам исполнился годик. Как быстро летит время! В выпуске за 32-ю неделю прошлого года я писал о дыре в Android, уязвимости в автомобилях концерна Fiat Chrysler и концепции Do Not Track 2.0. Что изменилось? Недостатка в новостях о безопасности я по-прежнему не испытываю, даже наоборот. Изменения к лучшему есть, но не везде, что как раз можно увидеть на примере этих трех давних сообщений.

Stagefright. С момента обнаружения уязвимости было выявлено еще несколько связанных с обработкой медиа, а недавно к ним добавились серьезные дыры, затрагивающие в основном устройства на платформе Qualcomm. Такая большая работа над ошибками — хороший знак, тем более что в течение года начала решаться проблема доставкой патчей. Не на все устройства, и с переменным успехом у разных вендоров, но положительные сдвиги имеются.

Автобезопасность остается сложной темой. С одной стороны откровений уровня прошлогодней новости о беспроводном взломе авто не появилось, с другой — отсутствие громких разоблачений не говорит о безопасности. Скорее причина в закрытости автоиндустрии по отношению к независимым исследователям. Хорошая история по теме произошла на этой неделе: исследователи из университета Бирмингема раскрыли детали уязвимости штатной противоугонной системы, которая устанавливается на автомобили концерна Volkswagen аж с 1995 года. Перехватывать сигналы с беспроводного брелка такой системы оказалось весьма просто. Важно, что все данные были на руках у исследователей уже в 2013 году, но VW притормозил публикацию отчета судебным иском. Их тоже можно понять, но судя по косвенным данным, об уязвимости сигнализации не знала только общественность, а вот преступники пользуются ей уже давно. В таком раскладе владельцу авто лучше все-таки знать о потенциальной небезопасности штатной системы.
Читать полностью »

Security Week 31: новости с Blackhat - 1Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей. Соответственно, конференция говорит о проблемах, но почти не обсуждает решения. И не потому, что решений нет, просто такой формат. Интересно, что на роль конструктивного собрания о методах защиты претендует февральская RSA Conference, но и там пока наблюдается некий разрыв шаблона: через кулуары бизнес-митингов с применением терминов «митигация», «комплексная стратегия», «методика реагирования на инциденты» рано или поздно пробегает некто в худи с громким криком «ААААА, ВСЕ ПРОПАЛО!1».

Пожалуй, это нормально: бизнес относительно IT-безопасности спозиционирован между морковкой всеобъемлющей защиты и тачанкой киберпреступности. Так и движется, мотивируемый и подгоняемый, в сторону светлого будущего безопасного инфопространства. Cегодня я позволю себе отойти от привычного формата и расскажу о некоторых интересных докладах с BlackHat. Пост не претендует на полноту, конференция еще продолжается: первое и второе уже подали, но компот долетит уже на следующей неделе.

tl;dr Сломали автомобили, шифрование, Android, почту, кредитки, всех обманули зараженными флешками. Интернет был сломан давно, за прошедший отчетный период не починился.
Все выпуски сериала доступны по тегу.
Читать полностью »

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10 - 1В среду эксперты «Лаборатории» из команды GReAT (Global Research and Analysis Team) отвечали на вопросы пользователей сайта Reddit. Одной из ключевых тем обсуждения стала аттрибуция сложных кибератак. Тема изначально непростая. По понятным причинам инициаторы таких атак никак не анонсируют свои действия, а скорее максимально затрудняют расследование, используя массу способов сохранить анонимность. Остаются только косвенные доказательства. Какие именно, можно посмотреть в этом комментарии: язык (человеческий) в коде, время компиляции вредоносных файлов (может указывать на определенный часовой пояс), типичные цели, IP-адреса, куда в итоге уводятся данные и так далее. Проблема в том, что все эти данные легко подделать, направив расследование в ложном направлении. Именно поэтому наши эксперты в своих отчетах скорее приводят факты, чем делают обобщения.

Не добавляет ясности и постоянно растущая «политическая» составляющая кибератак. Технологии проникли в нашу обычную жизнь так, что неизбежно обсуждаются не только технарями. И решения принимаются, увы, не только на основе сухих фактов. В том же треде приводятся два примера позитивного взаимодействия между экспертами и обществом: (1) совместная работа вендоров и полиции по блокированию активности троянов-вымогателей и (2) любые инициативы по обмену информацией об угрозах между исследователями и потенциальными жертвами, безопасным способом. Кстати, один проект из первой категории мы недавно анонсировали: Европол, полиция Нидерландов совместно с «Лабораторией» и Intel Security запустили новый сайт, на котором жертвы криптолокеров могут получить информацию для расшифровки данных без выплаты выкупа.

Впрочем, вот этот ответ из треда на Reddit мне показался лучшим:

Вопрос: Так как мы должны произносить Kaspersky? Каспер скай, Каспер скии или КаспЕрскии? Или как?
Ответ: Да.

Там же есть интересное обсуждение личной безопасности в сети, с применением Windows, Маков и Linux. Перейдем к новостям. Все выпуски дайджеста — тут.
Читать полностью »

Security Week 29: утечка на форуме Ubuntu, прокси-уязвимость в PHP, Go и Python, 276 заплаток Oracle - 114 июля в Canonical узнали, что кто-то владеет (возможно и пытается продать) базой логинов и паролей двух миллионов пользователей форумов Ubuntu. Расследование быстро показало, что информация похожа на правду, после чего форумы были просто временно отключены. Надо сказать, это очень правильный ход, хотя в другой компании и в другой ситуации на него могли бы и не решиться: как же так, ведь все узнают, что у нас проблемы с безопасностью, а так может никого и не взломают. Собственно, мы все это знаем благодаря подробному описанию инцидента на сайте разработчиков Ubuntu, так что вроде бы все закончилось хорошо.

Или нет? Утечка (подробное описание событий в этой новости) началась со эксплуатации уязвимости в плагине Forumrunner, установленного на vBulletin, при помощи SQL-инъекции. Атака стала возможной из-за использования устаревшей версии плагина. Инъекция открыла доступ на чтение ко всей базе данных форума, но, как утверждает Джейн Сильбер, директор Canonical, взломщику удалось скачать только часть пользовательской базы с «устаревшими» паролями, которые к тому же были захешированы с солью.

В том, что актуальные пароли не утекли, в Canonical уверены. Также там предполагают, что взломщику не удалось развить атаку и получить доступ к чему-то еще. При всем образцовом поведении компании данном случае, нельзя не отметить эту общую неуверенность. Иными словами — убедились там, где это позволяли сделать логи, а дальше — ну кто ж его знает. Вроде бы все хорошо, тем более, что прежде чем поднимать форум, его чуть ли не переустановили с нуля. История с хэппи-эндом, но пожалуй с чем нужно бороться в сфере ИБ, так именно с подобной неуверенностью. Ну и узнавать о взломе хочется не от доброжелателей, а самостоятельно, и сразу, но тут уж как повезет.
Читать полностью »

Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome - 1Как, и тут покемоны?! А что делать: одним из основных критериев выбора значимых новостей по безопасности для меня по-прежнему является их популярность на Threatpost. Способ не идеальный, но достаточно объективный. Если в топе находится какая-то странная фигня, есть повод разобраться, как так получилось, как например это вышло с новостью про вредоносный код в метаданных PNG в топе 2014 года. Как правило объяснение таким казусам находится не в технических особенностях угрозы, а в том, как безопасность воспринимают люди. А это тоже интересно.

Новость про вредоносные приложения, маскирующиеся под Pokémon Go — она вообще на 100% про восприятие, точнее про то, что все вокруг сошли с ума. По данным исследователей из Proofpoint, киберпреступники воспользовались недоступностью игры в официальных магазинах приложений в ряде регионов, рассчитывая получить свои пять копеек незаконной прибыли от всеобщей популярности.

Впрочем, и в аутентичном приложении обнаружились проблемы. Исследователь Адам Рив обнаружил, что при регистрации учетной записи в игре, пользователям требуется предоставить полный доступ к своему аккаунту Google. То есть разработчик игры, компания Niantic Labs, получает возможность читать всю почтовую переписку, отправлять письма от имени игрока, может скачивать все документы с Google Drive, смотреть историю поиска и навигации, и многое другое. Примечательно, что на момент данного открытия альтернативный способ регистрации, не через Google, просто не работал.
Все выпуски дайджеста доступны по тегу.
Читать полностью »

Security Week 27: обход шифрования в Android, воскрешение Conficker в медицине, IoT ботнет - 1Помните уязвимость в Android Mediaserver? Те, кто в теме, сначала попросят уточнить — какая именно уязвимость имеется в виду. Действительно, в Mediaserver было много уязвимостей, начиная с приснопамятной Stagefright, обнаруженной в прошлом году дыре, позволяющей получить контроль над телефоном после отправки единственного подготовленного MMS-сообщения. Сегодня поговорим о другой уязвимости, обнаруженной в мае компанией Duo Labs. Тогда сообщалось, что уязвимость затрагивает только смартфоны на аппаратной платформе Qualcomm, что, впрочем, эквивалентно 60% всех Android-устройств.

В отличие от Stagefright, эту дыру сложнее эксплуатировать: нужно все же загрузить на устройство вредоносное предложение, которое может получить полный доступ к системе, пользуясь дырами одновременно в Mediaserver и модуле Qualcomm Secure Execution Environment. Последний отвечает за ключевые аспекты защиты системы и данных, в том числе за шифрование. Изначально была показана возможность получения системных привилегий, но шифрования данная уязвимость не касалась.

Теперь — касается. Те же эксперты выяснили (новость, исследование), что аналогичный набор уязвимостей дает возможность подобрать ключ к зашифрованным данным методом брутфорс-атаки. Как и в iOS, в Android предусмотрена защита от перебора паролей, установлены ограничения по частоте попыток и их количеству, но как раз их и удалось обойти.
Все выпуски дайджеста доступны по тегу.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js