Текущий 2018 год интересен тем, что чуть ли не каждый месяц появляется информация о новых аппаратных уязвимостях: Spectre и Meltdown.
Совсем недавно — пару недель назад! — были опубликованы громкие новости об уязвимостях Foreshadow и L1Terminal Fault, которые, как сообщается, могут обойти даже механизм SGX (Sofware Guard Extensions), ранее считавшийся практически невзламываемым.
Насколько опасны эти уязвимости? Можно ли от них защититься и если можно, то как? Обо всём этом мы поговорим ниже.
Тот ловкий момент, когда ты написал пророческий дайджест. В прошлом выпуске речь шла о рисках безопасности в Android, в частности об уязвимостях типа Man-in-the-disk, а также о неспортивном (все ради денег) поведении компании Epic Games, отказавшейся размещать игру Fortnite в магазине Google Play. 25 августа пасьянс сошелся: Google с ее магазином, Epic Games с ее бета-версией Fortnite и даже man-in-the-disk-уязвимость вступили в интимную связь, породив среднего размера скандальчик.
Изначально речь шла о том, что технически неподкованные игроки в Fortnite, не найдя Android-версию в официальном магазине Google Play Store, пойдут искать ее куда-нибудь еще и установят на смартфон что-нибудь не то. Если сейчас со смартфона зайти в аппстор и поискать там Fortnite, Google даже покажет вам специальное сообщение, как на картинке наверху, чтобы вы не ставили из магазина приложения-клоны. Но, как выяснилось, инсталлятор Fortnite сам по себе уязвим — по сценарию не то чтобы совсем ужасному, но все же.
Читать полностью »
Давно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright, пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным Google, ускорилась.
Но не то чтобы стало совсем хорошо. Недавно мы писали про необычный Android-смартфон, притворяющийся десятым айфоном, в котором какая-либо защита данных пользователя вовсе отсутствует. Но это экзотика. А вот компания Kryptowire проанализировала (новость) прошивки множества обычных смартфонов, которые продаются по всему миру. В 25 разных моделях были обнаружены серьезные прорехи в безопасности.
Читать полностью »
Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью и хотели бы поинтересоваться вашим мнением о книге Юрия Диогенеса и Эрдала Озкая о взаимодействии Red Team и Blue Team при проверке информационной безопасности на предприятии.
Под катом предлагаем статью, описывающие отличия в работе Красных и Синих команд и позволяющую понять, в чем заключаются обязанности Фиолетовых команд.
Кстати, рекомендуем программерскик и непрограммерские статьи в блоге сегодняшнего автора — там интересно!
Читать полностью »
Описание уязвимостей — это одно, а вот попробовать найти уязвимость и поработать с ней — совсем другое дело. Именно для этих целей создаются и развиваются специальные приложения, в которых намеренно оставлены уязвимости. Если набрать в поисковой системе запрос «Purposely vulnerable app», вы найдете ни один десяток ссылок.
В этом цикле мы начнем разбирать уязвимости из OWASP Top 10, и в качестве полигона я буду использовать такое намеренно уязвимое приложение. В моем случае это будет OWASP Mutillidae II. Это не то, чтобы самый лучший вариант, но в нем уязвимости структурированы именно так, как нужно для образовательных целей.
Ранее в этом году уже были показаны типы атак Spectre и Meltdown. Они позволяют атаковать жертву с минимальным использованием ресурсов. Специальным образом сформированный JavaScript может быть использован для выполнения атаки Spectre. Облачные сервисы, насколько можно было понять, находятся в безопасности — оба типа атак применимы лишь к проникновению на дискретные сетевые ресурсы.
Сейчас появилась информация о новом типе атаки. Ее предоставили исследователи из Грацского технологического университета имени Карла и Франца. В раскрытии нового типа атаки принимал участие и специалист по кибербезопасности Дэниэл Грасс, который обнаружил исходную атаку Meltdown. Что касается новинки, то она получила название NetSpectre. Ее особенность в том, что злоумышленник может удаленно считать данные памяти без выполнения какого-либо кода на системе жертвы.
Читать полностью »
До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости приложений и DevSecOps практик.
Читать полностью »
Всем доброго времени суток, наверняка многие уже слышали про недавнюю уязвимость в роутерах Mikrotik, позволяющую извлечь пароли всех пользователей. В этой статье я бы хотел подробно показать и разобрать суть данной уязвимости.Читать полностью »
В этом году на PHDays впервые проходил конкурс под названием EtherHack. Участники искали уязвимости в смарт-контрактах на скорость. В этой статье мы расскажем вам о заданиях конкурса и возможных способах их решения.Читать полностью »
Недавно Markus Wulftange из Code White поделился интересным исследованием о том, как можно атаковать веб-приложение, если оно написано на Java и использует протокол AMF3. Этот протокол можно встретить там, где используется Flash и требуется обмен данными между SWF объектом и серверной частью приложения. Протокол позволяет передавать на сервер сериализованные объекты типа flash.utils.IExternalizable. Эти объекты на стороне сервера десериализуются, происходит конверсия типов, и flash.utils.IExternalizable превращается в java.io.Externalizable. Стоит отметить, что классы, которые реализуют этот интерфейс, сами полностью контролируют процессы собственной сериализации и десериализации. Это значит, что можно постараться найти такой класс, при десериализации которого будет выполнен произвольный код.
Маркус исследовал все классы из OpenJDK 8u121, реализующие интерфейс java.io.Externalizable и обнаружил, что в их числе находятся классы sun.rmi.server.UnicastRef и sun.rmi.server.UnicastRef2, связанные с механизмом RMI. Если правильно подготовить объект одного из этих классов (инициализировать его ссылкой на хост атакующего), а затем передать его на уязвимый сервер, то JVM сервера зарегистрирует ссылку LiveRef на «удаленный объект». После этого механизм сборки мусора попытается установить JRMP соединение с указанным хостом. А как известно, протокол JRMP подразумевает обмен сериализованными объектами Java. Это можно использовать для проведения атак, связанных с десериализацией.
