OpenNET

Джеймс Уилкокс (James Wilcox) из компании Mozilla предложил изменение с реализацией параметра general.aboutConfig.enable и настройки GeckoRuntimeSettings aboutConfigEnabled, позволяющих управлять доступом к странице about:config в GeckoView (вариант движка Firefox для платформы Android). Настройка даст возможность создателям встраиваемых браузеров для мобильных устройств, использующих движок на базе GeckoView, при необходимости по умолчанию отключать доступ к about:config, а пользователям возвращать возможность его использования.

Возможность отключения доступа к about:config добавлена в кодовую базу выпуска Firefox 71, релиз которого намечен на 3 декабря. Рассматривается вопрос отключения по умолчанию about:config в некоторых вариантах мобильного браузера Fenix (Firefox Preview), продолжающего развитие Firefox для Android. Тем не менее, для управления доступом к about:config в Fenix добавлена настройка aboutConfigEnabled, позволяющая при необходимости вернуть about:config.

В качестве причины желания ограничить доступ к about:config упоминается ситуация, когда в Fennec (старый Firefox для Android) неаккуратным изменением about:config можно было легко перевести браузер в неработоспособное состояние. По мнению инициатора изменения, пользователям не следует давать доступ к небезопасным методам изменения параметров движка Gecko. В качестве вариантов также предлагалось заблокировать опасные настройки через введение белого списка доступных для изменения параметров или добавить новую секцию "about:features" для управления включением экспериментальных возможностей.

Павел Черемушкин из Лаборатории Касперского проанализировал различные реализации системы удалённого доступа VNC (Virtual Network Computing) и выявил 37 уязвимостей, вызванных проблемами при работе с памятью. Выявленные в реализациях VNC-серверов уязвимости могут быть эксплуатированы только аутентифицированным пользователем, а атаки на уязвимости в клиентском коде возможны при подключении пользователя к серверу, контролируемому злоумышленником.

Наибольшее число уязвимостей обнаружено в пакете UltraVNC, доступном только для платформы Windows. Всего в UltraVNC выявлены 22 уязвимости. 13 уязвимостей могут потенциально привести к выполнению кода в системе, 5 к утечке содержимого областей памяти и 4 к отказу в обслуживании. Уязвимости устранены в выпуске 1.2.3.0.

В открытой библиотеке LibVNC (LibVNCServer и LibVNCClient), которая используется в VirtualBox, выявлено 10 уязвимостей. 5 уязвимостей (CVE-2018-20020, CVE-2018-20019, CVE-2018-15127, CVE-2018-15126, CVE-2018-6307) вызваны переполнением буфера и могут потенциально привести к выполнению кода. 3 уязвимости могут привести к утечке информации, 2 к осуществлению отказа в обслуживании. Все проблемы уже устранены разработчиками - большинство исправлений включено в выпуск LibVNCServer 0.9.12, но полностью все исправления пока отражены только в master-ветке и в формируемых дистрибутивами обновлениях.

В TightVNC (тестировалась кросс-платформенная устаревшая ветка 1.3, так как актуальная версия 2.x выпускается только для Windows), обнаружено 4 уязвимости. Три проблемы (CVE-2019-15679, CVE-2019-15678, CVE-2019-8287) вызваны переполнением буфера в функциях InitialiseRFBConnection, rfbServerCutText и HandleCoRREBBP, и потенциально могут привести к выполнению кода. Одна проблема (CVE-2019-15680) приводит к отказу в обслуживании. Несмотря на то, что разработчики TightVNC были уведомлены о проблемах ещё в прошлом году, уязвимости так и остаются неисправленными.

В кросс-платформенном пакете TurboVNC (форк TightVNC 1.3, использующий библиотеку libjpeg-turbo), найдена только одна уязвимость (CVE-2019-15683), но она является опасной и при наличии аутентифицированного доступа к серверу, даёт возможность организовать выполнение своего кода, так как при переполнении буфера имеется возможность контролировать адрес возврата. Проблема устранена 23 августа и не проявляется в актуальном выпуске 2.2.3.

Государственная дума РФ приняла в третьем чтении поправки, увеличивающие размер штрафов для операторов связи за повторный отказ привести своё оборудование и программы в соответствие с требованиями ФСБ и предоставить ключ для декодирования сообщений пользователей. Для физлиц размер штрафов увеличен с 3 000 - 5 000 рублей до 15 000 - 30 000 рублей, для должностных лиц с 30 000 - 50 000 до 100 000 - 500 000 рублей, а для организаций с 800 000 - 1 млн рублей до 2 - 6 млн рублей.

Также утверждено существенное увеличение штрафов за нарушение требований о локализации баз персональных данных. Например, штраф за нарушение требований по хранению БД с персональными данными граждан на территории Российской Федерации увеличен c 3 000 - 5 000 рублей (от трёх до пяти тысяч) до 6-18 миллионов рублей при повторном нарушении.

Кроме того, в третьем чтении утверждён законопроект о предустановке российского программного обеспечения на смартфоны, компьютеры, ноутбуки и умные телевизоры. Перечень устройств и программ пока не уточняется и будет определён Правительством РФ. В случае если законопроект успешно пройдёт утверждение Советом федерации и будет подписан президентом, новые требования вступят в силу с 1 июля 2020 года. По мнению представителя Ассоциации торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК), запрет ударит по российскому рынку электротехники и экономике страны в целом, так как привёдет к тому, что конкуренция разработчиков за конечного пользователя заменится конкуренцией за попадание в список правительства.

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF - 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

Для базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

Autograph (сервис цифровых подписей),

Lando (сервис автоматического размещения кода из Phabricator в репозиториях),

Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений),

Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

Firefox Monitor (monitor.firefox.com),

Платформа локализации (l10n.mozilla.org),

Сервис Payment Subscription (обвязка над платёжной системой Stripe),

Firefox Private Network (дополнение с прокси для защиты трафика),

Ship It (система трансляции запросов на формирование релизов),

Speak To Me (система распознавания речи, лежащая в основе Speech Recognition API).

Дополнительно можно отметить намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется использование цвета фона текущей страницы для полосы прокрутки и удаление возможности привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).

Сформирован выпуск основной ветки nginx 1.17.6, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).

Основные изменения:

Добавлены новые переменные $proxy_protocol_server_addr и $proxy_protocol_server_port, которые содержат адрес и порт сервера, полученные из заголовка протокола PROXY;

Добавлена директива limit_conn_dry_run, переводящая модуль ngx_http_limit_conn_module в режим пробного запуска, при котором число соединений не ограничивается, но учитывается.

В модуле ngx_stream_limit_conn_module добавлена переменная $limit_conn_status, которая хранит результат ограничения числа соединений: PASSED, REJECTED или REJECTED_DRY_RUN;

В модуле ngx_http_limit_req_module добавлена переменная $limit_req_status, которая хранит результат ограничения скорости поступления запросов: PASSED, DELAYED, REJECTED, DELAYED_DRY_RUN или REJECTED_DRY_RUN.

Дополнительно можно отметить выпуск njs 0.3.7, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях.

В новом выпуске добавлена поддержка методов Object.assign() и Array.prototype.copyWithin(). В console.time() обеспечена возможность использования меток. Переработан код для взаимодействия со внешними объектами и обработки данных в формате JSON. Из CLI удалён вызов console.help().

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и защиту от отслеживания платежей, предупредили пользователей о компрометации официального сайта проекта (GetMonero.com). В результате взлома 18 ноября с 5:30 до 21:30 (MSK) в разделе загрузки распространялись подменённые злоумышленниками исполняемые файлы консольной редакции кошелька Мonero для Linux, macOS и Windows.

В исполняемые файлы был интегрирован вредоносный код для кражи средств с кошельков. При открытии кошелька вредоносный код осуществлял отправку на внешний сервер node.hashmonero.com криптографических ключей, позволяющих контролировать средства в кошельке. Через какое-то время после передачи сведений, атакующие переводили себе средства, имеющиеся на кошельке жертвы.

В настоящее время приложения пересобраны из отдельной защищённой кодовой базы. Подробности о технике взлома не сообщаются, инцидент пока находится на стадии разбора. Всем пользователям Мonero, недавно устанавливавшим кошелёк с официального сайта, рекомендовано убедиться в использовании корректных сборок, сверив контрольные суммы с данными на GitHub и сайте проекта.

В кодовую базу OpenSSH добавлена экспериментальная поддержка двухфакторной аутентификации с использованием устройств, поддерживающих протокол U2F, развиваемый альянсом FIDO. U2F позволяет создавать недорогие аппаратные токены для подтверждения физического присутствия пользователя, взаимодействие с которыми производится через USB, Bluetooth или NFC. Подобные устройства продвигаются в качестве средства для двухфакторной аутентификации на сайтах, уже поддерживаются основными браузерами и выпускаются различными производителями, включая Yubico, Feitian, Thetis и Kensington.

Для взаимодействия с устройствами, подтверждающими присутствие пользователя, в OpenSSH добавлен новый тип ключей "sk-ecdsa-sha2-nistp256@openssh.com" ("ecdsa-sk"), в котором используется алгоритм цифровой подписи ECDSA (Elliptic Curve Digital Signature Algorithm) с эллиптической кривой NIST P-256 и хэшем SHA-256. Процедуры взаимодействия с токенами вынесены в промежуточную библиотеку, которая загружается по аналогии с библиотекой для поддержки PKCS#11 и является обвязкой над библиотекой libfido2, предоставляющей средства для коммуникации с токенами поверх USB (поддерживается протоколы FIDO U2F/CTAP 1 и FIDO 2.0/CTAP 2). Подготовленная разработчиками OpenSSH промежуточная библиотека libsk-libfido2 включена в основной состав libfido2, как и HID-драйвер для OpenBSD.

Для включения U2F можно использовать свежий срез кодовой базы из репозитория OpenSSH и HEAD-ветку библиотеки libfido2, в которую уже входит необходимая для OpenSSH прослойка. Libfido2 поддерживает работу в OpenBSD, Linux, macOS и Windows.

Для аутентификации и генерации ключа необходимо выставить переменную окружения SSH_SK_PROVIDER, указав в ней путь к libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), или определить библиотеку через настойку SecurityKeyProvider, после чего запустить "ssh-keygen -t ecdsa-sk" или, если ключи уже созданы и настроены, подключиться к серверу при помощи "ssh". При запуске ssh-keygen созданная пара ключей будет сохранена в "~/.ssh/id_ecdsa_sk" и может использоваться аналогично другим ключам.

Открытый ключ (id_ecdsa_sk.pub) следует скопировать на сервер в файл authorized_keys. На стороне сервера только проверяется цифровая подпись, а взаимодействие с токенами производится на стороне клиента (на сервере не нужно устанавливать libsk-libfido2, но сервер должен поддерживать тип ключей "ecdsa-sk"). Сгенерированный закрытый ключ (id_ecdsa_sk) по сути является дескриптором ключа, образующим реальный ключ только в сочетании с секретной последовательностью, хранимой на стороне токена U2F.

В случае попадания ключа id_ecdsa_sk в руки атакующего, для прохождения аутентификации ему также потребуется получить доступ к аппаратному токену, без которого сохранённый в файле id_ecdsa_sk закрытый ключ бесполезен. Кроме того, по умолчанию при выполнении любых операций с ключами (как при генерации, так и при аутентификации) требуется локальное подтверждение физического присутствия пользователя, например, предлагается коснуться сенсора на токене, что затрудняет проведение удалённых атак на системы с подключенным токеном. В качестве ещё одного рубежа защиты на этапе запуска ssh-keygen также может быть задан пароль для доступа к файлу с ключом.

Ключ U2F может быть добавлен в ssh-agent через "ssh-add ~/.ssh/id_ecdsa_sk", но ssh-agent должен быть собран с поддержкой ключей "ecdsa-sk", должна присутствовать прослойка libsk-libfido2 и агент должен выполняться на системе, к которой подключается токен. Новый тип ключей "ecdsa-sk" добавлен так как формат ecdsa-ключей OpenSSH отличается от формата U2F для цифровых подписей ECDSA наличием дополнительных полей.