Сообщество - Информационная безопасность
Информационная безопасность
843 поста 18 222 подписчика
150

Новый вид шантажа

Жительница Санкт-Петербурга рассказала, что ей написали неизвестные «ВКонтакте», обещая подать на неё заявление в Центр по противодействию экстремизму, если та не заплатит им деньги. Вымогатели утверждали, что поста, который они нашли, будет достаточно, чтобы отправить петербурженку в колонию на три года. И, похоже, женщина уже не единственная их жертва.


Пользовательница «ВКонтакте» из Санкт-Петербурга столкнулась с новым видом интернет-вымогательства: злоумышленники пользуются активным обсуждением уголовных дел за репосты в соцсетях

238

Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д.

Настройка рабочей среды

Я собирался проводить исследования исключительно в памяти, а, значит, мне нужно было найти простой и надежный способ для поиска и изменения информации, а также отслеживание внесенных правок.


Самый очевидный метод – создавать дамп каждый раз, когда вносятся изменения, что легко сделать в виртуальной машине. Мы просто делаем снимок каждый раз при изменении какой-либо информации. Затем мне нужно было сравнивать два снимка с целью нахождения точного места, где произошли изменения.


Далее процесс установки довольно прост: несколько браузеров (Chrome, IE, FF), учетная запись LastPass и добавление аккаунтов для нескольких сайтов.


В плагинах для браузеров я оставил стандартные настройки и использовал встроенную функцию для генерации паролей различной длины. В паролях использовались буквенно-цифровые символы смешанного регистра.


Кроме того, я скопировал все сгенерированные пароли в отдельный документ на основном компьютере, чтобы использовать эту информацию в дальнейшем.


После того как пароли были продублированы на моей машине, я разлогинился из всех учетных записей, почистил историю и папку с временными файлами, перезапустил и выключил машину.


Методика исследования


Вначале все было довольно просто, но при попытке найти ограничения метода, задача начала усложняться. В целом последовательность действий состояла из следующих шагов:


Открыть браузер.


Авторизоваться в плагине LastPass (если произошло разлогинивание).


Авторизоваться на сайте.


Проверить память на присутствие паролей в открытом виде.


Что-нибудь поменять:


Закрыть вкладку.


Повторно использовать вкладку.


Разлогиниться.


Повторить.


Тест №1


Я знал все имена пользователей и пароли, так что первый шаг был довольно очевидным. Я авторизовался на первом сайте при помощи тестовой учетной записи на FaceBook. После авторизации я прогулялся по двум страница и далее, оставив вкладку открытой, сделал первый снимок.


Мой первый поисковый запрос был простым:


grep -a 03rRJaYNMuoXG7hs Win7x64-MemTesting-Snapshot3.vmem | strings > ~/Desktop/fb.txt


Параметр –а говорит утилите grep о том, что бинарный дамп нужно обрабатывать как текст, а утилита string немного очищает выходные данные перед записью в текстовый файл.

В полученном текстовом файле сразу же видим незашифрованный пароль:
Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост
Содержимое снимка памяти во время работы с учетной записью в FaceBook


Два момента сразу же привлекают внимание:

Первый - объект JSON с паролем, именем домена, временными метками и другой информацией, которая, скорее всего, имеет отношение к автоматическому заполнению полей формы.

Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост

Второй – выглядит немного оторванным от остальной информации.

passO3rRJaYNMuoXG7hspassword


Продолжаем исследование.

Тест №2

В следующем снимок делался во время авторизации на нескольких сайтах. Вкладки оставались открытыми. Далее происходило разлогинивание из всех учетных записей перед выключением и повторным запуском виртуальной машины. Я хотел сделать снимок памяти настолько чистым, насколько возможно.


Кроме того, чтобы убедиться, что браузер сам по себе не хранит данную информацию, я полностью почистил историю.

Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост
Полное удаление истории браузера
На скриншоте ниже видно, что все вкладки загружены и залогинены за исключением QNAP. Я зашел на главную страницу, и плагин LastPass показал, что есть одно совпадение учетных записей, но я еще не загрузил страницу с формой, и, соответственно, не произошло никакого автозаполнения.
Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост
Индикация совпадения одной учетной записи в тот момент, когда форма еще не загружена
При исследовании новых снимков использовались те же команды для всех доменов в открытых вкладках. По всем доменам, на которых я логинился, в памяти хранилась одна и та же структура данных.
Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост

В структуре выше имя пользователя, имя домена и пароль хранятся как обычный текст.

Информация по сайту QNAP, который был просто загружен, но без заполнения формы, в памяти отсутствовала.


Во время поиска в памяти других интересных деталей я натолкнулся на интересную информацию:

Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост
Область данных, помеченная как LastPassPrivateKey

Найденная мной информация помечена как LastPassPrivateKey. На данный момент я занимаюсь выяснением, можно ли при помощи этой информации получить мастер-пароль или расшифровать файл с хранилищем.

Во время размышлений о возможностях использования содержимого PrivateKey меня осенило, что еще не проверено, присутствует сам мастер-пароль в памяти. Я предполагал, что мастер-пароль удаляется сразу же после расшифровки информации.


Используя grep, я нашел имя пользователя и пароль в открытом виде только в одном из снимков.


Далее я попробовал посмотреть информацию по открытым, закрытым и повторно используемым вкладкам. По результатам экспериментов я пришел к выводу, что если вкладка открыта и авторизация произошла, то учетные записи в памяти, в большинстве случаев, найти можно.


Что касается повторно используемых, неактивных и закрытых вкладок другими доменами, то здесь уже сложнее найти нужные структуры данных. Информация находится в памяти, и если вы знаете конкретные значения, то найти нужные структуры можно, в противном случае процесс напоминает поиск иголки в стоге сена.


После того как набралось достаточно информации, я решил автоматизировать процесс извлечения учетных записей из памяти при помощи плагина Volatility.


Пару лет назад Брайан Баскин (Brian Baskin) опубликовал статью с описанием плагина Volatility, который использует YARA-правила для поиска и извлечения информации из памяти. Именно данная технология легла в основу моего плагина.


Далее нужно было применить несколько YARA-правил и впоследствии обработать полученную информацию, чтобы собрать результаты воедино.


После обработки снимка памяти вы получите нечто следующее:


localadmin@tech-server:~$ vol.py --plugins=/home/localadmin/github/volatility_plugins/lastpass --profile=Win7SP1x86 -f /home/localadmin/Desktop/lastpass-mem.vmem lastpass



Volatility Foundation Volatility Framework 2.5


Searching for LastPass Signatures


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3400)


Found pattern in Process: chrome.exe (3840)


Found pattern in Process: chrome.exe (3840)


Found pattern in Process: chrome.exe (3840)


Found pattern in Process: chrome.exe (3840)


Found pattern in Process: chrome.exe (3912)


Found pattern in Process: chrome.exe (3912)


Found pattern in Process: chrome.exe (3912)


Found pattern in Process: chrome.exe (3912)


Found pattern in Process: chrome.exe (3912)


Found pattern in Process: chrome.exe (3912)


Found pattern in Process: chrome.exe (4092)


Found pattern in Process: chrome.exe (4092)


Found pattern in Process: chrome.exe (4092)


Found pattern in Process: chrome.exe (4092)


Found pattern in Process: chrome.exe (2036)


Found pattern in Process: chrome.exe (2036)


Found pattern in Process: chrome.exe (2036)


Found LastPass Entry for hackforums.net


UserName: peters.lastpass


Pasword: jRvTpQoTHS4OTcl



Found LastPass Entry for facebook.com



UserName: peters.lastpass@gmail.com



Pasword: Unknown



Found LastPass Entry for sainsburys.co.uk



UserName: peters.lastpass@gmail.com



Pasword: mt5JwaPctWFzBj



Found LastPass Entry for leakforums.net



UserName: peterslastpass



Pasword: rmH61HSabrVJ9a2



Found LastPass Entry for facebook.com,facebook.com,messenger.com



UserName: Unknown



Pasword: O3rRJaYNMuoXG7hs



Found Private Key



Found Private Key


LastPassPrivateKey<\x00\xb2\x88\x10\x02N;$\x02&\x00\x00\x00>LastPassPrivateKey


localadmin@tech-server:~

Как найти и извлечь POST-запросы, содержащие личные данные, пароли и т.д. Пост, Данные, Пароль, Изъятие, Криминалист, Длиннопост
Мне нужно еще многое доработать, чтобы полностью доделать плагин. Текущую версию можно взять на Github: https://github.com/kevthehermit/volatility_plugins/tree/mast...

Более подробно

Показать полностью 7
101

На WikiLeaks обнаружено 324 образца вредоносного ПО

Представленный ИБ-экспертом Веселином Бончевым список вредоноснов далеко не исчерпывающий.
На WikiLeaks обнаружено 324 образца вредоносного ПО Вирус, Почта, Wikileaks, Вложения, Новости

Болгарский ИБ-эксперт Веселин Бончев обнаружил в дампе электронных писем, опубликованном на сайте WikiLeaks, 324 образца вредоносного ПО. Большинство из них содержатся во вложениях к письмам, полученных от хакеров. Злоумышленники отправляли вредоносные письма с целью скомпрометировать того или иного пользователя или организацию, а затем они оказались опубликованными на WikiLeaks.

Как отметил Бончев, 324 образца – это лишь то, что удалось обнаружить и подтвердить за один раз, и на самом деле их может быть гораздо больше. По словам эксперта, 30 лет занимающегося исследованиями компьютерных вирусов, «нет никаких сомнений» в том, что содержащееся на сайте ПО действительно вредоносное. «Перечень далеко не исчерпывающий, поскольку я только начал проводить анализ», – подчеркнул Бончев.


Аналитик представил таблицу (github), подробно описывающую, в каком письме содержится тот или иной вредонос. В первой колонке указан номер документа и ссылка на него, во втором – ссылка WikiLeaks на вредоносное вложение, а в третьей – ссылка на описание вредоносного ПО на VirusTotal. 

На WikiLeaks обнаружено 324 образца вредоносного ПО Вирус, Почта, Wikileaks, Вложения, Новости
http://www.securitylab.ru/news/483438.php

https://github.com/bontchev/wlscrape/blob/master/malware.md

Показать полностью 1
395

Опубликован рейтинг надёжности мессенджеров по мнению террористов ИГИЛ*

Абсолютно надежные: SilentCircle, RedPhone, OSTel, ChatSecure, Signal.


Надежные: Telegram, Wickr, Threema, Surespot.


Умеренно безопасные: CoverMe, BBM, iMessage, FaceTime, Hangouts, FaceBook Messenger.


Ненадежные: Viber, WhatsApp, LINE, Tango, ooVoo, Kakao Talk, WeChat, Nimbuzz, Hike, Chat On, Kik, Voxer, GroupMe, MessageMe, Imo.im, TalkRay, IM+.

Источник: https://www.novayagazeta.ru/articles/2016/10/12/70148-rasshi...


___________

Опубликован рейтинг надёжности мессенджеров по мнению террористов ИГИЛ* Мессенджер, Паранойя, Информационная безопасность
551

Хакеры взломали компьютеры СБУ и национальной полиции Украины. В сеть утекло более двадцати тысяч файлов.

Хакеры взломали компьютеры СБУ и национальной полиции Украины. В сеть утекло более двадцати тысяч файлов. Хакеры, Взлом, СБУ, Украина, Выборы

Неизвестные хакеры выложили в открытый доступ архив размером 2,5 гигабайт по адресу: http://odesa.md/arhive_SBU.zip. Свой манифест, а также политический мотив хакеры изложили в своеобразном манифесте, который выложили на нескольких политических форумах и разослали через организованную спам-рассылку лидерам националистических движений.

Украинские исследователи по кибербезопасности, проанализировав содержимое, сообщили о том, что он содержит 24 380 файлов в 3 145 папках, общим объёмом 4,43 гигабайта. Основной тип файлов – документы, созданные при помощи тестового редактора word (98%), графические файлы и документы иных форматов (2%).

Исходя из анализа метаданных файлов, сделан вывод о том, что документы были похищены минимум с трех машин, принадлежащим неизвестному подразделению Службы безопасности Украины, дислоцированному в зоне АТО на юго-востоке страны, Управлению национальной полиции в г. Днепр (бывш. Днепропетровск) и Главному управлению национальной полиции (в последнем случае выложен также бэкап электронного почтового ящика данной структуры).

Наибольший интерес представляет папка СБУ, в которой наряду с оргштатной структурой подразделения, персональными данными оперативных сотрудников, кадровых документов присутствуют документы, добытые оперативным путем о деятельности ДНР и ЛНР, а также секретные документы о передачи своей агентуре в этих организациях персональных данных об иностранных добровольцах в националистических формированиях, об активистах Гражданского корпуса и Правого сектора. Сделано это согласно документов: «закріплення позицій агента за місцем служби». Кроме того, интересен документ, регламентирующий создание неких оперативных групп «з завданням пошуку відомостей про співпрацю кандидатів пост президента країни із російськими спецслужбами».

Что касается выборов, то в документах принадлежащих национальной полиции можно также найти указание на содействие действующему президенту. Например, при организации в г. Днепр П. Порошенко руководитель криминальной полиции просит ректора университета не пускать на встречу неких «неблагонадійних студентів з числа доданого додатка». В следующем письме из ГУНП Украины в г. Днепр указывается необходимость «посприяти у забезпеченні безпеки осіб з його групи підтримки громадських активістів»

Ранее власти Украины неоднократно предупреждали о возможных хакерских атаках в преддверии выборов Президента-2019, и готовности к отражению этих атак. Были проведены даже совместные учения со структурами кибербезопасности ЕС. Но, судя по всему, целей они так и не достигли.

103

Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook

Исследователи из университета Северной Каролины в Чапел-Хилл в очередной раз доказывают, что современные биометрические системы по-прежнему далеко от совершенства. На конференции USENIX Security Symposium группа представила доклад (PDF), посвященный обману систем распознавания лиц посредством устройства виртуальной реальности и обыкновенных фотографий из социальных сетей.
Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook Обход, Биометрия, Аутентификация, Фото, Facebook, Доклад, Безопасность, Длиннопост

Системы аутентификации, базирующиеся на распознавании лица, обрели популярность еще в 2000-х, и довольно долго их можно было обмануть при помощи обычного фото, поднесенного к камере. Современное распознавание лиц работает гораздо сложнее: теперь такие системы тщательно проверяют текстуру кожи, просят пользователя подвигаться и убеждаются, что перед ними живой человек, для чего тот должен, например, моргнуть или улыбнуться.


Тем не менее, обмануть биометрию по-прежнему возможно, о чем и повествует объемный доклад группы вышеупомянутых ученых. Вместе с добровольцами исследователи провели следующий опыт: волонтеров тщательно сфотографировали в студийных условиях с правильным освещением, а также нашли в интернете (то есть во всевозможных социальных сетях) их публично доступные фотографии. Затем данные изображения были использованы для создания трехмерных моделей голов добровольцев. Исследователи применили к полученным моделям текстуру кожи (и не только) и поработали над анимацией полученных лиц. Затем результат предъявили ПО для распознавания лиц, для чего была использована связка из кастомного софта для 3D-рендеринга и смартфона Nexus 5X, отображавшего на экране виртуального «пользователя». Исследователи подчеркивают, что им не понадобилось никакого дополнительно «железа», так как в современном мире с подобным трюком справляется почти любой смартфон.

Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook Обход, Биометрия, Аутентификация, Фото, Facebook, Доклад, Безопасность, Длиннопост
Результаты эксперимента превзошли все ожидания. Полученную схему испытали на пяти приложениях, использующих распознавание лиц: 1U App, BioID, KeyLemon, Mobius и True Key. Модели голов, созданные на базе студийных фотографий, обманули все пять приложений в ста процентах случаев. Модели, созданные на основе фото из социальных сетей, вполне ожидаемо, проявили себя хуже, здесь процент успеха варьировался от 14% до 85%. Дело в том, что исходное качество фотографий из социальных медиа в среднем было хуже качества студийных HD-фото, что не могло не сказаться на моделях.
Для обхода биометрической аутентификации нужно VR-устройство и фотографии с Facebook Обход, Биометрия, Аутентификация, Фото, Facebook, Доклад, Безопасность, Длиннопост

Хотя таблица выше взята из самого доклада, исследователи объясняют, что низкий процент распознаваний в приложениях 1U App и BioID был обусловлен тем, что у данных систем в принципе имеются трудности с распознаванием лиц пользователей, если окружение хоть как-то меняется. На самом деле, в случае моделей, основанных на студийных фото, процент удачных срабатываний составил 50% для BioID и 96% для 1U App, а фотографии из социальных сетей и менее качественные модели лиц, были распознаны в 14% и 48% случаев, соответственно.

«Мы полагаем, что разработчики систем распознавания лиц отталкивались от модели ситуации, в которой технические навыки атакующих ограничены, а также они не имеют доступа к недорогим материалам. К сожалению, VR в наши дни становится повсеместной нормой, эти технологии дешевы и просты в использовании. Более того, VR-вируализации выглядят невероятно убедительно, так что создать реалистичное 3D-окружение, которое будет использовано для обмана систем безопасности, становится все проще и проще», — пишут исследователи.

В заключение доклада исследователи пишут, что системы безопасности бесспорно не должны полагаться только лишь на изображение, получаемое с камер(ы). Помимо визуальной составляющей надежная система распознавания лиц должна также проверять и другие параметры, к примеру, обладать IR-сенсорами и создавать карту температуры кожи.

Источник...

Показать полностью 2
182

Сноуден считает что АНБ взломали РОССИЙСКИЕ хакеры. Эксперты подтвердили подлинность дампа.

В минувшие выходные весь мир взбудоражило известие о том, что хакеры из группы The Shadow Brokers (о которой ранее никто не слышал) якобы взломали другую хак-группу, Equation Group, напрямую связанную с АНБ. Злоумышленники устроили аукцион по продаже «кибероружия спецслужб» и уверены, что смогут собрать более 1 000 000 биткоинов (около 568 млн долларов). О ситуации у себя в Twitter подобно высказался Эдвард Сноуден. А эксперты «Лаборатории Касперского», тем временем, проанализировали доступную часть дампа и сообщили, что опубликованные файлы действительно связаны с группой Equation Group.
Сноуден считает что АНБ взломали РОССИЙСКИЕ хакеры. Эксперты подтвердили подлинность дампа. Взлом, Хакеры, Анб, Shadow Brokers, Equation Group, Эдвард Сноуден, Длиннопост

В Twitter Сноуден пишет: «сам по себе взлом промежуточных малварь-серверов АНБ не является беспрецедентным, а вот публикация [данных] является. Вот что вам нужно знать о ситуации:

1) АНБ отслеживает и атакует C&C серверы малвари, эта практика называется Computer Network Exploitation (CCNE). Так же поступают и наши конкуренты.


2) Зачастую АНБ годами остается незамеченным на C&C серверах и ORB-ах (прокси хопах) правительственных хакеров. Так мы следим за их операциями.


3) Именно так мы похищаем хакерские инструменты конкурентов и реверс-инженерим их, чтобы создать так называемые «fingerprints», которые помогут нам отслеживать их в будущем.


4) Вот что интересно: АНБ — не волшебники. Наши конкуренты поступают с нами точно так же, и порой им сопутствует успех.


5) Зная об этом, хакерам АНБ (TAO) приказывают не оставлять свои хакерские тулзы (бинарники) на серверах после операций. Но люди ленивы.


6) В чем новость? То, что промежуточные серверы АНБ подвергаются аткам конкурентов – не ново. Конкуренты, публично демонстрирующие, что они сделали – это ново.


7) Почему они так поступили? Никто не знает, но я подозреваю, что это дело скорее по части дипломатии, а не разведки, особенно в свете эскалации, вызванной хаком DNC.


8) Косвенные улики и здравый смысл указывают на то, что ответственность лежит на России. И вот почему это так примечательно.


9) Данная утечка – это, скорее всего, предупреждение, что некто может доказать, что США ответственны за любые атаки, которые осуществлялись с данного сервера.


10) Этот [инцидент] может иметь далеко идущие внешнеполитические последствия. Особенно если какие-либо из этих операций затрагивали союзников США.


11) Особенно если какие-либо операции были связаны с выборами.


12) Соответственно, всё это может быть попыткой повлиять на мнение тех, кто принимает решения, когда они уже обдумывали жесткий ответ на взлом DNC.


13) TL;DR: похоже, с помощью данной утечки кто-то посылает сообщение, что эскалация этой игры в обличителей может закончиться очень плохо».

Сноуден говорит о том, что западная пресса и спецслужбы почти открытым текстом обвиняют во взломе Национального комитета Демократической партии США (DNC) российских правительственных хакеров. Обнародовавшего информацию DNC хакера, Guccifer 2.0, считают фейком и личностью, созданной российскими спецслужбами, в попытке замести следы и дезориентировать экспертов.


Но пока в сети обсуждают последствия действий The Shadow Brokers и их возможные мотивы, эксперты по информационной безопасности изучают опубликованные хакерами материалы. Напомню, что The Shadow Brokers обнародовали два защищенных архива с данными, к одному из которых был приложен пароль. Эту часть дампа хакеры предъявили общественности в качестве доказательства взлома.


Эксперты «Лаборатории Касперского» пишут, что доступный архив содержит около 300 МБ данных, среди которых присутствуют эксплоиты для брандмауэров, различные инструменты и скрипты, под кодовыми названиями BANANAUSURPER, BLATSTING, BUZZDIRECTION и так далее. Возраст большинства файлов – три года, последние изменения датированы октябрем 2013 года.


Тогда как другие исследователи уже тестируют представленные эксплоиты и сообщают о положительных результатах, «Лаборатория Касперского» попыталась установить, связаны ли опубликованные файлы с группировкой Equation Group, как было заявлено. Так как в 2015 году эксперты «Лаборатории» обнаружили Equation Group первыми, это вполне логичный шаг.

«Хотя мы не можем строить догадки относительно личностей взломщиков и их мотивации, равно как и о происхождении этого “краденного клада”, мы может заявить, что несколько сотен инструментов из этого дампа тесно связаны с нашими прошлыми находками, относившимися к Equation Group», — сообщают исследователи.

Специалисты «Лаборатории Касперского» отмечают, что имплементация алгоритма RC5/6, которую применяла Equation Group, была очень характерной и ее сложно с чем-либо перепутать. В опубликованных The Shadow Brokers файлах эксперты обнаружили именно эту имплементацию, что, по их мнению, вряд ли может быть простым совпадением.

Специфическая имплементация RC6 в BUSURPER-2211-611.exe (md5: 8f137a9100a9fcc8b512b3729878a373)
Сноуден считает что АНБ взломали РОССИЙСКИЕ хакеры. Эксперты подтвердили подлинность дампа. Взлом, Хакеры, Анб, Shadow Brokers, Equation Group, Эдвард Сноуден, Длиннопост
«Хотя The Shadow Brokers заявили, что данные связаны с Equation Group, они не предоставили никаких технических доказательств своих слов. Крайне специфическая криптоимплементация доказывает подлинность их заявлений», — резюмируют эксперты.
С подробностями проведенного анализа можно ознакомиться здесь.

Пост тут.

Показать полностью 1
989

Крис Касперски погиб

http://www.news-journalonline.com/news/20170213/sky-diver-in...


http://rsdn.org/forum/life/6717583


Николай Лихачёв aka Крис Касперски разбился при неудачном прыжке с парашутом.


Крис Касперски — российский IT-журналист, программист, автор множества книг и статей, посвящённых взлому и программированию. Наибольшую известность получили книги по ассемблеру. Писал в такие журналы, как "Хакер", "Компьютерра", "Системный администратор" и др. До 2008 года жил в родном селе в Краснодарском крае, потом переехал в США. Помимо деятельности в сфере IT, увлекался оружием и экстремальными видами спорта, чему посвящал множество постов на форумах и в блоге.

Крис Касперски погиб IT, Программирование, Программист, Хакеры
210

Уязвимость во всех версиях Windows позволяет контролировать трафик жертвы

В реализации протокола NetBIOS, которую использует Windows, найдена серьёзная уязвимость. Ошибка, получившая название BadTunnel, присутствует во всех версиях операционной системы Microsoft, как современных, так и устаревших и не поддерживаемых. Воспользовавшись ей, злоумышленник получает возможность полностью контролировать сетевой трафик жертвы.
Уязвимость во всех версиях Windows позволяет контролировать трафик жертвы Уязвимость, Windows, Хакеры, Контроль, Трафик, Badtunnel

Речь идёт не только об отправляемых браузером запросах HTTP и HTTPS, а обо всей сетевой активности ОС. В частности, BadTunnel позволяет вмешиваться в загрузку системных обновлений и процесс получения списков отозванных сертификатов, которые необходимы криптографической подсистемы Windows.


Файрволлы или NAT — не помеха для атаки, которая проводится с применением BadTunnel. «Файрволлы не способны остановить атаку, потому что протокол UDP не устанавливает соединения, — поясняет обнаруживший уязвимость исследователь Ян Юй. — Мы используем его, чтобы создать туннель. Как раз поэтому уязвимость называется BadTunnel».


Уязвиомость позволяет злоумышленнику отвечать на запросы имён NetBIOS и маскироваться под серверы WPAD, которые служат для автоматической настройки прокси, и ISATAP, нужные для передачи пакетов IPv6 через сети IPv4.


Атака начинается, когда жертва открывает специальный URL, файл или даже просто втыкает флэшку в компьютер. «К примеру, если путь к файлу в виде URI или UNC встроен в ярлык Windows, то атака BadTunnel сработает в момет, когда пользователь просматривает файл в «Проводнике», — пишет Юй. — Таким манером уязвимость может эксплуатироваться через веб-страницы, электронные письма, флэшки и другие носители информации».


Компания Microsoft распространила обновление, которое устраняет ошибку в последних версиях Windows. Уязвимость сохранилась в устаревших версиях Windows, поддержка которых уже прекращена. В частности, атакам, основанных на эксплуатации BadTunnel, по-прежнему подвержены Windows XP и Windows Server 2003. Их пользователи могут обезопасить себя, заблокировав порт UDP 137.

Показать полностью
171

Выход есть всегда.

Выход есть всегда. ЕГЭ, Информационная безопасность

Данный дефейс некоторое время красовался на официальном информационном сайте, где публикуются результаты ЕГЭ.

А какие оригинальные, но безобидные взломы были на вашей памяти?

100

Основы информационной безопасности

О понятии "информационная безопасность" (ИБ) каждый из нас много слышал, но для большинства эти слова остаются пустым звуком. Для подавляющего большинства их тех кто имеет представление об информационной безопасности её базовые принципы являются тайной за семью печатями и только единицы профессионалов могут рассказать что такое информационная безопасность. Специалисты-практики ничего нового не узнают, а вот "обывателям" будет полезно.


В свое время (в том числе и недавно) я лопатил горы информации в поисках основ информационной безопасности и получил... Горы бесполезной информации. Почему бесполезной? Потому что нет скоординированного подхода к проблеме. В зависимости от автора, целей и задач существует море подходов, классификаций и теорий в ИБ, но вот единой системы нет. Поэтому текст ниже - краткое обобщение практики собранной за 14 лет.


Во-первых уничтожим несколько штампов, во-вторых разберемся что такое практическая информационная безопасность и в-третьих будут накопленные за 14 лет практические советы.


Штампы:


1. Хакеры - взломщики. Это вообще не так, это специалисты экстра-класса. Слово произошло от глагола to hack - "топорная работа", так называли (и называют) специалистов способных выжать 120 % (и более) из софта и железа и знающие системы лучше их создателей. Хакеры не "злобные взломщики" (хотя одно другого не исключает), это именно специалисты экстра-класса независимо от того чем они занимаются.

2. Антивирусное ПО защищает компьютер. Не защищает и в принципе не может защитить компьютер от всех угроз, предел возможностей антивирусов - отсеивание отработавшей своё, но не вычищенной шушеры.

3. Есть единая система по которой можно настроить и забыть про угрозы ИБ. Не существует и не может существовать в природе.

4. Производители ПО заботятся об информационной безопасности. Поиск угроз ИБ в программных продуктах - дело требующее высокой квалификации и огромных затрат времени, а это - во-первых увеличение бюджета разработки в разы (а иногда - десятки раз), а во-вторых потребность в специалистах, коих на рынке буквально считанные единицы.

5. Можно защитится от угроз ИБ (как вариант компьютер в офф-лайн). Нельзя, не только существуют, но и активно применяются методы взлома и офф-лайн машин.


Практическая информационная безопасность:


Взломщики (те кто ломают софт, сервера и пишут вирусы) делятся на 2 категории:

1. За деньги. Это те кто осуществляют атаки за деньги.

2. За идею. Те кто ломают во-первых чтобы посмотреть как оно работает (по аналогии со вскрытием лабораторных животных), во-вторых получить заслуженное уважение от коллег, в-третьих достичь каких-то личных целей.

Самая опасна для ИБ именно вторая категория. Если взломщик-идеалист заинтересуется Вашей системой, то вопрос взлома - это вопрос времени.


Поэтому первой аксиомой практической ИБ является расчет на то, что Вас уже взломали.


Давайте пойдем дальше и ответим на ключевые вопросы (которыми 99% людей даже не задается): что такое взлом и как собственно он происходит?


Взлом - несанкционированное (не разрешенное) вмешательство в работу информационной инфраструктуры, которое нарушает информацию в виде:

1. Создания информации - загрузка на атакуемые ЭВМ новой информации или программного обеспечения.

2. Изменения информации - изменение данных и программного обеспечения.

3. Копирования информации - копирование на информационные носители данных с ЭВМ жертвы.

4. Удаления информации - уничтожение информации на ЭВМ жертвы.

5. Отказа в обслуживании - произведение действий в результате которых ЭВМ жертвы не сможет выполнять возложенных задач.


Как происходит взлом (обобщение прочитанных "мемуаров" взломщиков):


Первым делом взломщик собирает информацию об атакуемой системе. Тема о том сколько всего можно узнать исследуя сетевой трафик от жертвы даже не на пост - на целую серию постов. Но в итоге у взломщика есть информация о том что именно он атакует.


Вторая стадия - создание копии атакуемой системе в виртуальной или реальной среде. Эта стадия нужна для отработки механизма атаки, хотя при некоторых условиях эта стадия отсутствует.


Третья стадия - создание инструмента взлома (или использование готового).


Четвертая стадия - тестирование инструмента на средствах антивирусной защиты. Вирус который распознается "на раз" никому не нужен, поэтому качественно подготовленный для использования в атаке инструмент спокойно пройдет любую антивирусную защиту.


Пятая стадия - подготовка атаки. На этой стадии разрабатываются способы обхода внешних защит информационной инфраструктуры и решаются проблемы доступа.


Шестая стадия - взлом. Это именно то, что показывают в фильмах - готовые инструменты используются в готовых каналах для атаки.


Седьмая стадия - использование результатов атаки.


Советы:


0. Делайте копии важной информации. Копий рабочих данных должно быть не менее 2-х, критических данных - не менее 4-х, при этом копии должны размещаться так, чтобы не быть поврежденными/уничтоженными при атаке или при каком-либо происшествии.

1. Используйте антивирусы. Очень мало случаев, когда атака производилась чисто на одну информационную инфраструктуру. В основном атакуется некоторый сегмент в который входит атакуемый объект. При этом атака удается, а спустя некоторое время (от суток до нескольких лет) вирусы используемые при атаке попадают к антивирусным компаниям и они обновляют свои базы. Антивирус просто отсеет летающие по сети ошметки давно прошедших взломов и позволит сосредоточиться на текущих угрозах ИБ.

2. Используйте файерволы (как минимум на шлюзах). Очень рекомендуется их использовать в ручном режиме и на каждом устройстве. Рекомендуемая настройка на рабочих станциях - запрет всех входящих подключений, разрешены исходящие подключения. Рекомендуемая настройка на серверах - разрешение на конкретные порты конкретным клиентам.

3. Разграничивайте сети и закройте доступ к общим папкам. Достаточно многие вирусы могут атаковать через сеть и через общедоступные ресурсы.

4. Используйте по максимуму виртуализацию. Виртуальная машина проигрывает по производительности реальной, но является обычным файлом, который легко скопировать и при необходимости скопировать обратно. Таким образом восстановление работоспособности занимает минимальное время и снижает убытки.

5. На компьютерах должно быть установлено минимальное количество ПО. Неуязвимого ПО нет, а в погоне за клиентом все дружно забили на ИБ, поэтому каждая программа - набор дырок в ИБ и чем меньше софта, тем меньше потенциальных проблем. Такая же позиция должна быть занята и по отношению к службам запущенных на компьютерах - только необходимые для работы.

6. Используйте сканеры файловой системы. Любая атака любым вирусом затронет файловую систему. Сканеры ФС хранят таблицу файлов и хешей и отслуживают обращения к файлам, если пошли необычные манипуляции с ФС - вы атакованы.

7. Не используйте "типовые" решения. На типовые решения есть типовые пути обхода этих решений. Думайте и фантазируйте как направить атаку с реальных машин в какую-нибудь "выгребную яму" (или в приготовленную DMZ). Позаботьтесь о достоверности "выгребной ямы", данные в ней должны быть во-первых бесполезны для взломщика, а во-вторых быть правдоподобными иначе он поймет что его наеобманули и будет менять вектор атаки.

8. Защита начинается с установки. Еще на стадии установки ОС можно обезопасить себя от очень многих типовых угроз. Во-первых готовый к эксплуатации образ ОС нужно скопировать на отдельный раздел (в случае заражения достаточно будет восстановить ОС из образа), во-вторых средствами ОС или сторонним софтом прописать "белые" исполняемые файлы и запретить исполнение всех остальных, в-третьих отключить автозагрузку всех устройств, в четвертых минимизировать используемое ПО поставляемое с ОС.

9. Документируйте все. Никто и ничто не вечно, а память несовершенна. Грамотно составленная документация позволяет во-первых иметь четкое понимание ситуации, во-вторых иметь представление о возможных угрозах, а в-третьих спланировать устранение последствий взлома.  

A. Полюбите бумагу, а не файлы. Файлы легко могут быть скопированы, а вот с бумагой проделать такое гораздо сложнее. Все критически важные пароли ни в коем случае не должны сохраняться или храниться в файлах. Пароли "второго уровня" должны храниться только в локальных менеджерах паролей, а вот пароли от "спамерских" учеток можно выписать в блокнот на рабочем столе.

B. Не доверяй никому и ничему. За единичными исключениями все что мы видим на мониторе - плод работы программ которые могут уже быть заражены. Повторить интерфейс чего-либо задача очень простая, поэтому при угрозе

C. Самая большая угроза ИБ сидит перед монитором. Самый легкий взлом - через пользователя ЭВМ, поэтому пользователь должен быть максимально ограничен в возможностях на компьютере. Есть одна папка с документами и доступ к программам используемым в работе, остальное - запрещено. Проводить разъяснения и учения по ИБ.  

D. Профилактика уменьшает глубину жопы. В моей практики были случай когда два месяца напряженной работы сисадмина привели к тому, что атака инициированная поддельным письмом из ПФР для бухгалтера провалилась (при детектировании изменений файлов вырубили комп) и работоспособность была восстановлена примерно за 30 минут.

E. Считайте что Вас уже взломали. Гораздо больше времени уделяйте не защите, а способам во-первых затруднить доступ к критически важным данным и во-вторых максимально быстро восстановить работоспособность системы. Чем сложнее организован несанкционированный доступ к данным, тем больше взломщики будут в сети и тем выше шанс обнаружения вторжения, а значит выше шанс детектирования и начала противодействия. Чем быстрее можно восстановить работоспособность системы тем меньше будет простой организации и соответственно убытков. Тут есть океаны способов, которые перепробовать жизни не хватит.

F. Взломайте себя сами. Если знаешь как взломать, то соответственно будешь знать как себя защитить.


И напоследок (самое главное) - аудит. Введите себе в привычку проверять что твориться в компьютере загрузившись с "живого" образа ОС (желательно с диска восстановления антивируса) и посмотрите - все ли в порядке?


Информационная безопасность, это не единичное действие и не набор действий, а постоянный и не прерываемый процесс.


Спасибо за внимание и удачи!

Показать полностью

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Вячеслав Лебедев – сотрудник и аспирант МГУ им. М.В. Ломоносова. При знакомстве с трудами нейроученых понял, что мозг – целая вселенная внутри человека, и при более глубоком его изучении возникает еще больше вопросов. Вячеслав создал центр нейрофизиологической немедикаментозной помощи детям NeuroFuture, где уже несколько лет занимается развитием внимания и концентрации у детей.


Такие истории успеха вдохновляют, заставляют искать профессию мечты и посвящать свою жизнь тому, что любишь.

Отличная работа, все прочитано!