55

Как браузер помогает товарищу майору

Знаете, когда я почти нечаянно обнаружил, читая прекрасную книгу Дмитрия Кетова «Внутреннее устройство Linux» (и это не реклама), что каждый скачанный нами файл из Интернета с легкой руки браузера оставляет в расширенных атрибутах файла (в inode файла, не в самом файле) как минимум полную ссылку на то откуда он был скачан, я пришел в легкое возбуждение и хотел тут же броситься спасать мир. Позже, немного изучив этот вопрос, почитав «коммиты» и «комменты», говорившие, что этой возможности, встроенной в ядро GNU/Linux, как минимум уже около 10 лет, что ею пользуется не только браузеры, но и, к примеру, популярная утилита wget (curl нет), и что эта вещь считается чуть ли не нормой в Linux (и, как выяснилось позже в MacOS), то я немного подуспокоился. Одно не давало мне покоя: поиск ключевого слова getfattr в google по сайту «Хабра»: site:https://habr.com getfattr, равно как и по ЛОРУ: site:https://linux.org.ru getfattr ничего толком не дал. «Значит» — подумал я — «эта тема еще особенно не обсуждалась». — Что же, тогда пришло время ее обсудить, но для начала пришлось немного по-исследовать. И вот что я обнаружил:

Как браузер помогает товарищу майору Habr, Информационная безопасность, Chromiuim, Без рейтинга, Длиннопост

Дисклеймер*. Из-за отсутствия времени буду добавлять много букв по мере возможности. Пока только конкретика.


Да, каждый скачанный файл с помощью любого Chromium-совместимого браузера (проверено в lxc-контейнере на Chrome, Chromium, Yandex и последней Opera) записывает в расширенных атрибутах файла, спрятанных в недра файловой системы, вот такой вывод:


i@ars:~$ getfattr -d logo.png
# file: logo.png
user.xdg.origin.url="https://habr.com/images/logo.png"
user.xdg.referrer.url="https://habr.com/images/logo.png"

При этом все они честно ничего не пишут, если вы скачиваете файл в режиме «инкогнито» / «private browsing»


Знали ли вы об этом? Если да, то хорошо. Если нет, то теперь будете знать. Что касается Firefox и Palemoon — эти парни честно игнорируют эту помощь товарищу майору. Весь букет программ для просмотра Интернет-страниц я не проверял, но думаю, все, что основано на Chromium делает это, остальные скорее нет.


Теперь о MacOS и Windows. В «макоси» данная функция также работает в Chrome:


iMac-Igor:~ [censored]$ xattr -l habr_logo.png
com.apple.metadata:kMDItemWhereFroms:
00000000 62 70 6C 69 73 74 30 30 A2 01 02 5F 10 20 68 74 |bplist00..._. ht|
00000010 74 70 73 3A 2F 2F 68 61 62 72 2E 63 6F 6D 2F 69 |tps://habr.com/i|
00000020 6D 61 67 65 73 2F 6C 6F 67 6F 2E 70 6E 67 5F 10 |mages/logo.png_.|
00000030 20 68 74 74 70 73 3A 2F 2F 68 61 62 72 2E 63 6F | https://habr.co|
00000040 6D 2F 69 6D 61 67 65 73 2F 6C 6F 67 6F 2E 70 6E |m/images/logo.pn|
00000050 67 08 0B 2E 00 00 00 00 00 00 01 01 00 00 00 00 |g...............|
00000060 00 00 00 03 00 00 00 00 00 00 00 00 00 00 00 00 |................|
00000070 00 00 00 51 |...Q|
00000074
com.apple.quarantine: 0001;5c8a21e7;Google Chrome;26D6C537-E6B0-4715-9E77-656FF1C5B7A9

… работает она и в Safari. В FF не проверял, но полагаю, что прекраснодушный Firefox для MacOS также лишен этой «привилегии», как и в Linux.


Утверждается, что это фича используется для определения файла «скаченного из Интернет» и именно по наличию этого атрибута в «макоси» выскакивает предупреждение об опасности запуска и т.п. Хм… Странно… Но здесь мы плавно перейдем к Windows.


«Венда» вещь безусловно бездарная и следящая за всеми с неприкрытым цинизмом. (чего только стоят неотключаемые обновления в W10! ). В ней, в NTFS также спрятаны лазейки для записывания чего угодно в расширенные атрибуты файлов. Называются они streams и могут все тоже самое. Говорят, что в эти припрятанные файловой системой «потоки» периодически любят что-нибудь да записывать вирусы, поскольку все остальные программы их используют редко. Не могу ничего сказать, я Windows последние 10 лет не пользуюсь. И все же. При первом приближении в Win10 я не обнаружил подобной «мелочи», а именно того факта, чтобы в расширенный атрибуты NTFS Google Chrome писал ссылки подобно тому, как он делает это в Linux и MacOS. Оговорюсь: это при первом приближении, поскольку утверждается, что у streams есть как-бы несколько слоев и не все они прямо доступны.


Вот так, если кратко обстоит дело с тем, как устроены не только браузеры, но и файловые системы при предельно кратком приближении.


Я еще буду править эту статью. Но заранее прошу отказаться от комментариев в виде: «Ну и что, мне нечего скрывать». В общем, нам всем, как-правило, тоже. Но наиболее рьяным «намнечегоскрывать», если таковые найдутся, я могу посоветовать включить встроенную камеру и микрофон, и дать публичную ссылку здесь, в комментариях, чтобы и мы все могли в этом убедиться. Шутка конечно.


Вот такие шуточки.

Дубликаты не найдены

+13

Я хожу в Интернет через провайдера и меня очень веселят рассуждения о приватности в браузере.

ещё комментарии
+14

Советую почитать, как вообще работает интернет и каким способом передается информация. Эта информация много вопросов снимет.

раскрыть ветку 3
+5

Странно,  что тебя минусят. Совет-то дельный.

раскрыть ветку 2
+5

Не каждому интересно знать, как проходят  реакции окисления кислородом, огнем они и без этого пользуются.

раскрыть ветку 1
+2

Первоисточник тут https://habr.com/ru/post/443694/

Лучше бы оставлять ссылки, и не только во имя копирайта, хрен с ним. Просто там тоже могут быть полезные комментарии.

раскрыть ветку 1
0

коменты там гораздо полезнее самой статьи

+2

ТС, спасибо конечно за инфу, но в режим паранои я физически не полезу, если боятся обыска, то проще счетами пользоваться, на них и смотреть фильмы, если Дон Доигралес придёт, то он и досыпать файлов сможет. Тогда проще вырвать хдд и сидеть с лайвсд.

+3

Для Win в NTFS есть утилита Streams.exe за авторством Марка Русиновича, доступна для скачивания с сайта мелкомягких.

+2

Нихуя не понял

раскрыть ветку 9
+5

Вот ты скачал новейший отечественный фильмец никитоса михалкова с запрещённого в России сайта.

Тут тебя внезапно посещает майор Доигралес, открывает тайные свойства файла и там написано, откуда скачан фильм.

Все.  Перед тобой два стула и бутылка, выбирай.

раскрыть ветку 8
+9
открывает тайные свойства файла и там написано, откуда скачан фильм.

а вот хрен, потому что фильмы через HTTP не качают)

раскрыть ветку 1
0
Что делать, что делать... у меня же антивирус скачан крякнутый, ааа...
раскрыть ветку 2
-2

А зачем стулья?

раскрыть ветку 2
+1

Если не возражаешь, то попроси модератора пост в ИнфоБез перенести

+1

А где ссылка на оригинальную статью, а? Поправьте: https://habr.com/ru/post/443694/

0

Подскажите ссылки куда обращаться офисному работнику за помощью с linux
Ищу типа "Linux`оид на час"

раскрыть ветку 2
+1
в гугл же...
раскрыть ветку 1
0

Мне нужен конкретный человек. Какой запрос вбивать?

0
Меньше знаешь, лучше работаешь ложкой, говорил один мой знакомый.
0

getfattr, чуть моложе тебя, юный падаван https://savannah.nongnu.org/projects/attr

0

Краткая суть поста:"Reif познаёт мир"

раскрыть ветку 1
+3

Reif научился копипастить.

-1

нда. Это не шуточки... Оруэлл и Гибсон в одном флаконе - вот наше завтра, да, пожалуй, уже наше сегодня.

Похожие посты
2080

Как я нашел способ отследить всех водителей «Ситимобил»

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобил» я увидел, что один интересный запрос выполняется без какой-либо аутентификации.


Это был запрос на получение информации о ближайших машинах. Выполнив этот запрос несколько раз с разными параметрами я понял, что можно выгружать данные о таксистах практически в реалтайме. Вы только представьте, сколько интересного можно теперь узнать!


ТЫЦ ( большая гифка, не уместилась)


С чего все началось?


Да, я действительно сидел и смотрел трафик с телефона. Дело в том, что я инженер, и постоянно изучаю, как работают технологии и разные вещи вокруг меня. Так было и в этот раз.


Я использовал mitmproxy (Man In The Middle Proxy) — программа для атаки «человек посередине». Есть много инструкций по её установке и настройке, а общий принцип такой:


1. Подключаешься к домашнему WiFi с телефона и компьютера

2, Запускаешь mitmproxy на компьютере

3, В телефоне прописываешь локальный адрес компьютера как основной прокси (уже можно смотреть внутрь http)

4, Скачиваешь и подтверждаешь сертификат на телефоне (позволяет заглядывать внутрь https)


Теперь, грубо говоря, весь трафик с телефона идет сначала на компьютер, расшифровывается, показывается на экране, зашифровывается и идет дальше. И наоборот.


Таким способом я изучаю, как сделаны разные приложения, а иногда нахожу очень интересные вещи. Например, в этот раз я увидел запрос от приложения «Ситимобил» на получение информации о ближайших водителях, который не требовал аутентификации.


Bug bounty Mail


Я оформил всю информацию на hackerone и отправил на рассмотрение. После опыта взаимодействия с баг баунти Яндекса, я не рассчитывал на быстрый ответ, однако уже через 3 минуты некто «3apa3a» закрыл мой репорт. Отличная скорость, Mail!


В ответе написали, что данные показываются пользователю в приложении, а значит не являются чувствительными и защищать их не надо.

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Ну что ж. Раз это публичные данные, давайте развлекаться!


Как получить данные?


Информацию о 10 ближайших водителях к геопозиции можно получить, отправив POST запрос на следующий адрес:

https://c-api.city-mobil.ru/getdrivers

При этом в теле запроса нужно указать интуитивно-понятные параметры:

{

"latitude": LAT,

"longitude": LON,

"limit": 10,

"method": "getdrivers",

"radius": 5,

"tariff_group": [ 4, 5, 6 ],

"ver": "4.33.0"

}

Здесь tariff_group — массив классов авто. Например, эконом, комфорт, бизнес и т.п.

При этом поля radius и limit не работают, как надо, но и убрать их нельзя.


В итоге, запрос на получение информации можно отправить просто из командной строки:

curl -X POST --data '{ "latitude": 55.7, "limit": 10, "longitude": 37.6, "method": "getdrivers", "radius": 5, "tariff_group": [4], "ver": "4.33.0" }' https://c-api.city-mobil.ru/getdrivers

В ответ приходит JSON с данными о 10 ближайших к (LAT, LON) автомобилях:


Ответ сервера:

{

"drivers":[

{

"id":"1c1f6779f893af6fe5bf4509af7366cd",

"lt":"55.7025061",

"ln":"37.5954334",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort_plus"

},

{

"id":"1a13d0daad9b6a3fa2b3d04a5b6f8c2a",

"lt":"55.7019682",

"ln":"37.6054896",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort"

},

{

"id":"c7c1634fae41a68924083af1d496d0a7",

"lt":"55.7014223",

"ln":"37.6067352",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort_plus"

},

{

"id":"f15ce054ccdaa268b16a0904b9eecdae",

"lt":"55.6956527",

"ln":"37.5972063",

"direction":"4",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"94ebc0fcc644bb1da4b57e7d23942e6d",

"lt":"55.694786",

"ln":"37.5982642",

"direction":"4",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"7251c45ee945c9cb839d69d5902b9f17",

"lt":"55.7009351",

"ln":"37.6094206",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort"

},

{

"id":"cb9dab2ba7379c3db817dd76ec68e6c5",

"lt":"55.6950137",

"ln":"37.6041883",

"direction":"8",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"761891d9c1129b1678c3eba616249e2b",

"lt":"55.6944542",

"ln":"37.5951122",

"direction":"2",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"4f0e835751cadaa5d5386f0e1374f315",

"lt":"55.7066516",

"ln":"37.6011767",

"direction":"7",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"2eb330cad5e5d9c87e6d0600a9ff10e8",

"lt":"55.7066801",

"ln":"37.6009127",

"direction":"8",

"CarColorCode":"000000",

"car_type":"comfort"

}

],

"nearest":{

"duration":420

},

"service_status":1

}

Посмотрим, что тут у нас

{

"id":"2eb330cad5e5d9c87e6d0600a9ff10e8",

"lt":"55.7066801",

"ln":"37.6009127",

"direction":"8",

"CarColorCode":"000000",

"car_type":"comfort"

}

Идентификатор, широта, долгота, код направления (Северо-запад), код цвета и тип авто. Отлично!

Нужно больше данных!


Так как поля лимит и радиус в запросе игнорируются, а в ответ возвращается не больше 10 ближайших авто, нельзя так просто взять и выбрать N точек на Москву, чтобы за N запросов получить всю информацию об автопарке.


Но решение есть. Я написал алгоритм, похожий на заливку, который запускает запросы на поиск с координатами водителей, найденных на прошлом этапе. Ещё я все это дело распараллелил, а прокси подключать не пришлось — mail позволяет мне делать все несколько тысяч запросов за минуту с одного и того же ip.


В результате за пару десятков секунд собирается информация о всех таксистах «Ситимобил», которые сейчас на линии в Москве и Московской области. Именно так получается гифка из начала статьи.


Думаете, сколько водителей на линии в воскресенье утром?

В 11 утра их было 4374


Но разве нас интересует срез? Давайте посмотрим в динамике.

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Найс. А как эти водители распределены в пространстве?

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Ну и напоследок давайте проследим за каким-нибудь водителем.

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Вот, видно маршрут. А ведь можно еще поднять частоту опроса и получить более точные данные.


И что такого?


А то, что данные вроде как важные.


Во-первых, можно оценить долю рынка и доходность компании «Ситимобил».


Во-вторых, на месте другого агрегатора (например, Яндекс.Такси) я бы использовал данные о положении таксистов конкурентов. Для ценообразования, например. Или вычислил водителей, работающих и там, и там на основе корреляций в геопозициях.


В-третьих, раз можно отследить конкретного таксиста, можно отследить и его клиента. Это уже серьёзно. По факту, можно узнать, куда уехал человек на «Ситимобиле», если вы знаете, где он сел в такси.


Заключение


Не нужно недооценивать важность данных, которые показываются клиенту.


Если Mail  все еще считают, что эту информацию не нужно защищать, то Яндекс.Такси, вот вам гора данных. С её помощью вы сможете забрать часть прибыли Ситимобила.


Если же Mail  признаёт, что данные чувствительные и закрывает к ним доступ, то будет честно выплатить вознаграждение по bug bounty.


Как ещё можно использовать данные о таксистах по вашему мнению?


Спасибо, что дочитали! Надеюсь, вам было интересно.


Успехов!


Оригинал


UPD: Ответ Ситимобила:

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr
Показать полностью 5
1397

У сайта нашего СМИ угнали домен. В этом помогла двухфакторная аутентификация

[UPD К посту есть вопросы]

Из-за того, что МТС перевыпустил кому-то сим-карту владельца домена, сайт финансового издания "Банки Сегодня", в которое было вложено 3 года работы и огромное количество денег и сил, был угнан.

Все было так: сегодня в 15:50 на телефон заместителя главного редактора (который также был владельцем домена) пришло сообщение такого вида:

У сайта нашего СМИ угнали домен. В этом помогла двухфакторная аутентификация Сайт, Домен, Регистратор, Мошенники, Информационная безопасность, Длиннопост, Без рейтинга

То есть, кто-то перевыпустил симку. Как это удалось сделать - большой вопрос, который мы адресуем компании МТС.

Естественно, что владелец симки сразу начал звонить оператору. Скорее всего, в тот же момент мошенник активировал сим-карту, потому что звонок оборвался на середине. С другого номера удалось дозвониться в службу поддержки МТС, номер был заблокирован.

Но было уже поздно. Злоумышленник получил доступ к электронной почте на Яндексе, на которую был зарегистрирован личный кабинет регистратора доменных имен.

Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это произошло.

Сразу же мошенник смог получить доступ к личному кабинету регистратора (рег.ру) и перенес домен на другой аккаунт.

На данный момент сайт нашего издания работает, но как быстро злоумышленник сможет переписать адрес DNS-сервера, никто не знает.

Хочется верить, что магия Пикабу сработает и нам ответит Рег.Ру, а еще лучше - если регистратор заблокирует перенос домена и разберется во всем.

Мы никогда не занимались политикой и не писали заказных материалов. Но такая участь постигла и наш сайт.


Направлено обращение в юридический отдел компании рег.ру. Мы хотим дать истории более широкую огласку. Во-первых, чтобы наша проблема была решена поскорее. Во-вторых, чтобы предупредить других владельцев сайтов о риске потерять домен.


Я работаю автором новостей и других материалов, поэтому ставлю тег "мое".

Показать полностью
2415

Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги

Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги Информационная безопасность, Машинное обучение, Искусственный интеллект, Длиннопост, Deepfake, Habr

C момента своего появления в декабре 2017-го дипфейки, видео с почти идеальной заменой лица, созданные нейросетью, наводили на экспертов панику. Многие, например, тогда боялись, что теперь еще проще станет «порно-месть», когда бывший бойфренд с достаточно мощным ПК может смастерить любое грязное порно с подругой. А Натали Портман и Скарлетт Йоханссон, о которых порно с deepfake снимали особенно много, публично прокляли интернет.


Чтобы бороться с подступающей угрозой, Facebook и Microsoft недавно собрали коалицию для борьбы с дипфейками, объявив призовой фонд $10 млн тем разработчикам, которые придумают лучшие алгоритмы для их обнаружения. Это помимо DARPA, управления исследованиями Министерства обороны США, выделившего на эту цель $68 млн за последние два года.


Ну так вот, уже поздно. Первое deepfake-преступление уже состоялось.

Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги Информационная безопасность, Машинное обучение, Искусственный интеллект, Длиннопост, Deepfake, Habr

По данным Wall Street Journal, в марте этого года управляющий директор британской энергетической компании был ограблен на €220 000 (около $240 000). Он отправил эти деньги фирме-поставщику из Венгрии, потому что его босс, глава материнской фирмы в Германии, несколько раз подтвердил ему такую инструкцию. Но на самом деле какой-то хитрый злоумышленник просто использовал софт с AI-технологиями, чтобы в режиме реального времени заменять голос руководителя, и требовать, чтобы тот заплатил ему в течение часа.


Программа, которую использовал вор, смогла полностью имитировать голос человека: тон, пунктуацию, даже немецкий акцент. Сообщение исходило с адреса босса в Германии, в подтверждение британскому директору был направлен e-mail с контактами. Предположить, что что-то идёт не так, можно было разве что по требованию босса провести всю сделку как можно быстрее, но это далеко не первый аврал, который случался в их бизнесе.


В итоге – все деньги пропали. Из венгерского аккаунта их перевели в Мексику, а потом рассеяли по всему миру. Но воры на этом не остановились. Они попросили второй срочный перевод, чтобы «поставки из Венгрии» «пошли еще быстрее». Тут уж британский директор почуял неладное, и позвонил своему настоящему боссу. Получился какой-то сюр: он по очереди принимал звонки то от фейкового, то от настоящего руководителя, говорящих одинаковыми голосами. Название компании и её сотрудников не разглашаются, поскольку по этому делу ведется расследование, и воры еще не найдены.

Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги Информационная безопасность, Машинное обучение, Искусственный интеллект, Длиннопост, Deepfake, Habr

Возможно, это даже не первая кража с использованием Deepfake AI (или его продвинутых последователей). Symantec сообщает, что она засекла как минимум три случая, в которых замена голоса помогла ворам обхитрить компании и заставить их послать им деньги. В одном из этих случаев ущерб составил миллионы долларов. Причем, судя по косвенным признакам, этот трюк был проделан другими злоумышленниками – не теми, которые обокрали британского СЕО. То есть, deepfake-преступления постепенно становятся общим достоянием, это не придумка какого-то одного гениального хакера.


На самом деле, скоро такую процедуру сможет проделать любой школьник. Главное – найти достаточно доверчивую жертву, и собрать нужное количество сэмплов видео/аудио, чтобы имперсонировать, кого потребуется. Google Duplex уже успешно мимикрирует под голос реального человека, чтобы делать звонки от его имени. Многие небольшие стартапы, в основном из Китая, работают над тем, чтобы предлагать похожие на deepfake сервисы бесплатно. Разные программы-дипфейки даже соревнуются друг с другом, кто сможет сгенерировать достаточно убедительное видео с человеком, используя минимальный объем данных. Некоторые заявляют, что скоро им будет достаточно одного вашего фото.


В июле Израильское национальное управление защиты от киберугроз выпустило предупреждение о принципиально новом виде кибератак, которые могут быть направлены на руководство компаний, ответственных сотрудников и даже высокопоставленных чиновников. Это первая и на данный момент самая реальная AI-угроза. Они говорят, уже сейчас есть программы, способные идеально передать ваш голос и акцент, прослушав вас 20 минут. Если где-то в сети есть запись с вашей речью в течение получаса, или если кто-то немного посидел рядом с вами в кафе с диктофоном, ваш голос теперь может быть использован, чтобы сказать кому угодно что угодно.


Пока что инструментов для борьбы с этим нет. Вариант защититься только один. Если вам кто-то звонит и просит перевести существенную сумму денег, – не будет лишним подтвердить, что это тот самый человек, по другому каналу. Через мессенджеры, Скайп, e-mail, корпоративные каналы или соцсети. А в идеале, конечно же, – лицом к лицу.


Ну а если у вас есть глубокие познания в машинном обучении и вы не прочь получить кусок от пирога в $10 млн – можно попробовать себя в конкурсе Microsoft и Facebook. Или основать свой стартап, предлагающий государству и солидным компаниям бизнес-решение для определения дипфейков по картинке или по голосу. Без этого нам скоро будет не обойтись.

Источник: Хабр

Показать полностью 1
471

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

С чего начинается конференция? Конечно, с бейджа! Это первое, что ты получаешь на входе, целый день (или несколько) вы с ним неразлучны, а потом он висит над твоим столом, напоминая окружающим о твоей космической крутизне и профессионализме.
Поэтому бейдж для международной конференции по практической безопасности OFFZONE мы стараемся сделать запоминающимся. Бейдж-карты OFFZONE 2018 были полноценными компьютерами на базе 8-битного процессора с JVM на борту. А на OFFZONE 2019 (17–18 июня) роль бейджа участника играла интерактивная печатная плата, выполненная, в согласии с общим стилем конференции, в виде дискеты 3,5 дюйма. Олды тут?!

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

Бейдж: начало
Каждый участник конференции при регистрации получал бейдж-плату и набор из четырех батареек ААА. Вставляешь батарейки — бейдж радостно приветствует тебя каруселькой из всех цветов радуги.
Бейдж радовал глаз и собирал лайки в инстаграме, но это не главная его функциональность. Даже в базовом варианте он служил кошельком для OFFCOIN — официальной валюты конференции. Ее получали за решение разнообразных тасков и обменивали на фирменный мерч.

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

«Базовая поставка» бейджа включала в себя микроконтроллер с необходимой обвязкой, системой питания и ИК-передатчиком. Это уже неплохо, но иногда душа требует праздника. На этот случай у бейджа были скрытые возможности.
Бейдж: продвинутый уровень
Первое правило ИБ-конференции — ломать можно все, в том числе бейджи. Мы не отошли от традиции, но немного ее модифицировали: чтобы взломать нашу светящуюся плату, ее нужно было сперва «починить» — собственноручно напаять недостающие электронные компоненты.
Обо всех апгрейдах для бейджа можно было узнать двумя способами. Первый, для внимательных — изучить инструкцию на сайте конференции. Второй, для нетерпеливых — устроить допрос с пристрастием кому-нибудь из организаторов на площадке.
Оба способа приводили участников на зону пайки. И тут начиналось самое интересное! Катушки припоя, запах флюса и прочие радости, ранее доступные только радиолюбителям.

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

5 шагов к тюнингованному бейджу
Первым шагом к апгрейду бейджа было напаять DIP Switch на 8 переключателей и 8 резисторов R8-R15 номиналом 220 Ом и типоразмера smd 0603 на противоположной стороне платы. DIP Switch давал возможность переключать режим работы бейджа, а еще открывал доступ к первому заданию.

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

В первом задании нужно было выставить младшие четыре разряда переключателей в такую комбинацию, чтобы все четыре светодиода загорелись зеленым цветом. Как только это происходило, бейдж в USB через COM-порт отправлял участнику флаг.
Немного объяснений для тех, кто не успел в зону пайки на конференции и хочет повторить трюк дома. Старшие четыре разряда переключателя определяют то, в каком режиме запустится бейдж после рестарта. Положение этих переключателей нужно трактовать как представление двоичного числа: восьмой переключатель в положении ON — это 0001, седьмой ON — это 0010, восьмой и шестой ON — это 0101 и так далее. Таски имели номера от 1 до 5. Состояние 0 — режим кошелька OFFCOIN.
Для второго задания нужно было смонтировать миниатюрный 0,96-дюймовый OLED-дисплей с интерфейсом I2C и пару перемычек. Это задание тоже удастся воспроизвести не только на площадке OFFZONE, так что вот инструкция.
Все просто. Дисплей — разъем PLS-4, а перемычки — резисторы R2 и R5 типоразмера smd 0603. Запаяли, выбрали режим 2 на DIP Switch, перезапустили бейдж, дождались окончания процесса погрузки программы, прошли тест на эпилептика и теперь можно играть во Flappy Quote.

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

Цель таска — пройти 1337 ворот кавычкой и не умереть. Руками сделать это не так-то просто. Однако если подключиться по COM-порту к бейджу в режиме Flappy Quote, можно увидеть очень много полезной информации — ее хватит, чтобы написать своего бота! Цель в 1337 ворот уже не выглядит столь устрашающей.
На третьем шаге можно было напаять простой ИК-приемник TSOP38238, найти в зоне пайки установленный организаторами бейдж и принять посылку, которая там передается. Посылкой оказывался 7ZIP-архив, который содержал пожатую файловую систему FAT12. Нужно было покопаться в ней и найти флаг.
Затем участники могли напаять RFID-приемопередатчик RC-522, в зоне с заданиями по взлому IoT-устройств найти помеченную карту-пропуск, сдампить ее, поковыряться в дампах, заметить некоторые интересные особенности в них, подкорректировать данные и записать на свою карту-болванку. Если все сделано правильно, проверка карты на IoT-зоне проходила успешно и участник получал флаг.

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

Для последнего задания у нас было радио диапазона 433МГц и два модуля: приемник и передатчик. При помощи радио был реализован чат для всех владельцев этих модулей, а также поиск постоянно курсирующего туда-сюда источника передачи флага. Нужно было просто гулять по OFFZONE, глазеть по сторонам и ловить радиопакетики. Один из них и содержал искомый флаг.

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

Последние три таска выполнить уже не получится — нужные условия были только на OFFZONE. Но если есть желание, всегда можно завершить модификацию!
Дополнительная информация
Схема бейджа

Текстолит вместо картона. Пара слов об интерактивном бейдже OFFZONE 2019 Микроконтроллеры, Печатная плата, Пайка, Информационная безопасность, Длиннопост, Из сети, Habr

и другое в оригинальной статье.

Показать полностью 7
628

1 февраля 2019 года ваш сайт может перестать работать

Cisco является одним из крупнейших DNS-провайдеров в мире, предоставляя услугу безопасного DNS на базе Cisco Umbrella (ранее OpenDNS), но речь сегодня пойдет не о ней и даже не о безопасности. Дело в том, что 1-го февраля наступит так называемый DNS Flag Day, после которого ваш сайт может быть недоступен пользователям в Интернет.

1 февраля 2019 года ваш сайт может перестать работать DNS, Интернет, Информационная безопасность, Длиннопост, Habr

О чем идет речь? Протокол DNS был разработан в начале 80-х годов. С тех пор много воды утекло и в протокол DNS понадобилось добавить новые функции и возможности. Такая работа была начала в 1999 году, когда в виде RFC 2671 была опубликована первая версия расширений под названий EDNS0 (Extension Mechanism for DNS). Данная версия позволила снять некоторые ограчения, например, на размер некоторых полей флагов, кодов возврата и т.п. Текущая версия расширенного протокола EDNS описана в RFC 6891. При этом в Интернет продолжали существовать DNS-сервера, которые не поддерживали и не поддерживают EDNS, создавая тем самым определенные сложности при взаимодействии, необходимости обеспечивать обратную совместимость, что в свою очередь приводит как к замедлению работу всей системы DNS, так и к невозможности в полной мере реализовать все новые возможности EDNS.


Но этой вакханалии пришел конец — с 1-го февраля неподдерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик. Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.


Для большинства компаний DNS Flag Day пройдет незамеченным, так как многие DNS-провайдеры уже обновляют или обновили свое ПО до необходимых версий. Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, не имея на это либо средств, либо квалифицированных специалистов. В результате с 1-го февраля сайты многих ведомств могут стать недоступны или столкнуться с проблемами с доступом.

1 февраля 2019 года ваш сайт может перестать работать DNS, Интернет, Информационная безопасность, Длиннопост, Habr

Проверить перспективы доступа к своему сайту в феврале 2019-го года достаточно просто — надо всего лишь зайти на сайт dnsflagday.net, ввести там имя своего домена и получить результат, который будет иметь разные значения. В идеале вы должны увидеть картинку, аналогичную той, которая показана ниже для сайта cisco.ru:

1 февраля 2019 года ваш сайт может перестать работать DNS, Интернет, Информационная безопасность, Длиннопост, Habr

Если вы видите картинку, аналогичную той, которая выдается, например, для сайта АНО «Цифровая экономика», то это означает, что сайт работать будет, но он не поддерживает последний стандарт DNS и не сможет в полном объеме реализовать необходимые функции безопасности и может стать мишенью для хакеров, которые могут (а вдруг) атаковать этот сайт.

1 февраля 2019 года ваш сайт может перестать работать DNS, Интернет, Информационная безопасность, Длиннопост, Habr

Первые две картинки из этой заметки с красными знаками дорожного движения — это самое плохое, что вы можете увидеть. Лучше поскорее обновить ПО, обеспечивающее работу вашего DNS. На сайте dnsflagday.net вы можете получить все необходимые инструкции и ссылки для того, что актуализировать свое ПО. Там же есть ссылки и на различные утилиты для администраторов, которые позволяют сканировать свою DNS-инфраструктуру в поисках слабых мест.


В завершение заметки я не могу не коснуться вопросов безопасности. Дело в том, что некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS), что может приводить к реализации DoS-атак (например, МСЭ может блокировать DNS cookies, которые являются частью EDNS и предназначены как раз для защиты от DoS-атак) и снижению скорости в Интернет. Поэтому стоит обратить внимание на правила ваших МСЭ, так как раньше это было достаточно распространено и многие уже просто забыли, когда и зачем добавлялись правила в свои средства сетевой периметровой безопасности.


До наступления DNS Flag Day остается меньше двух недель — еще достаточно времени на то, чтобы начать соответствовать стандарту и не снижать лояльность клиентов и граждан, которые, столкнувшись с недоступностью или замедленной работой вашего сайта, начнут нелицеприятно высказываться об этом в соцсетях.


Взято от сюда

Показать полностью 3
450

Повсеместное размытие спутниковых фотографий раскрывает местонахождение секретных баз

Как заинтриговать аналитика, занимающегося спутниковыми фотографиями? Размыть их.


Google Earth периодически размывает фото по запросу правительства, желающего помешать любопытным взорам изучить некоторые из наиболее чувствительных военных или политических объектов. Франция, к примеру, попросила Google затенить все изображение тюрем, после того, как французский гангстер успешно организовал побег из тюрьмы, вдохновлённый голливудом: он использовал дроны, дымовые шашки и даже украденный вертолёт – и Google согласилась сделать это до конца 2018 года. По той же схеме старый закон в Нидерландах требует от местных компаний размывать спутниковые фотографии, на которых есть военные и королевские объекты – один раз даже компания, предоставляющая спутниковые фотографии, подредактировала фото, на которое попала воздушная база Волкел, после того, как это фото приобрёл Ханс Кристенсен.


Яндекс.Карты – крупнейший российский картографический сервис – также согласился выборочно размывать определённые места на карте, чтобы их нельзя было узнать. Однако сделал он это всего для двух стран – Израиля и Турции. Размытые участки варьируются от крупных комплексов – аэродромов или хранилищ боеприпасов – до мелких непримечательных строений в городах.

Повсеместное размытие спутниковых фотографий раскрывает местонахождение секретных баз Статья, Яндекс Карты, Информационная безопасность, Длиннопост, Habr

Camp Glilot, штаб-квартира элитарной израильской разведки, расположенной к северу от Тель-Авива. На Яндексе изображения размыты, в Google они видны.


Хотя размытие определённых мест – практика редкая, нет ничего необычного в том, чтобы поставщики спутниковых изображений ухудшали разрешение определённых фотографий перед тем, как выпускать их на публичные платформы вроде Яндекса или Google Earth. Прочёсывая земной шар при помощи этих сервисов, можно заметить, что разные места представлены в разных разрешениях. К примеру, пригород Торонто виден в чрезвычайно высоком разрешении. Если присмотреться, можно разглядеть мой велосипед, запаркованный рядом с моей старой квартирой. И наоборот, фотографии пригорода Иерусалима всегда более размыты, на них едва можно рассмотреть запаркованные на обочине автомобили.

Повсеместное размытие спутниковых фотографий раскрывает местонахождение секретных баз Статья, Яндекс Карты, Информационная безопасность, Длиннопост, Habr

Слева – Торонто, справа — Иерусалим


Как я уже описывал ранее, американский закон от 1997 года, известный, как Поправка Кила-Бингамана (KBA), запрещает американским компаниям публиковать спутниковые фотографии Израиля с разрешением выше, чем у коммерчески доступных фотографий. Обычно это значит, что спутниковые компании, например, DigitalGlobe, и платформы для просмотра, например, Google Earth, не могут публиковать фотографии Израиля с разрешением лучше, чем 2 м на пиксель.


Не принадлежащие США компании, например, российский Яндекс, не обязаны придерживаться этой поправки, однако они всё равно обычно придерживаются разрешения в 2 м, скорее всего, по двум причинам. Во-первых, после 20 лет стандарт KBA стал общепринятым в области спутникового фото. Во-вторых, российские компании и Россия не хотят портить отношения с Израилем.


Однако Яндекс пошёл дальше простого ухудшения качества фото. Яндекс, или же его провайдер фотографий Сканэкс, размыл определённые военные постройки целиком. Что интересно, то же касается и фотографий Турции, не поддерживающей никакие особенные стандарты, и потому обычно представленной на фото в высоком разрешении.

Повсеместное размытие спутниковых фотографий раскрывает местонахождение секретных баз Статья, Яндекс Карты, Информационная безопасность, Длиннопост, Habr

Размытый стамбульский квартал на Яндекс.Картах


Это размытие наверняка было сделано по запросу Израиля и Турции; вряд ли российская компания стала бы заниматься таким трудоёмким делом по своей инициативе. К счастью для разведки на основе открытых источников, это привело к неожиданному эффекту раскрытия местоположения и точного периметра каждой значимой военной постройки в этих странах – если вы достаточно одержимы и любопытны, чтобы пролистать всю карту в поисках размытий. В результате можно заниматься аналитикой, сопоставляя размытые места с неразмытыми (пусть и в низком разрешении) фотографиями, доступными через Google Earth.


В моём списке размытых мест в Израиле и Турции находится более 300 строений, аэродромов, портов, бункеров, складов, баз, бараков, ядерных объектов и случайных зданий – из чего можно сделать несколько интересных выводов.


В списке размытых Яндексом мест находится по меньшей мере два объекта НАТО: Allied Land Command (LANDCOM) в Измире и авиабаза Инджирлик, где находится крупнейший контингент ядерных бомб B61 среди всех баз НАТО:

Повсеместное размытие спутниковых фотографий раскрывает местонахождение секретных баз Статья, Яндекс Карты, Информационная безопасность, Длиннопост, Habr

Странно, но ни одна российская база на фотографиях не размыта – включая ядерные объекты, базы подводных лодок, пусковые площадки, авиабазы, военные базы, находящиеся за рубежом в Восточной Европе, Центральной Азии и на Ближнем Востоке.

Хотя постоянные базы России в Сирии не размыты, почти вся Сирия представлена в очень низком разрешении, из-за чего почти невозможно анализировать изображения при помощи Яндекса. При этом Крым и Донбасс представлены в очень высоком разрешении, поэтому этот стандарт по размытию касается только мест зарубежных приключений России.

Все четыре израильских батареи «Пэтриот», поиски которых я описывал в предыдущей статье, размыты, что подтверждает военное назначение этих участков.

Повсеместное размытие спутниковых фотографий раскрывает местонахождение секретных баз Статья, Яндекс Карты, Информационная безопасность, Длиннопост, Habr

Расположение батареи Пэтриот близ горы Кармель в Хайфе (Яндекс)


Если отставить в сторону геополитические интриги, касающиеся взаимоотношений России с Израилем и Турцией, действия Яндекса представляют собой прекрасный пример "эффекта Стрейзанд". В 2003 году Барбара Стрейзанд попыталась засудить фотографа, опубликовавшего фотографии, на которые попал её особняк в Малибу, требуя оплатить ей $10 млн и удалить фотографии из интернета. Её действия привели к обратному эффекту: она проиграла дело, ей пришлось покрывать судебные издержки ответчика, а поднявшаяся шумиха привлекла к фотографии значительный трафик. До суда это фото посмотрели всего шесть раз (из них два раза – юристы Стрейзанд), а через месяц фото набрало уже 420 000 просмотров. Это прекрасный пример того, как попытка скрыть что-либо с большой вероятностью приводит к нежелательному вниманию к объекту.


Так и с Яндексом. Подчиняясь запросам на выборочное затемнение военных баз, картографический сервис на самом деле раскрывает их точное местоположение, периметр, и потенциальное предназначение всем достаточно любопытным людям, способным их увидеть.


Источник - https://habr.com/post/433210/

Показать полностью 4
125

О том, как я крипту зарабатывал... для других

Подыскивал я очередную ардуину... Захожу я на сайт mgbot.ru, который торгует всякой электроникой и появляется чувство некоторого торможения...

(для ленивых - /bitrix/js/main/core/core_loader.js с сайта в ~75% случаев подгружает майнер)


Проверяюсь - по SHIFT+ESC в Хроме есть свой диспетчер задач. Красота - все 4 ядра процессора почти целиком забиты полезной деятельностью, только мне немного оставили, чтоб казалось, что всё в порядке.

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Полез к диспетчеру задач, может быть зря переживаю?

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

А нет... не зря... Ну что, лунная клизма призма, а нет, ИНСТРУМЕНТЫ РАЗРАБОТЧИКА (F12) дайте мне силы!

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Наблюдаются непонятные процессы, которые у честных сайтов обычно отсутствуют в принципе. Как выяснилось - подгружается WASM сборка, которая делает что-то.

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Знаем имя файла, можем на вкладке сети посмотреть - кто его вызвал. Какое чудесное имя вызывает эти странные нагрузки - crypta.js, а откуда оно появилось?

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост
О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Файл crypta.js содержит исключительно не подозрительный текст (пжалте ссылочку - https://reauthenticator.com/lib/crypta.js?w=2028 ) . А вызывается это счастье из https://mgbot.ru/bitrix/js/main/core/core_loader.js?v=0.3.1, который скорей всего входит в типовой набор файлов сайта на битриксе, что как бы намекает, что бедный несчастный программист, живя впроголодь, решил немного обогатиться за счет работой-дателя и всех, у кого есть браузер, имевших несчастье попасть на сайт и дописал несколько строк.

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Что же происходит внутри?


1. Случайное число до 4 выбирает, чем мы будем заниматься. Если 1 - то честная деятельность чего-то там, а вот 2-3-4, или если в воздухе повиснет - начинаем обогащать разные кошельки, если я правильно понял текст:

06d93b846706f4dca9996baa15d4d207e82d1e86676c

ef937f99557277ff62a6fc0e5b3da90ea9550ebcdfac

dd27d0676efdecb12703623d6864bbe9f4e7b3f69f2e


2. Подгружается JS-скрипт, который оглядывается в компьютере и начинает полезную деятельность.


Сохранил я этот файл на компьютере, отдал посмотреть VirusTotal, а он и говорит - всего-лишь подозрительное нечто, да и то по мнению только двух антивирусов.

https://www.virustotal.com/#/file/90c563eabc9347d722f65d80c7...

https://www.virustotal.com/#/file/3cc8131d6f631367a77d8e8f07...

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Посмотрим на авторов crypta.js - сайт reauthenticator.com перекидывает на:

О том, как я крипту зарабатывал... для других Криптовалюта, Майнеры, Без рейтинга, Информационная безопасность, Длиннопост

Кажется тут уже можно остановиться.


Мораль?

1. Программисты тоже бедные люди

2. Если сделал программист доброе дело, ты проверь и выкинь лишнее.

Авторам сайта извещение ушло. Кто хочет приобщиться к криптовалюте бесплатно без смс и установки дополнительных программ  - заходите :)

Показать полностью 6
31

CLOUD Aсt: новый законопроект США открывает доступ к персональным данным за рубежом.

На прошлой неделе, 23 марта 2018 года, Конгрессом США был принят законопроект, получивший название CLOUD Act. Он значительно расширяет возможности правоохранительных органов Соединенных Штатов по доступу к частной информации в сети.

Подробнее об акте и о том, как к нему отнеслось сообщество и ИТ-компании, расскажем ниже.

CLOUD Aсt: новый законопроект США открывает доступ к персональным данным за рубежом. Habr, Информационная безопасность, Cloud act, Политика, Длиннопост

Clarifying Lawful Overseas Use of Data Act был впервые предложен 6 февраля 2018 года. Законопроект является поправкой к Stored Communications Act (SCA) — акту от 1986 года, регулирующему предоставление доступа правительства США к данным, находящимся в распоряжении интернет-провайдеров. CLOUD Act вошел в состав 2232-страничного документа, утверждающего государственный бюджет, поэтому отдельных дебатов касательно его содержания не проводилось, как, впрочем, и отдельного слушания в Конгрессе.

В акте есть два ключевых пункта, облегчающих доступ правоохранительным органам США к ПД.

1. Запрос ПД пользователей у ИТ-компаний

Во-первых, отныне правоохранительные органы (от полицейских до агентов федеральной миграционной службы) имеют право запрашивать у ИТ-компаний доступ к данным вне зависимости от того, где эта информация хранится. Другими словами, полиция США может обязать Google или Facebook предоставить ПД пользователей, даже если они хранятся, например в Европе.

Учитывая, что многие глобальные ИТ-компании находятся в юрисдикции США, власти получают доступ к переписке, метаданным и учетным записям пользователей по всему миру. Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства (как это было в случае с делом «Microsoft Ireland»).

2. Предоставление информации другим государствам

Вторая часть акта дает президенту и генеральной прокуратуре США возможность вступать с другими государствами в особые соглашения по обмену данными. В рамках этих соглашений страны могут запрашивать данные пользователей у американских ИТ-компаний, при условии, что они [пользователи] не являются гражданами Америки и не проживают на территории США.

Нет ограничений в том, с какими странами США может заключать эти соглашения. При этом Акт позволяет инициировать подобные договоры между странами без одобрения Конгресса.

Поддержка акта

ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».

Когда акт был утвержден, директор по правовым вопросам Microsoft Брэд Смит (Brad Smith) в своем твиттере сказал, что «это важный день для международных отношений и защиты личных данных во всем мире». Он также отметил, что акт позволит повысить доверие к технологиям, которыми мы пользуемся каждый день. Однако твит был встречен явной критикой пользователей сети.

Критика акта

Остальное техническое сообщество не так однозначно поддерживает новый акт (особенно криптовалютные энтузиасты). Обсуждаются опасения, что он приведет к локализации данных, то есть стремлению каждой страны держать ПД граждан на «локальных» серверах.

Также акт подвергли критике многие американские общественные организации по защите прав человека. Более двадцати организаций, включая EFF (Electronic Frontier Foundation — Фонд электронных рубежей) и ACLU (American Civil Liberties Union — Американский союз защиты гражданских свобод), составили открытое письмо к Конгрессу, в котором указали на явные нарушения прав человека в CLOUD Act.

Речь идет о регулировании соглашений по передаче информации. Допустим, некоторая страна в рамках сотрудничества с правительством США обращается к Slack с целью получить личную переписку человека, являющегося резидентом этой страны. Slack, в случае передачи истории сообщений, также невольно раскрывает сообщения всех задействованных лиц в переписке.

Более того, CLOUD предоставляет возможность государству, получившему таким образом конфиденциальные данные об американских гражданах, передать их напрямую правоохранительным органам США без каких-либо дополнительных согласований, ордеров или судебных предписаний. Это можно трактовать как прямое нарушение Четвертой поправки к Конституции США.

Альтернатива: Договор о взаимном оказании правовой помощи

До принятия CLOUD Act правовые аспекты получения доступа к информации за рубежом регулировались с помощью MLAT (Mutual Legal Assistance Treaties — Договор о взаимном оказании правовой помощи). Этот договор был составлен в 2001 году при активном участии США и стран Европы (Россия решение Конвенции не признала). Он позволяет правоохранительным органам разных стран получить доступ к данным, хранящимся за рубежом, при содействии государства, в котором они хранятся.

MLAT имеет свои недостатки. В среднем срок рассмотрения одного запроса составляет около 10 месяцев, и к моменту получения информации от другого государства она в большинстве случаев уже не актуальна. Несмотря на несовершенство, система является важным переходным этапом развития международных отношений в сфере кибербезопасности, тем более что Совет Европы планирует в скором времени ее совершенствовать. Однако принятие CLOUD Act никак не способствует этому процессу, а в большей является его альтернативой.

https://habrahabr.ru/company/it-grad/blog/352402/

Показать полностью
751

Опасная уязвимость на государственном сайте

Здравствуйте, дамы и господа.

Сегодня мне бы хотелось рассказать вам о том, как наше государство беспокоится о безопасности наших данных.

Сегодня на Хабре можно наткнуться на интересную статью:

https://habrahabr.ru/post/347760/.

В ней некий пользователь NoraQ рассказывает о вопиющей уязвимости на сайте Федеральной службы по надзору в сфере образования и науки.

В этой статье автор рассказывает о возможности беспрепятственного получения базы данных, содержащей информацию о 14 000 000 документах об образовании и их владельцах, включая их паспортные данные, информацию о учебном учреждении, выдавшем этот документ и пр. Общий объём данных составляет 5 ГБ. При всём при этом, если верить автору, никто  даже не шелохнулся, пока он выкачивал такое количество данных с государственного сайта.

Для тех, кто ещё не испугался, добавлю от себя, что никто не гарантирует, что нельзя с помощью найденной уязвимости подкорректировать данные и, например, добавить себе красный диплом или, развлечения ради, удалить чужой.

На данный момент уязвимость ещё не закрыта, а сам автор побоялся сообщать о ней администрации сайта, в ввиду совершённых им неправомерных действий.

UPD: реестр не работает, скорее всего он не выдержал такого количества хакеров и оказался недоступен. Будем надеяться, что уязвимость в ближайшем будущем закроют

1665

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

Источник - Хабрахабр


На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт
Как известно, усиленная квалифицированная электронная подпись (ЭП) позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений в документе (см. ст. 5, п. 3 Федерального закона № 63 «Об электронной подписи»). Алгоритм генерации коллизий хеш-функции в этот раз нам не понадобится. Для взлома надо найти способы внесения изменений в электронный документ после его подписания, так, чтобы эти изменения не были обнаружены при проверке ЭП. Начнём.


Сценарий с документом DWG, вектор атаки — внешние ссылки



Здесь и далее предполагается, что в системе уже установлен сертификат квалифицированной электронной подписи:


Создаём документ HVAC.dwg, который ссылается на файл nothing.dwg, расположенный на шаре в локальной сети предприятия. Файл nothing.dwg содержит выноски на оборудование Поставщика А;


Отправляем HVAC.dwg на согласование ответственному лицу;


С помощью программы «Autodesk→AutoCAD→Добавление цифровых подписей» ответственное лицо подписывает HVAC.dwg. Теперь это электронный подлинник:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Реализуем атаку:


Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;


Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Сценарий с документом DOC/DOCX, вектор атаки — шрифт



В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:


Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;


Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);


Отправляем приказ на подпись директору;


Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Реализуем атаку:


С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];


Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.


Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:


PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;


XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;


DWFx — разработан компанией Autodesk. Основан на XPS.


Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:


Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;


Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;


Подписывает командой "Поставить цифровую подпись" в разделе "Сертификаты".


Подписанный PDF отправляется бухгалтеру.


Реализуем атаку:


Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;


Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.


Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.


Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:


Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;


Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;


Подписанный XPS отправляется бухгалтеру.


Реализуем атаку:


Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;


Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Итоги


Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.


Дмитрий Поскребышев

Показать полностью 7
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: