Информационная безопасность *

Производитель «самых защищённых флэшек в мире» IronKey представил S200 — дорогущую модель ценой около $300, рассчитанную на корпоративных и государственных заказчиков.

Нужно сказать, флэшка уникальна не только ценой. Во-первых, в ней стоит крипточип с аппаратной поддержкой AES-256. Во-вторых, это первая в мире флэшка, соответствующая государственному стандарту безопасности FIPS 140-2 третьего уровня. Третий уровень предполагает невозможность даже физического доступа к криптомодулю устройства. Дело в том, что криптомодуль S200 просто саморазрушается в случае несанкционированного доступа, будь то физический доступ или модификация на программном уровне.

Вероятно, разрушение происходит каким-то химикатом, хотя можно применить и более элегантный способ. Никаких подробностей об этом пока не сообщается.

Если вы подумали, что я вам расскажу о великом «мочилове» в каком-нибудь крутом 3D-шутере, или дворовой игре с палками и тряпками — вы ошиблись. Речь пойдёт о соревнованиях в области компьютерной безопасности. В России.

После вчерашнего обновления вирусных баз пользователи антивируса CA Anti-Virus 2009 смогли наблюдать, как ряд системных файлов Windows определялись сканером как вирусы и отправлялись в карантин. На форуме поддержки CA Anti-Virus назывались разные результаты проверок — в среднем блокировалось от 8 до 15 файлов.

7/8/2009 16:58:31 PM File infection: C:\WINDOWS\system32\net.exe is Win32/AMalum.ZZNPB infection. Quarantined
7/8/2009 16:58:32 PM File infection: C:\WINDOWS\system32\netsh.exe is Win32/AMalum.ZZOKH infection. Quarantined
7/8/2009 16:58:38 PM File infection: C:\windows\SERVIC~1\i386\net.exe is Win32/AMalum.ZZNPB infection. Quarantined
7/8/2009 16:58:38 PM File infection: C:\windows\ServicePackFiles\i386\net.exe is Win32/AMalum.ZZNPB infection.
7/8/2009 16:58:38 PM File infection: C:\windows\SERVIC~1\i386\netsh.exe is Win32/AMalum.ZZOKH infection. Quarantined
7/8/2009 16:58:39 PM File infection: C:\windows\ServicePackFiles\i386\netsh.exe is Win32/AMalum.ZZOKH infection.
7/8/2009 16:58:42 PM File infection: C:\WINDOWS\system32\reg.exe is Win32/AMalum.ZZOAF infection. Quarantined
7/8/2009 16:58:47 PM File infection: C:\windows\SERVIC~1\i386\reg.exe is Win32/AMalum.ZZOAF infection. Quarantined
7/8/2009 16:58:47 PM File infection: C:\windows\ServicePackFiles\i386\reg.exe is Win32/AMalum.ZZOAF infection.
7/8/2009 16:58:49 PM File infection: C:\WINDOWS\system32\verclsid.exe is Win32/AMalum.ZZNRA infection. Quarantined

Проблема затронуа, в основном, пользователей Windows XP SP3, но о проблеме заявляли и пользователи и других версий системы.

Интересно, что это не далеко не первый случай ложных срабатываний среди западных антивирусов за последние месяцы. 3-4 июля после обновления сигнатур пользователи McAfee обнаруживали, что их машины заражены трояном PWS!hv.aq, за который сканер принимал вполне нормальные системные файлы.

Гуляя по просторам интернета, зашёл на один высокопосещаемый древний сайт рунета. Для того, чтобы скачать файлик с этого сайта, нужно угадать вот такую капчу:

В очередной раз видя картинку с цифрами — решился. В голове уже давно проносились мысли, сломать какую-нибудь капчу :)

Ставлю себе задачу: Написать скрипт, который будет расшифровывать показанную капчу и выплевывать драгоценные циферки.

Название сайта специально не привожу — сами догадаетесь :)

Итак, поехали!

Буквально несколько минут назад я умудрился разослать 200+ сообщений своим друзьям ВКонтакте.
Естественно это было спам сообщение следующего содержания:

привет я удаляюсь из контакта, оч много спама приходит((сейчас удалю свою страничку, если что-то будет нужно, то звони мне на моб.телефон или ищи меня здесь vkontakte.ru/away.php?to=… у меня там есть своя страничка под мои именем.это не спам, рассылаю всем своим друзьям...).

Собственно удивление было связано с тем, что:
1. Я использую Linux и только Linux везде где только можно.
2. ВКонтакт используется только из дома опять же сугубо из-под Linux
3. На ВКонтакт и на почту, привязанную к нему стоят достаточно криптостойкие пароли из 10+ символов латинского алфавита и цифр Да, я параноик

Microsoft предупреждает об опасной уязвимости в браузере Internet Explorer (под Windows XP и Windows Server 2003). На этот раз дыра обнаружена в элементе Video ActiveX Control (библиотека msvidctl.dll), через неё злоумышленник может получить удалённый доступ к машине на правах локального пользователя.

Отключить элемент Video ActiveX Control можно на этой страничке (на всякий случай Microsoft рекомендует сделать это и пользователям под Vista). В ближайшее время появится патч, закрывающий дыру.

Информацию об этой уязвимости передали в Microsoft независимые специалисты. Есть все основания полагать, что хакерам уязвимость была известна ранее, и в ближайшее время ещё до выхода патча могут появиться (или уже появились) работающие эксплойты.

Обнаружена активная эксплуатация еще одной уязвимости нулевого дня в Microsoft DirectShow. Согласно данным CSIS, в настоящий момент злоумышленники используют несколько тысяч новых скомпрометированных сайтов для распространения вредоносного кода, эксплуатируемого уязвимость в Microsoft DirectX.

Один мой хороший знакомый любит повторять фразу: «Хакер — это не тот, кто ломает, а тот, кто изучает»!
Я немного расскажу об эволюции хакеров. Предупреждаю сразу: «буквав многа», не все осилят.

Пекинская компания KnownSec, которая много лет собирала информацию о вредоносных сайтах в Китае, вчера открыла свою базу данных для всех антиспамерских и антивирусных компаний мира, а также для государственных агентств (любая из перечисленных организаций теперь может подать запрос на доступ к базе). Создатели антивирусного софта теперь получат доступ к актуальной информации из самого центра мирового вирусописательства.

База KnownSec содержит гораздо больше информации о китайских вредоносных IP-адресах, чем любая другая база в мире. А ведь именно с китайских серверов распространяется больше всего спама и троянов во всей Сети, причём в последние несколько месяцев эта доля резко выросла. По данным McAfee, всего за полгода они выдали на-гора уже 80% прошлогоднего объёма malware, то есть за год ожидается двукратный рост.

Краулеры KnownSec сканируют около 2 млн сайтов в день и собирают образцы вредоносного ПО, фиксируют даты и IP-адреса заражённых сайтов. База инфицированных сайтов KnownSec гораздо полнее, чем у Google (тот, как известно, выдаёт предупреждающие надписи, если вы пытаетесь перейти на заражённый сайт). Каждый день KnownSec находит более 100 абсолютно новых троянов.

via IDG News Service

19-летний незрячий подросток Мэтью Вейгман (Matthew Weigman) в минувшую пятницу был приговорён к 11 годам тюрьмы за незаконное проникновение в телефонную сеть и запугивание сотрудника телефонной компании Verizon.

Мэтью Вейгман (Matthew Weigman) по кличке “Little Hacker” более пяти лет возглавлял организованную хакерскую группировку, занимавшуюся мошенничеством по телефону. Слепой от рождения Мэтью считался одним из лучших в мире телефонных хакеров (его криминальное досье в формате PDF). В одном из интервью он признался, что интересовался этим делом с восьми лет.

Лично Мэтью был причастен более чем к 60 вызовам спецподразделений полиции (SWAT) через службу 911. Другие члены банды были осуждены ранее на сроки от полутора до пяти лет, но Мэтью получил больше всех, потому что кроме мошенничества он ещё физически угрожал специалисту, собиравшему улики по его делу.

В статье рассматривается метод перехвата данных отдаваемых через JSON с использованием метода "__defineSetter__", Этой уязвимости подвержены сайты JSON с которых: содержит конфиденциальные данные (иначе не спортивно), является валидным JS объектом, отдается по GET запросу. Требования к жертве: браузер поддерживает JavaScript, он включен, поддерживается метод __defineSetter__.

С сего дня в dev-channel chroma должна появиться функциональность использования SSL-based аутентификации, как на light.webmoney.ru и куче других секьюрных сервисов.

Когда выйдет в релиз, хз.

Пруфлинк: code.google.com/p/chromium/issues/detail?id=318

В общем-то, юзал мозиллу только из-за этого. Плагины можно замутить.

При регистрации новой почты или при клике по ссылке восстановления пароля, обратите внимание на правый верхний угол — похоже что случайным образом перехватываешь чью-то сессию, причем при рефреше страницы сессия меняется. Минимум можно собрать актуальную спам базу.

пруфлинк

UPD: есть способ для захвата случайной почты (привязанного номера icq и т.д.), по понятным причинам здесь не публикую, администрация рамблера поставлена в известность.

UPD2: 22:30 GMT +3 bug fixed

Slow Lori — это животное, живущее в юговосточной Азии и известное своей медлительностью и размеренными движениями. По нему была названа новая DoS и DDoS атака на веб-сервер Apache.



Данный тип атаки был обнародован специалистом по безопасности RSnake 17 июня и подробно описан на странице http://ha.ckers.org/blog/20090617/slowloris-http-dos

Атака заключается в очень медленной посылке все новых и новых HTTP заголовков в рамках одного HTTP запроса, никогда его не завершая.

Поскольку Apache выделяет ресурсы для запроса очень рано, то на один такой запрос тратится «полноценное» кол-во ресурсов. Такое же, как и для обычного запроса.

Как известно, Apache использует для обработки запросов или процессы или смесь процессов с нитями. Использование нитей позволит отсрочить смерть, но так или иначе Apache упрется в ограничение по памяти или ограничение, заданное администратором.

Что самое неприятное, Slowlori атака не оставляет никаких следов, кроме огромного количества открытых cоединений со статусом ESTABLISHED. Не будет никаких записей даже в access_log-е.

Первоначально разработчики Apache не очень активно отреагировали на сообщение RSnake в список рассылки, ответив ему что данная атака давно известна и является минусом не самого веб-вервера, а скорее TCP-стека. Однако, в дальнейшем разработчики веб-сервера Apache зашевелились и начали активно обсуждать пути решения проблемы.

Веб-серверы основанные на state machine не подвержены данной атаке. Таким образом простейшим способом обезопасить себя от Slowlori атаки является использование двухуровневой архитектуры, когда первым на пути является веб\прокси сервер, основанный на state machine, такой как nginx.

Другими возможными решениями являются Access HTTP фильтры в FreeBSD, использование хитрых правил на файрволе, которые, в то же время, могут отсечь и легитимных медленных пользователей.

Кроме собственно изменения архитектуры, разработчики Apache согласны в необходимости внедрения более мелких, локальных таймаутов. На данный момент в Apache 2.2 реализован один обший таймаут, влияющий на практически все IO действия.

Более подробную информацию можно получить в списке рассылки httpd-dev и в пока не открытой для публичного доступа статье на LWN.

Политический кризис в Иране, набравший обороты в ходе последних дней, показал всему миру не только жесткую агрессию репрессивного режима по отношению к своим «подданным», но и то, как с помощью современных технологий можно контролировать сетевую активность целого государства. Вдаваться в политические подробности не буду — не то место, не то время, да и я, прямо скажем, не тот человек, который способен адекватно оценить все факты, аргументы и отделить зерна от плевел. Тем более в ситуации, когда язык страны мне абсолютно незнаком. Мы говорим о теме нам всем гораздо более близкой — цензуре.

22-го числа в уважаемой The Wall Street Journal (далее WSJ) появился интереснейший материал, в котором журналисты рассказывают о сверхсовременной системе глубокой фильтрации интернет-трафика, использующейся в Иране. Догадаться о том, что «правительство читает», для иранцев, равно как и иностранных наблюдателей, не составило никакого труда — с того момента, как тысячи людей вышли на улицы митинговать против фальсифицированных выборов, скорость интернет-соединения в стране упала на порядок: об этом говорят блогеры и журналисты, испытывающие трудности с передачей информации по сети. Очевидно, что резать пропускную способность без особого на то повода никто не будет, тогда WJS и решила копнуть чуть глубже в историю проблемы и нашла интересный контракт, заключенный в 2008 году между иранским правительством, обладающим монополией на все виды коммуникаций (сотовая связь, интернет, телевиденье, радио) в стране и совместным предприятием финской Nokia и немецкой Siemens – Nokia Siemens Networks на поставку сверхсовременного оборудования прослушивания всех сотовых телефонов и, как выяснилось позже, анализ всего национального трафика. Начнем оттуда, откуда и стоит начинать — с предыстории.

Предыстория (можно не читать)

Прихожу я сегодня домой и вижу в личке вконтакта 9 сообщений. Т.к. я не особо люблю и не часто посещаю этот ресурс — сие событие было странным. В сообщениях пользователи писали что от меня вконтакте рассылается спам. Плохо, но да ладно, сменил пароль и все… Хотя задумался: старый пароль — 12 символьный цифробуквенный, сбрутить почти нераельно. Комп кристально чист и не заразен… Так в чем же дело?

Исследователи в области информационной безопасности нашли способ запустить неподтвержденный код на неразлоченном iPhone. Чарльз Миллер (главный аналитик в Independent Security Evaluators) и Винченцо Иоззо (студент Миланского Университета) обнаружили «более одного» способа загрузить приложение на новый iPhone в качестве обычных данных, а затем превратить его в полностью рабочую программу.

«Что бы вы ни собирались сделать с iPhone — вам понадобится запустить там свое приложение. Получить личные данные, прослушивать разговоры, просто включить микрофон телефона и вести запись — все это возможно лишь если вам уже удалось запустить свой код» — комментируют исследователи.

В отличие от обычного взлома iPhone, новые методы не требуют физического доступа к телефону. Конечно, специальный софт Apple защищает от большинства эксплоитов, но Миллеру и Иоззо удалось обнаружить несколько способов обойти эту защиту.

Атаки будут продемонстрированы на конференции Black Hat Conference в Лас-Вегасе в следующем месяце. На данный момент уязвимы телефоны под управлением iPhone OS 2.0. Для проверки работоспособности эксплоита на OS 3.0 разработчики ждут ее выхода завтра, 17 июня.

Любите ли вы запоминать пароли вида:

qG4'P}:ZGKq?
0[KO!,7`@;6F
]xQ1H]mxLPa#

?

Я — терпеть не могу! Особенно с учётом того, что периодически все эти пароли нужно менять и для каждого сервиса отдельно, а их столько, что голова кругом идёт! Где тут всё запомнишь?

Вариантов несколько:
а) задавать простые пароли и боятся что их кто нибудь подберёт/угадает;
б) задавать сложные пароли (см. выше) и таскать их всё время с собой на бумажке (что тоже очень небезопасно!);
в) использовать метод шифрования простых фраз штатными средствами в системе.

Именно третий пункт я и затрону. Сей метод сводится к следующему (примитивный пример):

%echo "простая_фраза" | md5

На выходе вы получите криптостойкий хеш вида: b3d0da41b07d550d97d579bd642d7dbf. Однако это самый примитивный пример. Можно использовать md5 в связке с sha1/uuencode/openssl и вообще со всем что вам только в голову придёт! Так же можно, например, брать хеш с хеша определённое кол-во раз. Только хотелось бы предупредить, что длину пароля необходимо урезать (!), т.к. если размер будет известен — криптостойкость падает в разы.

Представляю вашему вниманию простой скрипт для реализации сего деяния. Назвал я его «genspass» (от GenerateS encoded Password), написан на классическом unix shell (разумеется совместим с bash/zsh и прочими).
Программа работает просто: получает ключевую фразу (слово, символ — не важно), переводит в MD5, далее в BASE64 и урезает до назначенной длины (задаётся в скрипте), после чего на экран выводится результат.
Пример: вводим 123 получаем YmExZjI1MTFmYzM, копируем и вставляем куда нужно.

Последнюю версию скрипта всегда можно получить по этому адресу.

Известный консультант по корпоративной безопасности Роджер Граймс говорит, что ему надоело постоянно объяснять во время презентаций базовые факторы, которые влияют на безопасность политики паролей, принятой в организации. Он постоянно объясняет, почему восьми символов мало для надёжности паролей и какие ещё факторы могут помочь злоумышленнику эффективно подобрать пароль. Чтобы упростить себе задачу и продемонстрировать слабость средней политики паролей, Граймс составил Excel-таблицу (ZIP), в которой учёл все факторы: диапазон допустимых символов, длина пароля, количество вариантов в минуту, которые может пробовать злоумышленник, максимальное количество дней до смены пароля, модель энтропии.

Калькулятор показывает, сколько дней в среднем потребуется злоумышленнику, чтобы подобрать пароль при заданных условиях, сколько вообще существует возможных комбинаций и сколько из них реальных (с учётом реальной энтропии). Например, в дефолтном примере с 94 символами и длиной пароля в 8 символов при NIST-энтропии теоретическое возможное количество паролей превышает 6 квадриллионов, но количество вероятных паролей с учётом предположения о реальной энтропии — всего 16,8 млн. Для взлома такой защиты за допустимое количество дней нужно суметь установить скорость подбора всего 64,7 паролей в минуту.

По мнению автора, это первый калькулятор, который высчитывает не теоретическую, а практическую скорость взлома парольной защиты.

Полно ситуаций когда нужно зашифровать определённый файл или папку. Например, если данные передаются по открытым каналам либо сохраняются на внешнем носителе. Многие (в том числе и я) используют truecrypt, однако основное предназначение этой программы — работа с зашифрованными разделами, поэтому она не очень хороша в этом случае.

Для подобных задач вполне подходит OpenSSL — надёжное кросплатформенное решение. OpenSSL поддерживает различные алгоритмы шифрования, плюс он по умолчанию установлен во многих операционных системах, а установка на остальные не составит труда.

Под хабракатом — основы использования симметричного и асимметричного шифрования в OpenSSL, а таке пара скриптов упрощающих асимметричное шифрование с одноразовым ключом.