Информационная безопасность *

По мотивам топика о взломанном WPA.
Попытаемся все же разобраться, что случилось и чем это может нам грозить. Поскольку криптографические атаки — вещь, требующая для понимания весьма много специфических знаний, статью можно считать в некотором роде ознакомительной с безопасностью в Wi-Fi сетях.

MD6 — алгоритм хеширования переменной разрядности, разработанный профессором Рональдом Ривестом из Массачусетского Технологического Института в сентябре 2008 года. Предназначен для создания «отпечатков» или дайджестов сообщений произвольной длины. Предлагается на смену менее совершенному MD5. По заявлению авторов, алгоритм устойчив к дифференциальному криптоанализу. MD6 не обладает достаточной стойкостью к коллизиям первого рода. Используется для проверки подлинности опубликованных сообщений, путем сравнения дайджеста сообщения с опубликованным. Эту операцию называют «проверка хеша» (hashcheck).

Пришел вечером домой, запустил браузер и тут же пришло уведомление, что у меня 36 новый писем на гмейле. Удивило. Еще никогда такого наплыва писем на персональную почту не доводилось получать.

Сообщения на украинском языке, с адресов на гмейлу большей частью. Посмотрел подробные сведения — в списке рассылки 800 с лишним адресов, с фамилиями реальных людей, часть из которых я даже знаю. Ближе к середине этого мусора (а на самом деле писем было намного больше, но они в «цепочки» свернулись) я обнаружил письмо от Ольги Дегтяревой в котором было подытожено все что мы увидели на Blogcamp'е в середине октября сего года.

И вот после такого мероприятия провести рассылку всем участникам, засветив все их адреса в поле «Копия»… Это совсем не позволительно. Как такое смогли придумать-то? Естественно, сразу решили все кому не лень этим воспользоваться…

З.Ы. Если кто из принимающих участие в рассылке это читает — будьте сознательны, прекратите этот информационный терроризм)

UPD. Связался с Ольгой. Это не злой умысел, а ошибка. Она приносит всем извинения за случившееся и просит прекратить рассылки шутникам.

Два дня назад на сайте alfastrah.ru появилось так называемое «пасхальное яйцо» — если кликнуть 5-6 раз на номер телефона в правом верхнем углу в шапке сайта начинал играть ролик эротического содержания. Подробно детали вирусной акции описаны здесь.

Не секрет, что вирусный маркетинг ориентирован на очень быстрое распространение — заходы на сайт росли по экспоненте. На некоторых форумах появились предупреждения о том, что при заходе на сайт Касперский ругается и говорит, что на сайте сидит троян. В разговоре с сотрудниками лаборатории Касперского эта информация подтвердилась. Таким образом, «вирусный маркетинг» обернулся буквально вирусным. Привожу некоторые экспертные комментарии.

На сайте Wikileaks опубликован секретный документ, похищенный из почтовой переписки крупнейшего в стране интернет-провайдера T-Systems (Deutsche Telekom). В этом документе перечислено более двух десятков IP-адресов, которые используются службами немецкой разведки BND (Bundesnachrichtendienst). Поиск Whois показывает, что адреса зарегистрированы на одну и ту же подставную компанию.

Предварительный анализ подтверждает подлинность документа. Кроме того, свидетельством этой подлинности является тот факт, что провайдер уже прислал в адрес Wikileaks письмо с требованием немедленно удалить данный PDF-файл.

Данная утечка может быть весьма болезненной для немецких шпионов. Ведь теперь можно провести анализ логов веб-серверов и подробно изучить, на какие сайты, например, в России они заходили. Даже анализ случайно проиндексированных логов в Яндексе уже даёт какую-то информацию.

В ответ на участившиеся случаи воровства с кредитных карт в Интернете Visa Europe анонсировала дизайн новых кредитных карт с цифровой клавиатурой и дисплеем для показа секретного кода.

Карта имеет стандартный размер и магнитную полосу, как и обычные карты. Разница в том, что владельцу карты нужно будет вводить PIN-код прямо на карте, которая сгенерирует новый случайный номер на том же дисплее. Этот секретный код будет использоваться владельцем для работы с деньгами (например, для совершения очередной транзакции).

Конечно, ввод новой технологии потребует времени. И посмотрим на реакцию первых владельцев карт, для того, чтобы решить, стоит ли ею пользоваться.

Как правило, про сотрудников компаний-производителей говорят, что они склонны преувеличивать реальные опасности, с тем, что бы улучшить собственные продажи. Конечно, это бывает, хотя, в общем, среди профессионалов такое поведение считается, по меньшей мере, неэтичным. Скажем, в (ISC)² Code Of Ethics, которому обязательно должны следовать специалисты CISSP, сказано: "давайте разумные, обоснованные советы; не создавайте (у ваших собеседников  -- прим. переводчика) беспричинного беспокойства или необснованной уверенности". Как уже казано, специалисты по информационной безопасности иногда нарушают канон о беспричинном беспокойстве. Но и необоснованная уверенность является не меньшим злом.

Компания Arbor Networks, специализирующаяся на сетевой безопасности крупных провайдеров и предприятий, провела опрос среди системных администраторов Tier 1 / Tier 2 операторов. Около 70 опрошенных специалистов ответили на вопросы о наиболее актуальных угрозах для Интернета.

Опрос показал, что наибольшей опасностью представляются DDoS атаки. Если в 2000 году объем атак измерялся мегабитами в секунду, то в этом году были зафиксированы атаки величиной в 40 Гбит/сек. И хотя средства для их обнаружения есть практически у всех крупных провайдеров, лишь часть из опрошенных заявили, что могут подавить атаку в течение 10 минут.

Кроме того, специалисты по безопасности видят угрозу в DNS cache poisoning, BGP hijacking и спаме. Любопытно, что большинство опрошенных считает, что обнародование в этом году деталей об уязвимости в DNS принесло больше вреда, чем пользы.

Via The Arbor Networks security blog.

Такие интересные, с моей точки зрения, IT-притчи были опубликованы в Компьютерре №39 от 21 октября 2008 года.

#1

Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт «Одноклассники». Инь Фу Во услышал об этом и нахмурился.

— Почему ты закрыл людям доступ? — спросил он Сисадмина, когда они после перекура пили кофе.

— Потому что такие сайты не нужны для работы.

— А курить нужно для работы?

— Вообще-то нет…

— А кофе пить?

— Ну…

— Ну тогда, — сказал Учитель, — открой людям доступ.

Семь с половиной лет потребовалось программистам Microsoft, чтобы выпустить патч, закрывающий дыру в протоколе SMB (Server Message Block). Впервые информация об этой уязвимости была обнародована на конференции Defcon аж 2000 года. Эксплойт официально появился в марте 2001 года. За прошедшие годы эксплойт приобрел широкое распространение и использовался очень активно. Например, он был встроен в популярную хакерскую программу Metasploit.

Данная уязвимость позволяет очень легко завладеть управлением на удалённом компьютере, если он не защищён файрволом. По классификации Microsoft уязвимость считается «важной» для Windows XP, 2000 и Server 2003, а также имеет статус «умеренной» для Vista и Server 2008. Однако независимые эксперты однозначно называют эту уязвимость критической.

Эксперты также отмечают, что семь с половиной лет — это очень долгий срок для создания патча, необычно долгий даже для Microsoft. Непонятно, чем объясняется такая задержка.

3 ноября Microsoft опубликовала пятый выпуск отчета Security Intelligence Report (SIR). В нем компания рассказала о том, как она видит эволюцию «экосистемы угроз» компьютерной безопасности за первое полугодие 2008 года. Свежие тенденции, отмеченные в отчете — перенос фронта атак на уровень выше от ядра ОС к приложениям; окончательная победа троянов, adware и им подобных в номинации «Главная угроза нашего времени»; и, конечно, большой скачок в безопасности продуктов самой Microsoft.

Для того, чтобы отделить факты от маркетинга, уже 4 ноября наш человек (Bukasa) на конференции TechEd в Барселоне вытащил информацию из Винни Галотто (Vinny Gullotto, на фото слева), главного менеджера Microsoft Malware Protection Center и руководителя работы над SIR. Надо сказать, что большую часть он рассказал добровольно. И это было интересно.

Информацию для отчета Microsoft получает с миллионов компьютеров по всему миру (10 млн. в одной России), на которых установлены утилиты MSRT, Windows Defender, Live OneCare и другие. И владельцы которых разрешили им отсылать доклады в Редмонд. Такой широкий охват аудитории все равно включает только пользователей Windows, но это не помешало Винни назвать SIR хоть и не абсолютно истинным в своих выводах, но «самым большим» отчетом в отрасли.

Не так давно между делом два исследователя ухитрились взломать часть Wi-Fi Protected Access (WPA) – для тех, кто не знает – это протокол шифрования информации для беспроводных сетей.
За примерно 15 минут Эрик Тьюз и Мартин Бек вскрыли Temporal Key Integrity Protocol и продемонстрировали наглядно перехват информации, передающейся в обе стороны, и ее открытое чтение. Плюс также существует возможность модифицировать заголовки и подделывать получаемые пользователем пакеты.
По сути, технология представляет собой перегрузку канала большими массивами информации, что позволяет применить разработанную парой программистов формулу для взлома ключа защиты.

Не актуально

В результате одной дискуссии на тему безопасных форумов/CMS на PHP мне пришла в голову идея: давайте вместе составим список безопасных веб-приложений! Задача списка — помогать при выборе приложения для установки и предоставить обзор текущей ситуации с безопасностью веб-приложений.

Изначально речь шла о форумах и CMS, но, думаю, ограничиваться этими двумя приложениями не обязательно. Для добавления приложения в список оно должно соответствовать нескольким критериям:

1. Вы его либо используете (использовали), либо знаете лично того, кто использует.
2. Это не должно быть узкоспециализированное приложение.
3. Бесплатное.
4. Open source.
5. Ну и самое главное: безопасное!

Я предлагаю определять безопасное приложение по следующим критериям:

• Первый публичный релиз был не менее двух лет назад.
• Для последней стабильной версии нет известных уязвимостей.
• В базе Common Vulnerabilities and Exposures (CVE) нет записей по этому приложению минимум за последний год (уязвимости в плагинах можно не учитывать, при условии что приложение вполне юзабельно без этих плагинов и в типовую инсталляцию они не входят).
• В случае отсутствия приложений, полностью подходящих под эти критерии, можно включать в список наиболее безопасное из существующих (отдельно для каждого ЯП).

Форум	Проверить	ЯП
YaBB	cve sf seclab milw0rm exploit ps secunia	Perl
phpBB 3	cve sf seclab milw0rm exploit ps secunia	PHP
Snitz Forum 2000	cve sf seclab milw0rm exploit ps secunia	ASP
CMS	Проверить	ЯП
papaya CMS	cve sf seclab milw0rm exploit ps secunia	PHP
eZ Publish	cve sf seclab milw0rm exploit ps secunia	PHP
Блог	Проверить	ЯП
Serendipity	cve sf seclab milw0rm exploit ps secunia	PHP
e-commerce	Проверить	ЯП
osCommerce	cve sf seclab milw0rm exploit ps secunia	PHP

Рекомендуйте приложения для включения в список в комментариях, там же обсудим при необходимости, и я буду редактировать статью пополняя список. Правила включения в список тоже можно обсудить и скорректировать.

В новой версии:

• Шифрование дисков с данными без их потери. (не работает в Windows XP Работает в Windows Vista/2008)
• Поддержка Токенов и Смарт-Карт
• Отключение и изменение оформления загрузчика. (При шифровании системного диска)
• предзагрузочная авторизация теперь может кэшироваться, что позволяет монтировать несистемные разделы, шифрованные TrueCrypt (видимо, в процессе загрузки).
• в версиях для Linux и Mac OS X: возможность монтирования системного раздела Windows, зашифрованного с помощью TrueCrypt и монтирования раздела, расположенного на системном диске Windows, который зашифрован Windows-версией TrueCrypt.
• И многое другое. ^{(прим. Ну не очень я силен в ангельском, кто может помогите)}

Качать как и раньше здесь
За дополнительную информацию спасибо tven

Речь пойдет не как многие могли подумать о цифровых ключах, используемых в криптографии, а о самых обычных механических ключах. Многие привыкли считать, что до тех пор пока вы не потеряли ключи, то что находится за дверью, которую они открывают — в безопасности. Оно и верно, ведь чтобы сделать дубликат, нужно иметь сам ключ. Исследователи из Университета Калифорнии в Сан Диего показали, что теперь все совсем не так просто.

В этой статье авторы описывают программу, способную сделать дубликат ключа по его снимку. Например можно незаметно сфотографировать ключи на расстоянии и все, дубликат у вас в кармане! На картинке — ключи, сфотографированные с расстояния 60 метров. Этот снимок был успешно использован исследователями для создания работающего дубликата ключей.

Каждую игровую консоль стараются поломать. Стараются поломать энтузиасты, которые хотят запустить на ней собственноручно написанный код во всех самых защищенных режимах. Стараются поломать энтузиасты, которые хотят «запускать на ней бэкапы игр» (или если по-русски — заниматься пиратством). Стараются поломать энтузиасты, которые хотят поставить Линукс и, кроме самоцели, использовать более широко, чем хотел бы этого производитель консоли (так как деньги зарабатываются прежде всего на играх, сама консоль продается с минимальной наценкой, а то и в минус производителю).
В подавляющем большинстве случаев энтузиастам это удается.

Вот как была сделана самая интересная часть взлома Xbox 360 — запуск кода, не подписанного MS.

Очень умный вариант кейлоггера реализовали сотрудники лаборатории безопасности и криптографии при политехническом институте Лозанны (Ecole Polytechnique Federale de Lausanne). Созданный ими метод способен распознавать нажатия клавиш путём удалённого сканирования ЭМИ от порта PS/2, USB-порта или клавиатуры ноутбука с последующим анализом частоты сигнала. Дело в том, что при нажатии каждой клавиши создаётся электромагнитный импульс с уникальными характеристиками. Снять его можно прямо с порта, а впоследствии расшифровать.



В своей работе исследователи упоминают четыре различных метода сканирования, некоторые из которых работают на расстоянии до 20 метров.

Во время опытов швейцарские специалисты протестировали 11 различных моделей клавиатур, которые подсоединялись к системному блоку через разъёмы USB и PS/2. Все они оказались уязвимы как минимум к одному из методов удалённого сканирования даже при прослушке через стену из соседней комнаты (видео можно посмотреть по ссылке выше, скриншоты под хабракатом).

Товарищи, обнаружил скорее неприятную, нежели опасную ситуацию.

Если взять логин пользователя с Афиша.ру и поискать его в Яндексе, то чаще всего (не всегда) можно узнать его почту. Сниппет-то палевный!