#честныйрепостер
https://roskomsvoboda.org/post/tor-interview-2023/
Интервью с Гасом Густаво, представителем команды Tor Project. Гас занимается поддержкой сообществ проекта по всему миру, в частности русскоязычных пользователей из разных стран.
Сравнительный анализ методов цензуры и блокировок в РФ, Иране, Китае, Таджикистане и на Украине. Стратегия и тактика противодействия. Мотивы для сотрудничества с Mullvad. Переписывание tor на безопастном языке Rust. Рассуждения о свободе в Интернете.
Lxcfs штука, конечно, хорошая, но с тем условием, что рут благонадёжен. Иначе он сделает, например, umount /proc/uptime и - вуаля. Ну вы поняли.
Как-то раз брал я VPS-ку в одной канадской компании, на LXC. Было весело. Не знаю, живы они сейчас или нет.
Весь этот бред имеет смысл только когда весь софт на вашей машинке вместе с самой машинкой заслуживает доверия. Очень смешно, да? Ну, хотя-бы попробуем иллюзию безопасности.
Например, вэйланд копается в /sys, чтобы найти девайс для аппаратного рендеринга. Давайте его приоткроем, монтируя лишнее в /dev/null и tmpfs:
mount -t sysfs -o noexec,nodev,nosuid sysfs "${LXC_ROOTFS_MOUNT}/sys"
clobber "${LXC_ROOTFS_MOUNT}/sys" "dev devices"
clobber "${LXC_ROOTFS_MOUNT}/sys/dev" "char"
clobber "${LXC_ROOTFS_MOUNT}/sys/devices" "pci0000:00"
clobber "${LXC_ROOTFS_MOUNT}/sys/devices/pci0000:00" "0000:00:02.0"Все эти pci0000:00 у вас могут быть другими, их лучше вытащить из /dev/dri/by-path, но для примера сойдёт и так. Функцию clobber см. в комментах. Я не буду пытаться её впихнуть в оставшиеся 59 символов.
Положите это в mount hook, я использую тот, что от lxcfs. Саму конфигурацию контейнера надо развернуть в одну портянку, вставив все include, и вычистить все mount.auto. Их там есть.
С procfs та же хрень, но её и сами сможете победить аналогичным образом. Кстати, у неё имеются годные опции для монтирования.
И никогда ничего не запускайте из-под рута. Даже в непривилегированном контейнере.
В развиваемом компанией Intel открытом телефонном стеке oFono, используемом для организации осуществления звонков, передачи данных через сотового оператора и отправки SMS в таких платформах, как Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS и Sailfish/Aurora, выявлены две уязвимости, позволяющие организовать выполнение кода при обработке специально оформленных SMS-сообщений.
Эти критические уязвимости устранены в выпуске проекта oFono 2.1 и также в oFono 2.2.
Согласно данным профильных экспертов, обе уязвимости вызваны отсутствием должной проверки размера внешних данных в коде декодирования SMS‑сообщений в формате PDU, что можно использовать для записи данных за пределы выделенного буфера.
Первая уязвимость (CVE-2023-4233) проявляется в функции sms_decode_address_field(), а вторая (CVE-2023-4234) в decode_submit_report().
Источник: OpenNET.
Positive Technologies заявила о запуске Bug Bounty-программы для решения PT Cloud Application Firewall. Программа продлится с 20 декабря 2023 года по 20 января 2024 года. За обнаруженные баги исследователи могут получить до ₽500 тысяч. Об этом рассказали информационной службе Хабра.
По словам руководителя направления application security в Positive Technologies Алексея Астахова, PT Cloud Application Firewall должен соответствовать серьёзным требованиям по отказоустойчивости и надёжности для защиты приложений, поэтому программа Bug Bounty — эффективный инструмент для независимой оценки защищённости. Итоги будут подведены 29 января 2024 года на сайте Positive Technologies.
Хакерская группировка Rhysida опубликовала более 1,3 млн файлов на 1,67 ТБ игровой студии Insomniac Games. 12 декабря злоумышленники потребовали от Sony $2 млн, в противном случае они угрожали поместить похищенные данные в открытый доступ.
Rhysida загрузила файлы в трёх частях, первая из которых содержит дизайн уровней и другие изображения, связанные с грядущей игрой Insomniac Games — Wolverine. Утечка также включает множество файлов из Spider-Man 2, а также внутренние документы отдела кадров, переписки в Slack и содержимое компьютеров нескольких сотрудников.
Особый интерес для геймеров и фанатов франшизы X-Men представляет издательское соглашение между Marvel и Sony Interactive Entertainment, подписанное Айзеком Перлмуттером и Джимом Райаном. Документ вступил в силу 26 июля 2021 года.
В соглашении указаны три предстоящие игры по вселенной X-Men: Wolverine и два безымянных проекта. Sony планирует потратить $120 млн на Wolverine, релиз который назначен на сентябрь 2025 года. Остальные две игры должны выйти в 2029 и 2033 годах. Злоумышленники сообщили, что для взлома им потребовалось всего 20-25 минут.
Почти неделю не заходил на Хабр, и обнаружив это сообщение в ЛС уже приготовился отслюнявить очередные 15 миллионов морального ущерба?
Однако, выяснилось что это не угрозы судом, а, видимо, попытка усыпить внимание лестью - что-то новенькое. В итоге мы договорились на обзор реестровой камеры - они пришлют мне ее после Нового Года, а взамен я аппрувну их статью с ответами на критику из песочницы. Выгодная сделка, как считаете?
Состоялся релиз OpenSSH 9.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В коде новой версии проекта устранены три проблемы с безопасностью:
уязвимость в протоколе SSH (CVE-2023-48795, атака Terrapin), позволяющая в ходе MITM-атаки откатить соединение на использование менее защищённых алгоритмов аутентификации и отключить защиту от атак по сторонним каналам, воссоздающим ввод через анализ задержек между нажатиями клавиш на клавиатуре. Метод атаки подробно раскрыт в этой публикации на портале OpenNET.
уязвимость в утилите ssh, позволяющая осуществить подстановку произвольных shell-команд через манипуляцию со значениями логина и хоста, содержащими спецсимволы. Уязвимость может быть использована, если атакующий контролирует значения логина и имени хоста, передаваемые в ssh, директивы ProxyCommand и LocalCommand или блоки match exec, в которых указаны символы подстановки, такие как%u и%h. Например, некорректные логин и хост могут быть подставлены в системах, использующих субмодули в Git, так как Git не запрещает указание спецсимволов в имени хоста и пользователя. Похожая уязвимость также проявляется в libssh.
ошибка в ssh-agent, из-за которой при добавлении закрытых ключей PKCS#11, ограничения применялись только к первому ключу, возвращённому токеном PKCS#11. Проблема не касается обычных закрытых ключей, токенов FIDO и ключей, заданных без ограничений.
Источник: OpenNET.
В конце 2022 года Международная организация по стандартизации (ISO) обновила стандарт ISO/IEC 27 001:2022 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности». Компания BI.ZONE была аттестована по новому стандарту.
В последней версии ISO/IEC 27 001:2022 появились 11 элементов, отвечающих современным требованиям по кибербезопасности в условиях постоянно меняющего ландшафта киберугроз. Добавленные контроли направлены на анализ киберугроз и мониторинг аномалий, защиту от утечек данных, управление конфигурациями, веб‑фильтрацию, маскировку и удаление избыточных данных, безопасную разработку приложений и обеспечение безопасности облачных сервисов и непрерывность деятельности организаций.
Компания BI.ZONE прошла аудит на соответствие обновлённому ISO/IEC 27 001:2022. Аудит провела компания IRCLASS IRQS, специализирующаяся на сертификации и обучении по международным стандартам ISO.
В инфраструктуре компании MongoDB, развивающей одноимённую документо-ориентированную СУБД и облачный сервис MongoDB Atlas, выявлены следы взлома.
Судя по уведомлениям администрации проекта, направленным многим клиентам компании, злоумышленники на некоторое время смогли получить доступ к части корпоративных IT-систем, на которых, среди прочего, были размещены сведения об учётных записях клиентов и контактные данные пользователей. Свидетельств, указывающих на то, что атакующие получили доступ к данным, хранимым пользователями в облачном сервисе MongoDB Atlas, на текущем этапе разбирательства инцидента не было выявлено.
Вредоносная активность была обнаружена вечером 13 декабря, после чего неавторизованный доступ извне был пресечён, а также был начат процесс разбора инцидента ИБ. В течение какого времени атакующие имели доступ к инфраструктуре, не сообщается. Также администрацией проекта не упоминается, насколько атака затронула IT-системы, связанные с разработкой СУБД MongoDB.
Пользователям облачных сервисов MongoDB рекомендуется включить двухфакторную аутентификацию для защиты данных и своих аккаунтов.
Не исключено, что полученные в ходе атаки данные могут использоваться для фишинга и целевых атак с использованием методов социального инжиниринга.
Источники: Bleeping Computer, OpenNET, X (Twitter).
Илон Маск разбанил сторонника теорий заговора Алекса Джонса и дал ему интервью на X. Его заблокировали в 2018 году за «оскорбительное поведение», в том числе за сравнение репортёра CNN с «Гитлерюгендом».
Также Джонс известен тем, что назвал фейком стрельбу в школе Сэнди-Хук, в результате которой были убиты 20 детей и шесть взрослых. Маск ранее заявлял, что не позволит ему вернуться на платформу.
Во время интервью на X он попросил Джонса объясниться. «Отрицать убийства детей — это совсем не круто», — сказал Маск. Джонс ответил, что он лишь приводил высказывания, сделанные «профессорами» и «специалистами по школьной безопасности». Однако в реальности он цитировал республиканца Вивека Рамасвами, теоретика заговоров и бывшего советника Трампа Майкла Флинна и Эндрю Тейта, которого обвинили в изнасиловании и торговле людьми.
В интервью Джонс также выступил против «глобалистов», заявил о «мировом правительстве» и «социальных кредитных рейтингах». Однако в основном он хвалил Маска. «Я здесь не целую задницу, — сказал Джонс. — Илон, у тебя большие свершения, чувак, на всех фронтах».
Разработчики из Offensive Security представили Kali Linux 2023.4, которая содержит 15 новых инструментов и GNOME 45. Версия ядра пентест-дистрибутива Linux обновлена до 6.3.7. Список новых инструментов в Kali Linux 2023.4:
cabby — имплементация клиента TAXII;
cti-taxii-client — библиотека клиента TAXII 2;
enum4linux-ng — следующее поколение enum4linux с дополнительными возможностями (инструмент энумерации Windows/Samba);
exiflooter — поиск геолокации по всем URL-адресам и каталогам изображений;
h8mail — email OSINT и инструмент для поиска утечек паролей;
Havoc — современная и гибкая система управления и контроля для пост-эксплуатации;
OpenTAXII — имплементация сервера TAXII;
PassDetective — сканирование истории shell-команд для обнаружения случайно записанных паролей, API-ключей и секретов;
Portspoof — все 65535 TCP портов всегда открыты и эмулируют сервисы;
Raven — лёгкий HTTP-сервис загрузки файлов;
ReconSpider — продвинутый фреймворк для OSINT;
rling — RLI Next Gen (Rling), более быстрая многопоточная и многофункциональная альтернатива rli;
Sigma-Cli — список и преобразование правил Sigma в языки запросов;
sn0int — полуавтоматический OSINT-фреймворк и менеджер пакетов;
SPIRE — набор API-интерфейсов SPIFFE Runtime Environment для установления доверия между программными системами.
Kali Linux теперь можно установить на Raspberry Pi 5 с помощью нового специализированного образа (или собрать его самостоятельно).
Федеральная торговая комиссия (FTC) США предостерегла потребителей от сканирования старых QR-кодов. Там отметили, что злоумышленники могут разместить эти коды в неприметных местах или отправлять их по электронной почте.
Компания по кибербезопасности Trelli обнаружила более «60 000 образцов атак с использованием QR-кода» только в третьем квартале этого года. Самые популярные схемы связаны с мошенничеством с заработной платой и персоналом отдела кадров, а также с почтовыми рассылками.
FTC советует игнорировать неожиданные электронные письма или другие подобные сообщения. Также полезно проверить URL-адрес, который отображается на экране при сканировании, чтобы убедиться, что сайт доверенный.
Комиссия также рекомендует обеспечить наличие надёжных паролей и многофакторной аутентификации для конфиденциальных учётных записей.
Наконец, пользователям советуют не загружать приложения для сканирования QR-кода — встроенные сервисы камеры для Android и iOS уже поддерживают эту функцию.
Основной разработчик и создатель проекта GnuPG (GNU Privacy Guard) Вернер Кох (Werner Koch) основал проект LibrePGP, сосредоточенный на развитии обновлённой спецификации, альтернативной стандарту OpenPGP.
Форк OpenPGP был создан в ответ на изменения, намеченные рабочей группой IETF для внесения в следующее обновление спецификации OpenPGP (RFC-4880) и воспринятые Кохом как сомнительные с точки зрения сохранения совместимости и обеспечения безопасности. Поддержавшие форк разработчики проектов GnuPG, RNP (реализация OpenPGP от Thunderbird) и Gpg4win опасаются, что намеченные изменения окажутся губительны для существующих внедрений приложений на базе OpenPGP, пользователи которых рассчитывают на стабильность спецификации в длительной перспективе и не готовы мириться с изменениями, нарушающими совместимость.
LibrePGP включает полезные улучшения, последние годы развивавшиеся для будущего варианта спецификации OpenPGP, но при этом исключает изменения, негативно влияющие на обеспечение совместимости.
Источник: OpenNET.
ПАО «Ростелеком» провёл функциональное и нагрузочное тестирование сетевого решения Solar NGFW 1.0. Испытания подтвердили работоспособность, производительность и функциональность маршрутизатора с большим количеством правил и политик.
В рамках тестирования были проверены:
NAT;
фильтрация трафика на основе IP и портов TCP/UDP;
статическая маршрутизация;
обнаружение и блокирование атак IPS;
распознавание трафика категорий приложений с последующей блокировкой;
базовые конфигурации для интеграции в сетевую инфраструктуру.
Нагрузочное тестирование проводилось на стендах лаборатории «Ростелекома» с использованием платформы тестирования IXIA BreakingPoint. В ходе тестирования IXIA генерировала трафик и направляла его на Solar NGFW 1.0. Профиль трафика — Enterprise Traffic Mix, при разном составе включённых модулей безопасности, с различными вариантами размеров пакетов, рассказали информационной службе Хабра в пресс‑службе ГК «Солар».
Исследователи из Амстердамского свободного университета представили технику атаки SLAM (Spectre Linear Address Masking), предлагающую новый способ эксплуатации микроархитектурных уязвимостей класса Spectre, в котором утечка данных происходит при трансляции неканонических адресов, а для обхода проверок каноничности привлекаются предоставляемые в новых процессорах расширения для маскировки линейных адресов.
Экспертами опубликован инструментарий с реализацией метода и предложена демонстрация, показывающая, как можно извлечь из памяти ядра данные, соответствующие определённой маске (показано, как за несколько десятков секунд в Ubuntu выделить из памяти ядра строку с хэшем пароля пользователя root).
Атака может быть совершена на системах с процессорами Intel, поддерживающими расширение LAM (Linear Address Masking), процессорами AMD с расширением UAI (Upper Address Ignore) и процессорами ARM с расширением TBI (Top Byte Ignore). Указанные расширения позволяют использовать часть битов 64-разрядных указателей для хранения не связанных с адресацией метаданных (для обычных программ не требуется столько памяти, что могут адресовать 64-разрядные указатели, поэтому верхние биты могут быть задействованы, например, для проверок, связанных с обеспечением безопасности). Интересно, что процессоры Intel, AMD и ARM с поддержкой LAM, UAI и TBI ещё только анонсированы, но массово не производятся, что делает SLAM первой спекулятивной атакой на будущие CPU.
Источник: OpenNET.
Межсетевой экран уровня веб‑приложений PT Application Firewall от компании Positive Technologies был внедрён в инфраструктуру веб‑ресурсов компании «Магнит». По словам компании, решение работает в непрерывном режиме и занимается защитой от различных веб‑угроз. Об этом информационной службе Хабра рассказали в пресс‑службе Positive Technologies.
В среднем за месяц выявляется и блокируется тысяча событий высокой степени риска, например сбор информации о внутренней конфигурации веб‑ресурсов злоумышленниками, получение несанкционированного доступа к конфиденциальным данным, изменение информации в базах данных, получение паролей, манипуляции программой лояльности или злоупотребление доступом к API.
Система обезличивания данных программного комплекса «Гарда Маскирование» от группы компании (ГК) «Гарда» сертифицирована ФСТЭК России по 4 уровню доверия. По полученному сертификату, решение может использоваться для защиты информационных ресурсов предприятий, не работающих с государственной тайной, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.
Основная цель маскирования данных — предотвратить утечки информации при их передаче. «Гарда Маскирование» создаёт маскированные копии баз данных без изменения целостности базы.
Система сканирует и классифицирует данные в защищаемой базе для обезличивания персональных данных и удаления конфиденциальной информации с полным сохранением структуры исходного массива. Программное решение защищает информацию при передаче разработчикам, тестировщикам, аналитикам и другим лицам, кому доступ к содержимому базы данных необязателен.
«Системы обезличивания данных необходимы для компаний, работающих на постоянной основе с большими массивами различной информации, в том числе персональными данными. Это и банки, и телеком‑операторы, и ретейл, и представители других отраслей», — заявил руководитель направления Центра компетенций информационной безопасности компании «Гарда Технологии» (входит в ГК «Гарда») Дмитрий Филиппов.
Опубликован релиз специализированного дистрибутива Tails 5.20 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 ГБ.
Изменения в версии Tails 5.20:
Tor Browser обновлён до версии 13.0.4, синхронизированной с кодовой базой Firefox 115.5.0 ESR, в которой устранено 14 уязвимостей (12 признаны опасными);
обновлена версия почтового клиента Thunderbird 115.5.0;
для защиты от скрытой идентификации браузера отключена загрузка списка фильтрации AdGuard для uBlock Origin, привязанного к языку текущего сеанса;
решены проблемы с активацией постоянного хранилища и исправлены ошибки в переводе;
в интерфейсе WhisperBack упрощена отправка сообщений об ошибках с необходимой диагностической информацией.
Источник: OpenNET.
Представлен релиз библиотеки OpenSSL 3.2.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.2 будет осуществляться до 23 ноября 2025 года. Поддержка прошлых веток OpenSSL 3.1 и 3.0 LTS продлится до марта 2025 года и сентября 2026 года соответственно. Поддержка ветки 1.1.1 прекращена в сентябре этого года. Код проекта распространяется под лицензией Apache 2.0.
В OpenSSL 3.2.0:
добавлена клиентская поддержка протокола QUIC (RFC 9000), используемого в качестве транспорта в протоколе HTTP/3. Реализация включает среди прочего возможность передачи нескольких потоков через один канал связи. Компоненты для использования QUIC на серверах будут включены в выпуск OpenSSL 3.3, который планируют опубликовать не позднее 30 апреля 2024 года. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL.
в TLS появилась поддержка подключаемых схем цифровых подписей, позволяющих использовать сторонние реализации алгоритмов.
в TLS реализована поддержка расширения для сжатия сертификатов на этапе согласования соединений (RFC 8879), позволяющего ускорить установку соединения так как на передачу данных сертификатов приходится львиная доля трафика на этапе согласования соединения. Поддерживается сжатие с использованием библиотек zlib, zstd и Brotli.
Источник: OpenNET.
После объявления о санкциях со стороны Минфина США против Санкт‑Петербургской биржи резко выросло число фишинговых сайтов, маскирующихся под торговые площадки в рунете. Основные сообщения от имени псевдобирж связаны с предложениями покупки ценных бумаг, вывода денег из активов и криптовалюты, рассказали информационной службе Хабра в пресс‑службе Angara Security.
В августе и сентябре 2023 года Angara Security зафиксировала около 300 мошеннических площадок, маскирующихся под торговые площадки, в октябре их число выросло до 400. Однако за первую половину ноября выявлено уже около 300 сайтов и TG‑площадок.
По прогнозам экспертов, фишинговая активность в отношении петербургской биржи будет спадать, но полностью атаки не остановятся: даже до объявления санкций мониторинг фиксировал сотни мошеннических сайтов, связанных с инвестиционной тематикой. Сама торговая площадка также может повлиять на своевременную блокировку мошеннических сайтов‑копий.
По словам старшего эксперта по защите бренда Angara Security Виктории Варламовой, для удаления мошеннической площадки необходимо собрать веские доказательства. Эксперт назвала фишинговые атаки самым популярным инструментом киберпреступников сейчас. Псевдосайты биржи обещает инвестиционные возможности, лёгкую прибыль или выманивают личные данные. Кроме того, Варламова заметила, что мошеннические сайты угрожают финансовой безопасности пользователей и негативно влияют на имидж торговой площадки.