How to become an author
Search
Write a publication
Pull to refresh
2
Karma
0
Rating
shanker @shanker

специалист по безопасности корп блокчейнов

Send message
Profile Publications 35Comments 625Bookmarks 262

Перехват трафика как вектор атаки на пользователей блокчейн-проектов

Level of difficultyMedium
Reading time21 min
Views3.3K
Positive Technologies corporate blogInformation Security*Distributed systems*Finance in ITCryptocurrencies
Analytics
✏️ Technotext 2023

Привет, Хабр! Меня зовут Игорь Агиевич, я специалист по безопасности распределенных реестров в компании Positive Technologies. C 2021 года занимаюсь безопасностью в области блокчейн-технологий, в сфере ИТ работаю в общей сложности 17 лет.

В статье поговорим о проблемах безопасности блокчейн-проектов, пришедших из мира Web 2.0. В этой области отсутствует сложившаяся практика, поэтому в публичной плоскости крайне мало сведений о механизмах защиты, используемых этими проектами. Статья является более подробным вариантом доклада с прошедшего киберфестиваля Positive Hack Days 12 на эту же тему.

Опыт, накопленный при проведении пентестов, и понимание сетевых технологий помогли мне провести исследование атак на блокчейн-проекты, проведенных с использованием техник DNS hijacking и BGP hijacking.

Вы узнаете, как перехват пользовательского трафика приводит к тому, что пользователи теряют криптовалюту. Кроме того, в этой статье:

🔷 разберем, как злоумышленники проводили атаки на сетевом уровне (благодаря открытым данным восстановим многие шаги атак буквально по минутам);

🔷 декомпилируем смарт-контракты (далее — контракты) атакующих;

🔷 выясним, какие публичные механизмы защиты внедрили пострадавшие проекты и что с ними не так;

🔷 попробуем улучшить механизмы обнаружения рассмотренных атак и защиты от них, а также рассмотрим обозреватели блокчейнов (выясним, как найти в блокчейне контракты злоумышленника, зная только один из них);

🔷 поговорим о том, какие шаги необходимо предпринять держателям криптовалют, чтобы не стать очередными жертвами.

Читать далее
Total votes 5: ↑5 and ↓0+5
Comments3

Разбор теста от MixBytes

Reading time4 min
Views2.1K
Decentralized networks*Information Security*
Recovery Mode

Не так давно компания MixBytes проводила конкурс, пройдя который можно было попасть на их курс аудитора смарт-контрактов.

Здесь публикую свой разбор этого теста.

Читать далее
Total votes 10: ↑8 and ↓2+6
Comments1

Можно ли предсказать эпидемию?

Reading time10 min
Views4.6K
Lumber room
Recovery Mode
На Хабре уже были статьи о прогнозах коронавируса:


Представлю иной прогноз и, главное, разбор этого прогноза. Чем прогноз отличается от других?
Двумя вещами:

  • сделан сильно раньше предыдущих (в 2013 году);
  • сделал его… астролог.

Возможно, у кого-то уже появилось желание тут посмеяться. Что ж, не отказывайте себе — посмейтесь от души. Хорошее настроение всегда на пользу. Как там пелось у Короля и Шута: «искренне прошу — смейтесь надо мной, если это вам поможет...». А как вдоволь посмеётесь — прошу под кат: я не призываю никого менять своё мировоззрение. Я предлагаю оценить работу автора статьи основываясь на фактах, а не эмоциях. Если автор прогноза не прав — надо об этом грамотно сказать. А если прав… задуматься о причинах его правоты.

У нас на кону следующие вопросы:

  1. Насколько точный прогноз?
  2. Действительно ли прогноз был сделан заранее, а не по факту (и просто выдан позднее как «древнее пророчество»)?
  3. Можно ли сделать подобный прогноз случайно? Какова вероятность сделать аналогичный прогноз случайно?
  4. Какие ещё прогнозы делал автор, насколько они точные?

Если в моём повествовании будут ошибки — не стесняйтесь сообщать об этом. Все мы люди, которым свойственно ошибаться (и на ошибках учимся). Готов буду поправить свои ошибки.
Господам минусующим — просьба не стесняться и высказываться в комментариях. А лучше ещё и факты приводить.

С чего всё началось


Читать дальше →
Total votes 35: ↑2 and ↓33-31
Comments143

Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен

Reading time2 min
Views37K
Information Security*
Сначала новость, потом мои рассуждения на эту тему.

Новость


Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз, два, три)? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7. Среди вендоров был и MikroTik. Представители MikroTik отработали достаточно оперативно. Они сами проанализировали эти документы и прокомментировали данные об уязвимостях. Заодно выпустив обновлённую версию (8 марта), закрывающую уязвимости.
Читать дальше →
Total votes 36: ↑35 and ↓1+34
Comments37

Эксплоит для уязвимости в Cisco UCS Manager: так ли страшен чёрт?

Reading time4 min
Views3.1K
Information Security*
В сети опубликован эксплоит для Cisco UCS Manager. Указывается, что уязвимы версии 2.1(1b) и, возможно, другие.
На сайте Cisco в разделе GNU Bash Environment Variable Command Injection Vulnerability указано, что доступны обновлённые версии продуктов, исправляющих уязвимость:
  • 3.0(1d) (Available)
  • 2.2(3b) (Available)
  • 2.2(2e) (Available)
  • 2.2(1f) (Available)
  • 2.1(3f) (Available)
  • 2.0(5g) (Available)

Собственное тестирование показало, что уязвимы версии:
  • 2.2(1d)
  • 2.2(1c)
  • 2.1(2a)

Не уязвимы:
  • 2.2(6c)
  • 2.2(3e)

Мы провели анализ работы эксплоита, а также количество уязвимых устройств. Используя поисковик Shodan и наш собственный поисковый аналог (да здравствует импортозамещение). И вот что получилось.
Читать дальше →
Total votes 7: ↑7 and ↓0+7
Comments0

Делаем беспроводной сетевой мост на 2-х Mikrotik

Reading time4 min
Views61K
Network technologies*Wireless technologies*
Tutorial
Ситуация: на Mikrotik на разных портах заведены свои сетки:
  • ether2 — 192.168.2.0/24
  • ether3 — 192.168.3.0/24
  • ether4 — 192.168.4.0/24
  • ether5 — 192.168.5.0/24
  • wlan0 — 192.168.10.0/24


В этих сетях Mikrotik (модель RB751G-2HnD) раздаёт настройки по DHCP.

Задача: используя Wi-Fi подключить ещё оборудование так, чтобы оно оказалось в сети 192.168.3.0/24.
У меня такая задача возникла из-за того, что на балконе сетевое хранилище (NAS) подключено проводом к роутеру (сам роутер в прихожей). А в гостинной — медиапроигрыватель, который должен показывать фильмы с NAS-устройства. Но в гостинной Ethernet-кабеля нет (т.е. был, но я от него отказался).

Для этого будем использовать второй Mikrotik (модель hAP lite). Оба Mikrotik будут образовывать беспроводной сетевой мост. Для этого на основном Mikrotik создадим ещё один беспроводной интерфейс — виртуальную точку доступа (Virtual AP). В итоге схема должна получиться примерно такой:



Т.е. в этой схеме оборудование NAS и Comp должно находиться в сети 192.168.3.0/24. При этом NAS и Comp физически разнесены и подключены к разным Mikrotik.
ether1 на основном Mikrotik — источник Интернета.

В конце настройки средняя скорость между микротиками за 5 мин составила 220 Мбит/с (по данным утилиты ping test, входящей в RouterOS):


Читать дальше →
Total votes 14: ↑12 and ↓2+10
Comments15

Изгоняем нечисть из ReadyNAS

Reading time5 min
Views34K
Information Security*

На Хабре уже есть несколько статей, касающихся безопасности различных устройств из сферы так называемых «Вещей-интернета»: домашние роутеры, «умные» телевизоры, NAS-устройства и т.д.

Данная статья поведает об особенностях NAS модели ReadyNAS. Статья о том, как мне удалось выгнать чужака из NAS-устройства, который там очень неплохо закрепился. Забегая вперёд скажу, что собранной информации было недостаточно, чтоб утверждать кто был этим чужаком: взломщик с человеческим лицом и корыстью или бесчувственный вирус. Поэтому в названии данной статьи фигурирует обезличенное слово «нечисть».

В один прекрасный день мой товарищ позвонил мне и попросил: «посмотри что не так с этой железякой? ну, я на ней фильмы храню… ну, ты понял о чём я!» И далее следовали описания симптомов. Был обычный рабочий вечер, и голова уже соображала не супер. Конечно, из телефонного разговора я толком ничего не понял. Но решил не производить допросов по телефону и приехать на место происшествия, лично посмотреть что и как. Я попросил отключить устройство от интернета до моего приезда.

Приехав к нему домой, я так и не понял что за симптомы он мне описывал. Но на всякий случай решил глянуть железку. Это оказался ReadyNAS. На вид устройство работало вполне нормально, особых тормозов или неадекватного поведения замечено не было. Неопознанных пользователей в списке на устройстве не обнаружено. После чего я решил всё же поглядеть логи. Так, для очистки совести. Поводов для беспокойства у меня пока не было. Так что моя мотивация была скорее в том, чтоб успокоить моего товарища. Мол, я провозился с железкой, в логах всё хорошо, тормозов не вижу, ложная тревога. Уходить сразу, не изобразив даже попытку реально разобраться было некрасиво. Но логи оказались не столь успокаивающими. И я понял, что вечер выдастся с борьбой.
Читать дальше →
Total votes 18: ↑12 and ↓6+6
Comments14

Очередная 0-day уязвимость в Adobe Reader

Reading time1 min
Views7.2K
Information Security*
Буквально в 2-х словах, ибо информации пока совсем немного. Компания FireEye сообщает об обнаружении 0-day уязвимости в Adobe Reader. Уязвимы последние версии веток 9,10 и 11. Т.е. на данный момент это:

  1. 9.5.3
  2. 10.1.5
  3. 11.0.1


В чём суть уязвимости — не сообщается. Сообщается лишь, что в исследованном экземпляре эксплоита при удачной эксплуатации происходил запуск 2-х DLL-файлов. Первая DLL показывала ложное сообщение об ошибке и открывало другой PDF документ. Судя по всему речь идёт о классическом запуске PDF нужного содержания. Этот трюк часто используется в таргетированных атаках. Т.к. часто уязвимое приложение после запуска эксплоита «падает» и чуткий пользователь, не увидев полезной нагрузки, начинает небезосновательно бить тревогу.

Вторая DLL — троян-компомент, который осуществляет реверс-коннект к домену злоумышленника, что позволяет злоумышленнику контролировать скомпрометированный компьютер даже в случае, если тот находится за NAT-ом.
Читать дальше →
Total votes 31: ↑28 and ↓3+25
Comments8

Очередные уязвимости нулевого дня в различных роутерах

Reading time7 min
Views55K
Information Security*
Похоже, начало года не задалось для производителей роутеров. Буквально сегодня я сообщал о критических уязвимостях в роутерах различных производителей, связанных с небезопасной обработкой протокола UPnP. И вот ещё одна новость на эту же тему. На сей раз уязвимости совершенно разные. Затронуто оборудование:

  • D-Link DIR-615, DIR-600 и DIR-300 (rev B)
  • Netgear DGN1000B
  • Cisco Linksys E1500/E2500
  • Netgear SPH200D


Уязвимости довольно различны, но их объединяет несколько фактов: один автор и нежелание вендора выпускать патч (если верить автору).
Читать дальше →
Total votes 32: ↑29 and ↓3+26
Comments14

Критическая уязвимость во многих роутерах различных вендоров

Reading time2 min
Views105K
Information Security*
Как сообщалось ранее, компания DefenseCode обнаружила уязвимость нулевого дня в роутерах Cisco Linksys. Представители компании оповестили вендора и взяли тайм-аут на пару недель перед раскрытием деталей уязвимости. Время вышло, некоторые подробности были раскрыты и оказалось, что не только Cisco Linksys уязвима.

Вот только часть вендоров, где присутствует уязвимость
  • Broadcom,
  • Asus
  • Cisco
  • TP-Link
  • Zyxel
  • D-Link
  • Netgear
  • US Robotics


Речь идёт о сразу нескольких уязвимостях, которые кроются в ряде реализаций протокола UPnP и SSDP (основанные на Intel/Portable UPnP SDK и MiniUPnP SDK):
Список CVE
  1. CVE-2012-5958
  2. CVE-2012-5959
  3. CVE-2012-5960
  4. CVE-2012-5961
  5. CVE-2012-5962
  6. CVE-2012-5963
  7. CVE-2012-5964
  8. CVE-2012-5965
  9. CVE-2013-0229
  10. CVE-2013-0230


Уязвимости позволяют вызвать отказ в обслуживании или выполнить произвольный код на устройстве без авторизации. А т.к. многие роутеры взаимодействуют с UPnP через WAN, это делает их уязвимыми не только к атаке из локальной сети, но и из удалённых сетей. Т.е. практически с любого компьютера Интернета. Уязвимыми могут оказаться не только роутеры, но вообще любое оборудование, использующее UPnP: принтеры, медиа-серверы, IP-камеры, NAS, smart TV и т.д. Т.е. речь идёт о миллионах устройств!

Компания rapid7 выпустила сканер для проверки своих устройств на наличие уязвимостей. Онлайн версия доступна здесь.



Мне повезло. А Вам?
Читать дальше →
Total votes 66: ↑63 and ↓3+60
Comments58

Уязвимость нулевого дня в роутерах Cisco Linksys

Reading time1 min
Views23K
Information Security*
Время 0day уязвимостей продолжается. В этот раз затронута продукция Cisco Linksys.
Как стало известно, уязвимость позволяет из внешней сети получить доступ к устройству под пользователем root без проведения аутентификации. Уязвимые версии прошивки Linksys firmware до:
4.30.14 включительно. Рекомендаций по защите в настоящий момент нет. Таким образом, в настоящее время все доступные версии прошивки Linksys уязвимы, что ставит под удар около 70 млн находящихся в сети устройств.
Компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено. Исследователи, обнаружившие уязвимость, планируют раскрыть детали вместе с демонстрационным PoC-кодом в течение 2-х недель.

Пока доступна видео демонстрация уязвимости. Судя по ней, с третьего раза удалось-таки получить несанкционированный доступ к устройству. В качестве жертвы был выбран Cisco Linksys WRT54GL.
Читать дальше →
Total votes 35: ↑34 and ↓1+33
Comments32

Обновляем iPhone через Linux сохранив данные и нервы

Reading time5 min
Views32K
Configuring Linux*
Tutorial

Данная статья поведает как обновить iOS и данные на нём для пользователей Linux. На эту тему можно нагуглить как мануалы, так и возникшие проблемы:



Но информация эта весьма разрознена. И не содержит некоторых тонкостей, не учитывая которые можно потерять данные на телефоне (опять же, в этих статьях не сообщается какие данные и в каком случае можно потерять). А в месте с данными — и кучу нервов. Всё это может заставить пользователей новичков Линукса отказаться от его использования для работы с iOS.

Данный мануал — это пошаговая инструкция к счастливому обновлению iOS через Linux используя VirtualBox не потеряв данных.

Дальнейшее повествование тестировалось на связке:
  1. Ubuntu (12.10)
  2. iPhone4 (iOS 5.0.1 up to iOS 6.0.1)
  3. VirtualBox 4.2.6 (с установленной Windows 7 x32).

Хотя, наверняка то же самое будет верно и для iPad.
Внимание, под катом много картинок!
Читать дальше →
Total votes 42: ↑27 and ↓15+12
Comments25

Новая уязвимость нулевого дня в браузерных плагинах Java

Reading time1 min
Views22K
Information Security*Java*
Похоже, месяц уязвимостей zeroday продолжается.

Очередная уязвимость в Java (CVE-2013-0422) уже включена в несколько эксплоит паков (BlackHole Exploit Kit, Cool Exploit Kit, Nuclear Pack). Вот что пишет создатель эксплоит пака BlackHole Exploit Kit:


Сообщается, что эта уязвимость очень похожа на обнаруженную в августе уязвимость в Java CVE-2012-4681. Атакующий может создать зловредную веб страницу и выполнить произвольный код на уязвимой системе. Работает на последней на текущий момент версии Java 1.7u10

Создатель Metasploit сообщил, что в ближайшее время в этот фреймворк будет включена описываемая уязвимость (уже выпустили, спасибо timukas). Напомнив, что уязвимость может работать независимо от ОС где установлена Java. Будь то Windows, Linux или MacOS.
Читать дальше →
Total votes 53: ↑51 and ↓2+49
Comments41

Уязвимость нулевого дня в IE v6-8

Reading time1 min
Views12K
Information Security*
Конец года ознаменовался обнаружением уязвимости нулевого дня (т.е. патча ещё нет, т.н. 0day) в браузере Internet Explorer версий с 6 по 8 включительно (CVE-2012-4792). Microsoft выпустило бюллетень по безопасности в котором описывается какие системы подвержены риску. Судя по этому описанию, пользователям IE 9-10 повезло и там уязвимости нет.

Как сообщается, уязвимость была обнаружена в результате расследования факта взлома сайта Совета по международным отношениям США, на котором злоумышленники и разместили зловредный код к уязвимости. Анализ зловредного кода, использующего описанную уязвимость, доступен здесь.
Читать дальше →
Total votes 28: ↑20 and ↓8+12
Comments13

0-day в Windows XP\Vista\7

Reading time1 min
Views22K
Information Security*
Хабрапользователь 0xA0 нашёл 0-day в Windows XP\Vista\7 (в Windows 8 не работает).
Данная статья написана с позволения 0xA0, т.к. в силу низкой кармы на тот момент он не мог её здесь написать.
Судя по всему, это отзвуки отгремевшей в далёком 2010 году уязвимости CVE-2010-2568 (писали об этом и на хабре), которую активно использовал небезызвестный StuxNet. Суть баги в том, что при обращении к DLL-файлу операционная система вместо ресурсов из этой библиотеки выполняет код из самой библиотеки. В общем-то, по описанию действительно очень схожа с названной CVE-2010-2568.
Читать дальше →
Total votes 63: ↑45 and ↓18+27
Comments31

Обход проактивной защиты Agnitum Outpost Security Suite в 2 строчки

Reading time2 min
Views37K
Information Security*
Ранее я уже заявлял об этом и даже делился видео-демонстрацией, но не раскрывая подробности. К сожалению, Разработчик забил болт так и не отреагировал на моё письмо о проблеме (моё обращение было зарегистрировано 2.10.2012 под номером sb-ru-02-121000048-t). Поэтому я решил показать все технические подробности. Приводимая далее видео демонстрация была впервые показана на ZeroNights 2012 в рамках zeroday show.

Предыстория


Подобные уязвимости часто находятся случайным образом. Мой случай — не исключение. Как-то раз в 12 часов ночи, в полнолуние поставил себе Outpost Security Suite и настроил проактивку на максимальный режим. При этом режиме даже вставленная новая флешка в систему не примонтируется, пока не разрешить несколько действий во всплывающих окнах антивируса. Однажды при вставке новой флешки как обычно появилось всплывающее окно от антивируса, но я не давал согласия на установку. А привычным образом заблокировал компьютер (клавиш Win+L), покинув его на несколько минут. Каково же было моё удивление, когда вернувшись я выяснил, что флешка-таки примонтировалась в систему! Вот тут и началось самое интересное…
Читать дальше →
Total votes 86: ↑84 and ↓2+82
Comments31

Уязвимость «нулевого дня» в Adobe Reader X/XI

Reading time2 min
Views5K
Information Security*
Специалисты компании Group-IB недавно сообщили об обнаружении уязвимости «нулевого дня» в Adobe Reader X/XI

Технических деталей практически нет. Сообщается, что:
Для успешной эксплуатации этой уязвимости необходимы специальные условия: к примеру, чтобы осуществилось неавторизированное исполнение произвольного кода необходимо закрытие интернет-браузера либо его перезагрузка. Другим вариантом эксплуатации уязвимости является инициализация интерактивного взаимодействия с пользователем, согласно которому жертве потребуется подтвердить какое-либо действие в контексте открытого документа, после чего выполнится вредоносный код


Ещё одна цитата из статьи:
Одной из существенных особенностей является тот факт, что ранее не было афишировано ни одного эксплойта под указанную версию Adobe Reader по причине наличия встроенной «песочницы» (Sandbox, Protected View — blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html), которая ограничивает возможности выполнения произвольного кода за счет внутренних инструкций и специальной среды исполнения.


Однако, на приводимой демонстрации можно увидеть Windows XP. А т.к. «песочница» задействует механизмы UAC, доступные начиная с Windows Vista, остаётся открытым вопрос: действительно ли обнаруженный код способен обойти «песочницу», используемую в Adobe Reader?


Читать дальше →
Total votes 10: ↑9 and ↓1+8
Comments10

SHA-3 скоро появится на свет

Reading time1 min
Views12K
Information Security*Cryptography*Algorithms*
Как сообщает Брюс Шнаер в своём блоге Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) собирается в скором времени представить новый хеш-алгоритм, который будет называться SHA-3.

За право бороться в финале на звание нового SHA-3 NIST выбрало 5 финалистов: BLAKE, Grøstl, JH, Keccak, и Skein. Последний является детищем самого Брюса Шнаера.
Подробности
Total votes 35: ↑32 and ↓3+29
Comments23

Позволим «Read Only» аккаунтам задавать вопросы и/или отвечать на них?

Reading time1 min
Views8K
Habr
Собственно, сабж. В интернете непросто найти форум с грамотными специалистами, а на Хабре их достаточно. Поэтому я часто и с удовольствием пользуюсь разделом q&a. Наверняка многие пользователи из «Read Only» тоже хотели бы им воспользоваться. Мы могли бы быть полезны друг другу. И вот почему:

1. Возможно, некий пользователь из «Read Only» не умеет составлять статьи и не может пройти через «Песочницу». Но он спец в своём деле, и мог бы поделиться своим опытом в ответе на вопрос.
2. Для привлечения дополнительного внимания к Хабру и усиления популяризации, позволить пользователям задавать вопросы здесь, а не искать где бы зарегаться чтоб получить ответ там.

Конечно, стоило бы продумать всю эту идею в деталях. С одной стороны, никому не нужны куча «левых» вопросов, которые зафлудят Хабр. С другой, реально грамотных людей, которые уже поделились своим опытом, можно было бы наградить за их старания.
Читать дальше →
Total votes 77: ↑57 and ↓20+37
Comments37
BackHere
1
2

Information

Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Works in
Registered
Activity

Your account

Sections

Information

Services

Support
© 2006–2024, Habr