Критические уязвимости PGP и S/MIME делают шифрование переписки практически бесполезным
Группа академиков, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Пока технические подробности проблемы не раскрываются, но их обещают обнародовать завтра, 15 мая 2018 года.
Сейчас, со слов экспертов, известно, что дыры в PGP и S/MIME позволяют прочитать зашифрованные таким образом сообщения в формате обычного текста. Хуже того, проблема распространяется и на старые письма, отправленные и полученные ранее.
В своем Twitter Шинцель пишет, что в настоящее время патчей для обнаруженных проблем не существует, и рекомендует временно отказаться от использования PGP и S/MIME вовсе.
Вместе с тем разработчики GnuGP сообщают, что обнаруженные уязвимости не затрагивают GnuGP и Enigmail напрямую, а связаны с использованием PGP в почтовых клиентах. Кроме того, сайт efail.de заработал раньше намеченного специалистами срока, и стало известно, что проблемы возникают лишь с теми письмами, которые были переданы в формате HTML.
Группа академиков, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Пока технические подробности проблемы не раскрываются, но их обещают обнародовать завтра, 15 мая 2018 года.
Сейчас, со слов экспертов, известно, что дыры в PGP и S/MIME позволяют прочитать зашифрованные таким образом сообщения в формате обычного текста. Хуже того, проблема распространяется и на старые письма, отправленные и полученные ранее.
В своем Twitter Шинцель пишет, что в настоящее время патчей для обнаруженных проблем не существует, и рекомендует временно отказаться от использования PGP и S/MIME вовсе.
Вместе с тем разработчики GnuGP сообщают, что обнаруженные уязвимости не затрагивают GnuGP и Enigmail напрямую, а связаны с использованием PGP в почтовых клиентах. Кроме того, сайт efail.de заработал раньше намеченного специалистами срока, и стало известно, что проблемы возникают лишь с теми письмами, которые были переданы в формате HTML.
Опубликован эксплоит для внедрения кода в Signal для Windows и Linux
В минувшие выходные ИБ-специалист из Арентины Альфредо Ортега (Alfredo Ortega) анонсировал в своем Twitter скорую публикацию детальной информации об уязвимости в десктопном клиенте мессенджера Signal. Тогда Ортега обнародовал видео с демонстрацией атаки, на котором полезная javascript нагрузка, переданная через Signal, успешно выполнялась на устройстве получателя.
Изучив проблему и протестировав в Signal другие XSS, исследователи пришли к выводу, что баг связан с обработкой ссылок, которыми делятся пользователи. Проблема позволяла внедрить в приложение заданный пользователем HTML/JavaScript код, посредством iFrame, image, video и audio тегов.
Разработчики Signal устранили баг сразу же, после того как Ортега опубликовал proof-of-concept видео в своем микроблоге. В своем отчете исследователи отмечают, что данное исправление уже присутствовало в более ранних версиях десктопного Signal, однако по какой-то причине пропало после обновления, датированного 10 апреля 2018 года.
В минувшие выходные ИБ-специалист из Арентины Альфредо Ортега (Alfredo Ortega) анонсировал в своем Twitter скорую публикацию детальной информации об уязвимости в десктопном клиенте мессенджера Signal. Тогда Ортега обнародовал видео с демонстрацией атаки, на котором полезная javascript нагрузка, переданная через Signal, успешно выполнялась на устройстве получателя.
Изучив проблему и протестировав в Signal другие XSS, исследователи пришли к выводу, что баг связан с обработкой ссылок, которыми делятся пользователи. Проблема позволяла внедрить в приложение заданный пользователем HTML/JavaScript код, посредством iFrame, image, video и audio тегов.
Разработчики Signal устранили баг сразу же, после того как Ортега опубликовал proof-of-concept видео в своем микроблоге. В своем отчете исследователи отмечают, что данное исправление уже присутствовало в более ранних версиях десктопного Signal, однако по какой-то причине пропало после обновления, датированного 10 апреля 2018 года.
Ронин_Роман___Своя_разведка__Пра.PDF
1.3 MB
Книга по соц. инженерии.
Роман Ронин, Своя разведка, практическое пособие, 1997
Роман Ронин, Своя разведка, практическое пособие, 1997
В десктопном клиенте Signal нашли еще одну опасную уязвимость, позволяющую читать чаты
В начале текущей недели группа аргентинских ИБ-специалистов рассказала об уязвимости в десктопном клиенте мессенджера Signal. Баг получил идентификатор CVE-2018-10994. Исследователи обнаружили проблему случайно, когда сами общались через Signal, и один из участников беседы поделился ссылкой на уязвимый сайт с XSS-пейлоадом в URL. Полезная нагрузка неожиданно выполнилась в десктопном клиенте Signal, что не могло не привлечь внимание специалистов. Как оказалось, публикация ссылки в чате позволяла внедрить в приложение заданный пользователем HTML или JavaScript код, посредством iFrame, image, video и audio тегов.
Теперь исследователи поведали о второй, очень похожей проблеме, которой присвоили идентификатор CVE-2018-11101. Новая уязвимость очень похожа на предыдущую, с той лишь разницей, что полезную нагрузку (в виде HTML или JavaScript кода) нужно внедрять в обычное сообщение, на которое затем нужно ответить с цитированием. Из-за некорректной обработки цитирование так же приводит к выполнению кода злоумышленника.
Перед публикацией подробностей о проблеме специалисты уведомили об уязвимости разработчиков мессенджера, и те уже исправили баг, выпустив Signal версии 1.11.0 для Windows, macOS и Linux. Более того, судя по всему, разработчики и сами обнаружили продолжение первой проблемы, после чего подготовили соответствующий патч. Так как Signal оснащен функцией автоматического обновления, большинство пользователей уже вне опасности.
В начале текущей недели группа аргентинских ИБ-специалистов рассказала об уязвимости в десктопном клиенте мессенджера Signal. Баг получил идентификатор CVE-2018-10994. Исследователи обнаружили проблему случайно, когда сами общались через Signal, и один из участников беседы поделился ссылкой на уязвимый сайт с XSS-пейлоадом в URL. Полезная нагрузка неожиданно выполнилась в десктопном клиенте Signal, что не могло не привлечь внимание специалистов. Как оказалось, публикация ссылки в чате позволяла внедрить в приложение заданный пользователем HTML или JavaScript код, посредством iFrame, image, video и audio тегов.
Теперь исследователи поведали о второй, очень похожей проблеме, которой присвоили идентификатор CVE-2018-11101. Новая уязвимость очень похожа на предыдущую, с той лишь разницей, что полезную нагрузку (в виде HTML или JavaScript кода) нужно внедрять в обычное сообщение, на которое затем нужно ответить с цитированием. Из-за некорректной обработки цитирование так же приводит к выполнению кода злоумышленника.
Перед публикацией подробностей о проблеме специалисты уведомили об уязвимости разработчиков мессенджера, и те уже исправили баг, выпустив Signal версии 1.11.0 для Windows, macOS и Linux. Более того, судя по всему, разработчики и сами обнаружили продолжение первой проблемы, после чего подготовили соответствующий патч. Так как Signal оснащен функцией автоматического обновления, большинство пользователей уже вне опасности.
XSS: базовые знания, введение
Что такое XSS-уязвимость? Стоит ли ее опасаться? Межсайтовый скриптинг (сокращенно XSS) — широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код. В этой статье мы рассмотрим основы и пару примеров.
⏱ Время чтения: 5-7 минут
Что такое XSS-уязвимость? Стоит ли ее опасаться? Межсайтовый скриптинг (сокращенно XSS) — широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код. В этой статье мы рассмотрим основы и пару примеров.
⏱ Время чтения: 5-7 минут
Cross_Site_Scripting_Attacks_Xss.pdf
7.3 MB
К предыдущему посту могу добавить книгу по XSS атакам на английском.
Jeremiah Grossman, Robert Hansen, Petko D. Petkov, Anton Rager - XSS Attacks
Jeremiah Grossman, Robert Hansen, Petko D. Petkov, Anton Rager - XSS Attacks
Обнаружен новый вариант ботнета Mirai, оснащенный новыми эксплоитами
Эксперты Fortinet предупреждают о появлении новой вариации ботнета Mirai. Напомню, что ботнеты на основе малвари Mirai чаще всего сканируют сеть в поисках уязвимых IoT-девайсов, к которым можно подключиться посредством Telnet. Малварь имеет жестко закодированный и весьма длинный список учетных данных, использующихся по умолчанию в различных гаджетах. Однако новая версия Mirai, получившая имя Wicked, вооружена рядом эксплоитов для уязвимых IoT-устройств.
Исследователи пишут, что некоторые эксплоиты, которые использует Wicked, довольно старые, однако IoT-устройства зачастую обновляются с большим опозданием (если обновляются вообще), поэтому операторам ботнета этот нюанс, очевидно, не мешает.
Так, малварь сканирует порты 8080, 8443, 80 и 81 и пытается установить соединение с потенциально уязвимым девайсом, а после задействовать эксплоит. По порту 8080 Wicked атакует роутеры компании Netgear: DGN1000 и DGN2200 v1, которые так же атакует ботнет Reaper. 81 порт используется для эксплуатации RCE-бага в камерах видеонаблюдения. В свою очередь, порт 8443 малварь использует для атак и осуществления инъекции команд в устройства Netgear R7000 и R6400 (CVE-2016-6277).
Все это заставило экспертов предположить, что операторы Wicked имеют отношение ко всем четырем ботнетам: Wicked, Sora, Owari и Omni. Специалисты пишут, что изначально бот Wicked, очевидно, должен был использоваться ботнетом Sora, но позже его авторы предпочли перепрофилировать разработку под новый проект. В настоящее время, по мнению исследователей, Sora и Owari окончательно заброшены, тогда как Omni – это текущий активный проект вирусописателей.
Эксперты Fortinet предупреждают о появлении новой вариации ботнета Mirai. Напомню, что ботнеты на основе малвари Mirai чаще всего сканируют сеть в поисках уязвимых IoT-девайсов, к которым можно подключиться посредством Telnet. Малварь имеет жестко закодированный и весьма длинный список учетных данных, использующихся по умолчанию в различных гаджетах. Однако новая версия Mirai, получившая имя Wicked, вооружена рядом эксплоитов для уязвимых IoT-устройств.
Исследователи пишут, что некоторые эксплоиты, которые использует Wicked, довольно старые, однако IoT-устройства зачастую обновляются с большим опозданием (если обновляются вообще), поэтому операторам ботнета этот нюанс, очевидно, не мешает.
Так, малварь сканирует порты 8080, 8443, 80 и 81 и пытается установить соединение с потенциально уязвимым девайсом, а после задействовать эксплоит. По порту 8080 Wicked атакует роутеры компании Netgear: DGN1000 и DGN2200 v1, которые так же атакует ботнет Reaper. 81 порт используется для эксплуатации RCE-бага в камерах видеонаблюдения. В свою очередь, порт 8443 малварь использует для атак и осуществления инъекции команд в устройства Netgear R7000 и R6400 (CVE-2016-6277).
Все это заставило экспертов предположить, что операторы Wicked имеют отношение ко всем четырем ботнетам: Wicked, Sora, Owari и Omni. Специалисты пишут, что изначально бот Wicked, очевидно, должен был использоваться ботнетом Sora, но позже его авторы предпочли перепрофилировать разработку под новый проект. В настоящее время, по мнению исследователей, Sora и Owari окончательно заброшены, тогда как Omni – это текущий активный проект вирусописателей.
Новая техника атак на основе Meltdown. Использование спекулятивных инструкций для детектирования виртуализации
така Meltdown открыла новый класс атак на процессоры, использующий архитектурные состояния для передачи информации. Но спекулятивное исполнение, которое было впервые применено для атаки в Meltdown, позволяет не только выполнить код со снятием ограничений, но и узнать определенные детали работы процессора. Мы нашли новый способ реализации атаки с использованием архитектурных состояний. Он позволяет детектировать виртуализацию, опираясь на то, как процессор выбирает, отправлять инструкции на спекулятивное исполнение или нет.
🕑 Время чтения - 2 минуты.
така Meltdown открыла новый класс атак на процессоры, использующий архитектурные состояния для передачи информации. Но спекулятивное исполнение, которое было впервые применено для атаки в Meltdown, позволяет не только выполнить код со снятием ограничений, но и узнать определенные детали работы процессора. Мы нашли новый способ реализации атаки с использованием архитектурных состояний. Он позволяет детектировать виртуализацию, опираясь на то, как процессор выбирает, отправлять инструкции на спекулятивное исполнение или нет.
🕑 Время чтения - 2 минуты.
Взломанные сайты на базе Drupal распространяют майнеры, трояны и занимаются скамом
Специалисты компании Malwarebytes изучили угрозы, которые распространяются посредством уязвимостей Drupalgeddon2 и Drupalgeddon3, по-прежнему использующихся для компрометации сайтов, работающих под управлением Drupal.
Напомню, что о проблеме Drupalgeddon2 (CVE-2018-7600) стало известно в марте 2018 года. Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Под угрозой оказались все наиболее актуальные версии CMS веток 7.х и 8.х, вплоть до 8.5.0.
В 12% случаев взломанные сайты распространяют RAT-угрозы и ПО для кражи паролей. Чаще всего такая малварь замаскирована под обновления для браузеров.
Еще 7% сайтов после компрометации переадресовывают своих посетителей на сайты-локеры, которые блокируют браузер жертвы и вынуждают ее обратиться в фиктивную техническую поддержку, услуги которой, конечно же, оказываются платными.
Специалисты компании Malwarebytes изучили угрозы, которые распространяются посредством уязвимостей Drupalgeddon2 и Drupalgeddon3, по-прежнему использующихся для компрометации сайтов, работающих под управлением Drupal.
Напомню, что о проблеме Drupalgeddon2 (CVE-2018-7600) стало известно в марте 2018 года. Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Под угрозой оказались все наиболее актуальные версии CMS веток 7.х и 8.х, вплоть до 8.5.0.
В 12% случаев взломанные сайты распространяют RAT-угрозы и ПО для кражи паролей. Чаще всего такая малварь замаскирована под обновления для браузеров.
Еще 7% сайтов после компрометации переадресовывают своих посетителей на сайты-локеры, которые блокируют браузер жертвы и вынуждают ее обратиться в фиктивную техническую поддержку, услуги которой, конечно же, оказываются платными.
Почему публичный wifi опасен, и что нам это дает
Мысль, изложенная в данном посте кому-то может показаться очевидной и банальной, но, как показал разговор в курилке с коллегами, многие, даже имеющие отношение к IT об этом даже не задумывались, не говоря уже о более далеких от техники людей.
Согласно действующему законодательству РФ, главным условием бесплатного доступа к wi-fi является авторизация пользователей. При подключении к публичной сети пользователь в обязательном порядке должен пройти идентификацию личности и своего устройства. Так что там с анонимностью?
⏱ Время чтения - 5-7 минут.
Мысль, изложенная в данном посте кому-то может показаться очевидной и банальной, но, как показал разговор в курилке с коллегами, многие, даже имеющие отношение к IT об этом даже не задумывались, не говоря уже о более далеких от техники людей.
Согласно действующему законодательству РФ, главным условием бесплатного доступа к wi-fi является авторизация пользователей. При подключении к публичной сети пользователь в обязательном порядке должен пройти идентификацию личности и своего устройства. Так что там с анонимностью?
⏱ Время чтения - 5-7 минут.
Искусство дизассемблирования
Книга посвящена вопросам и методам дизассемблирования, знание которых позволит эффективно защитить свои программы и создать более оптимизированные программные коды. Объяснены способы идентификации конструкций языков высокого уровня таких, как C/C++ и Pascal, показаны различные подходы к реконструкции алгоритмов. Приводится обзор популярных хакерских инструментов для Windows, UNIX и Linux - отладчиков, дизассемблеров, шестнадцатеричных редакторов, API- и RPC-шпионов, эмуляторов. Рассматривается исследование дампов памяти, защитных механизмов, вредоносного программного кода - вирусов и эксплоитов. Уделено внимание противодействию антиотладочным приемам.
Книга посвящена вопросам и методам дизассемблирования, знание которых позволит эффективно защитить свои программы и создать более оптимизированные программные коды. Объяснены способы идентификации конструкций языков высокого уровня таких, как C/C++ и Pascal, показаны различные подходы к реконструкции алгоритмов. Приводится обзор популярных хакерских инструментов для Windows, UNIX и Linux - отладчиков, дизассемблеров, шестнадцатеричных редакторов, API- и RPC-шпионов, эмуляторов. Рассматривается исследование дампов памяти, защитных механизмов, вредоносного программного кода - вирусов и эксплоитов. Уделено внимание противодействию антиотладочным приемам.
Хакер заработал миллионы, атакуя пользователей Steam
Аналитики «Доктор Веб» рассказали о вирусописателе, скрывающемся под псевдонимом Faker. Он распространяет «по подписке» (MaaS, Malware As a Service) различную малварь для атак на пользователей платформы Steam.
От клиентов вирусописателя, желающих зарабатывать на распространении малвари, не требуется ничего, кроме денег и, в некоторых случаях, домена: Faker предоставляет им саму малварь, доступ к административной панели и техническую поддержку.
По подсчетам аналитиков «Доктор Веб», этот «бизнес» уже принес своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки.
http://telegra.ph/Haker-zarabotal-milliony-atakuya-polzovatelej-Steam-05-31
Аналитики «Доктор Веб» рассказали о вирусописателе, скрывающемся под псевдонимом Faker. Он распространяет «по подписке» (MaaS, Malware As a Service) различную малварь для атак на пользователей платформы Steam.
От клиентов вирусописателя, желающих зарабатывать на распространении малвари, не требуется ничего, кроме денег и, в некоторых случаях, домена: Faker предоставляет им саму малварь, доступ к административной панели и техническую поддержку.
По подсчетам аналитиков «Доктор Веб», этот «бизнес» уже принес своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки.
http://telegra.ph/Haker-zarabotal-milliony-atakuya-polzovatelej-Steam-05-31
Telegraph
Хакер заработал миллионы, атакуя пользователей Steam
Аналитики «Доктор Веб» рассказали о вирусописателе, скрывающемся под псевдонимом Faker. Он распространяет «по подписке» (MaaS, Malware As a Service) различную малварь для атак на пользователей платформы Steam. От клиентов вирусописателя, желающих зарабатывать…
Свежие новости в мире IT.
Исправлена уязвимость, позволявшая обмануть reCAPTCHA
Разработчики Git устранили два бага, один из которых допускал удаленное выполнение произвольного кода
Провайдеры предоставляют своим абонентам небезопасные роутеры
Telegram для iOS не может обновиться с середины апреля
Oracle прекратит поддержку сериализации Java, называя ее «ужасной ошибкой»
Исправлена уязвимость, позволявшая обмануть reCAPTCHA
Разработчики Git устранили два бага, один из которых допускал удаленное выполнение произвольного кода
Провайдеры предоставляют своим абонентам небезопасные роутеры
Telegram для iOS не может обновиться с середины апреля
Oracle прекратит поддержку сериализации Java, называя ее «ужасной ошибкой»
Свежие новости:)
Неизвестные захватили бывший антиспамерский сервис SpamCannibal
Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL
Пользователи Android нашли странный баг: приложения отображают SMS в ответ на запрос the1975..com
Firefox и Chrome деанонимизируют пользователей из-за недавних изменений в CSS
Неизвестные захватили бывший антиспамерский сервис SpamCannibal
Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL
Пользователи Android нашли странный баг: приложения отображают SMS в ответ на запрос the1975..com
Firefox и Chrome деанонимизируют пользователей из-за недавних изменений в CSS
🔐 Разбираемся с режимами работы российских блочных шифров
Есть такие отечественные криптоалгоритмы «Кузнечик» и «Магма». С их помощью получится зашифровать весьма скудный кусочек информации (если использовать «Кузнечик», длина этого кусочка составит только лишь 16 байт, а если применять «Магму», то и того меньше — всего 8 байт). Понятно, что нынче в такие объемы ничего втиснуть не получится, и нужно что-то с этим делать. Разберемся с алгоритмами.
🕐 Время чтения - 7 минут.
Есть такие отечественные криптоалгоритмы «Кузнечик» и «Магма». С их помощью получится зашифровать весьма скудный кусочек информации (если использовать «Кузнечик», длина этого кусочка составит только лишь 16 байт, а если применять «Магму», то и того меньше — всего 8 байт). Понятно, что нынче в такие объемы ничего втиснуть не получится, и нужно что-то с этим делать. Разберемся с алгоритмами.
🕐 Время чтения - 7 минут.
Криминалистика_Учебник_Ищенко_То.pdf
7.7 MB
Учебник по криминалистике. Для ознакомления и безопасности.
Е.П. Ищенко, А.А. Топорков | Криминалистика
Е.П. Ищенко, А.А. Топорков | Криминалистика
А пока все шутят про github, займемся делом. Этой статьей мы открываем цикл, посвященный исследованию безопасности компонентов Microsoft Office. Речь в материале пойдет о форматах данных, шифровании и получении символов.
http://telegra.ph/Bezopasnost-Microsoft-Office-formaty-dokumentov-06-06
http://telegra.ph/Bezopasnost-Microsoft-Office-formaty-dokumentov-06-06
Telegraph
Безопасность Microsoft Office: форматы документов
Всем привет! Этой статьей мы открываем цикл, посвященный исследованию безопасности компонентов Microsoft Office. Речь в материале пойдет о форматах данных, шифровании и получении символов. Когда в компании Microsoft задумывался и разрабатывался масштабный…