}{@kep
3.97K subscribers
60 photos
1 video
47 files
1.15K links
💻 Первый авторский канал про информационную безопасность (создан в 2017 году)

Отборный контент для обучения и развития.

По рекламе @adtgassetsbot
Владелец @Aleksei
Download Telegram
​​🇨🇳 Китайские хакеры и техники которые они используют

Следы большинства целенаправленных атак в последние годы ведут в азию, где ярким пятном выделяются шанхайские серверы. В процессе расследований специалисты отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и програмное обеспечение, специфичные для Китая. В этой статье попробуем разобраться кто же устраивает этих хакерские атаки и какие именно хакерские группировки за этим стоят.

Расследование масштабных целенаправленных атак порой занимает долги годы, поэтому подробности их проведения становятся известны далеко не сразу. Как правило к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.
​​☕️Ботнет из кондиционеров и обогревателей может вызвать перебои с энергоснабжением

Специалисты кафедры электротехники в Принстонском университете представили на ИБ-конференции USENIX Security Symposium доклад, описывающий весьма необычный способ атак на энергетические системы. Исследователи предположили, что для этих целей можно создать гигантский ботнет, объединяющий множество IoT-устройств с большим энергопотреблением, например, кондиционеров и обогревателей.

Исследователи рассказывают, что многие современные кондиционеры, плиты, водонагреватели и обогреватели можно контролировать через интернет, что может представлять угрозу не только для самих пользователей этих приборов.

Однако специалисты университета обратили внимание не на общую незащищенность бытовой техники, а тот факт, что подобные приборы могут потреблять 1000-5000 ватт. По мнению исследователей, эту особенность бытовых приборов могут использовать злоумышленники и, манипулируя «умной» техникой, смогут провоцировать как локальные перебои с энергоснабжением, так и глобальные отключения электроэнергии. Такие атаки специалисты назвали Manipulation of demand via IoT (MadIoT).

По подсчетам специалистов, для создания такой ситуации достаточно увеличения потребления энергии на 30%. Для этого потенциальным злоумышленникам понадобится собрать ботнет, состоящий из 90 000 кондиционеров и 18 000 водонагревателей, расположенных в нужной географической области.
​​Запуск приложения в отдельных виртуальных машинах с помощью AppVM

Если вы действительно заботититесь о безопасности, то некоторые приложения есть смысл запускать в виртуализации. Обычно это создает массу проблем: держать три десятка виртуалок неудобно и остается соблазн «по-быстрому» что-то запустить на хосте. Мне удалось обойти часть неудобств. Данное решение я назвал AppVM — оно работает в Linux и позволяет запускать приложения с GUI и шейрить файлы с основной системой; оверхеды при этом минимальны. Как я этого добился? Сейчас расскажу.

Я очень люблю Qubes. Если вы с ним не знакомы, поясню: это дистрибутив, построенный на базе гипервизора Xen, который дает возможность создавать домены — честные виртуальные окружения, внутри которых приложения работают в изоляции. Вы можете создавать домены на базе разных дистрибутивов (образов), и они смогут общаться между собой: например, шейрить файлы. В Qubes доменов может быть сколько угодно: work, persoanl, vault — создавайте и называйте как хотите. Звучит неплохо, но есть ли альтернативы и нужны ли они?
​​10 лучших сканеров уязвимостей

Оценка уязвимости позволяет распознавать, классифицировать и характеризовать дыры безопасности ака уязвимости, среди компьютеров, сетевой инфраструктуры, программного обеспечения и аппаратных систем. Если уязвимости обнаруживаются, это указывает на необходимость устранения уязвимости. Такие раскрытия обычно выполняются отдельными командами, такими как организация, которая обнаружила уязвимость(CERT). Эти уязвимости становятся основным источником вредоносных действий, таких как взлом сайтов, систем, локальных сетей и т. д.
​​💰Как построить свой личный ботнет и сколько это стоит

Ботнеты – один из главных и популярнейших инструментов современного хакера. Компьютерные сети, которые состоят из десятков, сотен тысяч и даже миллионов машин-хостов, заражённых программами-ботами, автоматически выполняют те или иные действия в интересах владельца или управляющего такой сетью. Давайте рассмотрим стоимость хорошего, анонимного и отказоустойчивого ботнета.
​​Как международная хакерская сеть заработала $100 млн на краже пресс-релизов

Весной 2012 года в киевском ночном клубе подвыпивший 24-летний Иван Турчинов бахвалился перед дружками-хакерами. Он хвастал, что много лет взламывает ленты бизнес-новостей и продаёт биржевым трейдерам неопубликованные пресс-релизы через московских посредников за долю в прибыли.

Один из хакеров в том клубе Александр Еременко раньше работал с Турчиновым — и решил войти в долю. Вместе со своим другом Вадимом Ермоловичем они взломали ленту Business Wire, украли внутренний доступ Турчинова к сайту и заставили московского главаря, известного под псевдонимом eggPLC, взять их в схему. Враждебное поглощение означало, что Турчинову пришлось делиться. Теперь в игру вступили три хакера. Это реальная и очень интересная история.

Первая часть.
Вторая часть.

🕐 Время чтения статьи 35-40 минут.
​​Смартфоны 11 производителей уязвимы перед атаками с использованием AT-команд

AT-команды (или набор команд Hayes) были разработаны компанией Hayes еще в 1977 году для собственного продукта — модема Smartmodem 300 baud. Набор команд состоит из серий коротких текстовых строк, которые объединяют вместе, чтобы сформировать полные команды операций, таких как набор номера, начала соединения или изменения параметров подключения.

Исследователи проверили, какие AT-команды поддерживают модемы популярных смартфонов на Android. Для этого были протестированы более 2000 Android-прошивок таких компаний, как ASUS, Google, HTC, Huawei, Lenovo, LG, LineageOS, Motorola, Samsung, Sony и ZTE. В итоге специалисты выявили более 3500 различных типов AT-команд, многие из которых сочли опасными.

Часто AT-команды доступны лишь через интерфейс USB (реже только при включенном режиме отладки). То есть атакующему понадобится получить физический доступ к устройству, или встроить вредоносный компонент внутрь зарядной станции, дока и так далее. Но если атака удалась, злоумышленник может использовать скрытые AT-команды для перезаписи прошивки устройства, обхода защитных механизмов Android, излечения конфиденциальных данных, разблокировки экрана гаджета или передачи устройству произвольных событий касания (touch events), что особенно опасно и позволяет делать со смартфоном что угодно.
​​Сторонние разработчики опубликовали временный патч для свежей 0-day уязвимости в Windows

В начале текущей недели ИБ-специалист, известный под псевдонимом SandboxEscaper, опубликовал в Twitter информацию о неисправленной уязвимости в Windows и предоставил ссылку на proof-of-concept эксплоит.

Обнаруженный баг — это локальное повышение привилегий, которое позволяет атакующему повысить права своей малвари от Guest или User до уровня SYSTEM. Вскоре информацию о проблеме подтвердил специалист CERT/CC Уилл Дорманн (Will Dormann), сообщив, что эксплоит работает на полностью пропатченной Windows 10. Уязвимость была добавлена в базу CERT/CC, а Дорманн рассказал, что баг связан с работой Windows Task Scheduler, а именно механизма Advanced Local Procedure Call (ALPC).

Изначально сообщалось, что перед проблемой уязвимы 64-разрядные версии Windows 10 и Windows Server 2016 и, скорее всего, другие ОС семейства Windows 64-разрядных версий, но для атаки на них понадобится внести изменения в код эксплоита.

Теперь выяснилось, что уязвимость представляет опасность и для 32-разрядных ОС. Уилл Дорманн и Кевин Бомонт (Kevin Beaumont) сумели изменить код эксплоита таким образом, чтобы тот работал против любых версий Windows.

Однако о проблеме уже позаботились сторонние специалисты – инженеры компании Acros Security. Временный патч (или микропатч) для уязвимости в Task Scheduler ALPC был представлен в составе их продукта 0patch. 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.

В настоящее время исправление выпущено для 64-разрядной версии Windows 10 (v1803), а завтра, 31 августа 2018 года, должен выйти микропатч для Windows Server 2016. Также завтра будет опубликован детальный разбор исправлений, содержащий исходные коды и все необходимые подробности.
​​Обнаружение уязвимостей в теории и на практике

Сегодня разработку качественного программного обеспечения трудно представить без использования методов статического анализа кода. Статический анализ программного кода может быть встроен в среду разработки (стандартными методами или с помощью подключаемых модулей), может выполняться специализированным программным обеспечением перед запуском кода в промышленную эксплуатацию либо «вручную» штатным или внешним экспертом. Так почему же он не панацея?
​​Баг в Apache Struts 2 применяется для внедрения скрытых майнеров

В середине августа 2018 года в составе Apache Struts 2 был обнаружен RCE-баг CVE-2018-11776. Эта уязвимость представляет опасность для версий от Struts 2.3 до 2.3.34, от Struts 2.5 до 2.5.16, а также, возможно, для более старых вариаций фреймворка.

Неделю назад сообщалось, что атакующие эксплуатируют проблему CVE-2018-11776 для установки на скомпрометированные машины майнеров (в частности CNRig), и за прошедшее время это обстоятельство никак не изменилось. Однако эксперты F5 Labs обнаружили новую вредоносную кампанию, которой дали имя CroniX, так как атакующие задействую Cron, чтобы добиться постоянного присутствия в системе, и Xhide для запуска исполняемых файлов под именами других процессов.

Как и в предыдущих случаях, операторы CroniX сосредоточены на майнинге криптовалюты Monero (XMR). Но, по всей видимости, операторы этой кампании не хотят делить уязвимые системы с конкурентами и привлекать к себе лишнее внимание. Поэтому перед началом работы они «зачищают» машины от чужой майнинговой малвари.

По информации F5 Labs, группировка, которая стоит за CroniX, атакует не только Linux-системы, но также проводит аналогичные операции против машин, работающих под управлением Windows.
​​Что сливает Windows 10, и как это остановить?

С момента своего появления Windows был естественной средой обитания зловредов всех мастей. Похоже, новая версия этой операционки сама стала одним из троянов. Сразу после установки чистая система ведёт себя подозрительно. Данные рекой льются на десятки серверов Microsoft и партнерских компаний. Мы решили разобраться с жалобами на шпионские замашки «Десятки» и узнали, что и куда она отправляет.

📖 Читать статью
​​А.В. Пролетарский. Технологии современных беспроводных сетей Wi-Fi

Изложены основные сведения о современных технологиях беспроводных сетей Wi-Fi и показано поэтапное проектирование беспроводных сетей - от планирования производительности и зоны действия до развертывания и тестирования сети. Подробно рассмотрен стандарт IEEE 802.11. Описаны особенности радиочастотного спектра, принципы модуляции, приведены варианты спецификаций 802.11, технологии повышения производительности и механизмы защиты. Подробно рассмотрено подключение клиента к беспроводной сети в инфраструктурном режиме. Приведены оценка беспроводной линии связи и пример расчета. Представленные в учебном пособии теоретические положения дополнены лабораторными работами по всем рассмотренным в книге темам. Учебное пособие подготовлено сотрудниками компании D-Link и преподавателями МГТУ имени Н.Э. Баумана.

Издательство: МГТУ
Год: 2017
Страниц: 448
Формат: PDF
Язык: русский
​​Перед новой вариацией атаки cold boot уязвимы почти все современные компьютеры

Специалисты компании F-Secure обнаружили новый вектор использования так называемых «атак методом холодной перезагрузки» (Cold Boot Attack). Таким образом атакующие могут похитить самые разные данные с узявимой машины, в том числе хранящиеся на зашифрованных накопителях.

Эксперты F-Secure сообщают, что им удалось обойти защитные механизмы производителей и, внеся изменения в настройки прошивки, обойтись без принудительной «зачистки» памяти, что в итоге позволяет похитить ценную информацию классическим методом холодной перезагрузки.

Представители Microsoft отреагировали на предостережение специалистов, обновив руководство для BitLocker, а представители Apple заявили, что устройства с чипами T2 на борту находятся вне опасности. Инженеры Intel пока доклад специалистов никак не прокомментировали.

Сами специалисты F-Secure рекомендуют администраторами и сотрудникам ИТ-отделов настраивать свои машины таким образом, чтобы те сразу выключались или входили в режим гибернации, но не «засыпали», так как реализовать атаку на сто процентов, можно лишь задействовав sleep mode. Также настоятельно рекомендуется обязать пользователей вводить BitLocker PIN после каждого отключения компьютера и восстановления подачи питания.
​​Баг в антивирусе Webroot SecureAnywhere для macOS позволял выполнить вредоносный код на уровне ядра

Специалисты Trustwave SpiderLabs опубликовали подробности о локально эксплуатируемом баге в антивирусе Webroot SecureAnywhere для macOS. Данной уязвимости был присвоен идентификатор CVE-2018-16962. Хотя баг можно было использовать лишь локально, он приводит к выполнению вредоносного кода на уровне ядра, что даже хуже root-доступа, так что исследователи считают его весьма опасным.

Проблема представляет собой нарушение целостности информации в оперативной памяти, которое может быть спровоцировано через чтение или запись произвольного user-supplied указателя. В итоге атакующий получает возможность вписать что-либо в ядро, если оригинальное значение памяти, на которое указывает указатель, равно (int) -1.

Для реализации такой атаки злоумышленнику либо понадобится самостоятельно залогиниться в уязвимый Mac, либо применить серьезную социальную инженерию и убедить пользователя загрузить и запустить эксплоит. Также для проникновения в систему может использоваться другая малварь, способная работать удаленно.

Исследователи пишут, что в настоящее время проблема уже была устранена, так как разработчики Webroot отреагировали на сообщение об уязвимости весьма оперативно. Пользователям macOS рекомендуется включить автообновления Webroot SecureAnywhere или вручную обновить антивирус до безопасной версии 9.0.8.34, вышедшей еще в конце июля 2018 года. Специалисты подчеркивают, что намеренно выждали почти два месяца после релиза патча, давая пользователям больше времени на установку обновления.
​​Тестирование web-приложений на проникновение — OWASP Testing Guide v4

Книга на 220 страниц по тестированию на безопасность
​​Пользователям Tor больше не придется сталкиваться с CAPTCHA на сайтах, защищенных Cloudflare

Разработчики Cloudflare объявили о создании Cloudflare Onion Service, который будет отличать ботов и злоумышленников от легитимного Tor-трафика. Ожидается, что благодаря новому сервису пользователям Tor Browser придется намного реже сталкиваться с CAPTCHA на защищенных Cloudflare сайтах.

Дело в том, что до недавнего времени пользователям Tor приходилось решать бесконечные Google reCAPTCHA, при каждом посещении сайтов, защищенных Cloudflare. В 2016 году представители Tor Project даже обвиняли компанию в том, что та саботирует Tor-трафик, вынуждая пользователей решать CAPTCHA десятки раз подряд. Тогда в Cloudflare ответили, что вынуждены идти на такие меры, так как 94% Tor-трафика составляют боты или злоумышленники.

Тем не менее, спустя примерно полгода разработчики Cloudflare представили Challenge Bypass Specification и дополнение для Tor Browser, попытавшись избавить пользователей от бесконечных тестов. Однако данный проект не прижился, и ему на смену стали внедрять функциональность Opportunistic Encryption, представленное осенью 2016 года. Именно Opportunistic Encryption использовали вместе с кастомными Proxy Protocol хедерами, HTTP/2 и рядом других инструментов, для создания Cloudflare Onion Service.

Теперь представители компании рассказывают, что для ввода Cloudflare Onion Service в эксплуатацию от разработчиков Tor потребовалось внести небольшие изменения в бинарники Tor. То есть сервис будет работать только с новыми Tor Browser 8.0 и Tor Browser для Android, которые были представлены ранее в этом месяце.

Также сообщается, что Cloudflare Onion Service бесплатен для всех клиентов Cloudflare, и включить его можно, найдя в настройках опцию Onion Routing.
​​Заработал сервис Firefox Monitor, с помощью которого можно проверить свои данные на предмет утечек

Инженеры Mozilla анонсировали запуск бесплатного сервиса Firefox Monitor, разработанного в содружестве с агрегатором утечек Have I Been Pwned, который создал известный ИБ-специалист Трой Хант (Troy Hunt). Новый сервис позволит проверить email-адрес и связанные с ним аккаунты на предмет возможной компрометации.

В сущности, Firefox Monitor представляет собой настройку над Have I Been Pwned и работает с его многомиллиардной базой скомпрометированных данных, отыскивая совпадения хешей. Так, сервис создает хеш SHA-1 для введенного в форму почтового адреса и сверяется с базой HIBP, используя первые шесть цифр. Например, test@example.com превращается в 567159D622FFBB50B11B0EFD307BE358624A26EE, и отсюда используется только 567159. В ответ агрегатор утечек «отдает» возможные совпадения, если таковые имеются. При этом email-адрес не передается в сколь-нибудь очевидной форме.

Затем Firefox Monitor осуществляет поиск по полному хешу, и если совпадения найдены, пользователю сообщают, какие именно утечки данных затронули его данные, а также настоятельно порекомендуют сменить пароли.

Кроме того, пользователям Firefox предлагают авторизоваться и впредь получать оперативные уведомления о возможной компрометации почтового адреса. Также разработчики сообщают, что в будущем Mozilla планирует более глубокую интеграцию этой функциональности в Firefox и другие продукты.
​​Что такое нетсталкинг, и что это не такое

Нетсталкинг - это деятельность, осуществляемая в пределах сети методом поиска, направленная на обнаружение малоизвестных, малодоступных и малопосещаемых объектов c их возможным последующим анализом, систематизацией и хранением, с целью эстетического и информационного удовлетворения искателя. Но в последнее время появилось много заблуждений по этому поводу. Давайте разберемся, прочитав ряд статей от самих нетсталкеров.

1. Нет, канал netstalkers не имеет ничего общего с нетсталкингом
2. Определение нетсталкинга
3. FAQ о нетсталкинге
4. Интересы нетсталкеров

Мы надеемся, что после этой публикации больше людей определится, стоит ли им называть свои занятия нетсталкингом, а интересующиеся найдут для себя новое хобби.
​​Конференция DEFCON 22. На чём могут «спалиться» пользователи TOR

Сооснователь компании Derbycon, основатель Irongeek.com на конференции DEFCON 22 рассказал, на чем могут спалиться пользователи TOR, и дал советы того, как этого избежать.