+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости информационной безопасности

Втр, 19 Июн 2018 19:30:04


ИБ-специалисты рассказали об абсолютной незащищенности «умных» замков Tapplock. Злоумышленники могут избавиться от такого замка с помощью обычной отвертки, и, хуже того, выдать себя за любого другого пользователя Tapplock, просто узнав его ID.
Подробнее...

Начиная с прошлой недели ИБ-специалисты обнародовали сразу несколько отчетов, рассказывающих об абсолютной незащищенности «умных» замков канадского производителя Tapplock. Стоит сказать, что стоят такие гаджеты по 99 долларов за штуку.

Информационная безопасность

Первыми о незащищенности Tapplock сообщили исследователи Pen Test Partners. Они обнаружили, что замок можно разблокировать и без отпечатка пальца его владельца, так как коды разблокировки генерируются на основании BLE MAC-адреса устройства. Адрес преобразуется с помощью устаревшего алгоритма MD5, который с легкостью может быть взломан. Так как Bluetooth-замки разглашают свои BLE MAC-адреса всем желающим, атакующему не составит труда приблизиться на нужное расстояние, узнать адрес, обработать его с помощью MD5 и получить хеш, использовав его для разблокировки замка. На видео ниже атака осуществляется за считанные секунды.

Разработчики Tapplock пообещали устранить очевидную брешь в безопасности, времено отказавшись от разблокировки замков «по воздуху». Однако на этом их проблемы не закончились.

Вдохновившись исследованием Pen Test Partners, греческий ИБ-специалист Вангелис Стикас (Vangelis Stykas) тоже решил изучить «умные» замки Tapplock и обнаружил, что API-сервер компании разглашает конфиденциальные данные пользователей. В результате злоумышленник может как узнать о местонахождении замка, так и разблокировать его.

Исследователь продемонстрировал, что имея собственный аккаунт Tapplock (для этого понадобится лишь email и официальное приложение) и зная ID чужого аккаунта, можно без труда пройти аутентификацию и прохватить управление устройством.

Дело в том, что разработчики Tapplock не потрудились должны образом обезопасить свой бэкэнд и даже не используют HTTPS. Впрочем, ничего взламывать и брутфорсить не придется, так как номера ID присваиваются аккаунтам по предсказуемой нарастающей схеме, как номера домов или улиц. Хуже того, API  не ограничивает количество обращений, то есть извлекать пользовательские данные с серверов можно до бесконечности.

В итоге всего пара команд через терминал позволяют получить от API Tapplock информацию об адресе, где замок был разблокирован последний раз, открыть его через официальное приложение, или поехать на место и применять технику, описанную аналитиками Pen Test Partners, после чего устройство так же будет взломано и разблокировано.

Физический взлом

И даже это еще не все. Исследователи также предъявляют претензии и к физической безопасности Tapplock и самой конструкции замков. К примеру, в начале июня 2018 года ютюбер JerryRigEverything продемонстрировал, что вскрыть «умный» замок можно с помощью специальной вакуумной присоски, фактически без помощи инструментов. В ответ на это разработчики заявили, что ему просто попался бракованный замок.

На прошлой неделе еще один специалист рассказал в Twitter, что Tapplock можно развинтить с помощью обычной отвертки, а также приложил письмо с ответом производителя. В письме исследователю сообщили, что компания не видит в этом большой проблемы, ведь для людей, у которых с собой отвертки нет, замки неуязвимы.

Специалисты Pen Test Partners так же проверили Tapplock на устойчивость и обнаружили, что простой болторез тоже отлично справляется с поставленной задачей.

Втр, 19 Июн 2018 17:30:16


Пользователи Reddit и Steam уличили сразу ряд производителей игр в слежке. Для сбора данных о пользователях использовался RedShell SDK, от которого игроделы теперь массово отказываются.
Подробнее...

Пользователи Reddit и Steam уличили производителей игр в слежке. Возмущение комьюнити начало набирать обороты после этой публикации на Reddit, в которой рассказывалось о том, что игра Holy Potatoes! We’re in Space?! использует аналитическую программу Redshell, созданную Innervate, Inc. для сбора данных о пользователях и, фактически, слежки за ними.

RedShell встраивается в игры в виде SDK  и используется для проведения социально-маркетинговых кампаний. Так, RedShell помогает разработчикам понять, как именно пользователи выбирают и покупают игры. К примеру, если посмотреть трейлер какой-либо игры на YouTube, а затем перейти по ссылке из описания в Steam и купить ее, этого будет достаточно, чтобы за компьютером закрепился специальный ID, ассоциирующий систему с конкретным IP-адресом, разрешением экрана, установленными шрифтами и так далее. Таким образом, благодаря RedShell SDK, производители получают данные об источниках покупок и установок.

Однако пользователям не понравилось такое подведение. Дело в том, что производители игр крайне редко предупреждают о наличии таких решений в своих продуктах. К тому же пользователи стали жаловаться, что RedShell создает идентификаторы для каждого человека, собирая информацию об их онлайн-личностях и игровых машинах.

В итоге пользователи создали специальные списки, найти которые можно в Google Docs и на Reddit, собрав воедино информацию обо всех играх и производителях, применяющих подобные шпионские практики. Стоит заметить, что в списки попали многие хорошо известные тайтлы, например, Civilization VI, Kerbal Space Program и Elder Scrolls Online.

Более того, согласно жалобам пользователей и ответам студий, в некоторых случаях разработчики вообще не информировали о наличии спорного SDK в составе своих продуктов. Порой это может даже являться нарушением закона. К примеру, в Conan: Exile EULA вообще не упоминается сбор данных посредством Redshell. И хотя разработчики Redshell утверждают, что вся собранная статистика анонимна, вплоть до декабря 2017 года некоторые интеграции Redshell собирали данные об IP-адресах и сопоставляли их со Steam ID, а этого более чем достаточно для деанонимизации пользователей.

Теперь, когда на происходящее обратили внимание СМИ, а пользователи засыпают гневными вопросами официальные сайты производителей, многие компании решили пойти на попятную и отказаться от использования Redshell. В частности, о таком решении уже сообщили разработчики Total War: Warhammer 2 и Conan: Exiles, пообещав удалить шпионский SDK и подчеркнув, что «это не спайварь».

Ниже можно увидеть список игр, в которых был обнаружен Redshell, а также список производителей, уже заявивших, что они скоро перестанут следить за пользователями.

Удалили Redshell или пообещали удалить:

Игры, которые используют Redshell на момент 18.06.2018:

  • Civilization VI
  • Kerbal Space Program
  • Guardians of Ember
  • The Onion Knights
  • Realm Grinder
  • Heroine Anthem Zero
  • Warhammer 40k Eternal Crusade
  • Krosmaga
  • Eternal Card Game
  • Sniper Ghost Warrior 3
  • Astro Boy: Edge of Time
  • Cabals: Card Blitz
  • CityBattle | Virtual Earth
  • Desolate
  • Doodle God
  • Doodle God Blitz
  • Dungeon Rushers
  • Labyrinth
  • My Free Farm 2
  • NosTale
  • RockShot
  • Shadowverse
  • SOS & SOS Classic
  • SoulWorker
  • Stonies
  • Tales from Candlekeep: Tomb of Annihilation
  • War Robots
  • Survived By
  • Injustice 2
  • The Wild Eight
  • Yoku’s Island Express
  • Raging Justice
  • Warriors: Rise to Glory!
  • Trailmakers
  • Clone Drone in the Danger Zone
  • Vaporum
  • Robothorium
  • League of Pirates
  • Doodle God: Genesis Secrets
  • Archangel: Hellfire
  • Skyworld
Втр, 19 Июн 2018 16:00:46


Специалисты компании VDOO выявили множество уязвимостей в камерах шведской компании Axis Communications. В итоге патчи получили почти 400 различных моделей.
Подробнее...

Специалисты компании VDOO продолжают заниматься изучением безопасности камер наблюдения, в рамках внутреннего проекта Project Vizavis. На этот раз исследователи обнаружили серьезные проблемы в устройствах шведской компании Axis Communications.

В своем докладе, к которому приложен proof-of-concept эксплоит, эксперты подробно описывают семь уязвимостей. Будучи использованы вместе, они позволяют удаленному атакующему полностью перехватить контроль над проблемным устройством:

  • CVE-2018-10658 — отказ в работе процесса /bin/ssid;
  • CVE-2018-10659 — отказ в работе процесса /bin/ssid;
  • CVE-2018-10660 — shell-инъекция;
  • CVE-2018-10661 — обход авторизации;
  • CVE-2018-10662 — неограниченный доступ dbus для пользователей функциональности .srv;
  • CVE-2018-10663 — утечка данных в процессе /bin/ssid;
  • CVE-2018-10664 — отказ в работе процесса httpd.

В VDOO подчеркивают: узнав IP-адрес камеры, атакующие имеют возможность получить доступ к стриму с камеры, остановить его, заставить датчики движения «ослепнуть», подменить прошивку, сделать устройство частью ботнета, а затем использовать для DDoS-атак, майнинга и так далее. Пока, по данным VDOO, попыток эксплуатации обнаруженных проблем зафиксировано не было.

К счастью, в отличие от многих других производителей, представители Axis Communications отреагировали на предупреждение специалистов и уже выпустили патчи для всех уязвимых устройств. Кроме того, компания опубликовала список уязвимых моделей камер и прошивок (PDF).

Учитывая, что новые эксплоиты для IoT-устройств очень быстро берут на вооружение ботнеты, пользователям рекомендуется установить обновления как можно скорее.

Втр, 19 Июн 2018 15:00:26


ИБ-эксперты предупреждают, что macOS незаметно создает и кеширует превью для изображений и других файлов, хранящихся на защищенных паролями и зашифрованных дисках и разделах. Затем эти превью сохраняются открыто, в известном месте, и могут быть похищены преступниками.
Подробнее...

ИБ-эксперты Патрик Вордл (Patrick Wardle) и Войцех Регула (Wojciech Regu

Втр, 19 Июн 2018 09:30:05


Для подписчиков
Думаю, тебе не нужно рассказывать, что такое git, — он сегодня используется всеми от небольших компаний до гигантов индустрии. Найденная в нем уязвимость позволяет злоумышленнику атаковать пользователей, которые клонировали специально сформированный репозиторий. Как его формировать? Об этом я сейчас и расскажу.
Подробнее...

Содержание статьи

Думаю, тебе не нужно рассказывать, что такое git, — он сегодня используется всеми от небольших компаний до гигантов индустрии. Найденная в нем уязвимость позволяет злоумышленнику атаковать пользователей, которые клонировали специально сформированный репозиторий. Как его формировать? Об этом я сейчас и расскажу.

INFO

Обнаруженные уязвимости получили идентификаторы CVE-2018-11233 и CVE-2018-11235. Они присутствуют в следующих версиях git:

  • все версии ниже 2.17.1;
  • все версии ниже 2.16.4;
  • все версии ниже 2.14.4;
  • все версии ниже 2.15.2;
  • все версии ниже 2.13.7
  • и другие, более ранние версии.

Наибольший интерес представляет баг CVE-2018-11235, который был обнаружен исследователем Этьеном Сталмансом (Etienne Stalmans). Эксплуатация именно этой уязвимости приводит к самым печальным последствиям — выполнению произвольного кода на машине жертвы. Проблема была найдена в рамках программы охоты за ошибками GitHub и затрагивает функции обработки имени подмодуля.

Баг оказался платформонезависимым и прекрасно существует во всех основных операционных системах — Windows, macOS и Linux. Список уязвимых веток приложения обширен, к тому же под угрозой оказались и программы, в которые включена версия Git «из коробки». В основном это разные IDE, такие как Visual Studio и Xcode.

Стенд

Думаю, описание установки git на твою машину будет лишней тратой экранного места. Выбирай удобную тебе платформу и качай дистрибутив. Проследи только, чтобы номер версии входил в число уязвимых. Я ради разнообразия буду использовать git для Windows.

Уязвимая к CVE-2018-11235 версия git
Уязвимая к CVE-2018-11235 версия git

Что такое «подмодули»?

Во время разработки постоянно возникает необходимость задействовать в своем проекте еще какой-то проект. Например, дополнительную библиотеку, которая независимо используется в нескольких других проектах. Чтобы не плодить копии этой библиотеки и всегда иметь простую возможность обновить ее до последней версии, в git существует понятие подмодуля (submodule). Подмодули позволяют содержать один git-репозиторий как подкаталог другого. Это дает возможность клонировать еще один репозиторий внутрь проекта, при этом в него по-прежнему можно коммитить отдельно.

Посмотрим, как это сделать. Для начала создадим пустой репозиторий.

$ mkdir subvh && cd subvh
$ git init

Допустим, теперь мы хотим использовать в этом проекте крутой словарь для дирбаста. Загрузим его в качестве подмодуля:

$ git submodule add git://github.com/Bo0oM/fuzz.txt fuzz

где fuzz — это название папки, куда будет помещен репозиторий. Теперь, если заглянуть в git status, мы увидим, что появился новый файл .gitmodules.

$ git status

On branch master
No commits yet
Changes to be committed:
  (use "git rm --cached <file>..." to unstage)
  new file:   .gitmodules
  new file:   fuzz

Этот конфигурационный файл задает соответствие локального пути внутри проекта с адресом репозитория.

$ cat .gitmodules

[submodule "fuzz"]
    path = fuzz
    url = git://github.com/Bo0oM/fuzz.txt
Добавление подмодуля в репозиторий
Добавление подмодуля в репозиторий

Обрати внимание на заголовок файла: в кавычках указывается название подмодуля, оно аналогично названию папки, в которую мы его клонировали. Разумеется, репозиторий может содержать сколько угодно подмодулей, для каждого будет создана отдельная запись в .gitmodules.

Сам файл находится под версионным контролем вместе с другими твоими файлами. Он отправляется при выполнении push и загружается при выполнении pull вместе с остальными файлами проекта.

Однако, кроме появления .gitmodules, в структуре проекта были сделаны и другие изменения. Как ты знаешь, в корне репозитория в папке .git хранятся служебные файлы. Там можно обнаружить директорию modules с подпапкой fuzz. А в ней уже хранится такой же служебный каталог .git, только от нашего подмодуля. В самой папке подмодуля находится файл .git, в котором указано, по какому пути искать служебную директорию.

$ cat fuzz/.git

gitdir: ../.git/modules/fuzz
Служебная папка .git от подмодуля
Служебная папка .git от подмодуля

Пора закоммитить внесенные изменения.

$ git commit -m "Added submodule"

Теперь попробуем клонировать наш свежесобранный репозиторий с подмодулем.

$ cd ..
$ git clone subvh subtest

Заглядываем в папку fuzz и… не видим там ничего.

Попытка клонирования репозитория с подмодулем
Попытка клонирования репозитория с подмодулем

Дело в том, что для автоматической загрузки подмодулей во время клонирования нужно использовать ключ --recurse-submodules или просто --recursive.

$ git clone subvh subtest --recursive

Теперь все в порядке и можно переходить к деталям уязвимости.

$ git clone subvh subtest --recursive

Cloning into 'subtest'...
done.
Submodule 'fuzz' (git://github.com/Bo0oM/fuzz.txt) registered for path 'fuzz'
Cloning into 'D:/VisualHack/subtest/fuzz'...
remote: Counting objects: 323, done.
remote: Compressing objects: 100% (6/6), done.
remote: Total 323 (delta 2), reused 0 (delta 0), pack-reused 317
Receiving objects: 100% (323/323), 1.85 MiB | 943.00 KiB/s, done.
Resolving deltas: 100% (197/197), done.
Submodule path 'fuzz': checked out 'b50734ffa4477b8f7d86bca3f9eed648a9b83ed7'

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Уже подписан?
Втр, 19 Июн 2018 08:30:50


Специалисты компании ESET обнаружили в России и Украине вредоносную программу InvisiMole, которая используется для кибершпионажа. InvisiMole открывает атакующим удаленный доступ к зараженному устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные.
Подробнее...

Специалисты компании ESET обнаружили в России и Украине вредоносную программу InvisiMole, которая используется для кибершпионажа. InvisiMole открывает атакующим удаленный доступ к зараженному устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные.

По данным телеметрии ESET, кибергруппа, использующая InvisiMole, активна как минимум с 2013 года. Тем не менее, малварь не была изучена и не детектировалась до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине. Вредоносная кампания высокотаргетирована, что объясняет низкий уровень зараженности – всего несколько десятков компьютеров. InvisiMole, по всей видимости, применялась только в целевых атаках на высокопоставленные объекты, что и позволяло избегать обнаружения на протяжении пяти лет.

InvisiMole имеет модульную архитектуру. Так, малварь свой путь с DLL-обертки (wrapper DLL), скомпилированной с помощью Free Pascal Compiler. По данным специалистов, DLL помещается в папку Windows и маскируется под легитимный файл библиотеки mpr.dll с поддельной информацией о версии. Хотя образцы с другими именами обертки аналитикам не встречались, они отмечают, что в коде DLL есть указания на то, что файл может называться также fxsst.dll или winmm.dll.

Первый способ запуска малвари – техника подмены DLL (DLL hijacking). DLL-обертка помещается в ту же папку, что и explorer.exe, и загружается при запуске Windows вместе с процессом Windows Explorer вместо легитимной библиотеки, расположенной в %windir%\system32. Были обнаружены 32- и 64-битные версии малвари, что обеспечивает устойчивое присутствие в обеих архитектурах.

В качестве альтернативы подмене DLL возможны другие методы загрузки и обеспечения персистентности. DLL-обертка экспортирует функцию GetDataLength. При вызове этой функции DLL проверяет, была ли она загружена процессом rundll32.exe с помощью explorer.exe или svchost.exeв качестве родительского процесса, и только после этого запускает полезную нагрузку. Это предполагает другие возможные методы обеспечения персистентности – внесение задач в планировщик (родительский процесс – svchost.exe) или запись в ключ автозапуска реестра (родительский процесс – explorer.exe).

Вне зависимости от способа обеспечения устойчивого присутствия, поведение вредоносной программы и непосредственно полезной нагрузки во всех случаях одинаково. DLL-обертка загружает модуль, хранящийся в ресурсах под названиями RC2FM и RC2CL, и (если используется подмена DLL) легитимную библиотеку в процесс explorer.exe, чтобы не нарушать нормальную работу приложения и оставаться незамеченной.

Оба модуля (RC2FM и RC2CL) представляют собой многофункциональные бэкдоры, позволяющие малвари собрать максимум информации о цели.

Модуль RC2FM поддерживает 15 команд. В частности, он может удаленно включать микрофон, записывать аудио, делать снимки экрана, создавать списки файлов на встроенных и внешних дисках, а также передавать собранную информацию своим операторам. Получив соответствующую команду, модуль может вносить изменения в систему. В файлах реализована опция ведения журналов, но имя системного журнала не задано в изученном образце. Это дает основания предполагать, что функция использовалась только на стадии разработки.

Второй модуль, RC2CL, обладает еще более широким списком инструментов для шпионажа – 84 команды. Его функции, скорее, нацелены на максимальный сбор информации, чем на внесение изменений в систему. Он изучает зараженный компьютер и передает атакующим исчерпывающие данные: системную (список активных процессов, запущенных служб, загруженных драйверов или доступных дисков) и сетевую информацию (таблица IP адресов, скорость интернет-соединения), список установленных и используемых программ, недавно открытых документов и других интересующих файлов.

Операторы InvisiMole могут удаленно включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна. Спайварь позволяет просматривать определенные директории и внешние устройства, отслеживать изменения документов и извлекать выбранные файлы.

Интересно, что в модуле RC2CL также предусмотрена опция выключения функционала бэкдора и работы в качестве прокси. В этом случае малварь выключает файервол Windows и создает сервер, который поддерживает коммуникацию между клиентом и C&C-сервером или двумя клиентами. Кроме того, бэкдор способен вмешиваться в работу системы (например, разлогиниться за пользователя, завершить процесс или выключить систему), но преимущественно обеспечивает выполнение пассивных операций.

Так как  InvisiMole собирает большой объем конфиденциальных данных, которые некоторое время хранятся в файлах и удаляются лишь после успешной загрузки на C&C-серверы, разработчики вредоноса не забыли позаботиться и о сокрытии следов. Проблема в том, что опытный системный администратор может восстановить даже удаленные файлы, что поможет в расследовании атаки после того, как жертва узнает о компрометации. Чтобы это предотвратить, InvisiMole имеет функцию безопасного удаления всех файлов. Это означает, что сначала идет перезапись данных нулевыми или рандомными байтами, и только после этого происходит удаление файла.

Эксперты ESET пишут, что можно только догадываться, почему авторы малвари используют два модуля с дублирующими функциями. Можно было бы предположить, что меньший модуль, RC2FM, используется на первом этапе разведки, а больший, RC2CL, запускается только на машинах, заинтересовавших операторов. Но это предположение было бы неверно, — два модуля запускаются одновременно. Второе возможное объяснение: модули собраны разными авторами, а затем объединены, чтобы обеспечить операторов InvisiMole максимумом инструментов.

Исследователи отмечают, что вектор заражения InvisiMole пока не установлен. В настоящее время рассматриваются все варианты, включая ручную установку при наличии физического доступа к машине.

Пнд, 18 Июн 2018 17:00:58


Глава правозащитной организации «Агора», представляющей интересы мессенджера Telegram, сообщил, что Telegram подал вторую жалобу в ЕСПЧ. На этот раз на решение властей России о блокировке мессенджера.
Подробнее...

Павел Чиков, глава правозащитной организации «Агора», представляющей интересы мессенджера Telegram, сообщил, что Telegram подал вторую жалобу в Европейский суд по правам человека (ЕСПЧ). На этот раз на решение властей России о блокировке мессенджера.

Ранее, в марте 2018 года, представители Telegram обратились в ЕСПЧ с жалобой на привлечение к административной ответственности за отказ в предоставлении властям ключей шифрования переписки. ЕСПЧ зарегистрировал жалобу в мае и предложил правозащитникам представить новую жалобу в части, касающейся блокировки мессенджера. Сегодня, 18 июня 2018 года, соответствующий документ был направлен в суд.

«В результате ограничения доступа к Telegram, возможность свободно распространять и получать информацию может потерять не  только Заявитель, но также до 15 миллионов пользователей могут лишиться доступа к безопасному сервису интернет-коммуникаций, а также огромному архиву уникальной информации, которая не может быть получена из других источников.

Кроме того, действия российских властей, направленные на ограничение доступа к Telegram уже привели к сопутствующей блокировке сотен посторонних интернет-ресурсов, а также перебоям в работе интернет-сервисов, к которым даже российскими властями не предъявлялось никаких претензий.

Заявитель подчеркивает что в его деле российские власти даже не пытались установить баланс между необходимостью противодействия терроризму и обеспечения общественной безопасности и защитой прав граждан на уважение частной жизни и права Заявителя на распространение информации.», — пишет Павел Чиков.

Кроме того, руководитель «Агоры» сообщил, что  в ближайшее время юристы Telegram намерены также подать кассационную жалобу в президиум Московского городского суда (а при необходимости и в Верховный суд Российской Федерации).

Стоит отметить, что из-за блокировок Telegram действительно продолжаются проблемы у других сервисов и ресурсов, не имеющих к мессенджеру никакого отношения. Так, пользователи столкнулись с неполадками в работе онлайн-сервиса Battle.net, принадлежащего компании Blizzard. Подключиться к серверам оказалось невозможно, и клиент работал только в автономном режиме. Сегодня представители компании официально подтвердили, что проблема наблюдается не на их стороне.

В свою очередь, представители некоторых интернет-провайдеров и вовсе отвечали на возмущение пользователей, что блокируют адреса Battle.net, так как те были внесены в реестр Роскомнадзором.

«Российские пользователи Battle.Net столкнулись с проблемами с подключением в играх Blizzard. Игры Blizzard — это World of Warcraft, Diablo, Overwatch, Hearthstone, Heroes of the Storm, Starcraft. Россия с позиции Blizzard относится к европейскому региону, клиенты игр соединяются с IP-адресом 37.244.54.10, который с 12:50 (по Москве) 17.06.2018 внесен Роскомнадзором в «выгрузку». Основание — уже любимое многими «резиновое» решение Генпрокуратуры 27-31-2018/Ид2971-18. Внесен один адрес отдельной записью. В комментарии телеграм-каналу «Эшер II» главный аналитик РАЭК Карен Казарян предположил, что блокировка затронула 4-5 миллионов активных пользователей сервиса», — писал в своем канале Филипп Кулин, создатель сервиса Usher2.Club, отслеживающего выгрузки Роскомнадзора, и генеральный директор хостинг-провайдера «Дремучий лес».

В настоящее время, после бурной реакции со стороны СМИ и пользователей, адреса Battle.net разблокировали. Почему адрес Battle.net вообще попал под блокировку, неясно.

«У меня возникла интересная гипотеза, что это новый вид атаки на систему блокировок. Кто-то разгадал алгоритм, по которому Роскомнадзор выискивает IP-адреса для блокировки и подкинул ему чувствительный IP. А вчерашние «пустые» подсети были своеобразной «калибровкой». Гипотеза была бы слишком невероятной, если бы такие вещи уже не происходили», — пишет организатор Usher2.Club.

Пнд, 18 Июн 2018 16:30:48


Сводная группа исследователей представила доклад о технике SafeSpec, которая позволит бороться с рисками, связанным со спекулятивным исполнением команд, и атаками на такие уязвимости, как Spectre и Meltdown.
Подробнее...

Сводная группа исследователей из Университета Калифорнии в Риверсайде, Колледжа Вильгельма и Марии, а также Бингемтонского университета представила доклад о технике SafeSpec (PDF), которая позволит бороться с рисками, связанным со спекулятивным исполнением команд, и атаками на такие уязвимости, как Spectre и Meltdown.

Специалисты предлагают изолировать все опасные артефакты, которые возникают в ходе спекулятивного исполнения команд, чтобы те не могли быть использованы для получения доступа к привилегированным данным. SafeSpec описывается как «принцип разработки, когда спекулятивные состояния хранятся во временных структурах, недоступных посредством committed instructions».

Эти временные или «теневые структуры», как их называют в докладе, модифицируют иерархию памяти таким образом, чтобы спекулятивные атаки были невозможны. Специалисты уверяют, что их методика позволяет защититься от всех ныне известных side-channel атак, эксплуатирующих различные варианты проблем Spectre и Meltdown, а также похожих проблем, к примеру, Lazy FP.

Авторы методики признают, что внедрение SafeSpec потребует от Intel и других производителей процессоров внесения глубоких изменений для отделения спекулятивных структур от перманентных. Кроме того, применение SafeSpec потребует увеличения кеша L1, однако, по словам экспертов, аппаратные изменения должны быть минимальными.

Если говорить о производительности, авторы техники SafeSpec уверяют, что она может даже улучшить быстродействие систем, в отличие от патчей против Spectre и Meltdown, которые лишь замедляют работу компьютеров.

«По сути, мы расширяем очереди загрузки и сохранения таким образом, чтобы они хранили указатель на временную ассоциативную структуру, в которой содержатся спекулятивно загруженные строки кода кеша. Также мы представляем похожую структуру для хранения спекулятивных записей  TLB (translation lookaside buffer)», — пишут исследователи.

Журналисты издания The Register обратились к представителям Intel за комментарием, однако в компании пока не смогли сказать ничего о SafeSpec, так как инженеры Intel впервые увидели доклад специалистов вместе со всем остальным миром.

Пнд, 18 Июн 2018 15:30:29


Эксперты Qihoo 360 Netlab предупредили об обнаружении массовой волны сканирований 8000 портов, за которой стоит IoT-ботнет Satori. Из-за публикации в сети новых эксплоитов, операторы ботнета получили возможность расширить список атакуемых устройств.
Подробнее...

Эксперты Qihoo 360 Netlab предупредили об обнаружении массовой волны сканирований 8000 портов, за которой стоит IoT-ботнет Satori. Из-за публикации в сети новых эксплоитов операторы ботнета получили возможность расширить список атакуемых устройств.

Разработчики Satori адаптировали для своего ботнета эксплоит для уязвимости CVE-2018-10088 в составе Xiongmai uc-httpd 1.0.0, простого веб-сервера, который китайские производители часто встраивают в прошивки роутеров и других устройств интернета вещей. Эксплоит позволяет атакующим отправлять вредоносные пакеты, адресованные портам 80 и 8000, с их помощью выполняя на уязвимом девайсе свой код и перехватывая над ним контроль.

Исследователи сообщают, что сканирования начались 14 июня 2018 года, через день после публикации кода PoC-эксплоита в открытом доступе. В итоге неожиданная активность, обращенная к портам 8000, привлекла внимание многих специалистов, отслеживающих активность ботнетов.

Однако злоумышленники взяли на вооружение не только проблему CVE-2018-10088. Аналитики Qihoo 360 Netlab и SANS ISC обратили внимание, что интерес к портам 8000 уже начал спадать, но, к сожалению, это происходит не из-за того что Satori не удается найти новых жертв и заразить устройства.

Дело в том, что операторы ботнета переключились на использование еще одного нового эксплоита, основанного на proof-of-concept коде, опубликованном в прошлом месяце. Второй эксплоит предназначен для роутеров D-Link DSL-2750B, которые можно скомпрометировать через порты 80 и 8080. Соответственно, теперь стремительно растет количество сканирований, обращенных к этим портам.

Пнд, 18 Июн 2018 14:30:13


ИБ-эксперт обнаружил, что создатели бесполезных Android-приложений используют для введения пользователей в заблуждение очень простой и эффективный трюк.
Подробнее...

Специалист компании ESET Лукаш Стефанко (Lukas Stefanko) обнаружил, что создатели бесполезных Android-приложений используют для введения пользователей в заблуждение очень простой и эффективный трюк.

Регистрируя аккаунты в Google Play Store, эти разработчики используют вместо своего реального имени числа, имитирующие количество установок приложений. К примеру «1 миллион установок», «Установлено 1 000 000 раз», «100 000 000 скачиваний», «5 000 000+» и так далее.

Дело в том, что в списке приложений в Google Play Store отображаются не только иконка и название продукта, на так же имя разработчика и рейтинг. В итоге для неискушенного пользователя все выглядит так, будто приложение чрезвычайно популярно и, скорее всего, безопасно (ведь миллион леммингов не может ошибаться).

Стефанко пишет, что это совсем не так. Большая часть приложений, чьи разработчики прибегают к использованию подобных трюков, при более внимательном изучении оказалась адварью (adware). Чаще всего это абсолютно бесполезные «пустышки», лишенные какой-либо функциональности, не считая показа рекламы.

Аналогичным образом злоумышленники используют и иконки приложений, имитируя популярные продукты или даже включая в саму картинку фейковый счетчик установок.

«Уловка очень проста, но это потенциально эффективный способ ввести пользователей в заблуждение, особенно тех, кто выбирает приложения для установки, исходя из их популярности. Хотя ни одно из этих приложений не было откровенно вредоносным, данную технику в будущем могут перенять и авторы малвари. К счастью, этот трюк очень легко обнаружить, если знать, что искать», — пишет эксперт.

Ссылка на источник