Архив метки: Безопасность

Выступления экспертов HeadLight Security легли в основу программы DEFCON Moscow 0x0A

Эксперты HeadLight Security в лице Дмитрия Евтеева, Михаила Фирстова и Олега Купреева стали авторами трех из шести докладов на очередной встрече Defcon Moscow DC7499, которая состоялась 3 октября в здании ВМК МГУ. На мероприятии говорили о технических отличиях между пентестами и APT-атаками, о необычных MiTM-атаках, веб-уязвимостях роутеров, новых видах атак на банки, тестировании на проникновение «железа» и о многом другом. Десятая встреча группы, обозначаемая теперь в шестнадцатеричной системе как «0x0A», собрала более 150 человек.

APT – это очень длительный пентест

Технический директор HeadLight Security Дмитрий Евтеев в своем докладе «Pentest vs. APT» привел примеры наиболее примечательных APT-команд, зарабатывающих на сложных таргетированных атаках: специалистов по банкам из Carbanak, укравших более миллиарда долларов, и всем известных «Шалтай Болтай«, нацеленных на высокопоставленных российских чиновников. Процессы пентеста и APT похожи инструментально и методологически, разве что последние, естественно, не ограничены ни временными, ни и законодательными рамками.

Роутер – это решето

Михаил Фирстов на «танке» проехался по современным роутерам и модемам, отметив, что всем разработчикам этих устройств по всей видимости «плевать на безопасность».  В каждом первом девайсе встречаются уязвимости XSS, CSRF, RCE. В моделях от Yota можно столкнуться с полным отсутствием аутентификации, ASUS позволяет открыть исходный код страницы и посмотреть логин и пароль, недалеко от них ушли 4G-роутеры от МТС и устройства от Dlink.  При этом сами прошивки очень легко найти в сети Интернет и проанализировать на предмет различных уязвимостей, а элементарные гугл-дорки дают возможность хакеру, который даже не разбирается в SS7, попасть во внутреннюю сеть оператора и залить шелл. Резюме: роутер – это тот же сайт, и о его безопасности не стоит забывать.

Безопасность телекома на уровне 90-х

Олег Купреев в ходе своего выступления «Нестандартный MitM в нестандартных условиях» поделился своим 20-летним опытом изучения атак «человек посередине» и рассказал, что первую свою  MitM-атаку провёл с помощью «закладки» в антенну – чтобы посмотреть, во что играет его сосед. Эксперт HeadLight Security отметил, что развитие телекоммуникаций идет очень быстро, а безопасность в этой области осталась на уровне 90-х или того хуже, если вспомнить, что протоколы SS7 были придуманы 40 лет назад. Для погружения в тему Олег рекомендовал  изучить утилиту Scapy, которая позволяет реализовать множество подобных атак (ARP poising  и дрругих), и вслед за Михаилом Фирстовым посоветовал присмотреться к роутерам, особенно к таким уязвимым, как Zyxel Keenetic Giga II, и не пренебрегать поисковой системой shodan.

 

Остальные доклады также были крайне интересными. Стоит отметить яркое выступление Сергея Голованова, посвященное атакам на финансовые институты, глубоко хардкорное выступление Дмитрия Недоспасова, рассказавшего о тестировании на проникновение встраиваемых плат, а также доклад бывшего главреда журнала «Хакер» Никиты Кислицина, занимающегося сейчас очень любопытными расследованиями в Group-IB.
Спасибо координатору группы DC7499 Сергею Вишнякову за очередную отличную встречу! Видеозаписи выступлений организаторы планируют выложить в течение недели.

Автор:
Дата публикации:

HeadLight Security на "Первом канале": Клонируем социальную сеть для домохозяек

При подготовке к программе Первого канала главной темой для экспертов HeadLight Security стал фишинг: вид интернет-мошенничества, при котором атакующий заманивает пользователя на подконтрольный ему ресурс и заставляет поверить в его подлинность. Цель преступника проста — получить логины, пароли, карточные данные и другую конфиденциальную информацию, а в иных сценариях — заразить компьютер доверчивого пользователя вредоносным ПО. В самых простых случаях к фишингу можно отнести страницы «проверки безопасности банковских карт«, где пользователю открыто предлагают ввести все данные карты вместе с трехзначным кодом CVV, или такие сайты публичного сбора подписей вместе с персональными данными.
Фишинг не только хорошо автоматизируется, но и имеет явную российскую специфику: по статистике «Лаборатории Касперского», на жителей России пришлась почти каждая пятая фишинговая атака в мире (17,28%), что делает нас лидерами в этом невесёлом «сегменте». Согласно тому же исследованию ЛК, сегодня только 12% фишинговых ссылок приходится на электронную почту, в остальных случаях мошенники используют социальные сети, веб-приложения, Skype и т.п. В последние годы среди злоумышленников приобретает популярность голосовая разновидность фишинга — вишинг. Один из типичных примеров такой схемы атаки: мошенник запускает массовую SMS-рассылку с сообщением о блокировке банковской карты и ждет звонка от взволнованных клиентов банка. В некоторых сценариях жертву убеждают, что для разблокировки карты необходимо найти банкомат и ввести четырехзначный пинкод в меню «платежи и переводы». Пинкод при этом вводится в поле «Сумма».

Одна из распространённых разновидностей фишинга заключается в создании сайта-подделки, имитирующего страницу интернет-банка, почтового сервиса, социальной сети и других популярных ресурсов, на которых вводят чувствительные данные. При этом информация о безопасности соединения не всегда помогает пользователю. Широкую известность получил оригинальный метод для проведения социальной инженерии. Вредоносный фишинговый сайт переключает браузер в полноэкранный режим и рисует в верхней части сайта интерфейс браузера пользователя с произвольным URL вместе со значком защищенного соединения (http://feross.org/html5-fullscreen-api-attack/). К слову, данный вид фишинга по-прежнему остается популярным.
Чтобы продемонстрировать схему атаки с клонированием сайта, исследователи HeadLight Security зарегистрировали двойника популярной социальной сети «Одноклассники.ru» по адресу m.odnoklassnliki.ru. От настоящей мобильной версии сайта подделка отличалась лишней буквой «s», а копия сайта была создана за пару минут с использованием Social-Engineer Toolkit (SET) — набора инструментов, предназначенного для проведения устойчивости к атакам социальной инженерии. Сильное впечатление, произведенное на съемочную группу в ходе создание фишинг-сайта, — имело обратный эффект — продюсер программы решил не показывать сюжет во избежание популяризации социальной сети 🙂
Интересно, что наш поддельный сайт не был зарегистрирован в поисковых системах, однако привлек внимание со стороны систем мониторинга сетевого пространства. О результатах наблюдения мы расскажем в отдельном материале.

Ознакомиться с сюжетом Первого канала можно по следующей ссылке.

Автор:
Дата публикации:

Эксперимент LifeNews и HeadLight Security: как воруют данные через публичный Wi-Fi

Бесплатный Wi-Fi появился в метро, на автобусных остановках, в парках, кафе и ресторанах, а значит проблема защищенности таких сетей касается уже миллионов пользователей. Насколько легко мошенники могут украсть вашу переписку, пароли, фотографии? И как себя защитить?

 

Эксперт по информационной безопасности компании HeadLight Security Олег «0x90» Купреев и телеканал LifeNews провели практическое исследование, в ходе которого были продемонстрированы основные приемы злоумышленников для перехвата и модификации данных Wi-Fi-трафика.
Исследователь вместе с журналистами расположились в одном из элитных спортбаров Москвы, в котором десятки людей смотрели футбольный матч. Почти каждый из многочисленных посетителей подключался к бесплатному Wi-Fi: кто-то выкладывал селфи, кто-то переписывался в соцсетях с друзьями и совершал покупки через интернет. В этом заведении уверены — их гости полностью защищены от киберпреступников. По словам управляющей спортбара Надежды Ованесовой, в беспроводной сети используется тип шифрования WPA2, что полностью обеспечивает безопасность данных (ну да, конечно)).
Так ли все на самом деле? Примерно полторы минуты понадобилось эксперту HeadLight Security, чтобы взломать беспроводную сеть спортабара и получить доступ к интересующим его ноутбукам. В роли «жертв» выступали устройства съемочной группы LifeNews. Программное обеспечение, используемое для взлома, позволяет подменять или искажать WiFi-трафик, незаметно осуществлять слежку за пользователем через веб-камеру его ноутбука и делать различные забавные штуки — дистанционно переворачивать изображение на экране компьютера вверх ногами, включать музыку. Однако развлечения сетевым злоумышленникам малоинтересны, их главная задача — собрать компромат или данные банковских карт.
Подробности эксперимента смотрите в репортаже LifeNews:
Олег Купреев — постоянный спикер крупнейших конференций по информационной безопасности (BlackHat, PHDaysZeroNights, Defcon Moscow). Один из последних его докладов, прозвучавший на форуме PHDays V, был как раз посвящён уязвимостям беспроводных сетей (видео находится по этому адресу).
С инструментами, которые использовал Олег в ходе эксперимента, можно ознакомиться на странице исследователя в Githab.

Автор:
Дата публикации:

Дмитрий Евтеев в эфире LifeNews: "У Skype есть альтернативы"

Технический директор компании Headlight Security Дмитрий Евтеев в эфире LifeNews прокомментировал сегодняшний глобальный сбой в работе Skype, предположив, что виноваты не хакеры, а человеческий фактор, и порекомендовал переходить на другие системы виртуального общения, в частности, на отечественный Telegram.

«В последнее время набирает обороты такой сервис, как Telegram. К сожалению, сейчас он позволяет обмениваться только текстовой информацией, но такие события, как сегодняшние, говорят о том, что наши разработчики вполне могут занять эту часть рынка», — отметил Дмитрий Евтеев.
Напомним, что сегодня утром у многих пользователей Skype во всем мире наблюдались проблемы с отображением статуса списка контактов, в результате чего они не могли осуществлять звонки. В некоторых случаях не работали и текстовые сообщения. Проблемы были зафиксированы, как в полнофункциональной, так и в мобильной версиях Skype, тогда как веб-версия продолжала работать. Официальный Твиттер Skype Support признал наличие проблемы.
В последние годы у Skype возникают проблемы самого разного характера. В июне 2013 года было обнаружено, что злоумышленники активно используют брешь в Skype, позволяющую после 9 жалоб навсегда заблокировать учетную запись пользователя. В декабре 2014 года появилась информация об уязвимости в Android-версии приложения, которая позволяет следить за жертвой через камеру и микрофон ее мобильного устройства. Совсем недавно, в июне 2015 года, выяснилось, что некоторые версии приложения аварийно завершают свою работу при получении в сообщении строки «http://:».
Наиболее запоминающаяся история произошла в ноябре 2012 года: пользователь Хабра продемонстрировал простую технику угона любого аккаунта Skype, опубликовав данный способ после безуспешных обращений в службу технической поддержки Skype в течение трех месяцев. В тоже самое время другой исследователь выявил, каким способом можно деанонимизировать IP-адрес собеседника. Надо сказать, что с 2012 года мало что изменилось — на неэффективную работу Skype Support в случае потери доступа к аккаунту пользователи обращали внимание и в 2015 году.

Полное интервью Дмитрия доступно по следующей ссылке (с 16-й минуты): https://peers.tv/show/lifenews/life_news/55198839/?autoplay=1

Другие ссылки по теме:
http://www.aif.ru/dontknows/actual/pochemu_ne_rabotaet_skype

Автор:
Дата публикации:

Удаление High Stairs — рекламная программа

Сегодня друг обнаружил, что его страничка ВКонтакте и стартовая страница Рамблера завалены посторонними рекламными блоками (типа, aliexpress).
Сначала подозрение пало на постороннее расширение в браузере Chrome: Переводчик. Оно был удалено через Дополнительные инструменты → Расширения, так как пользователем не устанавливалось.
Но проблема с рекламой не решилась.
Тогда решили посмотреть список недавно установленных программ (сделать это можно по адресу Пуск → Панель управления → Удаление программ или в программе-чистилке типа CCleaner). Так и есть, «злодей» найден: программа  High Stairs.

Она была немедленно удалена, назойливые рекламные блоки исчезли.
Вот видео по удалению High Stairshttp://www.youtube.com/watch?v=BqhCMmY-lS4
Вот этот сайт http://www.securitystronghold.com/ru/gates/remove-high-stairs.html предлагает целый комплекс мер по удалению программы High Stairs. (Не проверял).

Как же попала программа High Stairs на компьютер? Список загрузок браузера привел на сайт http://fontsgeek.com/ Конкретно, на скачивание шрифта http://fontsgeek.com/fonts/Trajan-Pro-Bold
Товарищ выбрал кнопку Installer Download и загрузил архив. Результат: антивирус AVG при сканировании файла выдал предупреждение

Trojan horse Generic



Будьте внимательны. Надеюсь, статья был вам полезна.

Автор: Роман Сталкер
Дата публикации: 2015-08-25T06:06:00.000-07:00

Не отображаются встроенные Яндекс карты

Начиная с версии Firefox 35, у пользователей появилась возможность силами браузера «просить» сайты не следить за ними (описание). Это имеет довольно неожиданный эффект для встроенных в сайт Яндекс карт — они просто не отображаются, оставляя пустое поле на странице и недоумение у посетителя.
При обращении к странице со встроенной картой в firebug можно наблюдать предупреждение: «Ресурс на «https://api-maps.yandex.ru/2.1/?lang=ru_RU» был заблокирован, так как включена защита от отслеживания.»

Чтобы не ломать вёрстку и не вводить в заблуждение посетителей сайта, надо предусмотреть проверку (включена ли такая функция защиты в Firefox) и выдавать предупреждение с понятной инструкцией, как можно карту всё-таки увидеть (нажать в адресной строке Firefox на иконку щита -> Настройки -> Отключить защиту для этого сайта).

Автор: Олег Ехлаков