EaseUS Data Recovery Wizard
Скидка 40% - Успей купить!

Безопасность в Сети: Фаерволы, Антивиры, Спец.ПО. Новости...

2013-05-24T10:30:23+04:00 2018-06-18T13:23:16+03:00
+ 1
Группа: Downloader
Сообщений: 97
13:02, 25.05.2018 №1801
0
 
Раскрыты две новые уязвимости механизма спекулятивного выполнения в CPU Intel, ARM и AMD

Прикрепленная картинка


Компании Intel, ARM и AMD раскрыли информацию о двух новых уязвимостях в механизме спекулятивного выполнения инструкций. Для полного устранения проблем требуется установка обновления микрокода и внесение изменений на стороне операционной системы.

Бета-версия обновления микрокода Intel пока предоставлена только OEM-производителям. Для ядра Linux уже предложены необходимые патчи (защита действует только при обновлённом микрокоде).

Обновления пакетов с ядром сформированы для RHEL и Ubuntu, и ожидаются для Debian и SUSE. По предварительной оценке исправление проблем приведёт к снижению производительности на 2-8%.

Нераскрытыми остаются детали о ещё 6 уязвимостях (четыре с высоким уровнем опасности, а две со средним), публикация детальной информации по которым ожидается в августе, после истечения эмбарго.

Раскрытым уязвимостям присвоен средний уровень опасности. Первая из раскрытых проблем (Spectre 3a, буква добавлена чтобы избежать путаницы, так как вариант 3 может трактоваться как уязвимость Meltdown) позволяет прочитать содержимое системных регистров, а вторая (Spectre 4) даёт возможность прочитать данные из закрытых областей памяти.

Проблемы не специфичны для архитектуры x86 и кроме процессоров Intel и AMD, также проявляются в CPU ARM и IBM (POWER 8, POWER 9, System z).

Определённую опасность представляет Spectre 4 (CVE-2018-3639, SSB - Speculative Store Bypass) - метод атаки напоминает Spectre 1, но базируется на восстановлении осевших в процессорном кэше данных после отбрасывания результата спекулятивного выполнения операций при обработке чередующихся операций записи и чтения с использованием косвенной адресации.

Когда операция чтения следует за операцией записи (например, mov [rbx + rcx], 0x0; mov rax, [rdx + rsi]), смещение адреса для чтения уже может быть известно из-за выполнения похожих операций (операции чтения выполняются значительно чаще и чтение может быть выполнено из кэша) и процессор может спекулятивно выполнить чтение раньше записи, не дожидаясь пока будет вычислено смещение косвенной адресации для записи. Если после вычисления смещения выявлено пересечение областей памяти для записи и чтения, процессор просто отбросит уже спекулятивно полученный результат чтения и повторит эту операцию.

Данная особенность позволяет инструкции чтения получить доступ к старому значению по некоторому адресу во время пока операция сохранения ещё не завершена.

После отбрасывания неудачной спекулятивной операции в кэше остаются следы от её выполнения, после чего для его извлечения может применяться один из способов определения содержимого кэша на основе анализа изменения времени доступа к прокэшированным и не прокэшированным данным.

Практически атака Spectre 4 осуществима только в рамках привилегий одного уровня, т.е. привилегии атакующего должны допускать доступ к исследуемой памяти.

Наиболее опасным применением уязвимости является атака на браузеры и системы совместного изолированного выполнения кода (например, JVM, изоляция кода в sandbox, системы с JIT).

В контексте браузера атака позволяет получить доступ к памяти с данными других вкладок при помощи выполнения JavaScript-кода, но возможность проведения атак по восстановлению содержимого кэша уже достаточно эффективно блокируется в актуальных выпусках web-браузеров, благодаря ограничению точности таймера.

Опасность совершения атак в системах массового доступа (серверы хостинга, системы виртуализации и облачные платформы и т.п.) находится под вопросом, так как прототипы совершения атаки подтверждены только в рамках одного уровня привилегий.

Чтобы использовать уязвимость для чтения привилегированных областей системной памяти, атакующему необходимо контролировать старое значение по определённому адресу в системной памяти.

Проблема независимо выявлена исследователями Google Project Zero и Microsoft Security Response Center (MSRC). Для защиты на уровне операционной системы для процессоров Intel предложена техника SSBD (Speculative Store Bypass Disable), основывающаяся на применении нового MSR-бита, который будет доступен после обновления микрокода.

Так как блокирование проблемы сопряжено с потерей производительности, а тотальная защита от Spectre 4 не всегда целесообразна, в исправлении для ядра Linux предусмотрена опция speculative_store_bypass_disable, позволяющая отключить защиту. В случае активации защиты для приложений предложен новый интерфейс prctl, при помощи которого программы могут определять наличие защиты и выборочно отключать её для отдельных процессов.

Что касается Spectre 3a (CVE-2018-3640, RSRE - Rogue System Register Read), то уязвимость может привести к чтению содержимого системных регистров с информацией о состоянии оборудования, доступ к которым имеется только у ядра, драйверов и гипервизоров. Проблема выявлена исследователями из компании SYSGO AG.

Дополнительно можно отметить публикацию исследователей из компании Eclypsium, которые показали, что уязвимость Spectre v1 может применяться для атаки на режим системного управления процессора SMM (System Management Mode), более приоритетного, чем режим гипервизора и нулевое кольцо защиты.

В ходе эксперимента была продемонстрирована возможность восстановления данных из SMRAM (System Management RAM), области физической памяти в которой сохраняются данные SMM.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=48639
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Легенда
Сообщений: 1574
13:29, 25.05.2018 №1802
0
 
Софтпро1 (25.05.2018, 13:02) писал:http://www.opennet.ru/opennews/art.shtml?num=48639


Вопрос остаетса..
1.Или дорсы знали и оставили преднамеренно ..
2.Или притупили..

Думаю что знали..И их еще много..И вычислять их будут как обычно хакеры..
Мы богаты не тем что имеем а тем что умеем
FBI предупреждает!
ЕЖ-Сволочь-очень колючая! Долбодятлам лучше не связыватьса-отчешуитьса можно по самые нихачу.
Группа: Downloader
Сообщений: 97
05:54, 26.05.2018 №1803
0
 
Софтпро1
05:55, 26.05.2018
В прошивке более 140 моделей бюджетных Android-устройств обнаружено вредоносное ПО


Прикрепленная картинка


Злоумышленники заинтересованы в получении дохода только с помощью рекламы.

В декабре 2016 года производитель антивирусов компания Dr.Web сообщила о злоумышленниках, которые нашли способ осуществить атаку на цепочку поставок нескольких производителей мобильных устройств, заразив телефоны вредоносными программами.

Эксперты обнаружили вредоносное ПО в прошивке по меньшей мере 26 недорогих моделей смартфонов и планшетов на базе Android.

Как сообщила компания Avast в своем отчете, спустя два года группа ответственных за атаки злоумышленников не только не прекратила работу, но и расширила масштабы деятельности.

Avast опубликовала список из более чем 140 моделей Android-смартфонов и планшетов, в прошивке которых было обнаружено вредоносное ПО Cosiloon, созданное группировкой.

При этом за два года функциональность вредоноса не претерпела изменений. Программа запускается из папки "/system" с правами суперпользователя, а ее основной задачей является подключение к удаленному серверу, загрузка XML-файла и установка одного или нескольких приложений, указанных в данном файле.

Поскольку вредоносное ПО поставляется в качестве компонента прошивки, оно может без взаимодействия с пользователем установить любое приложение, нужное преступникам.

Практически во всех случаях приложения, устанавливаемые Cosiloon, используются исключительно для показа рекламы поверх других приложений или самого интерфейса Android. Очевидно, что злоумышленники заинтересованы в получении дохода только с помощью рекламы.

Вредоносное ПО не загружает дополнительные приложения в случаях, когда на устройстве установлен китайский язык; публичный IP-адрес устройства находится в китайском диапазоне IP; число локально установленных приложений ниже трех.

Зараженные устройства были обнаружены в более чем 90 странах, единственным общим аспектом устройств является использование чипсетов Mediatek.

Экспертам Avast удалось на короткое время отключить С&C-сервер преступников, однако в связи с тем, что регистратор доменных имен не аннулировал используемый группировкой домен, злоумышленники просто воспользовались услугами другого хостинг-провайдера.

Источник:
https://www.securitylab.ru/news/493592.php


Протокол Z-Wave ставит под угрозу 100 млн IoT-устройств

Прикрепленная картинка


Уязвимость в Z-Wave позволяет откатить обновления безопасности и перехватывать данные.

Исследователи британской ИБ-компании Pen Test Partners обнаружили уязвимость в протоколе Z-Wave, используемом в 100 млн устройств «Интернета вещей» (IoT).

Z-Wave – протокол передачи данных, использующийся преимущественно в системах домашней автоматизации. Передача данных осуществляется беспроводным способом с помощью низкоэнергетических радиоволн на расстояние до 100 м.

Протокол был разработан компанией Zensys в 2001 году, а в 2008 году приобретен Sigma Designs, которая в свою очередь недавно была куплена Silicon Labs за $240 млн.

Развитием протокола занимается организация Z-Wave Alliance. По ее данным, в настоящее время Z-Wave используется 700 компаниями в боле 2,4 тыс. IoT-продуктов для дома, в том числе в термостатах, замках и системах видеонаблюдения.

Как сообщают эксперты Pen Test Partners, уязвимость в Z-Wave позволяет злоумышленнику, находящемуся в зоне действия протокола, в процессе подключения устройств осуществить атаку и взломать защищенное соединение.

Исследователи продемонстрировали атаку, получившую название Z-Shave, на примере смарт-замка Yale (им удалось открыть входную дверь), однако уязвимости подвержены все устройства, использующие протокол Z-Wave.

Для обеспечения безопасности трафика, передаваемого во время подключения между контроллером и устройством, Z-Wave использует общий ключ сети.

Еще в 2013 году в первоначальной версии процесса подключения под названием S0 была обнаружена уязвимость, и в итоге ему на смену пришла вторая версия S2.

Проблема заключалась в том, что S0 защищал ключ сети с помощью известного ключа шифрования (0000000000000000), поэтому находящийся поблизости злоумышленник мог перехватывать передаваемые данные.

В S2 проблема была исправлена с помощью более надежного ключа шифрования. Тем не менее, по словам исследователей, атакующий может откатить версию S2 обратно до уязвимой S0, а затем проэксплуатировать вышеописанную уязвимость для перехвата данных.

https://www.youtube.com/embed/kw3Ypoi4kIY

Источник:
https://www.securitylab.ru/news/493586.php
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Downloader
Сообщений: 97
10:04, 30.05.2018 №1804
0
 
Сингапурский провайдер подверг опасности порядка 1 тыс. маршрутизаторов

Прикрепленная картинка


Взломанный маршрутизатор может позволить злоумышленнику перехватывать трафик, отслеживать отправку пакетов данных и установить вредоносное ПО.

Сингапурский телекоммуникационный гигант компания Singapore Telecommunications Limited (SingTel) оставила около 1 тыс. клиентов уязвимыми к потенциальным атакам через незащищенный порт.

Как выяснил исследователь безопасности Анкит Анубхав (Ankit Anubhav) из NewSky Security, крупнейший интернет-провайдер в регионе осуществлял дистанционное обслуживание на затронутых маршрутизаторах и не смог обеспечить защиту оборудования, когда работа была завершена.

«Главная причина проблемы заключалась в том, что служба переадресации портов была включена сотрудниками службы поддержки SingTel для устранения проблем с сетью Wi-Fi у клиентов, однако не была отключена, когда проблемы были устранены», - отметил специалист.

Как сообщил исследователь, в настоящее время Сингапурская группа быстрого реагирования на киберинциденты (SingCERT) при сотрудничестве с Singapore Telecommunications Limited уже решила проблему.

«SingTel отключила переадресацию портов на затронутых маршрутизаторах [...] SingTel будет принимать меры для отключения перенаправления портов после устранения неполадок», - заявил Дуглас Мун (Douglas Mun), заместитель директора SingCERT.

Открытый порт делал маршрутизаторы уязвимыми к различным типам атак. Взломанный маршрутизатор может позволить злоумышленнику перехватывать трафик, отслеживать отправку пакетов данных и установить вредоносное ПО, отметил эксперт.

Источник:
https://www.securitylab.ru/news/493636.php


Исследователи обнаружили в популярных роботах Pepper целый ряд уязвимостей.


Прикрепленная картинка


Популярный антропоморфный робот Pepper от японской компании Softbank подвержен множественным уязвимостям. По словам исследователей Альбрето Джаретты (Alberto Giaretta), Микеле Дедонно (Michele De Donno) и Николы Дргони (Nicola Drgoni), из-за уязвимостей робот может превратиться в «физическое и кибероружие».

Pepper оснащен паролем суперпользователя по умолчанию, передает данные в открытом виде по HTTP и работает на базе процессоров с уязвимостями Meltdown и Spectre.

С помощью инструментов Ettercap и Wireshark исследователи обнаружили проблемы с безопасностью на странице администрирования. Страница предлагает только одну учетную запись пользователя с логином nao.

Разработчики Pepper попытались реализовать некоторые меры безопасности, ограничив доступ к nao по SSH.

Тем не менее, поскольку пароль суперпользователя root является неизменяемым и прописан в инструкции по эксплуатации робота, злоумышленник может отправить с терминала nao команду суперпользователя и получить полный набор привилегий. Кроме того, на панели администрирования отсутствует функция «Выйти».

Исследователи также обнаружили, что робот уязвим к брутфорс-атакам, так как число попыток ввода пароля не ограничено.

Ряд проблем с безопасностью были обнаружены в приложении для управления Pepper под названием Simple Animated Messages (SAM). Как оказалось, SAM не фильтрует расширения файлов и принимает любые файлы с измененными расширениями.

Помимо прочего, Pepper API предоставляет доступ ко всем датчикам робота, камерам, микрофонам и подвижным частям. Робот принимает TCP-пакеты через порт 9559 от любого источника без какой-либо аутентификации.

Атакующий может отправлять роботу пакеты по TCP и использовать его камеры и микрофоны для слежки за людьми, прослушивания разговоров, фишинга (например, обманом заставить пользователей предоставить свои персональные данные).

Кроме того, злоумышленник может отправлять роботу команды для осуществления действий, которые могут причинить вред имуществу и людям.

Источник:
https://www.securitylab.ru/news/493637.php
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Downloader
Сообщений: 97
08:06, 01.06.2018 №1805
0
 
Софтпро1
08:06, 01.06.2018
Звуковые атаки могут вызвать сбой в работе жестких дисков и ОС


Прикрепленная картинка


Техника может применяться не только для атак на компьютеры и камеры видеонаблюдения, но и на медицинское оборудование.

С помощью воспроизведения звуков через встроенные в ноутбуки или приобретенные в магазине дешевые колонки злоумышленники могут вывести из строя жесткие диски и операционную систему, продемонстрировали исследователи из Мичиганского и Чжэцзянского университетов.

В своем докладе ученые описали технику, предусматривающую использование звуковых и ультразвуковых волн для нарушения работы магнитных жестких дисков при операциях чтения/записи. Специалисты продемонстрировали технику на примере ряда систем видеонаблюдения.

К примеру, 12-секундная атака на камеру производства Ezviz привела к потере нескольких минут видеозаписи, а атаки длительностью 105 секунд – к сбою в работе встроенного в устройство жесткого диска Western Digital 3.5 и полному прекращению записи.

Видеокамера использует флеш-память для хранения прошивки, но по умолчанию все видеозаписи сохраняются на магнитном HDD.

В ходе атаки исследователи использовали колонку, размещенную над видеокамерой, при этом они не производили манипуляций с оболочкой и никак не модифицировали саму систему видеонаблюдения.

Эксперты также успешно протестировали разработанный ими метод на компьютерах под управлением Windows и Linux. В частности, им удалось вызвать временный сбой в работе лэптопа Dell XPS 15 9550, «заставив» устройство воспроизвести вредоносное аудио.

Вся атака заняла всего 45 секунд. При более длительной атаке (2 минуты и более) устройству потребовалась перезагрузка для восстановления его нормальной работы.

Как пояснили исследователи, звуковая атака приводит к усилению вибрации в блоке магнитных головок и, как результат, к смещению головок чтения/записи.

В свою очередь ультразвук может повлиять на датчик вибрации (механизм, обеспечивающий защиту диска от механических повреждений), в результате чего он будет парковать головки без необходимости.

Вышеописанная техника может применяться не только для атак на компьютеры и камеры видеонаблюдения, но и на медицинское оборудование, использующее магнитные HDD, отметили специалисты.

Источник:
https://www.securitylab.ru/news/493664.php
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Downloader
Сообщений: 97
07:59, 06.06.2018 №1806
0
 
Уязвимость Zip Slip, затрагивающая библиотеки для распаковки архивов

Прикрепленная картинка


Раскрыты сведения об уязвимости Zip Slip, которая позволяет переписать или сохранить файлы за пределами базового каталога при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript, .NET и Go. В анонсе достаточно много PR и заметно преувеличена степень новизны проблемы и степени её опасности, в то время как уязвимость по сути повторяет проблемы, устранённые 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки.

Суть уязвимости в том, что можно подготовить модифицированный архив (tar, jar, war, cpio, apk, rar или 7z), в котором подставить в путь сохранённого в архиве файла символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранён в каталог вне базового каталога распаковки архива. В большинстве случаев уязвимость в библиотеках сводится к тому, что они допускают вывод путей с "../../" при выполнении перебора содержимого модифицированного архива.

Сама уязвимость касается больше конечных приложений, в которых подобные пути не проверяются перед записью файлов.

Таким образом при открытии модифицированного архива в подобных приложениях можно переписать любой файл текущего пользователя в системе, насколько это позволяют права доступа.

Для совершения атаки злоумышленник должен знать текущий каталог, относительно которого выполняется распаковка. Теоретически проблема представляет опасность для различных типовых web-сервисов и продуктов, которые принимают в качестве входных данных архивы и автоматически распаковывают их.

Среди библиотек и приложений, в которых подтверждена проблема, упоминаются Java-компоненты zip4j, zt-zip и Plexus-archiver (исправлено в 3.6.0), JavaScript-модули Unzipper (0.8.13) и Adm-zip (0.4.9), .NET-библиотеки DotNetZip.Semverd (библиотека распаковки из .NET Core не подвержена проблеме), SharpZipLib и SharpCompress (0.21.0), mholt/archiver на языке Go (патч). Уязвимых библиотек на Python и Ruby не обнаружено так как в библиотеках Python аналогичные проблемы были устранены в 2014 году, а в библиотеках Ruby archive-tar-minitar, minitar и rubyzip в 2016 году. В Oracle java.util.zip и Apache commons-compress в реализации API уязвимостей нет, но были некорректные примеры в документации.

Среди продуктов, в которых использовались уязвимые библиотеки, отмечаются пакетный менеджер npm, платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop, Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Примечательно, что в 2015 году аналогичная проблема при обработке zip-файлов в SwiftKey применялась для получения root-доступа к смартфонам Samsung Galaxy S4, S4 Mini, S5 и S6.

Источник:
https://www.opennet.ru/opennews/art.shtml?num=48723
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Душа компании
Сообщений: 126
08:54, 06.06.2018 №1807
0
 
Microsoft is acquiring GitHub!
https://blogs.microsoft.com/blog/2018/06/04/microsoft-github-empowering-developer
s/


Печально. RIP GitHub.
Группа: Downloader
Сообщений: 97
13:04, 08.06.2018 №1808
0
 
Софтпро1
13:05, 08.06.2018
Новые сведения о вредоносном ПО VPNFilter, поражающем домашние маршрутизаторы

Прикрепленная картинка


Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены в различных моделях маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:

ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.


Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования.

Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования).

Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команды "rm -rf /*" для удаления данных в оставшихся ФС.

Обновлённый список оборудования, которое поражает VPNFilter:

Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U;

D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N;

Huawei HG8245;

Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;

Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;

Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50;

QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;

TP-Link R600VPN, TL-WR741ND, TL-WR841N;

Ubiquiti NSM2 и PBE M5;

Upvel (конкретные модели не сообщаются)

ZTE ZXHN H108N.


Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки.

Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузки основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.

В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу.

Пока до конца не выяснено, используются для распространения VPNFilter только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация неизвестных 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки).

Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя.

В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей.

Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=48732
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Downloader
Сообщений: 97
09:09, 10.06.2018 №1809
+ 1
 
Киберпреступники используют искусственный интеллект в ходе кибератак

Прикрепленная картинка


Злоумышленники осваивают новые технологии для более быстрого получения информации о различных системах банков.

Злоумышленники начали осваивать технологии с элементами искусственного интеллекта для использования в кибератаках на банки. Об этом сообщил зампредседателя правления Сбербанка Станислав Кузнецов журналистам информагентства «ТАСС».

По словам Кузнецова, количество атак хакеров на банковский сектор с начала года увеличилось в 1,5-1,8 раза.

«Атаки стали модифицироваться, стали использовать элементы искусственного интеллекта, чтобы можно было получать информацию о построении защиты, об архитектуре самих технологических и операционных систем банка, в том числе систем безопасности банков», - добавил он.

Помимо этого, зампредседателя выразил обеспокоенность по поводу роста активности хакеров в преддверии чемпионата мира по футболу 2018, который пройдет в России.

«Что касается киберугроз, они были, есть и точно будут. Мы, конечно же, видим определенные киберриски, видим, что внимание к чемпионату мира точно будет повышенное со стороны киберпреступников.

И в этой связи нам известно, что в нашей стране принимаются на уровне государства дополнительные меры по защите для того, чтобы хеджировать эти риски.

На уровне кредитных организаций, финансового сектора, конечно же, мы дополнительные меры повышенного внимания и сейчас принимаем, и продолжаем принимать», - заявил Кузнецов.

Источник:
https://www.securitylab.ru/news/493848.php
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
Группа: Downloader
Сообщений: 97
Вчера, 13:23 №1810
0
 
Представлена техника атаки для определения ключей ECDSA и DSA

Прикрепленная картинка


Исследователи из компании NCC Group разработали новый метод атаки по сторонним каналам (CVE-2018-0495, PDF), позволяющий воссоздать применяемые для создания цифровых подписей закрытые ключи ECDSA и DSA, используя технику извлечения информации из процессорного кэша для оценки изменения задержки при выполнении вычислений.

Для атаки необходимо наличие непривилегированного доступа к хосту, на котором выполняется генерация цифровой подписи, или к соседней виртуальной машине.

В ходе атаки в момент создания очередной цифровой подписи осуществляется определение значения базовых параметров, путём перебора нахождения вероятных значений в кэше и оценки времени выполнения математических вычислений.

Проверяемые значения выбираются с учётом того, что в библиотеках используются математическая операция вычисления модуля, время выполнения которой меняется в зависимости от выбранных значений.

Для успешного воссоздания 256-разрядного закрытого ключа ECDSA достаточно наблюдения за созданием нескольких тысяч цифровых подписей (например, можно анализировать работу во время установки TLS или SSH соединений с использованием ECDSA).

Рабочий прототип эксплота предоставлен для OpenSSL. Для защиты от атаки предлагается использовать в процессе математических вычислений дополнительное случайное число, на которое выполняется умножение секретного параметра, а затем инвертируется результат.

Наибольшую опасность уязвимость представляет для систем виртуализации, в которых атакующий потенциально может определить серверный SSH-ключ или закрытые ключи TLS, применяемые в другой виртуальной машине.

Но в реальных условиях атака достаточно трудна в проведении и её успешность зависит от множества сопуствующих факторов, таких как необходимость привязки виртуальной машины атакующего к тому же физическому CPU.

Проблеме подвержены библиотеки OpenSSL, LibreSSL, Libgcrypt (ECDSA), Mozilla NSS, Botan (ECDSA), WolfCrypt (ECDSA), LibTomCrypt (ECDSA), LibSunEC (ECDSA), MatrixSSL (ECDSA), BoringSSL (DSA) и CryptLib. Обновления с устранением уязвимости уже выпущены для LibreSSL 2.7.4/2.6.5, BoringSSL и Libgcrypt 1.8.3/1.7.10 (GnuPG).

Уязвимость не затрагивает библиотеки Nettle (ECDSA), BearSSL и Libsecp256k1, так как математические вычисления в них всегда выполняются за постоянное время. Библиотека NaCl не подвержена проблемам, так как не поддерживает цифровые подписи ECDSA и DSA (в NaCl применяется только алгоритм Ed25519).

Источник:
http://www.opennet.ru/opennews/art.shtml?num=48780
Сколько бы ты не желал знать.Сколько бы ты не хотел чего либо иметь тебе всегда будет мало. но лишь в конце ты осознаешь,что ты имеешь и имел всё о чём мог мечтать.а ведь этого не имели другие.а порой даже не знали об этом чтоб хотеть иметь это.

странная мудрость поехавшего Гика.

ОС:Windows7-8.1 х64bit,Intel core i5 3550k,ОЗУ 8 Gig Corsair Vengeance 1600Mhz,Nvidia GeForce GTX 1050 MSI OC 2048mb,HDD 1TB,Lenovo P950.
 
Доступ закрыт.
  • Вам запрещено отвечать в темах данного форума.