some_hren + security   820

Blockchain and Trust
Private blockchains are completely uninteresting. (By this, I mean systems that use the blockchain data structure but don't have the above three elements.) In general, they have some external limitation on who can interact with the blockchain and its features. These are not anything new; they're distributed append-only data structures with a list of individuals authorized to add to it. Consensus protocols have been studied in distributed systems for more than 60 years. Append-only data structures have been similarly well covered. They're blockchains in name only, and -- as far as I can tell -- the only reason to operate one is to ride on the blockchain hype.
blockchain  security 
2 days ago by some_hren
Nekmo/ansible-keepass: Use become (sudo) in Ansible without giving any password and safely
This plugin connects to keepass HTTP to request the password. The connection is encrypted and requires a first confirmation. The token for Keepass HTTP is stored using the keyring of the system and the passwords are only accessible while the Keepass database is open.
ansible  security  keepass 
17 days ago by some_hren
Ask Vault Pass in playbook or role? : ansible
I normally have my gpg key 'unlocked' for a period of time when I'm logged in. I use a small script to retrieve the ansible vault passphrase from a gpg encrypted text file. Line from ansible.cfg:

vault_password_file = /usr/local/bin/ansible_vault_password.py
ansible_vault_password.py:

```
#!/usr/bin/env python2
"""Parse ~/.passwords.gpg to retrieve ansible vault password

.passwords.gpg format:

login ansible password <ansible pw>

"""
import re
import sys
from subprocess import Popen, PIPE
from os.path import expanduser


def get_password(login, fn=expanduser("~/.passwords.gpg")):
s = "login {} password ([^ ]*)\n".format(login)
gpg = ["gpg", "-q", "--no-tty", "-d", fn]
p = re.compile(s)
authinfo = Popen(gpg, stdout=PIPE).communicate()[0]
try:
return p.search(authinfo).group(1)
except AttributeError:
return ""

if __name__ == "__main__":
sys.stdout.write(get_password('ansible'))
```
Now I just have to unlock my gpg passphrase (gpg-agent) once every 'x' minutes/hours and I never have to type or paste an unencrypted vault password. Hope that helps.
ansible  gpg  security 
17 days ago by some_hren
В FaceTime нашли ошибку, которая позволяет подслушивать и подсматривать за человеком — до того, как он поднимет трубку — Meduza
В работе сервиса FaceTime для видео- и аудиозвонков от компании Apple нашли серьезную уязвимость, позволяющую владельцам iPhone получить доступ к микрофону и фронтальной камере на смартфоне другого человека. Как сообщает 9to5Mac, если позвонить кому-либо в FaceTime, то можно услышать звук, поступающий с устройства этого человека, до того, как он ответит или отклонит звонок. Ошибка возникает, если во время набора номера провести пальцем вверх по экрану и добавить свой контакт к групповому вызову.

Журналисты BuzzFeed News в ходе собственной проверки установили, что также можно получить доступ к фронтальной камере на устройстве другого человека, если тот нажмет на кнопку изменения громкости на смартфоне. Видеопоток будет передаваться без ведома пользователя, даже если он не ответил на звонок.

Кроме того, как сообщает The Verge, если человек, которому звонят, нажмет на кнопку питания, чтобы отклонить звонок, видео будет передаваться вызывающему абоненту. Доступ к видео также можно получить, если звонящий присоединится к групповому вызову, используя свое приглашение на другом устройстве, сообщил пользователь твиттера Jessassin.
apple  facetime  phone  iphone  security  fail 
17 days ago by some_hren
Firmware Vulnerability In Popular Wi-Fi Chipset Affects Laptops, Smartphones, Routers, Gaming Devices - Slashdot
Realtek is the lowest end. Those are the NICs you find on eBay or Amazon for a few bucks that usually have a name randomly generated from a syllable table. You'll also find them rebranded in non-dedicated-IT physical stores for $30. They shift a lot of them because they are the cheapest of the cheap and practically every no-name device has a little RTL crab in it somewhere. Many cheapo all-in-one motherboards have them too and a handful of other integrated devices.

Marvell are still cheap and cheerful but a lot more popular for integrated devices. Marvell not so much for NICs, though I have seen a few. They're a lot more popular in cheap APs and other network devices than RTL as well. A lot more integrated devices are sold these days than discrete NICs.

Atheros, Broadcom and Intel is where midrange (or the low end of enterprise), starts. Atheros and Broadcom do also have a fair representation in the consumer space, but they're seen in the high end enthusiast stuff rather than budget conscious, high volume garbage.
network  hardware  security 
21 days ago by some_hren
Взлом вк, двухфакторная аутентификация не спасет / Хабр
Недавно я ужаснулся от того, как просто можно получить доступ к странице пользователя, зная только номер телефона, на который зарегистрирована страница жертвы. Стоимость взлома ~1000-1500 рублей, время взлома ~30 минут. Единственное условие — недобросовестный оператор мобильной связи?
internet  vkontakte  security  fail 
21 days ago by some_hren
CVE-2019-6111 и другие уязвимости в scp / Хабр
Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали.
То есть просите вы file.txt, а получаете — exploit.bin

Если кратко, то все. OpenSSH включая 7.9p1, putty, winscp < 5.13.
Фиксы есть только у WinSCP ( 5.14+ )
Используйте sftp/rsync при работе с недоверенными серверами.
ssh  scp  exploit  security  fail 
21 days ago by some_hren
Unlock your FileVault-encrypted boot drive using Disk Utility on macOS Mojave | Der Flounder
In the event that you need to unlock an unbootable FileVault-encrypted boot drive on macOS Mojave, it’s possible to do so using Disk Utility and the password to a FileVault-enabled account on the drive.

1. Open Disk Utility.
2. Select the locked encrypted drive.
3. Click the Mount button.
4. In the password blank which appears, enter the password to a FileVault-enabled account on the drive.
As of macOS Mojave 10.14.2, the ability to use a personal recovery key with Disk Utility to unlock an encrypted drive has apparently been removed.
macos  mojave  security  troubleshoot  tips 
23 days ago by some_hren
ESA FAQ: Do I still need desktop anti-virus if I enable Sophos or McAfee Anti-Virus on my ESA? - Cisco
Do I still need desktop anti-virus if I enable Sophos or McAfee Anti-Virus on my ESA?
Yes.  With anti-virus licensed and enabled on the Email Secuirty Appliance (ESA), this only a first layer defense to preventing viruses from reaching end-users.  Best practices in enterprise network security call for a layered defense-in-depth approach. It is for this reason that many enterprise networks have chosen to not only implement server-side anti-virus, such as the ESA provides, but also desktop anti-virus locally for end-users.
ironport  mail  security  antivirus 
4 weeks ago by some_hren
hardening/ERNW_Hardening_OS_X_Mojave.md at master · ernw/hardening
The new 2018 MacBook models support secure boot through their newly included T2 chip inside the TouchBar including the Secure Enclave. To check if Secure Boot is enabled, the MacBook needs to be booted with the cmd+r key. After entering the Firmware Password, it is possible to access the “Startup Security Utility” in the Menu bar. If the MacBook contains a T2 Chip (TouchBar), it is possible to see the options for “Secure Boot” and “External Boot”. It is highly recommended to have “Secure Boot” on Full Security and “External Boot” on Disallow booting from external media.
macos  mojave  security  macbook  tutorial 
4 weeks ago by some_hren
Does Australia's access and assistance law impact 1Password? | 1Password
Does Australia's access and assistance law impact 1Password? SECURITY by Jeffrey Goldberg on Dec 11, 2018 Share this page Does Australia's access and assistance…
australia  1password  security 
8 weeks ago by some_hren
Кроме IoT: ботнет Mirai начал атаковать машины на Linux / Блог компании VAS Experts / Хабр
Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.

При неверной конфигурации YARN атакующий может получить доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно уже несколько лет — на ExploitDB и GitHub опубликованы PoC-эксплоиты.
linux  security 
10 weeks ago by some_hren
Free Online HTML Source Code Viewer Tool | Html Strip
t is a simple way to view the source of any website online for free. If we can connect to the URL you have provided we will return the full source of the given webpage and display it in a rich editor for you.

Some websites minify their source code in a way which makes it very difficult to read. Probably the best way to view elements is with the developer tools console in those cases. With that said there could be an addition of an unminify function in the future. If you have any problems please let me know in the comments below.
internet  web-development  security  tool  web-service 
november 2018 by some_hren
System error: Japan cybersecurity minister admits he has never used a computer | World news | The Guardian
A Japanese minister in charge of cybersecurity has provoked astonishment by admitting he has never used a computer in his professional life, and appearing confused by the concept of a USB drive.

Yoshitaka Sakurada, 68, is the deputy chief of the government’s cybersecurity strategy office and also the minister in charge of the Olympic and Paralympic Games that Tokyo will host in 2020.

In parliament on Wednesday however, he admitted he doesn’t use computers.

“Since the age of 25, I have instructed my employees and secretaries, so I don’t use computers myself,” he said in a response to an opposition question in a lower house session, local media reported.

He also appeared confused by the question when asked about whether USB drives were in use at Japanese nuclear facilities.

His comments were met with incredulity by opposition lawmakers.
japan  internet  security  funny  fail 
november 2018 by some_hren
Защищаем SSH от брутфорса на любом порту / Хабр
Я использую модуль iptables под названием hashlimit, который умеет подсчитывать кол-во пакетов в определенный промежуток времени и через некоторое время сбрасывать счетчик.
Все делается тремя правилами:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

Что делает второе и третье правило понятно. Все самое интересное в первом: оно разрешает 2 попытки подключения в течение часа. Как только вы превышаете 2 попытки за указанное время, правило с -j ACCEPT перестает работать, пользователь вместо этого попадает в следующее правило с -j DROP (точно также можно поставить TARPIT). После этого вы не сможете подключиться, и начинается обратный отсчет 60 000 миллисекунд, после которых информация о вашей попытке «протухает» (параметр --hashlimit-htable-expire). То есть реально вам придеся ждать не 1 час, а всего 1 минуту. Вся военная хитрость состоит в том, что если вы не дождетесь этого времени и попробуете еще раз подключиться, то пакет будет убит, а счетчик снова сброшен в начальное состояние — 1 минуту! Таким образом, если вы нетерпеливый брутфорсер и будете тупо долбать порт после блокировки, то вы с каждой попыткой будете продлевать свой бан! То есть забаните себя навечно!
Добропорядочный же пользователь наборот имеет несколько попыток подключения без ожидания между ними прежде чем попадет в «баню».
Модуль hashlimit сохраняет свое состояние в /proc — поначалу там пусто:
# cat /proc/net/ipt_hashlimit/SSH
internet  ssh  security  iptables  tips 
november 2018 by some_hren
schors: *DNS *usher2
Немного о безопасности и частично о противодействии блокировкам. Как вы помните, я регулярно интересуюсь и разговариваю про DNS: slideshare.net
и youtu.be
Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата.

Что туда можно поставить, в этот DoH

1.1.1.1 или 1.0.0.1
cloudflare-dns.com
dns.google.com
если есть IPv6 2606:4700:4700::1111
dns  security 
october 2018 by some_hren
New SystemD Vulnerability Discovered - Slashdot
If you run a systemd-based Linux system, and rely on systemd-networkd, update your operating system as soon as you can to pick up the fix when available and as necessary.
linux  systemd  security 
october 2018 by some_hren
MUST READ: Operational Security Considerations for IPv6 Networks « ipSpace.net blog
A team of IPv6 security experts I highly respect (including my good friends Enno Rey, Eric Vyncke and Merike Kaeo) put together a lengthy document describing security considerations for IPv6 networks. The document is a 35-page overview of things you should know about IPv6 security, listing over a hundred relevant RFCs and other references.

No wonder enterprise IPv6 adoption is so slow – we managed to make a total mess.
....
> In the production networks I manage IPv6 isn't used at all and most of my experience using IPv6 is lab based so apologies if im massively behind the curve here, but did I read that correctly that IPv6 fragmentation can be used as a tool to circumvent RA Guard?

It's a well-known problem, and a source of infinite fun for Fernando Gont (who devised numerous variants of this attack every time the $vendors claimed to fix the problem)... eventually resulting in RFC 6980 and RFC 7113.
Never tracked how many vendors implemented it correctly though. Any feedback highly welcome.
network  ipv6  security  fail 
october 2018 by some_hren
Телефонное мошенничество с подменой номера: pavel_kosenko
1. Как можно позвонить с моего номера без моего ведома?

Довольно легко. Существует масса приложений и компьютерных программ, которые позволяют это сделать. Техническое описание можно найти, например, здесь. Если вам нужно больше конкретики, наберите в Гугле как звонить с подменой номера, узнаете много интересного об этом несложном процессе. Конкретное приложение для iPhone, которое попробовал я сам — ChangeNumber (первое попавшееся мне в App Store), выглядит так, действительно позволяет звонить с любого номера на любой (я проверил):

Это значит, что любой человек может совершить любой звонок с подделкой исходящего номера. Например, с вашего номера могут позвонить вашим близким и сообщить, что вы находитесь в тяжелом состоянии и срочно нужны деньги на операцию. С вашего номера могут позвонить похоронному агенту и вызвать его к вашей маме. С вашего номера могут звонить вашим недругам и угрожать их жизни. С вашего номера могут звонить в полицию и сообщить о заложении бомбы. С вашего номера могут делать заказы в интернет-магазинах, службах доставки еды на дом, такси и т.д.
...
11. Как обезопасить себя?

Самое главное — мошенники могут имитировать (подделывать) исходящий номер, но не могут принять звонок на этот номер. Поэтому при получении любых подозрительных звонков и SMS-сообщений проверяйте их подлинность обратным звонком, в этом случае вы попадете к истинному владельцу номера. Если владелец не отвечает или звонок сбрасывается, вероятно, он отключил телефон в связи с мошенническими атаками на его номер и/или от имени его номера.
Если ваша компания оказывает услуги или продает товары, обязательно проверяйте любые телефонные заказы обратным звонком, прежде, чем приступить к исполнению заказов. А еще лучше, принимайте заказы исключительно через собственный онлайн-магазин, который требует проверки телефона подтверждающим СМС-кодом. В противном случае виноваты в том, что ваши якобы клиенты не приняли якобы заказанные услуги и товары, будете только вы сами, и больше никто.
...
3. Почему бы не обратиться к оператору связи?

Проще объяснить на примере. Если с телефона «МТС» совершается звонок на телефон «Билайн», который определяется как телефон «Мегафон», последний оператор ничего не знает о таком звонке. В детализации исходящих вызовов такого звонка также не будет. Конечно, вы можете обратиться к оператору, но его логи (а также детализация звонков по вашему аккаунту) будут чисты.

4. Можно ли определить реальный номер, с которого идет звонок?

Это могут сделать специальные органы. По заявлению со стороны абонента, получившего мошеннический звонок.

5. Чем это может быть опасно лично для вас?

1. Любые звонки, которые вы получаете, могут быть мошенническими. Даже если звонящий определяется как ваш папа, муж, сын, сестра или близкий друг.

2. Если вы (ваша компания) оказываете услуги или продаете товары, вам могут звонить фиктивные покупатели и заказчики.

3. С вашего номера могут звонить любым другим людям и компаниям, представляясь вами, и действовать от вашего имени.
...
6. Каковы цели телефонных мошенников?

Цель телефонных мошенников — деньги. Сама схема мошенничества стара как мир, нова лишь её техническая реализация:

1) Вас выбирают в качестве жертвы.

2) С вашего номера начинают совершать фиктивные звонки, делать фиктивные заказы, угрожать другим людям.

3) На вас обрушивается шквал звонков от тех, кому вы якобы звонили. С утра до вечера вам домой доставляют заказы, которых вы не делали, к вашему подъезду одна за одной подъезжают машины такси, которых вы не заказывали. Вам приносят венки похоронные агентства и т.д. Промежуточная цель этого этапа — психологическая дестабилизация жертвы.

5) Логичное продолжение — другие жертвы, которым вы якобы звонили, начинают писать на вас завления в полицию как на мошенника (точнее, на ваш номер телефона, и далее уже полиция выходит на вас). Однако такой сценарий не обязателен, т.к. в этом случае истинные мошенники захлопывают в ловушку сами себя, вынуждая вас написать объяснение и встречное заявление, даже если вы не собирались этого делать. Поэтому в телефонных звонках с угрозами они стараются ходить на грани, но не перегибать палку.

6) Ваши родные и близкие начинают получать звонки (если их номера удалось узнать мошенникам), письма, сообщения в соцсетях. Суть всех таких сообщений сводится к следующему:

1. Ваш близкий человек попал в очень серьезную ситуацию, настоящую беду.
2. Я знаю этих людей, они не отстанут никогда.
3. Ему никто не сможет помочь, ни полиция, никакие другие люди.
4. Самое ужасное, что он втянул в эту беду и вас, вашу семью.
5. Вы все станете нищими, у вас отнимут бизнесы, квартиры, машины, дачи.
6. Вы сами и ваши дети попадете в психушку, здоровье будет подорвано навсегда, скорее всего кто-то из вас не выдержит этого и умрет.
7. Единственное спасение — пасть на колени и просить о пощаде.
8. Я просто хочу предупредеить вас, подпись — ваш доброжелатель.

7) Когда жертва полностью подавлена и находится на грани нервного срыва, ей предлагают свободу в обмен на все накопления и сбережения на определенные счета, оформить дарственную на квартиры, машины, дачи, переоформить бизнес и т.д.
...
12. Что делать, если вы стали жертвой мошенничества?

Обращаться в полицию. Не забудьте сделать скриншоты всех звонков и сообщений с угрозами, а также распечатку этой статьи и файла Олег Мальцев — секта, тамплиер, мошенник. Досье (высока вероятность, что вы подвергаетесь именно его нападкам, в любом случае разбираться в этом будет полиция). По возможности запишите телефонные разговоры с помощью специальных приложений или с помощью микрофона любого другого устройства (компьютер, планшет и т.д.)
mobile  phone  security  privacy  fail  crime 
october 2018 by some_hren
Security Vulnerability: "L1 Terminal Fault" (L1TF) aka CVE-2018-3615, CVE-2018-3620 & CVE-2018-3646. | Support | SUSE
Guidance :
No virtualization
The Linux kernel update will fully mitigate the issue.
Virtualization with trusted guests
If the guest OS can be trusted and runs an updated kernel, the system is protected against l1tf and needs no further actions.
Virtualization with untrusted guests
If SMT is not supported by the processor, or disabled in the BIOS, or by the kernel, only flushing the L1 Datacache is required when switching between VMs.
security  intel  cpu 
october 2018 by some_hren
как там шпионов недавно назвали?: mi3ch
Самый смешной эпизод: офицер военной разведки РФ носил с собой квитанцию такси от штаба ГРУ до Шереметьево F, чтобы потом вернуть деньги в бухгалтерии

И снова у двоих офицеров номера паспортов различаются на одну последнюю цифру. Да и выданы в один день.
russian  nsa  security  army  funny  government  fail 
october 2018 by some_hren
Еще немного про рынок баз данных (все продается до сих пор): sporaw
"На адрес войсковой части №26165 (подразделение ГРУ, связанное с хакерскими атаками) зарегистрированы автомобили 305 сотрудников, среди которых и выявленный европейскими спецслужбами ГРУшник Алексей Моренец. В легкодоступной базе ГИБДД эти сотрудники указаны со всеми паспортными данными и мобильными телефонами, многие — с указанием этой войсковой части как места работы".

"По сути это означает, что любой человек с доступом к базе ГИБДД (а это одна из самых доступных баз данных в России) может получить имена, паспортные данные и мобильные телефоны нескольких сотен сотрудников ГРУ. Причем не простых сотрудников, а служащих именно той самой войсковой части, которую обвиняли в самых скандальных хакерских атаках последних лет."
russian  gibdd  internet  security  privacy  fail 
october 2018 by some_hren
Российские вооруженные киберсилы: Как государство создает военные отряды хакеров. Репортаж Даниила Туровского — Meduza
Российские оппозиционеры настаивают, что «МТС» сотрудничает со спецслужбами. В апреле 2016 года российский оппозиционер Олег Козловский и сотрудник Фонда борьбы с коррупцией Георгий Албуров обвинили «МТС» в участии во взломе их аккаунтов в Telegram — неизвестным тогда удалось перехватить авторизационные коды от аккаунтов жертв взлома, которые должны были прийти им по SMS (но не пришли). Козловский позже рассказал, что «МТС» в момент взлома отключил службу доставки SMS. В службе поддержки ему заявили, что сделал это отдел технической безопасности «МТС». Позже активисты выложили квитанции за услуги за апрель 2016 года: и у Козловского, и Албурова в них указано отключение услуг коротких сообщений.
russian  mobile  provider  mts  security  privacy  fail  army 
october 2018 by some_hren
Telegram vs NSA/GCHQ/5E: sporaw
Кстати, совсем забыл (тема - 2015 год). Человек тут один стал троллить на тему новости про "российскую сертификацию SIM-карт" и я, объясняя причину, заодно соединил с другим. NSA/GCHQ ломало Gemalto для получения доступа ко всем выпускаемым SIM-картам. Соответственно, они без проблем могут делать любые клоны любых SIM-карт в мире. А как следствие, они могут запросить подключение девайса, получить SMS на клон (вы ее не увидите, т.к. насколько я помню, и звонок и SMS приходят на последнюю активную симку в сети), и получить доступ к вашему Telegram. Даже не надо очередную операцию по взлому Павла и его команды делать (хотя для NSA, очевидно, это элементарно).

Такие дела.

И да, Gemalto, подлецы, отрицали очевидный факт.

P.S. Кстати, по идее, можно и клона не делать даже, но тогда надо "эфир" слушать и им манипулировать. Что, в общем-то, сложнее и привязка к месту физическому.
gsm  megafon  mobile  security  crypto  fail  nsa  telegram 
september 2018 by some_hren
How Spies Stole the Keys to the Encryption Castle
AMERICAN AND BRITISH spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe, according to top-secret documents provided to The Intercept by National Security Agency whistleblower Edward Snowden.

The hack was perpetrated by a joint unit consisting of operatives from the NSA and its British counterpart Government Communications Headquarters, or GCHQ. The breach, detailed in a secret 2010 GCHQ document, gave the surveillance agencies the potential to secretly monitor a large portion of the world’s cellular communications, including both voice and data.

The company targeted by the intelligence agencies, Gemalto, is a multinational firm incorporated in the Netherlands that makes the chips used in mobile phones and next-generation credit cards. Among its clients are AT&T, T-Mobile, Verizon, Sprint and some 450 wireless network providers around the world. The company operates in 85 countries and has more than 40 manufacturing facilities. One of its three global headquarters is in Austin, Texas and it has a large factory in Pennsylvania.
...
According to one secret GCHQ slide, the British intelligence agency penetrated Gemalto’s internal networks, planting malware on several computers, giving GCHQ secret access. We “believe we have their entire network,” the slide’s author boasted about the operation against Gemalto.

The U.S. and British intelligence agencies pulled off the encryption key heist in great stealth, giving them the ability to intercept and decrypt communications without alerting the wireless network provider, the foreign government or the individual user that they have been targeted. “Gaining access to a database of keys is pretty much game over for cellular encryption,” says Matthew Green, a cryptography specialist at the Johns Hopkins Information Security Institute. The massive key theft is “bad news for phone security. Really bad news.”
gsm  megafon  privacy  mobile  security  fail  nsa 
september 2018 by some_hren
The Chilling Reality of Cold Boot Attacks - F-Secure Blog
What do you do when you finish working with your laptop? Do you turn it off? Put it to sleep? Just close the lid and walk away?

Many people might not realize that what they do when leaving their laptop unattended, even a laptop with full disk encryption, can cause serious security headaches. .

“Sleep mode is vulnerable mode,” says F-Secure Principal Security Consultant Olle Segerdahl.


...
And according to Apple, Macs equipped with an Apple T2 Chip contain security measures designed to protect devices from attacks like Olle and Pasi’s. Apple also recommends users set a firmware password to help harden Macs without a T2 chip.
security  physical_security  apple  coldboot 
september 2018 by some_hren
BadUSB — Википедия
Известные хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) из консалтинговой компании SR Labs всегда радовали отличными презентациями на хакерских конференциях. Не разочаруют они и на этот раз. На следующей неделе в Лас-Вегасе на конференции Black Hat они обещают со всей наглядностью продемонстрировать «фундаментальную беззащитность устройств USB».

В своей презентации хакеры расскажут о многочисленных способах взлома компьютера по USB, а также продемонстрируют коллекцию концептуальных зловредов, которая накопилась у них за последние годы. Специально для этой демонстрации они написали новую программу BadUSB, которая устанавливается на периферийное устройство и полностью берёт под контроль компьютер при подключении к нему по USB.

На компьютере жертвы BadUSB творит что угодно, в том числе видоизменяет файлы, которые устанавливаются в системе, и перенаправляет интернет-трафик на произвольные адреса, изменив DNS-записи. Зловред всегда может выдать себя за клавиатуру и ввести произвольные команды.

Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить. Самая действенная защита — вообще запретить подключение к компьютеру новых USB-устройств. Для атаки могут использоваться флэшки, мышки, клавиатуры, смартфоны и другие приборы.

Самое главное, что Карстен Нол и Якоб Лелл разработали эффективный способ взаимодействия между зловредом в системе и зловредом в прошивке. Установленная на компьютере программа может изменить прошивку по USB, а та, в свою очередь, может установить зловреда в системе. Из-за такого двустороннего взаимодействия ни одному устройству и компьютеру больше нельзя доверять. Вы не только должны ограничить свой ПК от посторонней периферии, но и сами не можете безопасно вставить чистую флэшку в посторонний ПК.
physical  security  usb 
august 2018 by some_hren
На Black Hat покажут «аппаратный» зловред BadUSB - «Хакер»
Известные хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) из консалтинговой компании SR Labs всегда радовали отличными презентациями на хакерских конференциях. Не разочаруют они и на этот раз. На следующей неделе в Лас-Вегасе на конференции Black Hat они обещают со всей наглядностью продемонстрировать «фундаментальную беззащитность устройств USB».

В своей презентации хакеры расскажут о многочисленных способах взлома компьютера по USB, а также продемонстрируют коллекцию концептуальных зловредов, которая накопилась у них за последние годы. Специально для этой демонстрации они написали новую программу BadUSB, которая устанавливается на периферийное устройство и полностью берёт под контроль компьютер при подключении к нему по USB.

На компьютере жертвы BadUSB творит что угодно, в том числе видоизменяет файлы, которые устанавливаются в системе, и перенаправляет интернет-трафик на произвольные адреса, изменив DNS-записи. Зловред всегда может выдать себя за клавиатуру и ввести произвольные команды.

Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить. Самая действенная защита — вообще запретить подключение к компьютеру новых USB-устройств. Для атаки могут использоваться флэшки, мышки, клавиатуры, смартфоны и другие приборы.

Самое главное, что Карстен Нол и Якоб Лелл разработали эффективный способ взаимодействия между зловредом в системе и зловредом в прошивке. Установленная на компьютере программа может изменить прошивку по USB, а та, в свою очередь, может установить зловреда в системе. Из-за такого двустороннего взаимодействия ни одному устройству и компьютеру больше нельзя доверять. Вы не только должны ограничить свой ПК от посторонней периферии, но и сами не можете безопасно вставить чистую флэшку в посторонний ПК.
security  usb  physical 
august 2018 by some_hren
SpiderOak warrant canary to be replaced by 'transparency report' / Boing Boing
Don't be mad at the company! The canary worked exactly as it was supposed to.
internet  security 
august 2018 by some_hren
Warrant canary - Wikipedia
Library warrant canary relying on active removal designed by Jessamyn West
A warrant canary is a method by which a communications service provider aims to inform its users that the provider has been served with a secret government subpoena despite legal prohibitions on revealing the existence of the subpoena. The warrant canary typically informs users that there has not been a secret subpoena as of a particular date. If the canary is not updated for the time period specified by the host or if the warning is removed, users are to assume that the host has been served with such a subpoena. The intention is to allow the provider to warn users of the existence of a subpoena passively, without disclosing to others that the government has sought or obtained access to information or records under a secret subpoena.
security  legal 
august 2018 by some_hren
Reddit Breach Highlights Limits of SMS-Based Authentication — Krebs on Security
What’s interesting about the incident is that it showcases once again why relying on mobile text messages (SMS) for two-factor authentication (2FA) can lull companies and end users into a false sense of security.
...
In one common scenario, known as a SIM-swap, the attacker masquerading as the target tricks the target’s mobile provider into tying the customer’s service to a new SIM card that the bad guys control. A SIM card is the tiny, removable chip in a mobile device that allows it to connect to the provider’s network. Customers can request a SIM swap when their existing SIM card has been damaged, or when they are switching to a different phone that requires a SIM card of another size.

Another typical scheme involves mobile number port-out scams, wherein the attacker impersonates a customer and requests that the customer’s mobile number be transferred to another mobile network provider. In both port-out and SIM swap schemes, the victim’s phone service gets shut off and any one-time codes delivered by SMS (or automated phone call) get sent to a device that the attackers control.
...
The most popular maker of security keys — Yubico — sells the basic model for $20, with more expensive versions that are made to work with mobile devices. The keys are available directly from Yubico, or via Amazon.com. Yubico also includes a running list of sites that currently support keys for authentication.
authentication  sms  mobile  2fa  password  security 
august 2018 by some_hren
Use a Security Key for 2-Step Verification - Android - Google Account Help
Use a Security Key for 2-Step Verification
Security Keys connect to your device to help prove you own your Google Account. With them, you get the extra protection of 2-Step Verification and can sign in without your phone.

Note: If you’re a journalist, activist, or someone else at risk of targeted online attacks, learn about the Advanced Protection Program.

Android ComputeriPhone & iPad
Step 1: Get your key
You can buy a Security Key online. Search on Google for "FIDO U2F Security Key" and order from a trusted retailer.
google  security  physical_security  authentication  passport  2fa  otp  howto 
july 2018 by some_hren
A Fifth Undocumented Cisco Backdoor Has Been Discovered - Slashdot
Cisco released 25 security updates Wednesday, including a critical patch removing an undocumented password for "root" accounts of Cisco Policy Suite (sold to ISPs and large corporate clients). "The vulnerability received a rare severity score of 9.8 out of a maximum of 10 on the CVSSv3 scale," reports Bleeping Computer.
cisco  security  fail 
july 2018 by some_hren
jwz: Two-factor auth and SMS hijacking
tl;dr: You ought to be using 2-factor, and you ought to be using the one-time password generator built into 1password instead of using SMS.
The "SIM porting" attack has been becoming more common and getting more press recently. Basically, it's easy for a crook to call up your phone company and get them to move your phone number to their phone. The telco is supposed to verify that it's you requesting this, but they are stupid and easily fooled.

Once the attacker is receiving your text messages, most services, even those that use 2-factor auth, will allow them to do a password reset and take over your account. My understanding is that they generally needn't have also compromised your email account first.

The fix to this is to not use SMS for your 2-factor. A better way is to use a one-time password generator. There are physical-dongle versions of these, and software versions. The way they work is, set-up involves them sharing a secret by scanning a QR code; and then the login codes are generated based on that secret, without the two ever needing to communicate again. Basically it's a clock-based PRNG with a shared seed.

Many people recommend Google Authenticator and I gave that a try, despite a deep paranoia about any software that has "Google" in its name -- which is not helped out by the fact that Authenticator was once open source, but then Google took it proprietary, which is not at all a shady and concerning move, no sir.

The problem with using that app is that if you want to use more than one device to generate your one-time codes -- say you sometimes have your phone with you and sometimes have your tablet with you but not both -- then you'd have to set them both up at the same time. You can't add a device later without losing access from all previous devices.

But it turns out that the excellent 1password includes a compatible one-time password generator that does the same thing! Instructions here. The huge benefit of this over Google Authenticator is that you can access the code generator from any device to which you are syncing your 1password vault, including your desktop.

This works with Facebook, Dropbox, Twitter, Kickstarter and Etsy.

Instagram (owned by Facebook) say they're really thinking about supporting non-SMS 2FA, really thinking about it really hard. But they still provide 2FA only via SMS.

Patreon and Ebay also only support 2FA over SMS. (Oddly, it looks like Patreon used to support OTP but stopped??)

And Twitter, of course, goes out of their way to fuck up this security feature, as is their core incompetency.
security  physical_security  authentication 
july 2018 by some_hren
Google: Security Keys Neutralized Employee Phishing — Krebs on Security
Google has not had any of its 85,000+ employees successfully phished on their work-related accounts since early 2017, when it began requiring all employees to use physical Security Keys in place of passwords and one-time codes, the company told KrebsOnSecurity.


A YubiKey Security Key made by Yubico. The basic model featured here retails for $20.

Security Keys are inexpensive USB-based devices that offer an alternative approach to two-factor authentication (2FA), which requires the user to log in to a Web site using something they know (the password) and something they have (e.g., a mobile device).

A Google spokesperson said Security Keys now form the basis of all account access at Google.

“We have had no reported or confirmed account takeovers since implementing security keys at Google,” the spokesperson said. “Users might be asked to authenticate using their security key for many different apps/reasons. It all depends on the sensitivity of the app and the risk of the user at that point in time.”

The basic idea behind two-factor authentication is that even if thieves manage to phish or steal your password, they still cannot log in to your account unless they also hack or possess that second factor.

The most common forms of 2FA require the user to supplement a password with a one-time code sent to their mobile device via text message or an app. Indeed, prior to 2017 Google employees also relied on one-time codes generated by a mobile app — Google Authenticator.

In contrast, a Security Key implements a form of multi-factor authentication known as Universal 2nd Factor (U2F), which allows the user to complete the login process simply by inserting the USB device and pressing a button on the device. The key works without the need for any special software drivers.

Once a device is enrolled for a specific Web site that supports Security Keys, the user no longer needs to enter their password at that site (unless they try to access the same account from a different device, in which case it will ask the user to insert their key).

U2F is an emerging open source authentication standard, and as such only a handful of high-profile sites currently support it, including Dropbox, Facebook, Github (and of course Google’s various services). Most major password managers also now support U2F, including Dashlane, Keepass and LastPass. Duo Security [full disclosure: an advertiser on this site] also can be set up to work with U2F.

The beauty of WebAuthn is that it eliminates the need for users to constantly type in their passwords, which negates the threat from common password-stealing methods like phishing and man-in-the-middle attacks.

With any luck, more sites soon will begin incorporating the Web Authentication API — also known as “WebAuthn” — a standard put forth by the World Wide Web Consortium in collaboration with the FIDO Alliance. The beauty of WebAuthn is that it eliminates the need for users to constantly type in their passwords, which negates the threat from common password-stealing methods like phishing and man-in-the-middle attacks.
security  physical_security  authentication 
july 2018 by some_hren
Хакер в столовой - «Хакер»
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»


День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»


День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».


День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.


День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку «Ну как вам?». Директора тем временем три месяца таскают по судам и дают год условно.


День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.


День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: «Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!» До этого непьющий директор читает письмо, идет домой и выпивает водки.


День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.


День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет
возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.

Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на
Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.


День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
security  humor 
july 2018 by some_hren
про компьютерную безопасность и мышление о рисках - Поклонник деепричастий
Уокер рассказывает, например, как он нашел тысячи подключенных к интернету без пароля серверов VNC (программы, к-я позволяет контролировать компьютер издалека) и для того, чтобы показать проблему особо наглядно, нашел сервер на компьютере, который управлял свинофермой. Кто угодно мог подключиться к компьютеру и скажем выпустить всех свиней, или перекрыть им кормежку. Он повесил скриншоты этого сервера у себя на двери офиса (он работал в DARPA, агентства внутри Пентагона). И вот, говорит он, когда другие специалисты по безопасности видели эти скриншоты, они понимали, какой это ужас, и хватались за голову. А когда мимо проходили высокое начальство или политики, они не понимали вообще, что тут такого. Он пытался объяснить, но они быстро теряли интерес. "Зачем кому-то нужно нападать на свиноферму?" Что они не понимали, а специалистам было ясно автоматически - это что если есть один такой сервер, наверняка есть тысяча и десяток тысяч; и что где-то ферма, а где-то больница или завод; и что злоумышленники могут написать скрипты, которые будут автоматически находить такие серверы в интернете и автоматически нажимать на всякие кнопки и двигать мышкой, просто так, чтобы побаловаться, не для того даже, чтобы атаковать конкретное место; и что это может натворить огромную кучу вреда. Но у начальства воображение туда просто не шло; даже если попытаться им подробно все это объяснить, это казалось нереальным и малоосмысленным сценарием.

Другой отличный пример я процитирую по-английски:
...policy thinking within the conflict domain of computer security is dominated by thinking about planned, intentional malice rather than considerations of the collective risk of randomized disaster. This is a real divide; you will find it again and again. What it creates are Rorshach Tests: both sides stare at the inkblot, one side sees a butterfly and the other side sees a butterfly that has been stepped on. Let me give you an example.

V2V is a technology that allows cars to communicate, digitally exchanging position and vector information; when two cars are on a collision course they can compute the collision without seeing each other and either alert the driver or autonomously take avoidance action. This digital exchange of vectors will take place through constant vehicle-to-vehicle exchange of vector information signed and secured by the X.509 certificate industry standard.

Now as I look around the room, and I gauge your reaction, what I see is people who see a butterfly that has been stepped on. Because what we all heard is that the cars of the future are going to be part of a peer-to-peer digital mesh network that transmits, receives, and parses X.509 certificates. We don't think a lot about the safety history of cars, but we think quite a bit about the safety history of X.509 certs, and what we know scares us. Now if you believe that parsing complex, nested binary formats is dangerous, that the uncomputable complexity of ASN.1 Basic Encoding Rules creates unnecessary danger, that peer-to-peer communications without central inspection or forwarding is a basic requirement for self-replicating code, and you intuitively understand that the worst teleporting robots can clone themselves, then you can in one breath summon to mind the sum of all fears: a widely used implementation, memory corruption, a worm, and a nation of vehicles afflicted with a control systems virus.

What the other side heard was that thousands of automotive collisions could be wiped out by a single technology based on a tried-and-true industry standard, defended by best practices that work every day to keep the Internet safe. Our concerns are theoretical; theirs are governed by real lives being lost right now. And if you speak only to the perceived technological weakness, the other side of the table will immediately want to know who perceives this weakness, what their effort to act is, what their motivation to act is, and what deters them. When you possess a threat model dominated by intentional malice, you think about people, not bugs. And if you push on this divide, you end up having what is essentially a deadlocked conversation.

И последнее, ну это просто забавная цитата: "I had the chance to talk to a lot of smart people; one of them was a young roboticist from MIT [...] and I asked this young man what the word Cyber meant. He told me that cyber was a word used exclusively by people in government to let everyone know that they didn't understand how computers worked. I think maybe he was on to something. I think this definition is still universally accepted in the hacker community."
internet  security  management  psychology  crypto 
july 2018 by some_hren
Adios, Hola! - Why you should immediately uninstall Hola
Hola is harmful to the internet as a whole, and to its users in particular. You might know it as a free VPN or "unblocker", but in reality it operates like a poorly secured botnet - with serious consequences.
vpn  chrome  security  fail 
july 2018 by some_hren
Популярный VPN-плагин Hola скомпрометирован / Блог компании Whalesburg / Хабр
Популярный VPN-плагин для Chrome и Android под названием Hola, которым пользуется более 50 млн человек по всему миру, был скомпрометирован. Целью атаки являются пользователи MyEtherWallet — одного из крупнейших горячих онлайн-кошельков для держателей эфира. Атака длилась примерно пять часов и за это время Hola собирал информацию о кошельках пользователей MEW с целью последующей кражи криптовалюты.
...
Стоит отметить, что VPN-плагин Hola ранее был скомпрометирован еще в 2015 году. Тогда пользователи Hola были вовлечены в проведение массированных DDoS-атак.

Основная причина привлекательности Hola для злоумышленников — это популярность плагина вкупе с использованием одноранговой архитектуры peer-to-peer для установления соединения. Также играет роль и крайне небрежная разработка, которая привела к наличию целого ряда уязвимостей и лазеек для злоумышленников. Кроме этого администрация Hola была замечена в крайне небрежном отношении в случае предоставления платного доступа к сети. В 2015 году разработчики заявляли, что «устранили уязвимость за несколько часов после репорта», однако группа исследователей, которая и указала на проблему, была с этим категорически несогласна:
vpn  security  fail 
july 2018 by some_hren
U+202E on Twitter: "The logical next step of my c++ shenanigans: I've taken the source of my hexdumping tool 'hxdmp' and made it invisible (aside from a bunch of defines) by abusing U+200B Zero Width Space. This is perfectly legal C++11 code. I'm sorry an
The logical next step of my c++ shenanigans:
I've taken the source of my hexdumping tool 'hxdmp' and made it invisible (aside from a bunch of defines) by abusing U+200B Zero Width Space.
This is perfectly legal C++11 code.
I'm sorry and you're welcome.
unicode  security  fail  funny 
july 2018 by some_hren
OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
На прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop, объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов
linux  firewall  security 
june 2018 by some_hren
17 Backdoored Images Downloaded 5 Million Times Removed From Docker Hub - Slashdot
Docker Hub is now just the latest package repository to feature backdoored libraries, after npm and PyPl.
docker  internet  security 
june 2018 by some_hren
Firmware Vulnerabilities in Supermicro Systems – Eclypsium Blog
We have already seen both proof-of-concept and in-the-wild demonstrations of attacks targeting system firmware such as SMM rootkits, device firmware replacement, and even usurping firmware-based features for malware. As part of our ongoing security research efforts, we recently reviewed various Supermicro systems and discovered serious firmware vulnerabilities. Such issues affect many models and have persisted for many years, which could be problematic since these systems are commonly used as data center servers. As other researchers have shown, Supermicro is not alone. Security vulnerabilities in firmware continue to be discovered regularly. Unfortunately, malicious activity at the firmware and hardware level is invisible to most detection and response mechanisms in use today, leaving many critical systems exposed to attacks that target this area.

These vulnerabilities are easily exploitable and provide malware with the same impact as having physical access to the kind of system that is usually stored in a secure data center. A physical attacker who can open the case could simply attach a hardware programmer to bypass protections. Using the attacks we have discovered, it is possible to scale powerful malware much more effectively through malicious software instead of physical access.
server  supermicro  hardware  security  fail 
june 2018 by some_hren
Уязвимость Zip Slip представляет угрозу для тысяч приложений на разных платформах - «Хакер»
В корне проблемы Zip Slip лежит перезапись произвольных файлов, которую нужно использовать в сочетании с атакой на обход каталога, реализовать которую возможно во время извлечения файлов из архивов вышеперечисленных форматов.

Исследователи пишут, что под угрозой оказались тысячи проектов, написанные на самых разных языках, включая JavaScript, Ruby, Java, .NET и Go, в том числе принадлежащих Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains и так далее. Уязвимый к Zip Slip код может присутствовать буквально где угодно, а его разработчики могут даже не знать об этом. Специалисты подготовили для разработчиков специальный документ (PDF), в котором подробно описали, как работает уязвимость и как ее обнаружить.

Эксплуатировать Zip Slip возможно через специальный архив, который будет содержать имена файлов, необходимые для реализации обхода каталога. Если такой архив будет распакован с использованием любой уязвимой библиотеки, атакующий в итоге сможет разархивировать вредоносные файлы за пределы предназначенной для этого директории. При этом злоумышленник получает возможность перезаписать даже важные системные или исполняющие файлы, файлы конфигурации и так далее. В конечном счете, этот трюк вынудит систему или пользователя запустить малварь, то есть атакующий осуществит удаленное исполнение произвольного кода.
security  exploit 
june 2018 by some_hren
Lenovo PCs ship with man-in-the-middle adware that breaks HTTPS connections [Updated] | Ars Technica
Lenovo is selling computers that come preinstalled with adware that hijacks encrypted Web sessions and may make users vulnerable to HTTPS man-in-the-middle attacks that are trivial for attackers to carry out, security researchers said.

The critical threat is present on Lenovo PCs that have adware from a company called Superfish installed. As unsavory as many people find software that injects ads into Web pages, there's something much more nefarious about the Superfish package. It installs a self-signed root HTTPS certificate that can intercept encrypted traffic for every website a user visits. When a user visits an HTTPS site, the site certificate is signed and controlled by Superfish and falsely represents itself as the official website certificate.

Even worse, the private encryption key accompanying the Superfish-signed Transport Layer Security certificate appears to be the same for every Lenovo machine. Attackers may be able to use the key to certify imposter HTTPS websites that masquerade as Bank of America, Google, or any other secure destination on the Internet. Under such a scenario, PCs that have the Superfish root certificate installed will fail to flag the sites as forgeries—a failure that completely undermines the reason HTTPS protections exist in the first place.
...
Surprisingly, the behavior largely escaped the notice of security and privacy advocates, until now. On Wednesday evening, following several lengthy Twitter discussions about the overlooked behavior, security researcher Chris Palmer bought a Lenovo Yoga 2 Pro for $600 at a San Francisco Bay Area Best Buy store. He quickly confirmed that the model was pre-installed with the Superfish software and self-signed key.

When Palmer visited https://www.bankofamerica.com/, he found that the certificate presented to his browser wasn't signed by certificate authority VeriSign as one would expect, but rather by Superfish.
notebook  security  windows  lenovo  fail 
june 2018 by some_hren
Нужные HTTP-заголовки / Хабр
Какие заголовки должны быть на вашем сайте

Итак, какие основные заголовки должны быть в ответах ваших серверов? Бóльшая часть отвечает за повышение безопасности:

Content-Security-Policy. Действует как файрвол в браузере. Если ваш сайт скомпрометирован, помогает ограничить ущерб, предотвращая подключения к неодобренным хостам. Очень важный заголовок. Если у вас его нет, нужно включить.
http  security  web-development 
june 2018 by some_hren
Как безопасно программировать в bash / Хабр
Главное, что нужно знать о программировании в bash

Маниакально ставить кавычки! Незакавыченная переменная должна расцениваться как взведённая бомба: она взрывается при контакте с пробелом. Да, «взрывается» в смысле разделения строки на массив. В частности, расширения переменных вроде $var и подстановки команд вроде $(cmd) подвергаются расщеплению слов, когда внутренняя строка расширяется в массив из-за расщепления в специальной переменной $IFS с пробелом по умолчанию. Это обычно незаметно, потому что чаще всего результатом становится массив из 1 элемента, неотличимый от ожидаемой строки.
bash  programming  tips  security  howto 
june 2018 by some_hren
Новый MTProto-прокси сервер от Telegram / Хабр
Обновлённая поддержка прокси-серверов в клиентах Telegram

Новый MTProto-прокси. Работает с родным для Telegram протоколом MTProto
Открытый исходный код сервера на GitHub https://github.com/TelegramMessenger/MTProxy
Docker-образ на DockerHub
https://hub.docker.com/r/telegrammessenger/proxy/
В мобильных клиентах появилась возможность добавлять несколько прокси-серверов каждого типа. Пользователь может выбрать наиболее подходящий
MTProto-прокси работает только с Telegram
Клиент и сервер не имеют фазы открытого обмена информацией
В реализации MTProto-прокси сервера от Telegram прокси-сервер и его владелец не имеют прямого доступа к метаинформации протокола MTProxy (логины, например).
Для всевозможных фильтров и анализаторов обмен данными с MTProto-прокси сервером выглядит как неструктурированный бинарный двунаправленный поток данных между клиентом и сервером. Это затрудняет распознавание протокола с целью ограничения.
telegram  security  proxy  docker 
june 2018 by some_hren
Дашборды Check Point — вот что я люблю / Блог компании TS Solution / Хабр
Как раз здесь и нужен Мониторинг. И как раз здесь обычно вспоминают про SIEM-ы или Log-management системы. С помощью этих инструментов можно получить количественную оценку защищенности вашей сети. Вы должны понимать что имеете сейчас и к каким показателям хотите прийти. Это помогает ставить цели для безо�%
security  logging  firewall  SIEM 
may 2018 by some_hren
«Аська» и товарищ майор. ICQ — единственный месенджер, который без проблем читают российские спецслужбы
Формальный повод преследования Telegram — отказ компании предоставить ФСБ ключи дешифрования сообщений пользователей. Почему власти воюют только с мессенджером Павла Дурова? И если спецслужбы не могут читать Telegram без ключей, то какие электронные средства связи могут?

«Новая газета» отвечает на эти вопросы с помощью анализа приговоров российских судов. (Спойлер: похоже, спецслужбы читают «на лету» только один мессенджер — в пользу которого российские власти и предлагают отказаться от Telegram.)

Чтение переписки пользователей (на компьютере или телефоне) — это оперативно-разыскное мероприятие (ОРМ), которое имеет специальное название на языке спецслужб. Это называется «Снятием информации с технических каналов связи» (СИТКС).

Если доказательства вины подсудимого были получены в том числе с помощью СИТКС, то этот факт будет упомянут в приговоре суда. При этом в приговоре не указывается, каким именно образом правоохранительные органы получили информацию из мессенджеров. Но есть косвенный признак, который, по крайней мере, позволяет с большой долей уверенности предположить, случилось ли это онлайн (допустим, в результате взлома пароля) или офлайн (в результате изъятия устройства).

В тексте приговора, как правило, видно, что произошло раньше: изъятие телефона (компьютера) или прочтение информации. Если спецслужбы прочитали информацию до изъятия, то очевидно, что мы имеем дело с одним из способов «онлайн-снятия» (взломом, заражением или прямым доступом к серверам). Если же сначала было изъятие, а затем чтение, то скорее всего перед нами — «офлайн-снятие». (Хотя здесь стоит оговориться, что оперативники могут сознательно маскировать свои действия и с помощью изъятия легализовать информацию, которую они получили раньше в результате, допустим, незаконного вмешательства.)

С помощью машинного анализа репортеры «Новой газеты» исследовали все приговоры российских судов, в текстах которых есть аббревиатура СИТКС. Их оказалось 250 (такое малое количество объясняется в первую очередь несоблюдением российскими судами закона об обязательной публикации своих решений). Из этого списка мы исключили те дела, где под СИТКС подразумевалось чтение СМС-сообщений и прослушивание телефонных разговоров. В итоге осталось 34 дела, в которых оперативники читали мессенджеры (см. таблицу, в которой указано, сколько раз фигурирует в судебных актах каждый из прочтенных мессенджеров).

В 21 случае из 34 снятие информации происходило уже после изъятия устройства; в 6 случаях определить, что произошло раньше (изъятие или чтение), — невозможно из-за вымарывания судьями фактических обстоятельств дела из приговоров; и, наконец, в 7 случаях можно с уверенностью говорить об «онлайн-снятии» информации с каналов связи.

И в шести из этих семи кейсов речь идет об ICQ (проект Mail.ru Group).

Единственный случай, когда оперативники читали не «аську», — это дело об уклонении от уплаты таможенных платежей, где была, видимо, вскрыта электронная почта. Мы не знаем, о каком почтовом сервисе идет речь, однако по косвенным признакам можно предположить, что это — внутрироссийская корпоративная почта частной компании.

В 9 случаях с Telegram «снятие информации» произошло уже после изъятия устройства. То же самое и со Скайпом (10 случаев).

Теперь не удивительно, почему, к примеру, советник президента по развитию интернета Герман Клименко советовал в случае блокировки Telegram переходить на «аську». «Мне нравится ICQ. Это полноценный месенджер, совершенно ничем не уступающий Telegram с точки зрения обычного пользователя», — говорил он «Интерфаксу».

Пресс-секретарь президента Дмитрий Песков после блокировки Telegram также установил ICQ, чтобы посмотреть, как этот мессенджер подойдет для работы пресс-службы Кремля.

Поэтому если вы хотите, чтобы власти России вас наконец заметили и услышали, — напишите им в «аське». Там если и не ответят, то по крайней мере запишут.
russian  internet  censorship  security  funny  fail 
may 2018 by some_hren
Alexander Korznikov. A bit of security.: Passwordless RDP Session Hijacking Feature All Windows versions
Attack Vector Details:
A privileged user, which can gain command execution with NT AUTHORITY/SYSTEM rights can hijack any currently logged in user's session, without any knowledge about his credentials.
Terminal Services session can be either in connected or disconnected state.

Microsoft documentation helps us to do that from command line:
https://technet.microsoft.com/en-us/library/cc771505(v=ws.11).aspx

All we need is NT AUTHORITY/SYSTEM command line.
Easiest method with psexec, but requires psexec.exe to be there:
psexec -s \\localhost cmd
windows  rdp  security 
may 2018 by some_hren
RDP. Игра в три буквы / Блог компании RUVDS.com / Хабр
Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:

psexec -s \\localhost cmd
windows  rdp  security 
may 2018 by some_hren
EFAIL
The attacker changes an encrypted email in a particular way and sends this changed encrypted email to the victim. The victim's email client decrypts the email and loads any external content, thus exfiltrating the plaintext to the attacker.
...
There are two different flavors of EFAIL attacks. First, the direct exfiltration attack abuses vulnerabilities in Apple Mail, iOS Mail and Mozilla Thunderbird to directly exfiltrate the plaintext of encrypted emails. These vulnerabilities can be fixed in the respective email clients. The attack works like this. The attacker creates a new multipart email with three body parts as shown below. The first is an HTML body part essentially containing an HTML image tag. Note that the src attribute of that image tag is opened with quotes but not closed. The second body part contains the PGP or S/MIME ciphertext. The third is an HTML body part again that closes the src attribute of the first body part.
privacy  security  emacs  pgp  gpg 
may 2018 by some_hren
Signal >> Blog >> Amazon threatens to suspend Signal's AWS account over censorship circumvention
Unfortunately, a TLS handshake fully exposes the target hostname in plaintext, since the hostname is included in the SNI header in the clear. This remains the case even in TLS 1.3, and it gives a censor all they need.

However, several cloud environments were built with an idiosyncrasy that allowed us to work around this TLS metadata problem. Google and Amazon built their TLS termination layer separately from their request processing layer, such that it was possible to create what looked like a TLS connection for domain A with a request that would actually be received and processed by domain B. This is known as “domain fronting.”
internet  censorship  tls  security  privacy  fail 
may 2018 by some_hren
Study: Attack on KrebsOnSecurity Cost IoT Device Owners $323K — Krebs on Security
A monster distributed denial-of-service attack (DDoS) against KrebsOnSecurity.com in 2016 knocked this site offline for nearly four days. The attack was executed through a network of hacked “Internet of Things” (IoT) devices such as Internet routers, security cameras and digital video recorders. A new study that tries to measure the direct cost of that one attack for IoT device users whose machines were swept up in the assault found that it may have cost device owners a total of $323,973.75 in excess power and added bandwidth consumption.

My bad.

But really, none of it was my fault at all. It was mostly the fault of IoT makers for shipping cheap, poorly designed products (insecure by default), and the fault of customers who bought these IoT things and plugged them onto the Internet without changing the things’ factory settings (passwords at least.)

The botnet that hit my site in Sept. 2016 was powered by the first version of Mirai, a malware strain that wriggles into dozens of IoT devices left exposed to the Internet and running with factory-default settings and passwords. Systems infected with Mirai are forced to scan the Internet for other vulnerable IoT devices, but they’re just as often used to help launch punishing DDoS attacks.

By the time of the first Mirai attack on this site, the young masterminds behind Mirai had already enslaved more than 600,000 IoT devices for their DDoS armies. But according to an interview with one of the admitted and convicted co-authors of Mirai, the part of their botnet that pounded my site was a mere slice of firepower they’d sold for a few hundred bucks to a willing buyer. The attack army sold to this ne’er-do-well harnessed the power of just 24,000 Mirai-infected systems (mostly security cameras and DVRs, but some routers, too).

But what if there were also a way to work out the cost of these attacks to the users of the IoT devices which get snared by DDos botnets like Mirai? That’s what researchers at University of California, Berkeley School of Information sought to determine in their new paper, “rIoT: Quantifying Consumer Costs of Insecure Internet of Things Devices.”
internet  security  IOT  fail 
may 2018 by some_hren
« earlier      
per page:    204080120160

related tags

1C  1password  2fa  3par  acl  acrobat  activedirectory  AD  ad-blocker  ad-blocking  adobe  advertising  adware  airgap  airline  amazon  america  analysis  android  ansible  antivirus  apache  app  apple  apps  ar.drone  architecture  army  arp  article  asa  asus  attack  attempt  australia  auth  authentication  auto  aviation  aws  backdoor  backup  bank  banks  bash  bashing  bgp  big_biz  bind  biometrics  bios  bitcoin  blackberry  blackhat  blacklist  blockchain  blogs  bluetooth  bmw  book  boringssl  botnet  broadcom  browser  browsers  bug  bugs  c  CA  camera  canada  car  cards  cars  cat4500  censorship  centos  centos7  certificate  chat  checklist  chef  children  china  chrome  chronopay  chroot  cia  cisco  cli  client  cloud  code_signing  coldboot  commandline  computer  cookies  corporate  corruption  cpu  crack  cracking  crime  crypto  cybercrime  d-link  ddos  debug  dect  demo  design  detection  development  device  devops  dhcp  disclosure  djbdns  dlink  dlp  dmz  dna  dns  docker  documents  dos  download  dpi  dropbox  dtrace  edication  education  el-capitan  emacs  email  emc  encription  encryption  enterprise  essay  esx  esxi  example  exploit  extension  facebook  facetime  fact  facts  fail  fail2ban  failure  filtering  fingerprinting  fire  firefox  firewall  firewire  flame  flash  flash_drive  forensic  forum  free  freebsd  freeware  ftp  ftpd  funny  fuzzing  gadget  gadgets  games  gear  gentoo  gibdd  git  glibc  gnome  gnupg  google  gost  government  gpg  gpo  gps  graph  graphviz  grub  gsm  gui  h3s  HA  hack  hacker  hackme  hacks  hardware  history  holywar  home  hosting  hotels  hotp  hotspot  howto  hp  htc  html  html5  http  httpd  https  huawei  humor  IBM  icloud  ida  idea  ids  ilo  IM  incident  india  infosec  intel  intercept  internet  interview  ios  IOT  ipad  iphone  ipsec  iptables  ipv6  ironport  itunes  japan  java  joke  juniper  kde  keepass  kerberos  kernel  keyboard  keys  kingston  kubernetes  kvm  l2  lan  law  ldap  legal  lenovo  library  lie  life  linklist  linux  list  local  locks  logging  lottery  mac  macbook  macos  macosx  magazine  mail  mail.ru  malware  management  manual  maps  math  mcafee  megafon  meltdown  metro  microsoft  mikrotik  military  miscrosoft  mitigation  mobile  mojave  monitoring  mts  mysql  nat  network  networking  news  nexus  nginx  notebook  nsa  oath  oauth  ocaml  olympus  online  openbsd  openssl  opera  optical  oracle  os  osx  otp  overview  pam  paranoia  parrot  passport  password  patch  paypal  pdf  pentest  performance  perl  pgp  phishing  phone  photo  physical  physical_security  pin_code  pki  plugin  police  policy  politics  postfix  power  powershell  prevention  printers  privacy  procurve  prog  programming  proilant  propaganda  protection  provider  providers  proxy  psychology  qemu  quadrocopter  quantum  qubes  quest  questionable  radius  rails  RC  rdp  recovery  redhat  reference  regexp  report  research  reversing  review  rootkit  rootless  router  routing  rsa  ruby  russan  russia  russian  safari  safe  samba  samsung  sandbox  sap  sberbank  school  scp  screensaver  script  scripting  search  security  security_theater  selinux  server  service  shell  shop  sidechannel  SIEM  simple  skype  sles  sms  sniffer  snmp  snowden  social  social_engeneering  society  software  soho  sony  SORM  spam  spb  spoofing  spying  spyware  squid  ss7  ssd  ssh  ssl  sso  starline  statistics  stl  storage  story  stp  supermicro  surveillance  suse  switch  switching  sysadm  systemd  talks  tasks  telecom  telegram  terminal  theater  thieft  thunderbird  thunderbolt  tip  tips  tls  tofix  token  tokens  tool  tools  tor  toread  tracking  traffic  transport  travel  troubleshoot  truecrypt  tutorial  tv  two_factor  ubiquiti  ubuntu  udev  unicode  unix  update  usa  usb  video  virtual  virtualization  virus  visualization  vkontakte  VM  vmware  vpn  vsphere  vsphere6  vulnerability  watch  web  web-app  web-development  web-service  webmail  wi-fi  wifi  wikileaks  wimax  win  windows  wireless  wishlist  wlan  wpa  wpa2  xen  xss  xwindows  yandex  yosemite  zabbix  zyxel 

Copy this bookmark:



description:


tags: