Google вновь критикуют за отсутствие эффективного механизма обновления Android. Специалисты написали эксплойт, который позволяет хакеру взломать 73% устройств на этой платформе, используя уязвимость годичной давности.
Специалисты по информационной безопасности из компании Rapid7 написали эксплойт, позволяющий взломать 73% устройств под управлением операционной системы Google Android.
Примечательно, что уязвимость была обнаружена еще в декабре 2012 г. Она находится во встроенном в Android веб-браузере, в компоненте WebView, и позволяет злоумышленнику исполнить на устройстве произвольный код.
Для заражения устройства необходимо, чтобы его владелец посетил вредоносный сайт. Заставить его сделать это можно различными способами. Исследователи в качестве примера привели вредоносную ссылку, закодированную в QR-коде. Пользователь может считать такой код в любом рекламном объявлении, ничего не подозревая.
Примечательно, что уязвимость, которой воспользовались специалисты Rapid7, касается устройств любых типов, не только смартфонов и планшетов. Пользователь Джошуа Дрейк (Joshua Drake) сообщил в твиттере, что ему удалось запустить эксплойт на очках Google Glass.
Процент устройств аналитики вычислили довольно просто. Дело в том, что уязвимость содержится во всех версиях Android ниже 4.2. Цифра была получена из официальной статистики Google.
Несмотря на то, что в Android 4.2 уязвимость была устранена, риску по-прежнему подвержено большинство пользователей. И именно на это эксперты хотели обратить свое внимание. По их мнению, проблема кроется в отсутствии у Google единого центрального механизма распространения обновлений, как, например, в Microsoft Windows: многие производители не заботятся об обновлении устройств, выпущенных несколько лет назад с предыдущими версиями платформы.
В 2011 г. Google предприняла попытку создания такого механизма - объявив о формировании альянса Android Upgrade Alliance, участники которого - операторы связи - должны были четко соблюдать регламент выпуска новых прошивок в течение первых 1,5 лет после выхода устройства в продажу. Однако эта инициатива не принесла плоды.
Еще один способ устранения уязвимостей с учетом отсутствия единого центра обновления - периодический выпуск обновленных версий приложений YouTube, Gmail, Maps, Search и т. д. Однако этот метод не позволяет устранять «дыры», содержащиеся в коде самой платформы. Проблема еще заключается в том, что Google позволяет производителям модифицировать Android, то есть не контролирует платформу, как это делает Apple. В сентябре прошлого года Apple, например, за неделю устранила уязвимость, позволяющую обходить парольную защиту.
Между тем, в июле прошлого года сообщалось (сс. на CNews - Wilde Jagd) о еще более масштабной уязвимости - затрагивающей 99% устройств на Android. Она была обнаружена специалистами компании Bluebox и содержалась во всех версиях Android, начиная с 1.6, выпущенной 4 года назад.
В воскресенье появилась информация об уязвимости в маршрутизаторах Linksys, с помощью которой распространяется червь под названием TheMoon. Менее двух суток понадобилось для создания концептуального эксплойта, который использует названную 0day-уязвимость, но работает только в пределах локальной сети.
Автор эксплойта под ником Rew говорит, что не хотел публиковать его до того, как компания-производитель выпустит обновление с исправленной прошивкой, но джин уже выскочил из бутылки. На форумах Reddit некто выложил четыре CGI-скрипта маршрутизаторов с описанием метода взлома. Так что уязвимостью может воспользоваться кто угодно.
Упомянутые CGI-скрипты являются частью администраторского интерфейса многочисленных моделей маршрутизаторов Linksys серии E.
Кроме исходного кода на PHP, автор опубликовал обновленный список моделей маршрутизаторов, на которых срабатывает эксплойт: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Правда, Rew пишет, что список может быть неточным или неполным.
Владелец торговой марки Linksys, компания Belkin, признала наличие уязвимости в «некоторых моделях маршрутизаторов», но не уточнила, в каких именно. Она добавила, что исполнение кода возможно только в том случае, если в настройках маршрутизатора активирована функция Remote Management Access.
Для удаления зловреда или предотвращения заражения следует отключить эту функцию и перезагрузить маршрутизатор, сказано в рекомендациях на сайте Linksys. Перед этим нужно убедиться, что на маршрутизаторе установлена последняя версия прошивки и обновить ее в случае необходимости.
Дата: Понедельник, 03.03.2014, 16:55 | Сообщение # 103
со-Админ
Wilde Jagd
Сообщений: 3420
Отсутствует
Число уязвимостей в Windows 7 и XP удвоилось за год. Самой «дырявой» оказалась Windows 8
На Microsoft приходится 66% программных продуктов из Toп-50 и 24% известных уязвимостей
CNews 28.02.14, Пт, 11:51
Исследовательская компания Secunia опубликовала годичный отчет о программных уязвимостях в 2013 г. 24% известных «дыр» пришлось на продукты Microsoft.
Количество уязвимостей, обнаруженных в 2013 г. в операционных системах Windows 7 и Windows XP, вдвое превысило число «дыр», зарегистрированных в них в 2012 г., сообщает исследовательская компания Secunia.
Так, в минувшем году число уязвимостей в Windows 7 составило 102 против 50 в 2012 г., а в Windows XP - 99 против 49 годом ранее.
Однако самой «дырявой» из актуальных в 2013 г. систем оказалась Windows 8 со своими 156 уязвимостями. Эксперты Secunia отмечают, что такое количество «дыр» непосредственно связано с Flash Player, встроенным в браузер Internet Explorer. На этот плагин приходится 55 проблем безопасности из 156, обнаруженных в Windows 8.
В своем ежегодном докладе The Secunia Vulnerability Review 2014 компания опубликовала данные о программных «дырах» в 50 наиболее используемых программах и операционных системах.
Первые три места по числу уязвимостей среди 50 самых популярных программ заняла Microsoft со своими XML Core Services (инструмент для написания Windows-программ c использованием XML), Windows Media Player и Internet Explorer.
Всего в Топ-50 самых популярных программ в 2013 г. было зафиксировано 1208 уязвимостей, а во всех изученных программных продуктах - 13073. 66% программных продуктов в Toп-50 создано Microsoft, при этом на них приходится 24% известных «дыр».
Компания Adobe заняла пятое место по числу уязвимостей со своим Flash Player и седьмое с Adobe Reader. Десятое место получила Oracle со своей платформой Java.
На пятерку самых популярных веб-браузеров (Google Chrome, Mozilla Firefox, Internet Explorer, Opera, Safari) совокупно пришлось 727 «дырок», обнаруженных в 2013 г. Самым уязвимым браузером года стал Firefox с 270 брешами в безопасности, а самым безопасным - Opera c 11. Internet Explorer получил третье место из пяти со 126 «дырами».
86% уязвимостей в продуктах из Топ-50 закрывались специально выпущенными патчами непосредственно в день, когда «дыра» была обнаружена, пишет Secunia. Компания отмечает, что время между обнаружением уязвимости и ее закрытием в 2013 г. продолжало сокращаться.
В том же Топ-50 популярных программ, по данным Secunia, обнаружилось лишь 10 до сих пор не закрытых и активно эксплуатируемых уязвимостей (уязвимостей нулевого дня).
Дата: Понедельник, 03.03.2014, 17:04 | Сообщение # 104
со-Админ
Wilde Jagd
Сообщений: 3420
Отсутствует
Немецкие IT-специалисты обнаружили разработанный россиянами руткит
SecurityLab.ru 03 марта, 2014. 15:30
По информации экспертов, руткит, похищающий конфиденциальную информацию, использовался злоумышленниками с 2011 года.
Специалисты немецкой компании G Data обнаружили новую вредоносную программу, нацеленную на хищение конфиденциальной информации. По данным специалистов, разработкой вредоносной программы занимались представители спецслужб России. Руткит Uroburos получил свое название от имени мифического дракона, а также от последовательности символов внутри кода вредоносной программы: Ur0bUr()sGotyOu#.
Uroburos похищает файлы с зараженных компьютеров и перехватывает сетевой трафик. Вредоносная программа предназначена для работы в режиме P2P для установки связи между инфицированными системами. Эта функция позволяет получить удаленный доступ к одному компьютеру с интернет-подключением для того, чтобы управлять другими ПК в локальной сети.
Интересно, что для того, чтобы скрыть свою деятельность руткит использует две виртуальные файловые системы - NTFS и FAT, которые локально находятся на инфицированной машине. Эти файловые системы позволяют злоумышленникам хранить на компьютере жертвы инструменты сторонних производителей, инструменты для пост-эксплуатации, временные файлы и двоичные выходные данные. Доступ к виртуальным файловым системам можно получить через устройства: Device\RawDisk1 и Device\RawDisk2, а также диски \\.\Hd1 и \\.\Hd2.
Специалисты G Data отмечают: «Создание такой структуры, как Uroburos требует огромных инвестиций. Команда разработчиков этой вредоносной программы, очевидно, состоит из высококвалифицированных IT-специалистов. Такой вывод можно сделать, проанализировав структуру и современный дизайн руткита. Мы считаем, что у разработчиков также имеются усовершенствованные версии Uroburos, которые появятся в будущем».
Обнаружив определенные технические характеристики (имя файла, ключи шифрования, поведение и др.), представители G Data предположили, что авторами Uroburos является группа злоумышленников, которая в 2008 году осуществила атаку на компьютерные системы США при помощи вредоносной программы Agent.BTZ.
Эксперты заявляют, что перед установкой на систему жертвы Uroburos проверяет ее на наличие Agent.BTZ. Если последний присутствует, то новый руткит остается неактивным. Доказательством того, что за созданием Uroburos могут стоять русские является то, что в коде вредоносной программы присутствует кириллица.
Напомним, что после атаки Agent.BTZ на системы США американским военным запретили использовать USB-накопители и другие съемные носители. В то время предполагалось, что заражение системы Министерства обороны произошло через USB-накопитель.
По заявлениям G Data, целью авторов Uroburos являются крупные предприятия, государства, спецслужбы и прочие организации. Предположительно, руткит используется уже на протяжении трех лет, так как наиболее давние версии программы были написаны еще в 2011 году.
Подробно с отчетом G Data можно ознакомиться здесь.
В связи с последними и планируемыми блокировками РКН решил более тщательно изучить существующие методы их обхода и пришел к выводу, что подавляющее большинство из них никуда не годятся с точки зрения безопасности, так как устанавливают незащищенное соединение через недоверенных посредников. И если в случае с обычным юзером может пострадать лишь он один, то компрометация пароля админа ставит под угрозу весь сайт, и в случае блокировки форума заходить на него тоже надо будет с умом.
Дабы не быть голословным, попробую рассмотреть разные методы по мере увеличения их надежности и безопасности.
1. Самый, на мой взгляд, скверный способ — установка недоверенных плагинов и расширений браузеров, которые запрашивают разрешение на доступ к вашим данным для всех сайтов. В этом случае они будут иметь доступ не только к паролям от этого сайта, но и от всех сайтов, на которые вы входите с данного браузера. Такие расширения лучше обходить стороной.
2. Прокси и VPN сервисы, выполненные в виде отдельных программ или расширений, не требующих повышенных прав. Сюда же можно отнести различные онлайн-анонимайзеры, а также обычные зарубежные прокси сервера, прописываемые в браузере ([url="https://rutracker.org/forum/viewtopic.php?t=5123186"]тема на рутрекере[/url]). Учитывая [url="https://habr.com/ru/news/t/552994/"]список[/url] VPN- и прочих сервисов, которые РКН планирует заблокировать в ближайшие год-два ([url="http://forum.emule-rus.net/index.php?showtopic=61063&hl="]начало уже положено — Opera VPN[/url]), со временем крупных сервисов с хорошей репутацией будет становиться все меньше, и юзеры будут просто выбирать, например, из списка бесплатных прокси, доступных на текущий момент, первый попавшийся, который будет работать. Кто стоит за этим сервисом, никому не известно, может, злоумышленник, и тогда вполне возможен такой сценарий:
Цитата
Люди, предоставляющие обход безопасности, секут в безопасности. Моя паранойя подсказывает, что VPN и прокси сервера - неплохие средства для сбора сведений о пользователях и использования этих сведений против самого пользователя. Допустим, некто ходит на защищённый сайт, предоставляющий интерес злоумышленника, через сервер (VPN или прокси) злоумышленника - этим выдаёт свой IP-адрес и адрес сайта назначения. Злоумышленник создаёт на своём сервере правило, которое, при первом обращении к интересующему сайту, переадресовывает на фейковую страничку, внешне аналогичную интересующей. Некто, как обычно вводит логин и пароль, на что получает ошибку и переадресовывается на настоящий сайт, куда успешно заходит введя ещё раз логин и пароль (кои злоумышленник уже получил со своей фейковой странички). Помимо этого, злоумышленник знает IP-адрес "скрытного" пользователя, что позволяет злоумышленнику в свободное время устраивать агрессивную проверку безопасности оборудования пользователя, с целью обнаружения уязвимости.
Поэтому вход даже на защищенный сайт (https) в таком случае весьма рисковый, хотя для обычного просмотра заблокированных сайтов (без входа) мне метод с [url="https://rutracker.org/forum/viewtopic.php?t=5123186"]proxy.pac[/url] показался наиболее красивым и удобным.
3. TOR, I2P, ONION и другие распределенные сети. В этом случае злоумышленник может находится на последнем узле сети, выводящим на сайт. Правда, он не может заранее создать фейковую страницу, как в предыдущем случае, так как выходные узлы выбираются случайным образом, но, поскольку соединение с нашим сайтом не защищено (http), теоретически злоумышленник может узнать пароль, проанализировав трафик ([url="https://habr.com/ru/post/182704/"]Инфографика — Tor, HTTPS и безопасность[/url]). Вероятность такого развития событий, на мой взгляд, очень невелика, но все же существует. К тому же, многие жалуются на скорость работы через Tor. С другой стороны Tor — очень популярная [url="https://rutracker.org/forum/viewtopic.php?t=5116042"]тема на рутрекере[/url], и с его установкой легко справляются даже блондинки. При отсутствии альтернатив можно использовать и его.
4. Методы дурения DPI провайдера, ссылки на которые в свое время [url="http://forum.emule-rus.net/index.php?showtopic=56840&view=findpost&p=220281"]давал mailstream[/url], суть которых состоит в том, чтобы предотвратить срабатывание блокировок. Надежные в плане безопасности, но могут не сработать, так как разные провайдеры могут использовать разные способы блокировок и иногда их меняют. Для пользователей Виндоуз реализация достаточно простая (по крайней мере, попробовать стоит — [url="https://rutracker.org/forum/viewtopic.php?t=5403670"]тема на рутрекере[/url]): заходите на гитхаб на страничку программы [url="https://github.com/ValdikSS/GoodbyeDPI"]GoodbyeDPI[/url], справа в разделе Releases скачиваете последнюю версию бинарников (Latest), запускаете goodbyedpi.exe в командной строке и пробуете открыть браузером заблокированные сайты http (например, abook-club.ru или нашу заблокированную страницу с анекдотами). ("Чтобы понять, можно ли вообще обойти DPI вашего провайдера программой, запустите скрипт 3_all_dnsredir_hardcore.cmd"). Если сайты не открываются, можно попробовать метод, [url="https://reqrypt.org/reqrypt.html"]обходящий блокировку по IP[/url] (хотя тут безопасность уже под вопросом). Можно также попробовать поиграться с DNS серверами или опциями программы. [url="https://github.com/bol-van/zapret"]Аналог под Линукс, Openwrt (для роутера) и Андроид[/url] обладает более широкими возможностями для дурения DPI, но очень технически сложен и не всем по силам ([url="https://rutracker.org/forum/viewtopic.php?t=5171734"]тема на рутрекере[/url]).
5. Самый надежный и идеальный вариант — использовать собственный зарубежный виртуальный сервер (VPS) для поднятия собственного vpn или прокси, которыми можете управлять только вы, и которые могут быть заблокированы РКН лишь случайно заодно с другими адресами. Вариант платный, но, говорят, стоит копейки (если не гонять через него видео), и в случае вечного бана можно будет рассмотреть его как основной.
----------------------------------------------------------------------------------------------------------- Все вышесказанное лишь мое мнение, сложившееся на основе изучения материалов по обходу, но я решил поделиться им по горячим следам, пока не забыл.
