Немного про KRACK

Оперативное обнаружение лазеек в программных алгоритмах — удел хакеров и специалистов по компьютерной безопасности, что же касается обычных пользователей, сведения об угрозах доходят до них спустя некоторое время, а то и вовсе остаются незамеченными.

Уязвимость в стандарте WPA позволяет злоумышленнику подключаться к сети Wi-Fi и перехватывать любые отправляемые пользователем данные — логиныпаролиномера кредитных картадреса и прочую конфиденциальную информацию. Смена пароля Wi-Fi-сети бесполезна, всё что нужно знать злоумышленнику, это имя сети, остальное, как говориться, дело техники.

Метод взлома получил название Key Reinstallation Attacks (сокращённо KRACK). Дословно это переводится как переустановка ключа. Если не вдаваться в технические подробности, работает KRACK примерно следующим образом. В момент связи компьютера с роутером задействуется ключ шифрования, который используется только один раз, однако обнаруженный эксплойт позволяет использовать его повторно. Подключение компьютера к роутеру проходит в несколько этапов. На одном из них происходит передача криптографического ключа от роутера к компьютеру. Если маршрутизатор не получает ответ, он отправляет ключ повторно, компьютер же, обнаружив повторную отправку ключа, производит его переустановку. При этом значение nonceсбрасывается к параметрам по умолчанию, обнаруживая таким образом лазейку в шифровании.

Для осуществления атаки хакер создаёт сеть с тем же именем, что и сеть пользователя, а затем отправляет на определённом этапе обмена данными между компьютером и роутером специальные пакеты, переключающие устройство пользователя на другой канал. В результате пользователь подключается не к сети провайдера, а к сети хакера, который используя дыры в имплементации протоколов шифрования, обнуляет ключ шифрования и получает полный доступ ко всем данным, передаваемым или получаемым пользователем по сети.

К

Как защититься от KRACK

Кто-то наверняка возразит, а как же, мол, протокол HTTPS, разве он не защищает от перехвата данных? Всё верно, только вот на многих сайтах реализация HTTPS содержит ошибки, о которых пользователь никак знать не может. Наличие этих ошибок позволяет злоумышленнику без особых проблем переключить браузер пользователя на незащищённую HTTP-версию такого сайта, используя простую утилиту SSLstrip.

Как же тогда защититься от этой угрозы и насколько всё это серьезно?Кому-то ситуация может показаться критической, но не всё так плохо, как кажется. Во-первых, взломать сеть злоумышленник может только в том случае, если он будет находиться в радиусе её действия. Вероятность того, что машина с хакерами припаркуется именно рядом с вашим домом крайне мала, к тому же злоумышленникам придётся действовать практически вслепую, отслеживая простых пользователей, которые могут и не проводить в сети никаких транзакций. Скорее всего, атаки будут направлены на малые предприятия, для которых выполнение таких транзакций обычное дело.

Тем не менее, угроза остаётся реальной, поэтому весьма желательно принять все возможные меры для защиты от подобного рода атак. Первое, что необходимо сделать, это установить последние обновления безопасности для операционных систем и обновить прошивки роутеров. Разработчики ОС и производители маршрутизаторов в курсе проблемы, и многие из них уже выпустили патчи, закрывающие уязвимость. Если возможности обновить прошивку роутера нет, не используйте Wi-Fi по крайней мере при выполнении операций в сети, требующих передачи конфиденциальных данных.

Откажитесь от использования публичного Wi-Fi, используйте вместо него мобильные точки доступа. При регистрации на сайтах, требующих ввод личной информации следите, чтобы в адресной строке была иконка замка, указывающая на использование сайтом протокола HTTPS. Тем более не вводите личные данные на сайтах, на которых раньше присутствовал HTTPS, а потом вдруг исчез. Наконец, вы можете обезопасить своё соединение, воспользовавшись VPN, не забывая однако, что способ этот является дополнительным и не гарантирует стопроцентного шифрования трафика.

Yesterdayby @mrlamer
2
0

WhatCMS-Инструмент для определения движка сайта

WhatCMS – инструмент очень серьёзный , сложный и местами капризный.

Поэтому установив его , вас ожидает вот такое окно.

Он требует регистрации и получения API-ключа https://whatcms.org/Documentation?cmd=LoginForm

инструмента в незаконных целях и напоминают ,что вся информация предоставлена для ознакомления.

Установка :

1234# git clone https://github.com/HA71/WhatCMS.git# cd WhatCMS# chmod +x whatcms.sh# ./whatcms.sh -h -запуск с выводом опций

Регистрация подразумевает подтверждение перехода по ссылке в вашей почте.И затем , надо будет сгенерировать API-ключ.Копируем его , заходим в директорию инструмента.

Удобным для вас редактором , требуется открыть файл запуска whatcms.sh

И вставить ваш ключ , после чего инструмент станет работоспособным.

При получении ключа предлагается несколько вариантов.

Платные варианты разрешают большее количество запросов в месяц.В бесплатном варианте , 1000 запросов за месяц возможно осуществить.Согласитесь , что это щедро на самом деле и вполне устраивает.

Алгоритм работы у инструмента простой :

1# ./whatcms.sh название_ресурса.домен

Опции:

123-h вызов справки-wh небольшие детали,может ещё IP показать--tools список атакующего арсенала

В списке арсенала 44 замечательных просто инструментов , часть из которых вам WhatCMS предложит , в зависимости от обнаруженных сведений о тестируемом ресурсе.

TOOL ID UTILITY

__________________ ____ ________________________

XBruteForcer 1 Brute Force Tool

__________________ ____ ________________________

CMSsc4n 2 Identify Tool

__________________ ____ ________________________

CoMisSion 3 Analyze Tool

__________________ ____ ________________________

droopescan 4 Analyze Tool

__________________ ____ ________________________

CMSmap 5 Analyze Tool

__________________ ____ ________________________

JoomScan 6 Analyze Tool

__________________ ____ ________________________

beecms 7 Exploit Tool

__________________ ____ ________________________

Dumb0 8 Username Scrapper Tool

__________________ ____ ________________________

VBScan 9 Analyze Tool

__________________ ____ ________________________

JoomlaScan 10 Analyze Tool

__________________ ____ ________________________

c5scan 11 Analyze Tool

__________________ ____ ________________________

T3scan 12 Analyze Tool

__________________ ____ ________________________

Puppet 13 Identify Tool

__________________ ____ ________________________

moodlescan 14 Analyze Tool

__________________ ____ ________________________

SPIPScan 15 Analyze Tool

__________________ ____ ________________________

WPHunter 16 Analyze Tool

__________________ ____ ________________________

WPSeku 17 Analyze Tool

__________________ ____ ________________________

ACDrupal 18 Analyze Tool

__________________ ____ ________________________

Plown 19 Analyze Tool

__________________ ____ ________________________

pyfiscan 20 Identify Tool

__________________ ____ ________________________

conscan 21 Analyze Tool

__________________ ____ ________________________

CMSScanner 22 Analyze Tool

__________________ ____ ________________________

cmsExplorer 23 Analyze Tool

__________________ ____ ________________________

WPScan 24 Analyze Tool

__________________ ____ ________________________

CMSXPL 25 Exploit Tool

__________________ ____ ________________________

JMassExploiter 26 Exploit Tool

__________________ ____ ________________________

WPMassExploiter 27 Exploit Tool

__________________ ____ ________________________

CMSExpFram 28 Exploit Tool

__________________ ____ ________________________

LotusXploit 29 Exploit Tool

__________________ ____ ________________________

BadMod 30 Exploit Tool

__________________ ____ ________________________

MooScan 31 Analyze Tool

__________________ ____ ________________________

M0B 33 Exploit Tool

__________________ ____ ________________________

LetMeFuckIt 34 Exploit Tool

__________________ ____ ________________________

magescan 35 Exploit Tool

__________________ ____ ________________________

PRESTA 36 Exploit Tool

__________________ ____ ________________________

Scanners 37 Analyze Tool

__________________ ____ ________________________

EktronE 38 Exploit Tool

__________________ ____ ________________________

LiferayScan 39 Analyze Tool

__________________ ____ ________________________

InfoLeak 40 Analyze Tool

__________________ ____ ________________________

joomlavs 41 Analyze Tool

__________________ ____ ________________________

WAScan 42 Analyze Tool

__________________ ____ ________________________

RedHawk 43 Analyze Tool

__________________ ____ ________________________

HostileSBF 44 Analyze Tool

Теперь о насущном и немного лирики:

Автор не указал для какой системы Linux подходит WhatCMS

Нашёлся инструмент контент ,определил и спрашивает,будем ли тестировать.Когда надо было указать ID при выборе инструмента для атаки и тестирования , то и правая часть клавиатуры разочаровала.

Почему – то ввод команд с клавиатуры , оказалось непростой задачей при работе с framework.Выход нашёлся в виртуальной клавиатуре , на которую инструмент прекрасно реагирует.

Также имейте в виду , что вводимые данные отображаются в незаметном режиме.

В завершении работы с WhatCMS и последующем тестировании , согласно указанного вами номеру ID из подобранных им,скачивается инструментарий в сформированную директорию cmstools раздела суперпользователя.

И это , пожалуй , главный недостаток инструмента , т.к. некоторые наименования могут быть уже установлены в ОС.А здесь , получается ,что произойдёт дубликат скачивания.

Далее , вы начинаете работу на тестирование на проникновение ,выявление уязвимостей , но это уже другая история.

Yesterdayby @mrlamer
2
0

Как определяют,находится ли пользователь под Proxy или VPN?

  1. Заголовки HTTP proxy

Некоторые прокси дописывают свои заголовки к запросу, который инициирует браузер пользователя. Нередко это реальный IP адрес пользователя. Убедитесь, что прокси сервер если и пишет что-то в заголовки указанные ниже, то хотя бы не ваш адрес: HTTP_VIA, HTTP_X_FORWARDED_FOR, HTTP_FORWARDED_FOR, HTTP_X_FORWARDED, HTTP_FORWARDED, HTTP_CLIENT_IP, HTTP_FORWARDED_FOR_IP, VIA, X_FORWARDED_FOR, FORWARDED_FOR, X_FORWARDED, FORWARDED, CLIENT_IP, FORWARDED_FOR_IP, HTTP_PROXY_CONNECTION

2. Открытые порты HTTP proxy

IP адрес, с которого пришел запрос к нашей страничке может сказать о многом. Можно например посмотреть какие на той стороне открыты порты? Самые интересные порты 3128, 1080, 8123. Если их не использовать, то вполне можно избежать необоснованных подозрений в использовании 3proxy, SOCKS 5 или Polipo.

3. Открытые порты web proxy

Как и в случае с HTTP, веб прокси можно повесить на любой порт, но мы хотели, чтобы тест работал очень быстро, поэтому ограничились обратным коннектом на порты 80 и 8080. Отдается веб страничка? Отлично! На данный момент мы умеем определять PHProxy, CGIProxy, Cohula и Glype. Нестандартные порты с авторизацией закрывают вопрос.

4. Подозрительное название хоста

Имея IP адрес можно попробовать отрезолвить хостнейм клиента. Стоп слова, которые могут намекать на туннель: vpn, hide, hidden, proxy. Не стоит привязывать доменные имена к личному VPN, а если и делать это, то стоит избегать «говорящих» имён.

5. Разница во временных зонах (браузера и IP)

Исходя из данных GeoIP можно узнать страну по IP пользователя, а следовательно и его временную зону. Дальше можно вычислить разницу во времени между браузером и временем соответствующим временной зоне VPN сервера. Разница есть? Значит пользователь наверняка скрывается. Для России точной базы latitude и longtitude для регионов нет, а так как временных зон много, то в конечном результате эти адреса мы не учитываем. С Европейскими странами всё наоборот, очень хорошо они палятся. При переключении на VPN нужно не забывать переводить системное время, менять время в браузере, либо работать с русскими прокси.

6. Принадлежность IP к сети Tor

Если ваш IP адрес это Tor нода из списка https://check.torproject.org/cgi-bin/TorBulkExitList.py, поздравляю, вы спалились. Ничего криминального, но уже факт раскрытия того, что вы скрываетесь, не очень радует.

7. Режим браузера Turbo

Собрав диапазоны IP адресов Google, Yandex и Opera, и сравнив с пользовательским адресом, можно предположить использование сервисов сжатия трафика в браузерах соответствующих компаний. Как правило такие сервисы ещё и сливают ваш реальный адрес в заголовках. Как на средство анонимизации, рассчитывать на сжатие трафика не следует.

8. Определение web proxy (JS метод)

Сравнив window.location.hostname с хостом запрошенной страницы, можно определить используется ли web proxy. Веб прокси в принципе не надёжны, поэтому лучше обходить такие способы анонимизации совсем.

9. Утечка IP через Flash

Adobe Flash очень хорошо работает мимо пользовательских прокси. Инициировав соединение к нашему серверу, можно узнать IP пользователя. Запустив специального демона, который логгирует все входящие соединения с ключами-метками, можно многое узнать. Лучший способ не раскрывать свой адрес — не использовать Adobe Flash вообще, или отключать в настройках браузера.

10. Определение туннеля (двусторонний пинг)

Запустив пинг к клиентскому IP, со стороны нашего сервера, можно узнать приблизительную длинну маршрута. То же самое можно сделать со стороны браузера, XMLHTTPRequest дёргает пустую страницу нашего nginx. Полученную разницу в петле более 30 мс можно интерпретировать как туннель. Конечно маршруты туда и обратно могут различаться, или веб сервер чуть притомозит, но в целом точность получается довольно хорошая. Единственный способ защититься — запретить ICMP трафик к своему VPN серверу.

11. Утечка DNS

Узнать какой DNS использует пользователь не проблема, мы написали свой DNS сервер, который записывает все обращения к нашим уникально сгенерированным поддоменам. Следующим шагом собрали статистику на несколько миллионов пользователей, кто и какой DNS использует. Сделали привязку к провайдерам, отбросили публичные DNS и получили список пар DNS/ISP. Теперь совсем не сложно узнать, если пользователь представился абонентом одной сети, а использует DNS совсем от другой. Частично проблему решает использование публичных DNS сервисов, если это можно назвать решением.

12. Утечка через ВКонтакте

Это не утечка IP адреса, но всё же мы считаем, что отдавая всем налево и направо имена авторизованных пользователей, VK сливает частные данные, которые подрывают на корню всё анонимность серфинга. Подробнее можно посмотреть документацию здесь https://vk.com/dev/openapi . Кнопка «Выход» после каждой сессии в общем то решает вопрос, но лучшая рекомендация — не входить.

Yesterdayby @mrlamer
1
0

Какие данные у вас берёт Microsoft в Windows 10?

Windows 10 уже наделал больше шума, чем все предыдущие релизы от Microsoft вместе взятые. И причина вполне понятна — в новой операционной системе найдены беспрецедентные средства контроля за пользователем.

Некоторые эксперты уверены, что наступает новая эра в IT, когда свободный пользователь исчезнет как класс. Каждому человеку будет присвоен инвентаризационный номер, на каждого будет составлено досье на основании данных из его личной переписки, перемещений, SMS и т.д.

Исследователи вооружились сетевыми мониторами, средствами отладки и иными профессиональными инструментами и заглянули внутрь Windows 10, чтобы понять: что именно Windows 10 крадет с компьютера пользователя.

Microsoft берет с вашего компьютера:

  1. Весь печатаемый текст. Не важно, каким приложением вы пользуетесь. Нажатия клавиш перехватываются на уровне операционной системы, данные собираются в пакеты и отправляются с периодичностью 1 раз в 30 минут на следующие сервера:

Код:

oca.telemetry.microsoft.com.nsatc.net <--- этот сайт найден в списке "Hackers, Spyware, Botnets etc."
pre.footprintpredict.com
reports.wes.df.telemetry.microsoft.com

Например, пользователь пишет письмо с помощью сервиса Gmail, работающего в Chrome или Firefox. Но текст письма всё равно будет перехвачен на низком уровне ОС и отправлен на сервера Microsoft. Зачем? Для того, чтобы работал этот сервис. Формальное объяснение от Microsoft: нужно для улучшения работы системы предиктивного ввода (ускоренный набор текста).

2. Геолокационные данные. И названия сетей Wi-Fi поблизости. Накапливаются и передаются раз в 30 минут. Позволяют отслеживать физические перемещения пользователя с точностью до нескольких метров. Объяснение от Microsoft: данные нужны для поисковой системы Bing, чтобы она могла выдавать более релевантные ответы. Что это значит для пользователя: Microsoft знает ваш домашний адрес (зачем он нужен см. п. 5). Если у вас мобильное устройство с Windows 10, в Microsoft знают о всех местах, где вы бываете.

3. Запись с микрофона. Микрофон в Windows 10 включен постоянно (см. статью «Windows 10 тайно включает микрофон». Сначала высказывались предположения, что это необходимо для работы сервиса Cortana (голосовой помощник), но чуть позже стало известно, что отключение Cortana не решает проблему. Записи голоса пользователя могут накапливаться, какая-то часть из них отправляется на сервера Microsoft. Эксперты по компьютерной безопасности предупреждают: если вы пользуетесь зашифрованными средствами связи (например, используете SIP-телефонию с шифрованием трафика), такая несанкционированная запись звуков с микрофона может поставить вашу безопасность под удар. Использовать надежный канал VoIP одновременно с Windows 10 — совершенно бессмысленное занятие. Лучше сразу выйти на улицу и прокричать.

4. Телеметрия. Фантастическая по своей потенциальной небезопасности функция, которая даже не скрывается компанией-разработчиком. Телеметрия — это передача данных в Microsoft о состоянии вашего компьютера и вашей активности. Собирается буквально всё: какие программы установлены, какие запущены, объем занятой памяти, журналы приложений, фрагменты оперативной памяти и так далее. Учитывая, что в оперативной памяти может оказаться что угодно — от данных для служебного пользования до номеров кредиток — такая передача на чужие сервера является потенциальной уязвимостью. Хотя в Microsoft уверяют, что данные надежно шифруются, кто может гарантировать, что шифр не будет тайком взломан злоумышленниками? Ведь всем известно, что у Microsoft всегда были большие проблемы с безопасностью. Точнее, с устойчивой неспособностью эту безопасность обеспечить.

Данные по телеметрии передаются на следующие сервера:

Код:

telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net

5. Борьба с пиратством. Windows 10 просматривает названия пользовательских файлов и сверяет с постоянно обновляемым списком пиратских новинок. Если находятся соответствия, листинги пользовательских директорий отправляются в Microsoft. Фактически, компьютер доносит на своего же владельца.

Данные об антипиратской активности Windows 10 были известны давно. Но предполагалось, что акцент будет сделан на борьбе с контрафактными играми. Сейчас становится понятно, что главная цель — лишить пользователей возможности скачивать с торрентов пиратские копии американских фильмов и сериалов.

Особо следует отметить, что сопоставление данных о наличии нелицензионного видео на компьютере пользователя с собранными геолокационными данными открывает отличную возможность для MPAA (Американская ассоциация кино) и RIAA (Американская ассоциация звукозаписи) отсудить у какой-нибудь американской домохозяйки очередную пару миллионов долларов. Российским пользователям, похоже, пока бояться нечего: система срабатывала только при обнаружении американских фильмов.

6. Портрет на память. Некоторые пользователи заметили, что после первой активации Windows 10 на короткий период включается web-камера. Исследования это подтверждают — в Microsoft передается 35 Мб данных сразу после активации и включения встроенной камеры. Предположительно, данные привязываются к пользовательскому аккаунту Microsoft.

Код:

i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net


Mr. Lamer

August 15, 2018by @mrlamer
2
0

Как быстро поменять IP адрес?

Для начала нам понадобится браузерMozilla Firefox

Далее дополнение для браузера Mozilla Firefox – FoxyProxy

Шаг первый – установка дополнения.

Чтобы перейти на страницу загрузки дополнения FoxyProxy, нажмите здесь, а на самой странице плагина, кликаем по зеленой кнопке «Добавить в Firefox»:

После появится вот такое сообщение, где вам нужно щелкнуть по кнопке «установить»:

Когда дополнение установится, откроется страница браузера с расширениями, где в строке расширения FoxyProxy нажимаем на вкладку «перезапустить сейчас»:

Все, расширение FoxyProxy установлено, а его значок виден в правом верхнем углу браузера

При нажатии на значок, появляется окно управления дополнением:

Синяя полоска и галочка левее этой полоски, а также надпись с правой стороны «По-умолчанию» означают, что ваш IP адрес будет меняться в автоматическом режиме и для его смены достаточно включить дополнение в выпадающем меню «Выбран режим», и выбрать там значение «Прокси «По-умолчанию» для всех адресов».

После чего, значок расширения FoxyProxy в верхней панели браузера окрасится в синий цвет и при переходе на любую страницу, начнет вращаться в разных направлениях. А чтобы узнать, какой сейчас у вас IP адрес, достаточно перейти на сайт 2ip.ru, где вы увидите не только сам адрес, но также местоположение, которое соответствует текущему имени компьютера, т. е. его IP адресу.

Однако, такой вариант смены IP адреса нам не всегда подходит и вот почему:

Во-первых, чем ближе новый IP адрес к вашему фактическому месту положения, тем лучше скорость интернет-соединения.

Во-вторых, многие рекламодатели требуют выполнения заданий с IP адресов привязанных к какой-нибудь стране, региону или даже городу.


Mr. Lamer

August 14, 2018by @mrlamer
4
0
Show more