Sysodmins

0-day Dropbox открывает максимальный доступ к Windows

2019-12-30T13:59:09.219Z

Независимые исследователи обнаружили в Windows-клиенте Dropbox опасную уязвимость нулевого дня. Ошибка, для которой еще не вышел патч, позволяет злоумышленнику получить максимальные привилегии на машине и открывает доступ к командной строке.

Демонстрация эксплойта в действии:

Угроза содержится в компоненте, который обеспечивает обновление клиентской программы. Исследователи установили, что этот модуль устанавливается на компьютере как сервис. В планировщике задач для него формируются два вызова с уровнем доступа SYSTEM.

Свои файлы журнала сервис записывает по адресу C:\ProgramData\Dropbox\Update\Log. Стандартный уровень доступа позволяет всем пользователям добавлять, редактировать и удалять содержимое в этой папке. Кроме того, аккаунт уровня SYSTEM отправляет к хранящимся там файлам вызов SetSecurity. Именно этим и воспользовались эксперты, предложив системе скомпрометированный объект с помощью жесткой ссылки.

Метод требует от взломщика локального доступа к целевой системе. Кроме того, для применения эксплойта необходимо с точностью до миллисекунды знать время записи очередного события — оно указывается в имени файла, через который идет атака. Исследователи смогли взять этот процесс под контроль, используя блокировку oplock и создав 999 жестких ссылок с разными значениями времени.

В итоге эксперты смогли переписать файл с лицензионным соглашением Windows, который хранится в защищенной папке с уровнем доступа SYSTEM. Дальнейшие манипуляции позволили им вызвать командную строку с такими же привилегиями.

Исследователи сообщили Dropbox об уязвимости 18 сентября. Разработчики пообещали устранить ошибку в октябре, однако баг остается актуальным по сей день.

Специалисты подразделения 0patch компании ACROS Security, которые создают микрозаплатки к уязвимостям нулевого дня в отсутствие официальных обновлений, подготовили вариант патча, отключающий в DropBox Updater возможность записи в журнал событий. По словам экспертов, такое изменение не влияет на общую функциональность программы и не мешает установке обновлений. Единственное негативное последствие — возможные трудности при определении причин неполадок ПО.

Операторы платформы 0patch также предположили, что угроза связана с излишними правами доступа к папке Program Data. Если запретить рядовым пользователям записывать в нее данные, подобная атака будет невозможной. Авторы эксплойта, со своей стороны, уточнили, что в будущих релизах Windows разработчики Microsoft устранят угрозу злоупотреблений жесткими ссылками.

Чак Педдл, патриарх микропроцессора 6502, умер в возрасте 82 лет

2019-12-27T09:27:09.374Z

Создатель целой эпохи

В далеком 1975 году Чак Педдл разработал процессор, который буквально изменил все. Речь о легендарном восьмиразрядном микропроцессоре MOS Technology 6502, который в итоге предопределил появление домашних компьютеров в конце 1970-х годов. Данный CPU работал на частоте 1 МГц и отдельно стоил всего $25 — в противоположность тем $175, что Motorola просила в то время за свой 6800 или $250 за интеловский 8080. Именно этот процессор использовался в первых доступных домашних ПК, таких как Apple II и Commodore PET, а его модификации послужили аппаратным базисом знаменитых консолей — Atari 2600 и NES. То есть, именно этому человеку мы все должны быть благодарны за саму возможность сейчас ностальгировать по тем временам, когда 8-битные компьютеры были на переднем крае технологических инноваций. Но путь Чака Педдла, как и любого другого великого инноватора, к успеху не был простым, и процессор 6502 появился только благодаря настойчивости и огромной силы воли инженера.

Я видел исходную схему 6502, она была настолько близка к моему религиозному чувству. Вытаскивая схему из самого нижнего ящика мне казалось, что потускнел свет и как будто я слышал райское пение, и чувствовал запах ладана… видимо ранние схемы были напечатаны на пергаменте - таково было состояние старой рисованной схемы.

Мой друг Бенни, отец многих дисководов, о которых вы, возможно, вы никогда не слышали, почистил что-то слегка написанное на плате, а затем прочитав засмеялся. То, что было написано, было в некотором смысле данью Чаку на штыревом разъеме (pin), который использовался специально для подключения 6502 - разъем Set Overflow (SO), был подписан как CPS (Chuck Peddle Special pin).

Чак Педдл, по данным The New York Times, умер 15 декабря 2019 г. в возрасте 82 лет, но известно об этом стало только накануне. По словам его жены, причиной смерти стал рак поджелудочной железы – от этой же болезни в октябре 2011 г. скончался и основатель Apple Стив Джобс.

Никого не удивим, если скажем, что процессор 6502 и его модификации до сих пор применяются во встраиваемых системах.

Чаку Педдлу, одному из отцов современного процессора. 1937-2019.

AMD представляет новые мини-ПК RYZEN, бросая вызов INTEL

2019-12-26T11:03:18.783Z

Для большинства хакерских и мейкерских проектов долгие годы основной выбор в пользу миниатюрного компьютера падал на Raspberry Pi, который с просто и экономично выполнял относительно лёгкие вычислительные задачи. Хотя Raspberry Pi 4 уже достаточно мощный, что неплохо для устройства из ценового диапазона ~$50-80 USD.

Но мы все знаем, что есть задачи к которым Pi не особенно хорошо подходит. Если вашему проекту требуется много вычислительной мощности или у вас есть ПО, которое должно работать на x86 процессоре , то в таком случае одним из лучших вариантов будет Intel Next Unit of Computing (NUC).

К сожалению, минус Intel NUCs - цена (классика - Intel - монополия), эти миниатюрные компьютеры стартуют около $250 и в зависимости от опций могут доплывать до отметки в $1000 и выше. Отчасти этот резкий рост цен объясняется значительно улучшенным оборудованием, но мы также не можем игнорировать тот факт, что отсутствие какой-либо КОНКУРЕНЦИИ в этом сегменте не оставило нам шансов и не дало Intel стимула для уменьшения цены.

Но это скоро изменится. В недавнем пресс-релизе AMD объявила об "Open eCosystem", которая позволит производителям создавать небольшие форм-факторные компьютеры с использованием процессора Ryzen.

По словам Раджниша Гаура, генерального директора подразделения Embedded Solutions компании AMD, компания почувствовала что пришло время сделать больший толчок за пределы своих традиционных серверных и настольных рынков:

Спрос на высокопроизводительные вычисления не ограничивается серверами или настольными ПК. Встраиваемые клиенты хотят получить доступ к ПК малого форм-фактора, которые могут поддерживать открытые стандарты программного обеспечения, требовать минимальных рабочих нагрузок и даже отображать контент 4K со всеми встроенными процессорами, планируемая доступность которых составляет 10 лет

Первыми партнерами AMD в этом направлении будут ASRock Industrial, EEPD, OnLogic и Simply NUC, предлагающие высокопроизводительные мини-ПК на процессорах AMD Ryzen Embedded V1000 и R1000.

Лёд тронулся, посмотрим что же будет.

Специально оставленный бэкдор или криворукость инженеров Интел?

2019-12-11T14:00:44.901Z

Intel выпустила обновление микрокода, устраняющего уязвимость (CVE-2019-14607), позволяющую через манипуляции с механизмом динамического управления напряжением и частотой в CPU инициировать повреждение содержимого ячеек с данными, в том числе в областях, используемых при вычислениях в изолированных анклавах Intel SGX. Атака получила название Plundervolt, и потенциально позволяет локальному пользователю добиться повышения своих привилегий в системе, вызвать отказ в обслуживании и получить доступ к закрытым данным.

Атака представляет опасность только в контексте манипуляций с вычислениями в анклавах SGX, так как для проведения требует наличия прав root в системе. В простейшем случае, атакующий может добиться внесения искажений в информацию, обрабатываемую в анклаве, но при более сложных сценариях не исключается возможность воссоздания хранимых в анклаве закрытых ключей, используемых для шифрования с использованием алгоритмов RSA-CRT и AES-NI. Техника также может применяться для генерации ошибок в изначально корректных алгоритмах для провоцирования возникновения уязвимостей при работе с памятью, например, для организации обращения к области за границей выделенного буфера. Прототип кода для совершения атаки опубликован на GitHub

Суть метода в создании условий для возникновения непредвиденных искажений данных при вычислениях в SGX, от которых не защищает применение шифрования и аутентификации памяти в анклаве. Для внесения искажений оказалось можно использовать штатные программные интерфейсы для управления частотой и напряжением, обычно применяемые для снижения энергопотребления во время простоя системы и активации максимальной производительности при выполнении интенсивных работ. Характеристики частоты и напряжения охватывают весь чип, в том числе влияют на выполнение вычислений в изолированном анклаве.

Изменяя напряжение, можно добиться возникновения условий, при которых заряда оказывается недостаточно для регенерации ячейки памяти внутри CPU, и её значение меняется. Ключевым отличием от атаки RowHammer является то, что RowHammer позволяет изменить содержимое отдельных битов в памяти DRAM, путём цикличного чтения данных из соседних ячеек, в то время как Plundervolt позволяет добиться изменения битов внутри CPU, когда данные уже загружены из памяти для выполнения вычислений. Подобная особенность позволяет обойти применяемые в SGX механизмы контроля целостности и шифрования данных в памяти, так как значения в памяти остаются корректными, но могут исказиться при операциях с ними, до того как результат будет записан в память.

Если данное изменённое значение используется в процессе умножения в процессе шифрования, то на выходе отказывается некорректный шифротекст. Имея возможность обращаться к обработчику в SGX для шифрования своих данных, атакующий может вызывая сбои накопить статистику об изменении шифротекста на выходе и за несколько минут восстановить значение хранящегося в анклаве ключа. Исходный текст на входе и корректный шифротекст на выходе известны, ключ не изменяется, а вывод некорректного шифротекста свидетельствует об искажении какого-то бита на противоположное значение.

Проанализировав накопленные при разных сбоях пары значений корректного и искажённого шифротекстов, при помощи методов дифференциального анализа сбоев (DFA, Differential Fault Analysis) можно предугадать вероятные ключи, применяемые для симметричного шифрования AES, а затем проанализировав пересечения ключей в разных наборах определить искомый ключ.

Проблеме подвержены различные модели процессоров Intel, включая CPU Intel Core с 6 по 10 поколение, а также пятое и шестое поколения Xeon E3, первое и второе поколения Intel Xeon Scalable, Xeon D, Xeon W и Xeon E.

Напомним, что технология SGX (Software Guard Extensions) появилась в процессорах Intel Core шестого поколения (Skylake) и предлагает серию инструкций, позволяющих выделять приложениям пользовательского уровня закрытые области памяти - анклавы, содержимое которых не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM. Передать управление коду в анклаве невозможно традиционными функциями перехода и манипуляциями с регистрами и стеком - для передачи управления в анклав применяется специально созданная новая инструкция, выполняющая проверку полномочий. При этом помещённый в анклав код может применять классические методы вызова для обращения к функциям внутри анклава и специальную инструкцию для вызова внешних функций. Для защиты от аппаратных атак, таких как подключение к модулю DRAM, применяется шифрование памяти анклава.

Бывший исполнительный директор Mozilla считает, что Google саботировал Firefox в течение многих лет

2019-04-25T08:16:04.506Z

Бывший высокопоставленный руководитель Mozilla обвинил Google в умышленном и систематическом саботаже Firefox в течение последнего десятилетия, чтобы ускорить процесс перехода на Chrome. В адрес Google не в первый раз звучат подобные обвинения, однако в первый раз утверждается наличие у Google скоординированного плана, предусматривающего внесение небольших ошибок на своих сайтах, которые будут проявляться только для пользователей Firefox.

По словам Джонатана Найтингела, бывшего генерального директора и вице-президента группы Firefox в Mozilla, до появления Chrome множество сотрудников Google были поклонниками Firefox, после же его выхода всё стало сложнее. У Google появился конкурирующий продукт, однако, они не разорвали связи и не разорвали "поисковую сделку" - использование Google в Firefox в качестве поиска по-умолчанию. «Мы на одной стороне. Мы хотим одного и того же» - подобным образом выражалось отношение Google к Mozilla.

В то же время, Найтингел, рассказывает, что: «Реклама Google Chrome начала появляться рядом с поисковой выдачей о Firefox. В Gmail и Google Docs начали возникать проблемы с производительностью и ошибки, специфичные только для Firefox. Демо-сайты ложно блокировали Firefox как несовместимый [браузер]».

Подобные ситуации Google всегда характеризовал как "случайности", извинялся и исправлял "ошибку" в течение какого-то времени, в то же время, речь могла идти о неделях. Несмотря на все слова и действия Google, инциденты происходили снова и снова и каждый раз Firefox терял пользователей. Джонатан Найтингел согласен, что не следует искать злой умысел там, где может иметь место некомпетентность, однако, верить в настолько вопиющую некомпетентность Google он не считает рациональным. По его мнению, Mozilla была обманута и Google пользовался каждой проблемой, которую создавал для Firefox для увеличения доли собственного браузера.

Стоит отметить, что Найтингел - не первый из Mozilla, кто выступил с подобными обвинениями. В июле 2018 года Mozilla Program Manager Крис Петерсон обвинил Google в намеренном снижении производительности YouTube в Firefox. Он показал, что загрузка страниц YouTube в 5 раз медленнее в Firefox и Edge, чем в Chrome, из-за того, что редизайн Polymer на YouTube основан на устаревшем Shadow DOMv0 API, реализованном только в Chrome. Исправить подобную ситуацию можно при помощи расширения YouTube Classic.

Мизулина хочет поставить на жестокие игры маркировку «18+»

2019-04-22T20:15:08.332Z

По её словам, Совет Федерации уже готовится ввести отметки «18+» для тайтлов, «связанных с насилием и опасностью для жизни человека».

22 апреля в Москве прошёл Форум безопасного интернета, на котором среди выступила Мизулина.

В своём докладе она затронула тему видеоигр, подготовив поправки в федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию», которые введут дополнительную возрастную маркировку — 18+. Её получат игры, «связанные с насилием и опасностью для жизни человека».

Мы предлагаем распространить на такого рода игры: видео, компьютерные, сетевые, — где приближена к реальности игра, связанная с насилием и опасностью для жизни человека, — возрастную классификацию, то есть ставить на такой игре маркировку «18+».

Мизулина отметила, что члены Совета Федерации столкнулись со значительной проблемой — они не знают, как правильно назвать в законодательстве жестокие игры. Она надеется, что в этом вопросе парламентариям помогут люди, которые «владеют терминологией интернет-пространства».

У нас возникла очень большая проблема в связи с этим по терминологии, в частности: как обозначить такую игру? Игра-стрелялка? Мы же не можем обиходную терминологию включить в закон.

Были бы очень признательны тем, кто владеет терминологией интернет-пространства, чтобы они помогли нам разобраться, чтобы не попадали игры, которые, может быть, и нормальные, в категорию ограниченного распространения.

Согласно действующим нормам закона «О защите детей от информации, причиняющей вред их здоровью и развитию», жестокость и насилие разрешено показывать несовершеннолетним в зависимости от следующих возрастных границ.

от шести лет — кратковременные и ненатуралистические изображение или описание антиобщественных действий. Смерть должна изображаться ненасильственно и не должна вызывать у детей страх, ужас или панику.
от двенадцати лет — эпизодические изображение или описание жестокости и (или) насилия. При этом должно выражаться сострадание к жертве и осуждение насилия и жестокости.
от шестнадцати лет — изображение или описание жестокости и (или) насилия (за исключением сексуального насилия). Лишение жизни или нанесение увечий должны показываться ненатуралистично, а к насилию и жестокости должно выражаться осуждение.

В октябре 2018 года Мизулина предлагала запретить в играх «размещение информации, считающейся насильственной» и увеличить штраф за нарушение закона — его текущий размер составляет 100 тысяч рублей.

И все бы ничего, но маркировки 18+ уже есть!

Роскомнадзор потребовал от владельцев 10 VPN-сервисов подключиться к ФГИС

2019-03-28T16:21:17.082Z

Роскомнадзор направил требования о необходимости подключения к государственной информационной системе (ФГИС) владельцам 10 VPN-сервисов. Кольцо сжимается, господа.

Соответствующие уведомления были направлены в адрес сервисов NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. Согласно Федеральному закону «Об информации..» указанные сервисы обязаны подключиться к ФГИС Роскомнадзора в течение 30 рабочих дней с момента направления требований.

С OpenVPN вообще забавно получается ;-)

Первый достойный ответ от TorGuard:

Команда TorGuard приняла решение удалить всё физическое присутствие в России. Мы очистили все наши серверы в Санкт-Петербурге и Москве, и больше не будем вести бизнес с центрами обработки данных в этом регионе.

TorGuard не разглашал и не будет разглашать никакой информации Российской власти.

Мы приносим извинения всем нашим клиентам за возможные неудобства. Наша команда в настоящее время развертывает дополнительные серверы в соседних странах, чтобы обеспечить надежность и скорость работы VPN для всех в этом регионе.

Нашим приоритетом номер один является безопасность и конфиденциальность наших клиентов. Наша политика всегда была направлена на обеспечение защиты и повышение безопасности пользователей в интернете. Если мы чувствуем, что правовой климат в стране может представлять угрозу для онлайн-безопасности наших клиентов, то мы больше не будем размещать серверы в этой стране.

Внимание: ASUS Software Update Server взломан

2019-03-25T18:24:13.589Z

Сегодня кибербезопасники из Kaspersky выявили массовую атаку, которая могла скомпрометировать более 1 миллиона компьютеров, произведенных тайваньским технологическим гигантом ASUS.

ASUS Live Update-это утилита, которая предварительно установлена на большинстве компьютеров ASUS и используется для автоматического обновления некоторых компонентов, таких как BIOS, UEFI, драйверы и приложения. ASUS является 5-м по величине в мире поставщиком ПК к 2017 году . Чувствуете масштаб?

Проанализировав более 200 образцов вредоносных обновлений, исследователи выяснили, что хакеры не хотят нацеливаться на всех пользователей, вместо этого проходит выборка некого списка пользователей по MAC-адресам.

"Мы смогли извлечь более 600 уникальных MAC-адресов из более чем 200 образцов, использованных в атаке. Конечно, там могут быть другие образцы с разными MAC-адресами ", - говорят в Kaspersky.

Вредоносные файлы были подписаны официальным цифровым сертификатом ASUS.

По словам Kaspersky, бэкдоринговую версию Asus Live Update скачали и установили не менее 57 000 пользователей Kaspersky.

"Мы не в состоянии рассчитать общее количество затронутых пользователей, основанное только на наших данных; однако мы оцениваем, что реальный масштаб проблемы намного больше и, возможно, затрагивает более миллиона пользователей во всем мире", - говорит Kaspersky.

Symantec рассказал что они зафиксировали более чем 13 000 заражений, на которых работает их антивирусное ПО.

Большинство обнаруженных Kaspersky жертв из России, Германии, Франции, Италии и Соединенных Штатов.

Kaspersky уже выпустила автоматизированный инструмент для пользователей, проверяющий стали ли они жертвой ShadowHammer.

Кроме того, можно проверить свой MAC-адрес.

Наблюдаем.

З.Ы. Для удобства, читайте типичного в других соцсетях:

Взломщики похищают аккаунты Office 365 и G Suite через IMAP

2019-03-17T21:13:31.222Z

Чуваки из ИБ-компании Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. Злоумышленники обходят двухфакторную авторизацию и получают доступ к учетным записям через протокол IMAP. За шесть месяцев они проникли в отслеживаемые экспертами аккаунты более 100 тыс. раз.

По мнению специалистов, обеспечить должную степень безопасности разработчикам мешают устаревшие протоколы. Двухфакторная авторизация не позволяет защитить аккаунты в Office 365 и G Suite в нужной мере, поскольку общие и сервисные почтовые ящики арендаторов остаются уязвимыми. Доступ к ним злоумышленники получают в ходе кампаний типа password-spraying через протокол IMAP, когда учетные записи взламывают посредством перебора часто используемых паролей.

По данным специалистов, в период с сентября 2018 года по февраль 2019-го мошенники использовали IMAP-атаки для угона аккаунтов руководителей и административного персонала. Помимо прочего, после захвата профилей они создавали внутренние фишинговые рассылки, а также использовали доступ к корпоративной инфраструктуре для проведения более масштабных внешних атак и распространения по сервисам.

Проанализировав миллионы профилей, исследователи установили:

72%арендаторов облачных сервисов подвергались по меньшей мере одной атаке.
В средах 40% клиентов G Suite и Office 365 обнаружилась хотя бы одна взломанная учетная запись.
В среднем из 10 тыс. активных аккаунтов злоумышленникам удавалось захватить 15.

За последние полгода атакам через IMAP подверглись 60% арендаторов G Suite и Office 365. В каждом четвертом случае злоумышленники успешно проникали в корпоративные среды.

Прошлогоднее исследование компании Bitglass показало, что в инфраструктуре 44% организаций есть по меньшей мере один зловред, предназначенный для выполнения в облаке. В среднем в таких сервисах, как OneDrive, Google Drive, Box и Dropbox, предприятия хранят около 450 тыс. объектов, на каждые 20 тыс. из них приходится один подобный файл.

Mozilla запустила файлообменник Firefox Send

2019-03-13T12:55:44.554Z

В качестве основного отличия Firefox Send от других файлообменников отмечается использование сквозного шифрования для защиты передаваемой информации, что делает новый сервис идеальным для передачи приватной информации.

Сервис использует технологию шифрования на основе браузера, которая шифрует ваши файлы перед их загрузкой на сервер Mozilla, который может быть расшифрован только получателями.

Размер файла не может превышать 1 гигабайта, однако для владельцев аккаунта Firefox этот лимит увеличен до 2,5 гигабайта. Пока что доступна только веб-версия сервиса, однако в скором времени должно появиться приложение для Android.

Вот основные особенности Firefox отправить:

End-to-End Encryption- Firefox Send использует 128-битное шифрование AES-GCM через Web Crypto API для шифрования файлов в веб-браузере перед их загрузкой на сервер.
Установка срока действия ссылки, вы можете выбрать диапазон времени от 5 минут до недели, после которой ваша ссылка на файл удалится.
Ограничение количества загрузок. От 1 до 100 загрузок, после чего ссылка перестанет работать.
Установка пароля на загрузку файла.

Что сказать, достойно вышло.

https://send.firefox.com