USB Киллер

Ловушки безопасности Ruby и как их избежать

2021-01-26T09:37:13.484Z

Источник: t.me/USBKiller

Ruby – универсальный язык, сочетающий в себе простоту синтаксиса и мощные функции. Благодаря популярности фреймворка Rails, Ruby входит в десятку лучших современных языков. Однако с таким комьюнити разработчиков существует множество распространенных ошибок, ведущих к серьезным последствиям.

Острые ножи

С момента создания Ruby обрел репутацию языка программирования, который обладает ориентированными на счастье разработчиков функциями. Тем не менее он имеет особенность в виде «острых ножей» в своем ящике функций, и только вопрос времени, когда от них кто-то серьезно пострадает.

«Острые ножи» – это все доступное в Ruby метапрограммирование, и тот нюанс, что все открыто для изменения/переопределения в любой момент. Дальше станет понятнее. Рассмотрим ошибки и их решения.

Небезопасная десериализация

Выполнять все, что пользователь собирался отправлять – плохая мысль. А вот сериализация/десериализация пользовательского ввода не кажется такой уж плохой идеей, т. к. никакой код при этом не выполняется.

Небезопасная десериализация входит в первую десятку OWASP Top Ten чеклиста для веб-безопасности.

Основанная на Psych встроенная библиотека YAML Ruby поддерживает сериализацию пользовательских типов данных в YAML и обратно:

        # serialize.rb
require 'yaml'
require 'set'

s = Set.new([1, 2, 3])
File.open('set.yml', 'w') do |file|
  YAML.dump(s, file)
end

--- !ruby/object:Set
hash:
  1: true
  2: true
  3: true

Десериализация этого YAML возвращает исходный тип данных:

# deserialize.rb
require 'yaml'
require 'set'

file = File.read('set.yml')
s = YAML.load(file)
p s    
$ ruby deserialize.rb

#<Set: {1, 2, 3}>

Как вы можете видеть, строка-- !ruby/object: Set описывает, как повторно создавать экземпляры объектов из их текстовых представлений. Это открывает множество векторов атаки, которые могут перерасти в RCE.

Решение

Решение заключается в использовании безопасной загрузки. Используйте функцию YAML::safe_load вместо YAML::load. Она полностью блокирует загрузку пользовательских классов:

        # deserialize.rb
require 'yaml'
require 'set'

file = File.read('set.yml')
s = YAML.safe_load(file)
p s

$ ruby deserialize.rb

/usr/ruby/2.7.0/psych/class_loader.rb:97:in `find':
Tried to load unspecified class: Set (Psych::DisallowedClass)

Стандартные типы вроде хэшей и массивов все еще могут быть сериализованы в документы YAML и десериализованы из них, как и раньше.

---
hash:
  1: true
  2: true
  3: true
     
$ ruby deserialize.rb

{"hash"=>{1=>true, 2=>true, 3=>true}}

IO hijacking

Если вашему приложению необходимо читать или записывать пользовательские файлы с диска или делать запросы через API к пользовательским URL-адресам, вы можете написать следующий код:

        # test.rb
puts 'Enter file path:'
path = gets.chomp
puts 'File contents:'
open(path, 'r') do |file|
  until file.eof? do
    puts file.gets
  end
end

У пользователя запрашивается имя файла, а потом его содержимое выводится построчно. Здесь есть ошибка.

Функция Kernel::open из приведенного выше фрагмента кода имеет еще одну дополнительную функцию, которая используется для порождения процессов. Посмотрите, что происходит, когда вы передаете начинающиеся с символа конвейера ( | ) входные данные:

$ ruby test.rb

Enter file path:
|date
File contents:
Sun Nov 15 22:03:33 IST 2020

Она выполняет команду date и передает выходные данные обратно Ruby. Злоумышленник будет выполнять команды гораздо более разрушительные, чем в этом коде. В нашем примере базовое RCE – удаленный пользователь, выполняющий код на сервере с полными привилегиями, доступными вашему веб-приложению.

Никогда не запускайте код от ненадежного источника, такого как пользователь, но если все-таки придется – ограничьте доступ к выбранным ресурсам.

Решение

Никогда не используйте Kernel::open! Альтернативой является File::open, URL::open или IO::open, в зависимости от контекста. Попробуем еще раз, на этот раз с File::open вместо Kernel::open. Такой вариант гораздо более безопасен, поскольку он не дает доступа к shell:

# test.rb
puts 'Enter file path:'
path = gets.chomp
puts 'File contents:'
File.open(path, 'r') do |file|
  until file.eof? do
    puts file.gets
  end
end

$ ruby test.rb

Enter file path: 
|date
File contents:
Traceback (most recent call last):
 2: from test.rb:4:in `<main>'
 1: from test.rb:4:in `open'
test.rb:4:in `initialize': No such file or directory @ rb_sysopen - |date (Errno::ENOENT)

SQL injection

Инъекция происходит, когда пользовательский ввод из фронтенда без проверок и очистки применяется непосредственно в SQL-запросе на бекенде.

Допустим, у вас есть столбец users, в котором выполняется поиск по введенному в форму имени. Вот, как бы это выглядело в Ruby:

User.where("name = '#{name}'")

Это небезопасно. Рассмотрим следующий ввод от злоумышленника:

name = " ' OR '1' = '1" # Ввод от злоумышленника

Запрос ложный, как видно в первой строке и крашится из-за вредоносного кода, как показано во второй строке. WHERE всегда true и возвращает каждого пользователя из таблицы:

SELECT * FROM users WHERE name = '<name>'         -- <name> ложный запрос
SELECT * FROM users WHERE name = ' ' OR '1' = '1' -- все сломалось

Решение

Используйте один из следующих двух способов:

User.where(["name = ?", name])
User.where({ name: name })

Оба подхода предназначены для очистки значения перед генерацией запроса и поэтому невосприимчивы для этой атаки.

Автоинкремент ID

Когда вы создаете модель Rails, автоматически создается id – автоинкрементное целочисленное поле. По большей части этого достаточно. Целочисленные идентификаторы имеют преимущество: поскольку они постоянно увеличиваются, нет никаких шансов на коллизию. Что произойдет, если пострадает безопасность:

Масштабирование может стать сложнее. Если множество серверов работают независимо друг от друга, вполне вероятно, что они могут назначить один и тот же ID разным ресурсам.
Станет возможным определить, сколько у вас объектов. Можно зарегистрироваться и увидеть собственный идентификатор, чтобы узнать количество клиентов и даже оценить бизнес-показатели.
Можно будет перебирать и красть данные. Злоумышленник сможет вывести весь список и получить все ограниченные ресурсы.
Возможна утечка конфиденциальной информации. Незарегистрированные ресурсы, видимые только держателям ссылок, сломались бы из-за целочисленных ID.

Решение

Используйте UUID. С Rails сделать это будет очень просто. После несложного изменения все ваши модели будут использовать UUID в качестве первичных ключей:

# config/application.rb 
config.generators do |g|
  g.orm :active_record, primary_key_type: :uuid
end

Если вы все-таки хотите использовать целые числа, берите большие, выбранные случайным образом. Посмотрим на структуру URL-адресов ролика из YouTube. Так выглядит его URL-адрес:

https://www.youtube.com/watch?v=dQw4w9WgXcQ

Идентификатор видео – это случайное число между $0$ и $64^{11}$ (более 73 квинтиллионов чисел), закодированное в Base64. Не совсем UUID, но и не целочисленное поле с автоинкрементом.

Инструменты в помощь

Ключевой вывод из описанных выше примеров – никогда не доверять юзеру. Данные пользователя не должны быть напрямую сериализованы/десериализованы, оценены или обработаны. В качестве дополнительных мер предосторожности подойдет специальный софт.

Статические анализаторы кода

Инструменты анализа кода, такие как линтеры и сканеры уязвимостей, могут найти множество просчетов до того, как те начнут эксплуатироваться. RuboCop уведомит вас о проблемах безопасности, вроде небезопасной десериализации или IO hijacking, а также предложит варианты исправления.

Brakeman – сканер уязвимостей, который может найти SQL-инъекцию среди других ошибок безопасности. Оба инструмента являются бесплатными и поставляются с открытыми исходными текстами.

DeepSource – комплексное ПО, способное сканировать код, на каждом коммите, анализировать результаты работы линтеров/анализаторов и автоматически устранять множество проблем.

Для большинства языков программирования это решение имеет собственные пользовательские анализаторы, которые постоянно совершенствуются и обновляются. А еще оно элементарно устанавливается – нужно всего лишь добавить .deepsource.toml файл в корень репозитория и DeepSource готов:

        version = 1

[[analyzers]]
name = "ruby"
enabled = true

[[transformers]]
name = "rubocop"
enabled = true

Заключение

Проблемы с безопасностью – самые опасные и дорогостоящие. Будьте предельно внимательны и учитывайте все вышесказанное в своих проектах.

ПОДПИСАТЬСЯ - USBKiller

Оттачиваем свои хакерские навыки в игре от Google

2021-01-24T15:08:20.848Z

Источник: t.me/USBKille

XSS — это довольно распространенная уязвимость в безопасности веб-сайтов. Абрревиатура расшифровывается как Cross Site Scripting (межсайтовый скриптинг).

Распространенный сценарий эксплуатации на уязвимых сайтах — добавление вредоносного (обычно JavaScript) кода в HTML-страницу, которая демонстрируется пользователям. Как только этот код будет запущен браузером жертвы, он может повлиять на поведение или внешний вид страницы, украсть конфиденциальные данные или совершить какие-либо действия от имени пользователя.

Типичный запрос для XSS-атаки выглядит примерно следующим образом:

https://example.com/demo/2?query=<script>alert('hello')</script>

Если веб-сайт example.com не защищен от XSS, то при переходе по этой ссылке пользователь увидит всплывающее окно с надписью “hello”.

Бывают активные и пассивные XSS-уязвимости. Активная уязвимость внедряется в базу данных на сервере либо в серверный код, вследствие чего потенциальными жертвами становятся все пользователи сайта. Пример пассивной же уязвимости вы можете видеть выше. Для того, чтобы стать её жертвой, пользователь должен перейти по ссылке, содержащей JavaScript-код.

С помощью XSS злоумышленники могут украсть cookie, данные из пользовательских форм, а также совершать более изощренные атаки, комбинируя XSS и CSRF, и даже проводить DDoS.

В чем суть игры?

Суть XSS Game заключается в проведении 6 различных вариантов XSS-атак в “эмуляторе браузера”, который встроен в страницу.

К каждому из видов уязвимости дается небольшое введение, а если с решением задачи возникают трудности, то можно воспользоваться несколькими (тремя-четырьмя) подсказками. И хотя некоторые из них построены на игре слов, обычно после второй-третьей из них додуматься до решения становится уже несложно. В крайнем случае всегда можно изучить код участвующего сервера и HTML-шаблонов.

После успешного прохождения всех шести уровней участника просят оценить интересность и сложность игры, после чего предоставляют ссылку на учебник по уязвимостям от Google.

Игра затягивает уже с первого уровня и будет хорошим способом отточить свои навыки в эксплуатации XSS-уязвимостей.

ПОДПИСАТЬСЯ - USBKiller

Hack Bluetooth - Принцип работы

2021-01-21T14:15:59.597Z

Источник: t.me/USBKiller

Ubertooth One.

Подробное описание этой игрушки можно найти тут.

Итак, по порядку, рассмотрим что такое Bluetooth, и как он работает.

Технология Bluetooth - это технология беспроводной связи малого радиуса действия, которая заменяет кабели, соединяющие электронные устройства, позволяя человеку разговаривать по телефону через гарнитуру, использовать беспроводную мышь и синхронизировать информацию с мобильного телефона на ПК, используя одно и то же ядро. система.

Радиочастотный приемопередатчик Bluetooth (или физический уровень) работает в нелицензируемом диапазоне ISM с центральной частотой 2,4 гигагерца (тот же диапазон частот, который используется микроволнами и Wi-Fi). В базовой системе используется приемопередатчик со скачкообразной перестройкой частоты для борьбы с помехами и замираниями.

Для управления устройствами Bluetooth используется радиочастотная топология, известная как «звездообразная топология». Группа устройств, синхронизированных таким образом, образует пикосеть, которая может содержать одно ведущее устройство и до семи активных ведомых устройств с дополнительными ведомыми устройствами, которые не участвуют активно в сети. (Данное устройство также может быть частью одной или нескольких пикосетей, либо в качестве ведущего, либо в качестве ведомого.)

В пикосети физический радиоканал совместно используется группой устройств, которые синхронизированы с общими часами и шаблоном скачкообразной перестройки частоты, при этом ведущее устройство обеспечивает ссылки для синхронизации.

Пикосеть - является фундаментальной формой коммуникации в технологии Bluetooth. Пикосеть является сетью категории “Ad Hoc”. Пикосеть может содержать до 7 активных ведомых устройств. Кроме того, в окрестности (зоне уверенного приема) ведущего устройства могут находиться неактивные (так называемые «припаркованные») ведомые устройства, которые также синхронизированы на общие часы и общую последовательность смены частот, но не могут обмениваться данными до тех пор, пока ведущее устройство не активирует их.

Не лишним будет и рассказать что такое PAN:

Personal Area Network, PAN - это сеть, построенная «вокруг» человека. PAN представляет собой компьютерную сеть, которая используется для передачи данных между устройствами, такими как компьютеры, телефоны, планшеты и т.д.

Персональные сети могут использоваться как для информационного взаимодействия отдельных устройств между собой (интерперсональная коммуникация), так и для соединения их с сетями более высокого уровня, например, глобальной сети Интернет (восходящая линия связи), где одно "первичное" устройство берет на себя роль интернет-маршрутизатора.

Беспроводная персональная сеть (WPAN) является маломощной PAN, которая организуется на небольшом расстоянии с использованием беспроводных сетевых технологий, таких как:

INSTEON
IrDA
Wireless USB
Bluetooth
Z-Wave
ZigBee
Body Area Network
Piconet

Идём далее, от скучной теории к интересной практике.

Допустим, главным устройством является ваш мобильный телефон. Все остальные устройства в вашей пикосети называются подчиненными. Это может быть гарнитура, GPS-приемник, MP3-плеер, автомобильная стереосистема и т. д.

Устройства в пикосети используют определенный шаблон скачкообразной перестройки частоты, который алгоритмически определяется ведущим устройством. Базовый шаблон скачкообразной перестройки - это псевдослучайное упорядочение 79 частот в диапазоне ISM.

Шаблон скачкообразной перестройки может быть адаптирован для исключения части частот, которые используются мешающими устройствами. Техника адаптивного переключения улучшает сосуществование технологии Bluetooth со статическими (без переключения) системами ISM, такими как сети Wi-Fi, когда они расположены поблизости от пикосети.

Радиосвязь Bluetooth осуществляется в ISM-диапазоне (Industry, Science and Medicine), который используется в различных бытовых приборах и беспроводных сетях (свободный от лицензирования диапазон 2,4—2,4835 ГГц). Именно для этого в Bluetooth применяется метод расширения спектра со скачкообразной перестройкой частоты (Frequency Hopping Spread Spectrum, FHSS).

Согласно алгоритму FHSS, в Bluetooth несущая частота сигнала скачкообразно меняется 1600 раз в секунду (всего выделяется 79 рабочих частот шириной в 1 МГц).

Физический канал (или беспроводная связь) подразделяется на единицы времени, известные как слоты. Данные передаются между устройствами с поддержкой Bluetooth в пакетах, которые размещаются в этих слотах. Скачкообразная перестройка частоты происходит между передачей или приемом пакетов, поэтому пакеты, составляющие одну передачу, могут отправляться на разных частотах в диапазоне ISM.

Физический канал также используется как транспорт для одного или нескольких логических каналов, которые поддерживают синхронный и асинхронный трафик, а также широковещательный трафик.

Каждый тип линка имеет определенное использование. Например, синхронный трафик используется для передачи аудиоданных в режиме громкой связи, в то время как асинхронный трафик может нести другие формы данных, которые могут выдерживать большую изменчивость сроков доставки, например печать файла или синхронизацию вашего календаря между телефоном и компьютером.

Одна из сложностей, часто связанных с беспроводной технологией - это процесс подключения беспроводных устройств. Пользователи привыкли к процессу подключения проводных устройств, вставляя один конец кабеля в одно устройство, а другой конец в дополнительное устройство.

Технология Bluetooth использует принципы «запроса» и «сканирования запросов». Сканирующие устройства прослушивают на известных частотах устройства, которые активно опрашивают. Когда запрос получен, сканирующее устройство отправляет ответ с информацией, необходимой запрашивающему устройству, чтобы определить и отобразить природу устройства, которое распознало его сигнал.

Допустим, вы хотите по беспроводной сети распечатать изображение со своего мобильного телефона на ближайшем принтере. В этом случае вы переходите к изображению на своем телефоне и выбираете печать в качестве варианта отправки этого изображения. Телефон начнет поиск устройств поблизости.

Принтер (сканирующее устройство) ответит на запрос и, в результате, появится в телефоне как доступное печатающее устройство. Ответив, принтер готов принять соединение. Когда вы выбираете беспроводной принтер Bluetooth, процесс печати начинается с установления соединений на последовательно более высоких уровнях стека протоколов Bluetooth, которые в данном случае управляют функцией печати.

Как и в любой другой успешной технологии, вся эта сложность происходит без осознания пользователем чего-либо, кроме задачи, которую он пытается выполнить, например, подключения устройств и разговоров по громкой связи или прослушивания высококачественной стерео музыки в беспроводных наушниках.

ПОДПИСАТЬСЯ - USBKiller

Вытаскиваем переписку WhatsApp из смартфона без root

2021-01-20T15:41:27.684Z

Источник: t.me/USBKiller

Вся информация на канале предоставлена исключительно в ознакомительных/образовательных целях.

Подготовка

Работать можно на Windows 7/8/10, Linux или MacOS.

1) Для начала, нужно скачать и установить Java.

2) Затем нужно установить (на ПК) ADB (Android Debug Bridge) Drivers. Вы можете скачать установщик отсюда (КЛИК) или воспользоваться информацией с 4pda. Установка этих драйверов не должна вызвать затруднений, поэтому идем дальше.

3) Теперь включаем на смартфоне функцию "Отладка по USB". Обычно её можно найти по следующему пути: Настройки - > Параметры разработчика - > > (Отладка) USB-отладка>>

Если у вас нет пункта "Параметры разработчика", перейдите в раздел: Настройки -> О телефоне/устройстве и нажмите много раз нажимайте на строку, где указан номер сборки. О том, что вы стали разработчиком уведомит специальная надпись.

4) Подключаем смартфон к ПК по USB кабелю.

5) Переходим на github (ТЫК), скачиваем архив и распаковываем его.

6) В папке с распакованными файлами запускаем WhatsAppKeyDBExtract.bat

7) Если на телефоне будут появляться предупреждения, жмем везде Ок

На ПК будет отображаться примерно следующее:

После появления надписи: "Now unlock your device and confirm the backup operation", - вы должны ввести пароль, который затем вас попросят ввести и в консоли на ПК.

После этого начнётся процесс извлечения необходимых файлов. Они будут находится в папке "extracted" и дальше мы будем работать именно с ними

8) Далее нам понадобится WhatsApp Viewer. Скачать его можете с github или. Распаковываем архив, там будет один exe. Запускаем его

9) Жмем File>Open, появится такое окно

В строке File вы должны указать извлечённый файл msgstore (он находится в папке extracted).
В строке Account name указывается основной адрес электронной почты учетной записи Google на вашем телефоне. Также можно попробовать оставить это поле пустым, но работает не всегда
В строке wa.db соответственно выбираем файл wa.db всё из той же папки extracted

Если что вы всегда можете навести мышку на знаки вопроса справа от строк.

Осталось нажать "Ок" и всё, мы имеем полную копию всех переписок

ПОДПИСАТЬСЯ - USBKiller

ARP сканирование локальной сети Linux

2021-01-20T07:00:38.363Z

Источник: t.me/USBKiller

Самый надежный способ обнаружить все подключенные к сети Linux устройства, в том числе и скрытые - это ARP сканирование локальной сети. В этой статье мы рассмотрим как его выполнить и какие утилиты для этого нужны.

Как выполнить ARP сканирование локальной сети?

Как вы знаете, у всех компьютеров в сети есть IP адреса. Никогда не задавались вопросом, как сеть определяет, какому компьютеру принадлежит тот или иной адрес? Ведь сети бывают разные, проводные, беспроводные, ppp и т д. И в каждой из этих сетей аппаратный адрес компьютера имеет свой формат, зависящий от конструктивных особенностей сети, а IP адреса одни и те же.

Все очень просто. Для преобразования физических адресов, в ip адреса используется протокол ARP (Address Resolution Protocol), так и расшифровывается - протокол разрешения адресов. Когда компьютеру нужно обратиться к другому компьютеру в локальной сети, он отправляет специальный запрос в котором буквально спрашивает "У кого IP адрес 192.168.1.4", компьютер с таким ip адресом отправляет ответ "У меня, я 11:22:33:44:55", в ответе он передает свой физический адрес в этой сети. Дальше этот адрес заносится в специальную таблицу... но это уже тонкости реализации и они выходят за рамки нашей статьи. Сегодня мы поговорим как самому выполнить ARP сканирование локальной сети linux и найти все подключенные устройства.

Формат сообщений ARP - простой. Сообщение содержит либо запрос с IP адресом, либо ответ. Размер сообщения зависит от используемого сетевого протокола IPv4 или IPv6, типа оборудования сети и т д. Типы и размеры адресов определяются в заголовке сообщения. Заголовок завершается кодом сообщения. Код 1 для запроса и 2 для ответа.

Тело сообщения состоит из четырех адресов, аппаратные и сетевые адреса отправителя и получателя.

Если в вашей сети есть устройства, которые не отвечают на любые запросы, такие как Ping, HTTP, HTTPS и т д, то их можно найти послав ARP запрос. Это могут быть различные фаерволы и маршрутизаторы, в том числе маршрутизаторы компании Cisco, такое поведение заложено их протоколом. В таком случае ARP сканирование сети Linux будет единственным способом найти такое устройство.

Утилита ARP Scan

ARP Scan или еще называемый MAC Scanner - это очень быстрый инструмент для сканирования локальной сети Linux с помощью ARP. Утилита показывает все IPv4 адреса устройств в вашей сети. Поскольку ARP не использует маршрутизацию, то такой вид сканирования работает только в локальной сети.

ARP Scan находит все активные устройства, даже если у них включен брандмауэр. Компьютеры не могут скрыться от ARP также как они скрываются от ping. Но ARP сканирование не подходит для поиска компьютеров за пределами локальной сети, в таких ситуациях используйте ping сканирование.

Установка ARP Scan

Этот arp сканер сети доступен для следующих операционных систем:

Debian, поставляется по умолчанию;
Ubuntu, можно установить с репозитория Universe;
Fedora, официальные репозитории начиная с версии 6;
RedHat - доступна начиная с версии 5;
Gentoo, официальные репозитории;
ArchLinux - официальные репозитории Pacman.

Для установки в Ubuntu выполните:

sudo apt install arp-scan

Сканирование сети

ARP Scan позволяет находить активные компьютеры как в проводных сетях ethernet, так и в беспроводных Wifi сетях. Также есть возможность работать с Token Ring и FDDI. Не поддерживаются последовательные соединения PPP и SLIP, поскольку в них не используется ARP. Программу нужно запускать с правами суперпользователя.

Но сначала надо узнать сетевой интерфейс, который используется для подключения к сети. Для этого можно воспользоваться программой ip:

ip addr list

В данном случае, это enp24s0. Самый простой способ выполнить ARP сканирование и обнаружить все подключенные к локальной сети компьютеры - запустить программу со следующими параметрами:

sudo arp-scan --interface=enp24s0 --localnet

Здесь параметр --interface, задает интерфейс для сканирования, а --localnet, говорит, что нужно использовать все возможные IP адреса для текущей сети.

Первый параметр можно опустить, тогда программа будет искать все узлы для интерфейса с меньшим номером в системе. В нашем примере имя интерфейса - enp24s0.

Вместо параметра --localnet, можно указать маску сети:

sudo arp-scan --interface=enp24s0 10.0.1.0/24

ARP сканирование можно использовать, даже если у вашего интерфейса нет IP адреса. Тогда в качестве исходящего адреса будет использован 0.0.0.0. Правда, на такие запросы могут ответить не все системы. Тогда ARP сканер сети не так эффективен.

ARP спуфинг и ARP прокси

Поскольку в ARP нет поддержки аутентификации, ARP ответ на запрос может отправить любая машина, даже не та которой он был адресован. Иногда такое поведение используется в архитектуре сети - ARP прокси или маршрутизатор предает свой IP адрес вместо адреса запрашиваемой машины. Но также может использоваться для перехвата данных, отправляемых компьютером. Хакер может использовать ARP чтобы выполнить атаку "Человек посередине" или "Отказ в обслуживании" на других пользователей сети. Для защиты от таких атак существует специальное программное обеспечение.

Выводы

ARP Scan это простой, но очень мощный инструмент, с помощью которого можно выполнять сканирование ip адресов в локальной сети linux. Те, кто знаком с Cisco маршрутизаторами и коммутаторами, знают что найти такие устройства можно только с помощью ARP. Это полезный инструмент, возможно, когда-то вам он пригодится.

ПОДПИСАТЬСЯ - USBKiller

Дырявые диски. Эксплуатируем уязвимости в сетевых хранилищах Synology

2020-02-28T17:46:01.727Z

Источник: t.me/USBKiller

Содержание статьи
Шифрование в сетевых накопителях (NAS)
Шифрование в Synology
Управление ключами шифрования в Synology DSM
Как делать правильно
Эксплуатация уязвимостей
Статьи по теме
Заключение

Шифрование в сетевых накопителях (NAS)

Конкуренция среди производителей сетевых хранилищ для домашних пользователей и офисов огромна. Здесь и модели Western Digital, привлекающие нулевой или отрицательной ценой (NAS со встроенным диском стоит дешевле такого же диска отдельно), и признанные гранды QNAP и Synology, которые берут мощной программной частью и длительной поддержкой, и выступающие с переменным успехом Asustor и Drobo, и даже экзотические для нас Terra Master и Thecus. В большинстве моделей этих производителей предусмотрено шифрование, позволяющее защитить пользовательские данные.

Шифрование в Synology

Все без исключения сетевые накопители Synology используют один и тот же алгоритм шифрования AES с длиной ключа 256 бит. Выбор этого алгоритма шифрования вполне логичен: большинство современных наборов микросхем поддерживает аппаратное ускорение AES или хотя бы набор инструкций, использующихся именно в этом алгоритме. Тем не менее реальная безопасность зашифрованных таким образом данных разительно отличается в зависимости от реализации.

Практически во всех NAS, в которых вообще есть возможность зашифровать данные, используется либо защита всего накопителя целиком (аппаратное шифрование SED — Self-Encrypting Disk — на уровне контроллера SATA), либо шифрование тома, расположенного как на одном диске, так и на массиве RAID. В части моделей (например, QNAP) можно активировать оба способа — и это позволяет избежать некоторых очевидных атак.

В моделях Synology, предназначенных для серверных стоек, также можно активировать аппаратное шифрование SED. Однако большинство домашних и офисных моделей такой возможности лишены. Вместо этого Synology предлагает использовать шифрование файлов на уровне отдельных сетевых папок.

Шифрование реализовано средствами стандартной для Linux файловой системы eCryptFS, о которой можно почитать, например, здесь или здесь. В сравнении с методами шифрования, основанными на защите целых томов, у такого пофайлового шифрования есть и достоинства, и недостатки.

В достоинства мы запишем следующее:

Поскольку шифруются отдельные сетевые папки, не имеет абсолютно никакого значения, на каком из внутренних физических или логических накопителей они расположены.
Каждый пользователь может зашифровать свою папку своим собственным паролем. Таким образом обеспечивается защита между отдельными пользователями.
Стандартная реализация шифрования позволяет просто скопировать зашифрованную папку, к примеру на другой накопитель, — и данные останутся надежно зашифрованными. При этом смонтировать и расшифровать такую папку легко получится стандартными же средствами на любом компьютере с Linux.
Шифруются как сами данные, так и имена папок и файлов.

Если у пофайлового шифрования столько достоинств, почему все остальные производители предпочитают шифровать целые тома? К сожалению, недостатки eCryptFS способны серьезно ограничить шифрование или даже сделать его невозможным.

Основное и самое неприятное ограничение eCryptFS — на длину имен файлов. В имени файла в зашифрованной папке не может быть больше 143 символов ANSI или 47 символов иероглифической записи.

Следующее ограничение напрямую касается безопасности зашифрованных данных, и оно более чем серьезно. В рамках реализации eCryptFS разработчики Synology не предусмотрели такой простой вещи, как разделение ключей шифрования данных MEK (Media Encryption Key) и ключей шифрования ключа KEK (Key Encryption Key). В результате тот пароль, который пользователь задает при создании зашифрованной папки, и служит тем самым ключом шифрования данных — MEK. Не говоря даже о том, что энтропия заданного домашним пользователем или офисным работником пароля, как правило, существенно меньше 256 бит, что позволяет создать очень быструю и эффективную атаку.

Кроме того, в этой реализации пользователь не может сменить ключ шифрования без полной перешифровки сессионных ключей всех до единого файлов. Перешифровка же типичной сетевой папки с несколькими десятками тысяч файлов может занять несколько часов (в зависимости от модели устройства и скорости диска), так что, можно сказать, изменение ключа шифрования нерационально.

Хорошо, об ограничениях поговорили. А что насчет уязвимостей? Они есть, и их больше одной. Но прежде чем говорить об уязвимостях, рассмотрим механизм управления ключами, реализованный в Synology.

Управление ключами шифрования в Synology DSM

Все сетевые хранилища Synology работают под управлением операционной системы Disk Station Manager (DSM), практически все модели компании (по крайней мере, те из них, которые были выпущены в последние пять-шесть лет) — под управлением унифицированной сборки. Обновления выходят практически одновременно для всех моделей. На сегодня актуальны сборки DSM 6.2.

Для управления ключами в DSM 6.2 используется утилита Key Manager, основная задача которой — сохранить ключи и обеспечить возможность автоматического монтирования зашифрованных томов после загрузки устройства.

После создания зашифрованной сетевой папки ключ (файл с расширением .key, представляющий собой пароль в «обертке», — практически обфускация) автоматически сохраняется на компьютер пользователя. Этот ключ можно сохранить (например, в зашифрованном архиве), а можно удалить — если пользователь уверен, что никогда не забудет пароль шифрования.

А вот дальше есть варианты. Пользователь может выбрать один из трех способов управления ключами.

Полностью ручное управление. На устройстве Synology пароль не сохраняется (помним при этом, что файл с ключом был автоматически сохранен на компьютер пользователя). При включении NAS или перезагрузке DSM зашифрованные тома автоматически размонтируются. Для их монтирования нужно зайти в администраторский веб-интерфейс, открыть раздел сетевых папок и вручную смонтировать все нужные зашифрованные папки. Для продвинутых пользователей существует неофициальный и недокументированный вариант с удаленным монтированием через SSH, но, полагаю, большинству домашних и офисных пользователей об этом неизвестно.
Двоичный ключ шифрования (machine key в терминах DSM) сохраняется на устройстве Synology. Зачем это может понадобиться пользователю? Да просто чтобы избежать описанных в первом пункте шагов для монтирования зашифрованного тома! Достаточно поставить галочку в пункте mount on boot, и DSM автоматически подмонтирует зашифрованную папку при загрузке. Профит! О безопасности, правда, можно забыть: если и ключ шифрования, и сами данные хранятся на одном и том же устройстве, то расшифровка тривиальна.

3. Наконец, реверанс в сторону безопасности: ключ шифрования сохраняется не на самом устройстве, а на внешнем USB-накопителе. Более того, ключ шифрования MEK, сохраненный на внешнем USB-накопителе, можно зашифровать своим собственным паролем (KEK) — и это важный момент. Тем не менее и для ключей шифрования, сохраненных на USB-накопителе, опция mount on boot по-прежнему доступна. Значит, при ее активации пароль шифрования ключа (KEK), введенный пользователем, сохраняется на устройстве Synology. Отметим и этот момент.

Что произойдет, если вставить USB-накопитель с ключом уже после загрузки, когда зашифрованная папка не смонтирована? Автоматически не смонтируется, будет предложен выбор из трех вариантов аутентификации.

Как DSM получает двоичный ключ шифрования для алгоритма AES из пароля пользователя? Можно было бы ожидать, что пароль шифрования, указанный пользователем, «заворачивается» очередным ключом wrapping key, а он играет роль ключа KEK, который должен защитить ключ шифрования данных MEK.

На самом же деле в DSM (уточню: в тех версиях DSM, которые работают на потребительских моделях Synology, предназначенных для дома и офиса) не используется ничего подобного. Данные шифруются паролем, который устанавливает пользователь. А вот сам пароль шифруется одной-единственной фразой — аналогом печально известного default_password, использующегося при шифровании по методу FDE в Android.

Что это нам дает? Во-первых, если пароль шифрования сетевой папки нам известен, расшифровать ее содержимое мы можем на абсолютно любом компьютере с Linux, просто вытащив диск из сетевого накопителя. Сложности, связанные с монтированием RAID-массива, мы оставим в стороне — в конце концов, такие программы существуют даже для Windows.

Во-вторых, если пользователь сохранил ключ во встроенной утилите Key Manager (а это делают гораздо чаще, чем ты думаешь, ведь монтирование зашифрованных папок в DSM — занятие небыстрое и не самое удобное), то такой сохраненный ключ тоже шифруется все тем же wrapping key — теперь мы можем не только расшифровать данные, но и увидеть сам пароль, который вводил пользователь!

Если ключ шифрования сохраняется на встроенном накопителе, пароль wrapping passphrase сменить нельзя. Этот пароль один и тот же на всех накопителях Synology.

Что получается в результате? При использовании встроенной в DSM утилиты Key Manager уровень защиты данных строго равен нулю: и сами данные, и ключ шифрования MEK хранятся на жестком диске, а ключ KEK фиксированный и нам известен. Извлекаем диск, читаем или расшифровываем данные, заодно узнаем оригинальный пароль, который ввел пользователь.

Как делать правильно

Для лучшего понимания всей глубины проблемы сравним механизм шифрования DSM с тем, что используют компьютеры с Windows. Для защиты данных в Windows используется широко известный и подробно документированный механизм BitLocker, которым можно зашифровать системный раздел. Ключ шифрования данных MEK сохраняется в составе контейнера; при этом ключ MEK будет зашифрован ключом KEK, который генерирует защищенный модуль TPM2.0. Извлечь оттуда этот ключ практически невозможно, проще устроить лобовую атаку пароля учетной записи Windows.

Таким образом, если мы вытащим из компьютера зашифрованный BitLocker диск, то расшифровать его не удастся даже в том случае, когда используется защита самого начального уровня — BitLocker Device Protection. Для расшифровки потребуется, чтобы диск был установлен в тот самый компьютер с тем самым аппаратным модулем TPM2.0, и понадобится пароль от учетной записи пользователя. Просто TPM2.0 или просто пароля от учетной записи для расшифровки раздела недостаточно.

Если все так плохо, то в чем вообще смысл включать шифрование и использовать встроенный Key Manager? Причин несколько.

Peace of mind. Чувство защищенности и спокойный сон очень важны для здоровья. О том, что чувство безопасности ложное, можно никогда и не узнать. Примерно этой же цели (и с тем же результатом) служат театры безопасности, устроенные в некоторых странах органами охраны правопорядка на входе в аэропорт или на железнодорожный вокзал.
Безопасная продажа или утилизация работоспособного накопителя. Допустим, в далеком 2014 году ты приобрел NAS с двумя гигантскими дисками аж по 3 Тбайт каждый. В 2019 году этот объем уже не впечатляет, и ты решил заменить их на два диска по 8 Тбайт. Что делать со старыми дисками? В первую очередь — уничтожить данные. Это можно сделать, полностью переписав содержимое накопителя — займет несколько часов. Но той же цели можно добиться проще и быстрее, просто удалив ключи шифрования из Key Manager. Теперь зашифрованные данные просто цифровой шум, а диск достаточно заново инициализировать.
Наконец, ты можешь сохранить ключ не на встроенный, а на внешний USB-накопитель — и вот тогда Key Manager предложит тебе ввести свой собственный пароль для защиты ключа. Теперь для расшифровки дисков потребуется USB-накопитель с ключом шифрования, а твой пароль, которым защищен ключ шифрования, будет сохранен на внутреннем накопителе в Synology.

Итак, выполнение любого из перечисленных ниже условий делает зашифрованные данные уязвимыми.

Пользователь добавляет ключ в Key Manager, сохраняя его на встроенном накопителе. Положение переключателя mount on boot в данном случае значения не имеет.

2. Пользователь сохраняет ключ на внешнем USB-накопителе, и у тебя есть доступ к этому накопителю.

3. Ключ шифрования автоматически сохраняется на компьютер пользователя при создании зашифрованной сетевой папки. Если тебе доступен этот ключ, проблемы с расшифровкой данных не будет. Имя файла по умолчанию — .key.

4. Наконец, если тебе удалось узнать пароль шифрования, то расшифровка данных тривиальна.

Эксплуатация уязвимостей

Итак, подытожим описанное выше. В Synology DSM используется стандартная криптографическая файловая система eCryptFS, при этом шифрование SED на уровне SATA домашними и офисными устройствами не используется. Ключи шифрования могут сохраняться на встроенный или внешний накопитель. В первом случае ключ шифрования защищается фиксированным паролем; во втором пароль задает пользователь, но этот пароль сохраняется на встроенном накопителе (по крайней мере, если включена опция mount on boot).

Уязвимость 1: отсутствие шифрования SED, а также шифрования на уровне тома позволяет извлечь диск и изменить пароль от административной учетной записи владельца устройства, просто отредактировав файл /etc/passwd.

Уязвимость 2: если пользователь сохранил ключ шифрования в DSM Key Manager, его можно извлечь и использовать для расшифровки зашифрованных данных. Кроме того, из сохраненного ключа шифрования легко разворачивается и оригинальный пароль, который вводил пользователь при создании зашифрованной сетевой папки.

Уязвимость 3: все устройства Synology используют фиксированный пароль для шифрования ключа шифрования.

Следующая команда отобразит оригинальный пароль, который вводил пользователь при создании зашифрованной папки:

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

Здесь $1$5YN01o9y — тот самый фиксированный ключ wrapping passphrase, а keyfile.key — зашифрованный ключ шифрования данных MEK.

Узнав пароль, можно смонтировать зашифрованную папку на любом компьютере с Linux. То же самое можно сделать и одной командой при помощи файла с ключом шифрования:

mount -t ecryptfs -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=yes,passwd=$(printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase /path/to/keyfile.key -) /path/to/encrypted/folder /path/to/mountpoint

Пути /path/to/keyfile.key, /path/to/encrypted/folder и /path/to/mountpoint нужно заменить на фактически используемые. Физически зашифрованное содержимое сетевых папок DSM сохраняет в следующей коннотации:

/Volume<N>/@<name_of_encrypted_share@

В примере выше путь будет таким:

/Volume1/@Encrypted_Share@

Статьи по теме

Если пользователь сохранил ключ на внешнем USB-накопителе, DSM запросит пароль для шифрования этого ключа.

Если пользователь настроил сетевую папку таким образом, чтобы она автоматически подключалась после загрузки устройства, то этот пароль сохраняется на внутреннем накопителе. Пароль можно извлечь и использовать для доступа к данным.

Наконец, если пользователь вообще не сохранил ключ шифрования в Key Manager, то данные в относительной безопасности. «Относительной» потому, что средняя энтропия пользовательских паролей значительно ниже энтропии 256-битного ключа шифрования AES. Атаки на пароли именно этого типа существуют давно, отлично оптимизированы и работают чрезвычайно быстро (в отличие, например, от атак на ключи BitLocker или документы, созданные в Microsoft Office 2016, — при прочих равных такие атаки работают значительно медленнее). Никто не отменял и человеческий фактор, который также может использоваться для взлома таких паролей.

Заключение

Данные расшифрованы, все пропало? Реальная безопасность «непробиваемого» шифрования в Synology оказалась ниже ожидаемой из-за того, что аппаратных механизмов обеспечения безопасности нет. Для обеспечения безопасности ключей шифрования в iOS используется Secure Enclave, в Windows — TPM2.0, в устройствах с Android — TrustZone. В домашних и офисных моделях Synology не используется ничего из вышеперечисленного, хотя даже в SoC Realtek RTD1296, на которой основаны младшие модели Synology DS118, DS218Play и DS218, поддержка ARM TrustZone есть. Роль аппаратного модуля безопасности выполняет фиксированная фраза $1$5YN01o9y — аналог default_password в старых версиях Android.

Выбор средств защиты данных всегда компромисс между удобством и безопасностью. И если в Windows, Android и iOS мы получаем стойкую защиту зашифрованных файлов, которую не удалось пробить даже эксплуатации уязвимости на уровне загрузчика, то у пользователей Synology выбор простой: или относительно безопасно, но неудобно (сетевые папки монтировать каждый раз вручную, через веб-интерфейс, вводя каждый раз более или менее стойкий пароль шифрования), или удобно, но с нулевым уровнем безопасности. Компромиссным решением будет хранение ключа шифрования на подключаемой к устройству флешке, которую можно вставлять во время загрузки и извлекать из накопителя после ее завершения.

ПОДПИСАТЬСЯ - USBKiller

Шифруйся грамотно! Изучаем перспективные мессенджеры для приватной переписки

2020-02-20T17:48:45.403Z

Источник: t.me/USBKiller

Содержание статьи
Критерии оценки
Wickr
Tox (Antox)
Jami
Chat.Onion
Firechat
Адамант
Cyphr
Silence
Итоги

Критерии оценки

Здесь мало что изменилось по сравнению с предыдущим исследованием. Я убрала проверку на блокирование скриншотов (это все равно слишком легко обойти), но добавила пункты о возможности использования одной учетной записи сразу на нескольких устройствах и проверку на то, могут ли передаваться сообщения каким-либо способом, кроме как в интернете.

FOSS — доступен ли исходный код по свободной лицензии, как разработчики взаимодействуют с сообществом, принимают ли патчи.
Степень централизации — требуется ли наличие центрального сервера, который можно заблокировать, используется ли сеть серверов, или каждый клиент является одновременно и сервером (P2P).
Возможность анонимной регистрации и использования — есть ли привязка к телефону, и используются ли иные методы «жесткой аутентификации».
Наличие End-to-End Encryption (E2EE) — некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но попадаются и те, где сквозного шифрования просто нет.
Синхронизация End-to-End encrypted чатов — наличие этой функции сильно упрощает жизнь, но технически реализовать ее непросто, и встречается она редко.
Необходимость проверки отпечатков E2EE (в том числе в групповых чатах) — не все мессенджеры имеют функцию проверки отпечатков, некоторые не предлагают делать это открыто. Групповые чаты без проверки отпечатков собеседников перестают быть приватными.
Групповые E2EE-чаты — интересная функция, которая позволяет шифровать переписку между несколькими пользователями.
Возможность добавления устройств — использовать одну и ту же учетную запись на разных устройствах бывает не просто удобно, а необходимо.
Защита социального графа — важно, собирает ли мессенджер информацию о контактах пользователя и другие данные.
Альтернативные способы передачи данных — проверка возможности передавать сообщения каким-либо способом, кроме как через интернет.

Wickr

Официальный сайт

Лицензия: проприетарный клиент, открытый протокол (исходники)

Централизация: централизованный

Анонимность: регистрация доступна без номера телефона, но при желании можно его добавить

E2EE: есть, по умолчанию

Синхронизация E2EE: нет, при входе в учетную запись с другого девайса предыдущая переписка не сохранилась

Проверка отпечатков: можно отправить собеседнику короткое видео со своим лицом, чтобы он мог убедиться, что ты — это ты, но никакого уведомления об этом нет. И эта функция в программе спрятана слишком глубоко

Возможность добавления устройств: есть

Групповые E2EE-чаты: есть

Уведомление о проверке E2EE: уведомлений нет, возможность есть

Защита социального графа: приложению можно разрешить доступ к списку контактов (делать это, конечно, не стоит)

Альтернативные способы передачи данных: нет

Мессенджер, основанный на блокчейне, — по уверениям разработчиков, анонимный на 100%. Переписка осуществляется через серверы, но все сообщения удаляются как с них, так и с компьютеров, смартфонов и других девайсов, при этом пользователь может сам настроить продолжительность хранения истории сообщений.

Вся передаваемая информация может шифроваться с использованием стандартов (AES-256, ECDH-521, RSA-4096 TLD). Ради пущей безопасности для каждого нового сообщения формируется свой ключ. Вся переписка пользователей обезличена — сообщения не содержат имен отправителя, получателя и геометок.

На сайте разработчика доступны три версии: me, ent и pro, однако бесплатно для личного использования можно скачать только первую из них. Ent и pro платные и имеют расширенный набор функций.

Интересно, что этот мессенджер используется в некоторых государственных и правительственных учреждениях. Хорошо это или плохо, сказать сложно.

Tox (Antox)

Antox в Google Play

Лицензия: GPLv3 (исходники)

Централизация: децентрализованный

Анонимность: да

E2EE: есть, по умолчанию

Синхронизация E2EE: нет

Проверка отпечатков: чтобы начать диалог, необходимо или ввести идентификатор собеседника, или считать его QR-код

Возможность добавления устройств: можно импортировать профиль c одного смартфона на другой

Групповые E2EE-чаты: есть

Уведомление о проверке E2EE: в групповой чат может добавиться любой пользователь, который знает его ID, без предварительной проверки отпечатков

Защита социального графа: есть

Альтернативные способы передачи данных: нет

Этот мессенджер создала группа независимых разработчиков, ратующих за безопасность и приватность переписки. Программа опенсорсная, все сообщения передаются со сквозным шифрованием, отключить которое не получится никак. Интерфейс мессенджера простой и понятный, что меня очень порадовало.

ToxВ основе Antox лежит протокол Tox, который обеспечивает голосовую и видеосвязь, возможность отправлять мгновенные сообщения и передавать файлы, режим конференции с несколькими участниками, а также другие фичи, присущие практически каждому современному мессенджеру. А главное — в нем отсутствует реклама.

Antox

Для каждой ОС разработчики придумали свое клиентское приложение. Программы qTox и μTox — это десктопные версии, Antox — мобильная версия для Android, а Antidote предназначен для пользователей iOS. Я рассмотрела только Antox, оценить преимущества и недостатки реализаций мессенджера для других платформ ты можешь самостоятельно.

Jami

Официальный сайт

Лицензия: GPLv3 (исходники десктопной версии, исходники клиента для Android)

Централизация: децентрализованный

Анонимность: да

E2EE: есть, по умолчанию

Синхронизация E2EE: нет — переписки, предшествовавшие моменту входа в аккаунт с нового устройства, не синхронизировались

Проверка отпечатков: чтобы добавить контакт, можно отсканировать QR-код, но можно найти контакт по нику или по идентификатору телефона. Под идентификатором телефона подразумевается последовательность из сорока символов, которая служит идентификатором пользователя. Можно также поделиться своими контактными данными через любой другой мессенджер, почту или передать их по Bluetooth

Возможность добавления устройств: к одному устройству с помощью генерируемого пин-кода можно привязать несколько аккаунтов

Групповые E2EE-чаты: нет

Защита социального графа: есть

Альтернативные способы передачи данных: нет

Jami — это полностью опенсорсный мессенджер, код которого публикуется по лицензии GPLv3. Программа выросла из проекта SFLphone.

Раньше эта программа называлась Ring, но за время написания статьи ее успели переименовать в Jami. Возможно, разработчики сделали это, чтобы избежать путаницы с другим мессенджером под таким же названием, который не попал в мой список.

Как и любой другой мессенджер, Jami поддерживает отправку текстовых сообщений, безопасные и надежные аудио- и видеозвонки, а также передачу документов и файлов.

Для установки соединения между пользователями применяются распределенные хеш-таблицы. Все ключи шифрования и идентификации остаются в пределах смартфона пользователя. Серверы не используются, то есть пользователи образуют одноранговую сеть, что очень хорошо с точки зрения безопасности.

Chat.Onion

Страница с описанием

Лицензия: исходники открыты, без лицензии

Централизация: децентрализованный

Анонимность: да, пользователю сразу присваивается идентификатор

E2EE: да, по умолчанию

Синхронизация E2EE: нет

Проверка отпечатков: чтобы добавить собеседника, необходимо отсканировать его QR-код и дать ему отсканировать свой

Возможность добавления устройств: существует версия только для смартфонов, функцию входа в существующую учетную запись обнаружить не удалось

Групповые E2EE-чаты: нет

Защита социального графа: есть

Альтернативные способы передачи данных: нет

Этот мессенджер основан на onion-маршрутизации, которая используется в браузере Tor. Она позволяет скрыть IP-адрес пользователя, метаданные и любую другую идентифицирующую информацию. Для этого каждое сообщение передается между несколькими прокси-серверами в рандомном порядке, прежде чем достигнет адресата. Анонимность обеспечивается благодаря тому, что каждый сервер «знает», только откуда пришло сообщение и куда его надо отправить дальше.

Каждому пользователю присваивается ID, состоящий из 16 символов, но для упрощения жизни можно просто отсканировать QR-код собеседника.

Само приложение порадовало своим минимализмом, как и сайт разработчиков.

Firechat

Официальный сайт

Лицензия: проприетарный

Централизация: децентрализованный

Анонимность: и да и нет. Свои данные вроде номера телефона указывать не надо, но вот примерное местоположение пользователя можно определить

E2EE: есть

Синхронизация E2EE: при выходе из приложения можно импортировать ключи, чтобы иметь возможность затем дешифровать сообщения

Проверка отпечатков: можно ограничить возможность пересылки зашифрованных сообщений — они будут отправляться только тем пользователям, чьи отпечатки верифицированы

Возможность добавления устройств: есть

Групповые E2EE-чаты: есть

Защита социального графа: вроде бы есть, но то, что в «общую комнату» по умолчанию объединяются пользователи, находящиеся на небольшом расстоянии друг от друга, не очень-то сочетается с безопасностью

Альтернативные способы передачи данных: по Bluetooth и Wi-Fi

Проприетарный мессенджер, созданный в компании Open Garden. Работает весьма необычным способом: объединяет всех пользователей мессенджера, находящихся на расстоянии 200 шагов друг от друга, в одну сеть посредством Bluetooth или Wi-Fi. Обычное подключение к интернету ему не требуется.

Сложно сказать, как соотносится с безопасностью такой режим работы. Возможно, если очень постараться, получится определить личности пользователей, например методами социальной инженерии. Ну и для общения с приятелем, живущим в другой стране, этот мессенджер никак не подходит.

Интерфейс приложения крайне неочевидный, особенно если учесть необычный способ коммуникации. И ситуаций, когда подобная программа может пригодиться, не так много, разве что координация митингов и забастовок. Но если такое приложение создано и его разработка продолжается, значит, спрос есть.

Адамант

Официальный сайт

Лицензия: GPLv3 (исходники)

Централизация: децентрализованный

Анонимность: есть

E2EE: есть

Синхронизация E2EE: есть

Проверка отпечатков: можно отсканировать QR-код собеседника или ввести его идентификатор

Возможность добавления устройств: есть, по парольной фразе (как в кошельках для «битков»)

Групповые E2EE-чаты: нет

Уведомление о проверке E2EE: нет

Защита социального графа: есть

Альтернативные способы передачи данных: нет

Еще один мессенджер, основанный на блокчейне. Создан он в России и имеет большую рекламную поддержку, не побоюсь сказать, со всех заинтересованных сторон.

По уверениям разработчиков, его приватность максимальна, непонятно только, по сравнению с чем. При регистрации не нужно вводить никакой персональной информации. История сообщений не хранится на устройстве, а загружается из блокчейна, поэтому доступ к переписке возможен сразу с нескольких устройств пользователя — в этом как раз и заключается основной смысл технологии.

В мессенджере также предусмотрена возможность отправлять собеседникам криптовалюту, а именно ADM, ETH и BNB, причем разработчики обещают расширить этот список. Правда, актуальность этой фичи остается под вопросом, учитывая резкое падение биткойна, а следом за ним и других криптовалют.

При регистрации новому юзеру сразу присваивается ID мессенджера и адрес, по которому можно получить криптовалютный перевод, а также начисляется поощрительный приз в размере 0,1 ADM.

Cyphr

Официальный сайт

Лицензия: проприетарный

Централизация: централизованный

Анонимность: зарегистрироваться можно только по адресу электронной почты

E2EE: есть (сообщение отправится, только если собеседник будет онлайн)

Синхронизация E2EE: есть

Проверка отпечатков: нет

Возможность добавления устройств: есть

Групповые E2EE-чаты: есть. Сообщение отправится, только если все собеседники будут онлайн

Уведомление о проверке E2EE: нет

Защита социального графа: есть

Альтернативные способы передачи данных: нет

Этот мессенджер разрабатывают в компании Golden Frog, и он проприетарный. Конечно, его создатели обещают не хранить на своих серверах связанные с пользователями метаданные и называют свое приложение zero-knowledge.

Но все же, несмотря на эти уверения, кое-что будет храниться на сервере до того, как адресат получит сообщение. А именно — само сообщение в зашифрованном виде, время его отправки и имя адресата, то есть данные, которые необходимы для успешной передачи сообщения. Сообщения шифруются с помощью 256-битного симметричного шифрования.

В общем, в Cyphr хорошо практически все, кроме закрытых исходников.

Silence

Официальный сайт

Лицензия: GPLv3 (исходники)

Централизация: децентрализованный

Анонимность: нет, SMS-сообщения отправляются на номер телефона

E2EE: есть

Синхронизация E2EE: нет

Проверка отпечатков: есть

Возможность добавления устройств: нет, при установке приложения не создается учетная запись, а идет привязка к телефонному номеру

Групповые E2EE-чаты: нет

Защита социального графа: нет (у оператора останется информация о факте отправки SMS-сообщения)

Альтернативные способы передачи данных: нет

Мессенджер, отколовшийся от проекта Signal, который в свое время вырос из мессенджера TextSecure. Его особенность заключается в том, что шифрует он только SMS-сообщения. Из-за этого Silence выделяется из общего списка рассматриваемых мною мессенджеров, но тем не менее он весьма интересен. Silence можно установить на телефон под управлением Android в качестве основного приложения для отправки и приема SMS-сообщений.

Этот мессенджер работает там, где нет доступа к интернету или где возможности его использования ограничены. Но доступен Silence только для Android, версии для iOS не существует в природе.

Итоги

В этот раз дела в целом обстоят получше: у всех рассмотренных мессенджеров как минимум есть функция шифрования переписки. Рекомендовать какой-то конкретный из них не буду: лучше выбирай то, что тебе ближе и удобнее. Моя цель более скромная — помочь сориентироваться в многообразии мессенджеров.

Для твоего удобства вся информация сведена в таблицу. Помни, что баллы в ней — не абсолютная оценка защищенности; они говорят лишь о наличии некоторого числа важных признаков.

ПОДПИСАТЬСЯ - USBKiller

Узнаем пароли знакомых

2020-02-19T05:59:47.421Z

Источник: t.me/USBKiller

Итак.

Запускаем терминал. Для это правой кнопкой мыши по столу и "open terminal".

Далее пишем "setoolkit" - это набор инструментов для социальной инженерии.

Выбираем первый пункт.

Далее второй "website attack vector".

Тут выбираем 3 вариант "credential harvester attack method".

И последнее 2 вариант или "site cloner".

Тут нужно будет вписать 2 параметра.

1)Куда будут направляться запросы, то есть ip адрес сервера, в данном случае "localhost", у вас же нет личного настроенного сервера?

2)Домен сайта, который будет скопирован, в данном случае ВК, я просто не мог не взять его в пример

Если все сделаете правильно, то увидите нечто подобное.

Пишем в браузере localhost и видите, что в консоли сразу отображаются все действия.

Для проверки введем логин и пароль и вы его моментально увидите слева.

Ответы на вопросы.

Что такое localhost?

localhost или 127.0.0.1 - это ваш компьютер на котором держится веб-сервер, на котором в свою очередь работает сайт

Кто на это поведется, там же даже не vk.com, а какой-то localhost, ты шутишь?

Еще раз, статья написана для примера и вряд ли у вас будет собственный выделенный веб-сервер и домен как ṿk.com, чтобы сделать сайт неотличимым от оригинала (надеюсь все обратили внимание на букву ṿ).

Будет ли доступен сайт из интернета?

Нет, этот сайт будет доступен только вам и всем в вашей локальной сети.

Можно ли сделать неотличимый сайт от оригинала таким способом?

Да. Покупайте сервер, ищите домен, который будет наиболее соответствовать оригиналу и вперед.

ПОДПИСАТЬСЯ - USBKiller

Непростая загогулина. Краткий путеводитель по эллиптическим кривым

2020-02-18T11:54:46.474Z

Источник: t.me/USBKiller

Содержание статьи

Криптография с открытым ключом: как все начиналось
Алгоритм RSA в миниатюре
Не такой уж тайный ход
Эллиптические кривые: где найти надежный потайной ход?
Странная симметрия
Все страньше и страньше
Что все это значит?
Эллиптические кривые в действии
Оборотная сторона
Заглядывая вперед

Криптография с открытым ключом: как все начиналось

Историю криптографии можно разделить на два периода: классический и современный. Водоразделом здесь служит 1977 год, когда одновременно были представлены алгоритм RSA и протокол Диффи — Хеллмана. Случилась настоящая революция: это были первые криптографические системы, где безопасность строилась на теории чисел. Стала возможной безопасная коммуникация без известного обеим сторонам — то есть симметричного — шифра. До этого криптография бесконечно занималась вопросом, как безопасно переслать секретные шифры. Теперь же она могла обеспечить доказательно безопасную коммуникацию между двумя сторонами — без заботы о том, не перехватит ли кто обмен ключами.

Современная криптография стоит на том, что ключ для шифрования данных может быть открытым, а вот ключ для дешифровки лучше оставить в секрете. Такие системы называют криптографическими системами с открытым ключом (public key cryptographic systems). Первая — и все еще самая распространенная из них — RSA. Она названа инициалами тех, кто впервые описал ее алгоритм (Ron Rivest, Adi Shamir, Leonard Adleman).

Хорошей криптографической системе с открытым ключом нужен набор алгоритмов, которые легко пройти в одном направлении и трудно в обратном. В случае с RSA «легкий» алгоритм умножает два простых числа. Его «трудной» парой будет факторизация — разложение получившегося результата на изначальные множители. Алгоритмы с такой характеристикой — «просто в одну сторону, трудно в обратную» — называют односторонней функцией с потайным входом (trapdoor function, TDF). Найти хорошую TDF критично важно для создания безопасной криптографической системы с открытым ключом.

Проще говоря, чем больше разрыв между сложностью прохождения функции в одном направлении и в другом, тем надежней получится криптографическая система, на ней основанная.

Алгоритм RSA в миниатюре

RSA — самая популярная и наиболее понятная из систем с открытым ключом. Ее безопасность опирается на то, что умножение — это быстро, а разложение на множители — медленно. Коротко рассмотрим, как выглядит и работает маленькая RSA-система.

Системы с открытым ключом обычно имеют два компонента: открытый ключ и секретный ключ. Шифрование работает так: берешь сообщение, применяешь к нему математическую операцию — и получаешь число, которое выглядит случайным. При дешифровке берешь это «случайное» число и применяешь другую операцию, чтобы получить исходное сообщение. Зашифрованное с помощью открытого ключа можно расшифровать, только применив секретный ключ.

Компьютеры не очень хорошо справляются с произвольно большими числами. Эту проблему можно решить, если выбрать максимальное значение и иметь дело только с числами, которые меньше максимума. Работает это как в часах с циферблатом и стрелками. Как перевести их, например, на 37 часов? Очевидно, разделить 37 на максимум — то есть 12 — и докрутить остаток. Так и здесь: любые вычисления, дающие результат больше максимума, мы «докручиваем» до числа в допустимом диапазоне.

В RSA максимальное значение (обозначим его max) получают умножением двух случайных простых чисел. Открытый и секретный ключи — это два специально выбранных числа больше нуля, но меньше максимального значения, обозначим их pub и priv. Чтобы зашифровать число, мы перемножаем его pub раз — и всякий раз «докручиваем», когда превышаем максимум. Чтобы расшифровать сообщение, перемножаем его priv раз по тому же правилу — и получаем исходное число. Звучит удивительно, но правда работает. Когда обнаружили эту особенность, она стала большим прорывом.

Чтобы создать пару ключей для RSA, сначала берешь два простых числа, чтобы получить максимум (max). Затем выбираешь число для открытого ключа (pub). До тех пор пока ты знаешь два изначальных простых числа, ты можешь вычислить секретный ключ priv через открытый. Это то, как факторизация соотносится со взломом RSA: разложение максимального значения на исходные множители позволяет вычислить чей-то секретный ключ по открытому и дешифровать личные сообщения.

Рассмотрим все это на конкретном примере. Возьмем простые числа 13 и 7, перемножим и получим максимальное значение 91. В качестве открытого ключа возьмем число 5. А затем, зная изначальные множители и максимум, применим расширенный алгоритм Евклида и получим секретный ключ — 29.

Эти параметры (max = 91, pub = 5, priv = 29) определяют полностью функциональную RSA-систему. Мы можем взять число и перемножить его пять раз для зашифровки, а затем взять получившийся результат, перемножить его 29 раз и получить изначальное число.

Используем эти значения, чтобы зашифровать слово CLOUD.

Чтобы представить сообщение математически, нужно превратить буквы в числа. Для представления латинского алфавита отлично подходит кодировка UTF-8. Каждому символу соответствует свой номер.

В этой кодировке CLOUD выглядит как 67, 76, 79, 85, 68. Все эти числа меньше нашего максимума, поэтому мы можем зашифровать их по отдельности.

67 × 67 = 4489 = 30

4489 = 91 × 49 + 30
30 × 67 = 2010 = 8
8 × 67 = 536 = 81
81 × 67 = 5427 = 58

58 и будет зашифрованной версией 67.

Повторив этот процесс для каждой из букв, мы получим зашифрованное сообщение CLOUD в виде

58, 20, 53, 50, 87

Чтобы расшифровать это запутанное сообщение, берем каждое из получившихся чисел — и точно так же перемножаем 29 раз.

58 × 58 = 3364 = 88 (помни, что мы «докручиваем» число, если оно превышает максимум)
88 × 58 = 5104 = 8
…
9 × 58 = 522 = 67

Вуаля, мы вернулись к 67. Провернув то же самое с остальными числами, мы получим исходное сообщение.

Вывод: ты можешь взять число, перемножить его сколько-то (pub) раз и получить случайно выглядящий результат, а потом перемножить его другое количество (priv) раз и вернуться к изначальному числу.

Не такой уж тайный ход

RSA и протокол Диффи — Хеллмана были столь мощны, потому что имели строгие обоснования безопасности. Их авторы доказали, что взлом системы равен решению математической проблемы, которую, как считается, сложно решить. Факторизация — хорошо известная проблема, ее изучают с античности (см. решето Эратосфена). Любые прорывы в этой области стали бы громкой новостью и озолотили изобретателя.

Тем не менее факторизация не такая уж большая проблема, если решать ее шаг за шагом. Для разложения на простые множители есть специальные алгоритмы — например, квадратичное решето или общий метод решета числового поля, — и они умеренно успешны. Во всяком случае, точно быстрее и экономичней, чем наивный подход с угадыванием пар простых чисел.

Эффективность этих алгоритмов растет, поскольку размер чисел, которые нужно раскладывать на множители, все время увеличивается. А вот разрыв между сложностью факторизации и умножения уменьшается — и тоже из-за роста чисел (например, длины ключей). Ресурсы, доступные для дешифровки, растут — и вместе с ними растет длина ключей, причем куда быстрее. Это не очень хорошо для мобильных и других маломощных девайсов, чьи вычислительные ресурсы ограничены. Разрыв между разложением и умножением не очень устойчив в долгосрочной перспективе.

Все это значит, что RSA далеко не идеальная система для криптографии будущего. В идеальной TDF операции «туда» и «обратно» усложняются в одинаковом темпе — пропорционально растущему размеру чисел. Нам нужен потайной ход понадежней.

Эллиптические кривые: где найти надежный потайной ход?

С появлением RSA и протокола Диффи — Хеллмана начался активный поиск других математически обоснованных решений для криптографии, которые могли бы послужить хорошей TDF. И вот в 1985 году были предложены алгоритмы, основанные на таинственном математическом направлении — эллиптических кривых.

Но что же такое эллиптическая кривая — и как работает основанная на ней TDF? К сожалению, в отличие от факторизации — штуки, с которой мы неизбежно сталкиваемся в школе, — эллиптические кривые большинству людей не близки. Понять и объяснить их не так-то просто — впрочем, я все равно попытаюсь. (Если глаза уже начали стекленеть, можешь скипнуть до раздела «Что все это значит?».)

Эллиптическая кривая — это множество точек, удовлетворяющих конкретному математическому уравнению. Выглядит оно так:

y² = x³ + ax + b

Его график отдаленно напоминает упавшую набок греческую букву Ω (омега).

Есть и другие представления эллиптических кривых, но технически это множество точек, удовлетворяющих уравнению с двумя переменными: одна из них в квадрате, а другая — в кубе. Однако эллиптическая кривая — это не просто симпатичная картинка: у нее есть ряд особенностей, которые делают ее хорошей основой для криптографии.

Странная симметрия

Еще раз взглянем на нашу эллиптическую кривую — и найдем те самые особенности.

Одна из них — горизонтальная симметрия. Каждую точку на кривой можно зеркально отразить по оси x — и окажешься на все той же кривой. Еще интересней то, что любая не строго вертикальная прямая пересекает эллиптическую кривую не более чем в трех местах.

Представим, что это такой странный бильярд. Если соединить две точки на кривой, проходящая через них прямая пересечет ее еще ровно в одном месте. Поставим воображаемый бильярдный шарик в точку A и толкнем его в сторону точки B. Достигнув третьей, последней точки на кривой, шар отскочит либо прямо вверх (если он находится ниже оси x), либо прямо вниз (если он выше оси x) — на другую сторону кривой.

Мы можем соединить любые две точки на кривой и получить новую — например, соединив A и B, мы получили С.

А еще мы можем связывать эти «ходы», чтобы раз за разом соединять изначальную точку с получившимся результатом. Так, соединив точку A с самой собой, мы получим точку B; из исходной точки A и получившейся B выйдет C; А и С, в свою очередь, дадут D — и так далее.

Оказывается, если мы имеем две точки — изначальную, «помноженную» на себя n раз, и конечную — выяснить, чему равно n, довольно сложно. Чтобы развить метафору со странным бильярдом, представь себе человека, который сколько-то времени играет в такой бильярд — сам с самой и в закрытой комнате. Ему будет довольно просто толкать шарик снова и снова по описанным выше правилам. Но если кто-нибудь войдет в эту комнату и увидит, где остановился шарик, то, даже зная правила игры и изначальную точку, определить количество ударов о бортики он все равно не сможет — пока не повторит все ходы от стартовой точки до финальной. «Легко туда, трудно обратно» — это, как помнишь, основа для хорошей TDF.

Все страньше и страньше

Упрощенная кривая из предыдущего раздела прекрасно выглядит и объясняет общую концепцию эллиптических кривых, но не показывает, как выглядят эллиптические кривые в криптографии.

Здесь, как и в RSA, нам приходится ограничивать себя числами в фиксированном диапазоне. Более того, нас в этом диапазоне интересуют целые числа — а кривая состоит не только из них. При решении уравнения эллиптической кривой (y² = x³ + ax + b) мы используем тот же самый трюк с «докручиванием» чисел, превышающих максимум. Если за максимум взять простое число, такая эллиптическая кривая называется простой — и обладает превосходными криптографическими свойствами.

Вот пример кривой (y² = x³ − x + 1), построенной для всех значений.

А вот та же кривая, но построенная только для целых значений с максимумом 97.

Совсем не похоже на кривую в традиционном понимании — но это она. Выглядит так, как будто ставшую вдруг невидимой кривую прикололи кнопками в точках, где она выдает целые значения. И заметь, горизонтальная симметрия сохранилась.

На самом деле мы все еще можем играть на этой кривой в бильярд и соединять точки. И любая прямая по-прежнему может собрать на себе не более трех точек. Вычислить эти точки довольно легко. Представь себе, что линия, соединяющая две точки, — это нитка, которая обматывается вокруг кривой, пока не попадет на третью. Это как если бы в нашем странном бильярде шар, ударившись о бортик (максимум), волшебным образом перемещался на противоположную сторону стола и продолжал свое движение до тех пор, пока не ударится о точку, — как в игре «Астероиды».

С помощью такого представления кривой уже реально зашифровывать сообщения. Можно представить исходное число сообщения как x, получить из уравнения y — и, соответственно, точку на кривой. На практике все чуть сложнее, но общая идея такова.

Для слова FLARE получим точки с координатами (70,6), (76,48), -, (82,6), (69,22).

(На этой кривой нет точки при x = 65, но в реальном мире есть способы обойти эту проблему.)

Эллиптическую криптосистему определяют: взятое за максимум простое число, уравнение кривой и открытая (стартовая) точка на кривой. Секретным ключом будет число priv, а открытым ключом — стартовая точка, соединенная сама с собой priv раз. Вычисление секретного ключа по открытому в такой криптосистеме называется функцией дискретного логарифма эллиптической кривой. Кажется, это и есть та TDF, которую мы искали.

Что все это значит?

Вычислить дискретный логарифм эллиптической кривой трудно — на чем и строится эллиптическая криптография. Спустя несколько десятилетий математики так и не нашли алгоритм, который решал бы эту проблему лучше простого перебора. Другими словами, в отличие от факторизации с ее понятными математическими основаниями, у этой проблемы, кажется, нет короткого решения, которое сократило бы разрыв в TDF. При работе с числами одной величины решить дискретный логарифм эллиптической кривой гораздо труднее, чем разложить число на множители. А значит, эллиптические криптосистемы крепче RSA и протокола Диффи — Хеллмана.

Чтобы иллюстрировать, насколько крепче, Арьен Ленстра несколько лет назад представил концепцию «Универсальной безопасности» (PDF). Суть в том, чтобы вычислить, сколько энергии тратится на взлом криптографического алгоритма, и сравнить с тем, сколько воды можно вскипятить той же энергией. Эдакий криптографический углеродный след. По его расчетам, на взлом 228-битного RSA-ключа требуется меньше энергии, чем на кипячение одной чайной ложки воды. Для сравнения: энергией, потраченной на взлом 228-битного ECC-ключа, можно вскипятить всю воду на планете. Чтобы добиться того же уровня безопасности c RSA, нужен ключ в 2380 бит.

С эллиптической криптографией можно использовать ключи меньшей длины — и получать тот же уровень безопасности. А маленькие ключи важны, особенно в мире, где все больше криптографии на маломощных девайсах типа телефонов. Перемножить два простых числа проще, чем разложить результат на множители — но, когда простые числа становятся слишком длинными, даже умножение может занять на маломощных устройствах какое-то время. В принципе, можно поддерживать безопасность RSA, увеличивая длину ключей, — но производительность на клиенте от этого снизится. ECC, кажется, предлагает альтернативу получше — высокую безопасность и короткие быстрые ключи.

Эллиптические кривые в действии

Эллиптические кривые медленно запрягали, но теперь стремительно набирают популярность — и очень быстро распространяются. Эллиптическую криптографию сейчас можно найти в самых разных приложениях: правительство США использует ее для защиты внутренних коммуникаций, проект Tor — чтобы обеспечить анонимность; этот же механизм работает, если нужно подтвердить право собственности на биткойны, отправить сообщение в iMessage и зашифровать данные DNS с помощью DNSCurve; также это предпочтительный метод аутентификации для безопасного серфа через SSL/TLS. Cloudflare пользуется ECC, чтобы обеспечить совершенную прямую секретность (PFS), которая необходима, чтобы сохранить приватность в сети.

Криптографические алгоритмы первого поколения вроде RSA и Диффи — Хеллмана все еще подойдут для большинства сфер, но ECC быстро набирает популярность — как решение для конфиденциальности и безопасности в интернете.

Если ты откроешь HTTPS-версию блога Cloudflare через свежий Chrome или Firefox, то твой браузер будет использовать эллиптическую криптографию. Можешь убедиться в этом сам — нажми на замок слева от адресной строки и выбери вкладку «Соединение».

На этой картинке нас в первую очередь интересует текст ECDHE_RSA. ECDHE расшифровывается как Elliptic Curve Diffie Hellman Ephemeral — это механизм обмена ключами, построенный на эллиптических кривых. В Cloudflare он обеспечивает совершенную прямую секретность на SSL. А с помощью RSA здесь идентифицируется сервер.

Мы используем RSA, потому что SSL-сертификат Cloudflare привязан к паре RSA-ключей. Но современные браузеры поддерживают и сертификаты на эллиптических кривых. Если бы Cloudflare использовал такой сертификат, его обозначение выглядело бы ECDHE_ECDSA. Идентификация сервера в таком случае выполнялась бы с помощью эллиптического алгоритма электронной подписи (Elliptic Curve Digital Signature Algorithm).

Уравнение эллиптической кривой для ECDHE, которую использует Cloudflare (и Google.com, кстати):

max: 115792089210356248762697446949407573530086143415290314195533631308867097853951  
curve: y² = x³ + ax + b  
a = 115792089210356248762697446949407573530086143415290314195533631308867097853948  
b = 41058363725152142129326129780047268409114441015993725554835256314039467401291

Уровень производительности ECDSA по сравнению с RSA впечатляет. Даже со старыми версиями OpenSSL, которые не заточены под код эллиптических кривых, ECDSA-подпись с 256-битным ключом более чем в 20 раз быстрее RSA-подписи с 2048-битным ключом.

На MacBook Pro с OpenSSL 0.9.8 тест скорости выдает:

Doing 256 bit sign ecdsa's for 10s: 42874 256 bit ECDSA signs in 9.99s
Doing 2048 bit private rsa's for 10s: 1864 2048 bit private RSA's in 9.99s

То есть с ECDSA за то же время можно получить в 23 раза больше подписей, чем с RSA.

Cloudflare постоянно ищет способы поднять производительность SSL. Например, мы начали использовать оптимизированную версию ECC, которая увеличивает скорость ECDHE более чем в два раза. Эллиптическая криптография экономит время, мощность и вычислительные ресурсы — как для сервера, так и для браузера — и помогает нам сделать сеть одновременно быстрее и безопаснее.

Оборотная сторона

Но не все так радужно в мире эллиптических кривых — есть и тонкие места, которые мешают им полностью охватить отрасль.

Одно из них — недавно мелькавший в новостях Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator). Это генератор случайных чисел, стандартизированный Национальным институтом стандартов и технологий США (NIST), который продвигало их же Агентство национальной безопасности.

Dual_EC_DRBG генерирует псевдослучайные числа, используя принцип эллиптических кривых. Его алгоритм берет точки на кривой и многократно выполняет операцию по соединению этих точек — чтобы получить новые. После его публикации сообщалось (PDF), что в генератор, возможно, встроен бэкдор — а значит, последовательность полученных чисел можно полностью предсказать, если есть правильный секретный ключ.

Недавно компания RSA отозвала несколько своих продуктов, потому что Dual_EC_DRBG был установлен как дефолтный генератор псевдослучайных чисел в их линейке продуктов безопасности. Был генератор случайных чисел написан с бэкдором или нет, силу самой технологии эллиптических кривых это не отменяет — но зато поднимает вопрос о стандартизации. Как мы уже писали ранее, нужно следить, чтобы ваша система использовала адекватно случайные числа.

Некоторые скептически настроенные криптографы вообще испытывают недоверие — и к самому NIST, и к опубликованным им стандартам, которые поддержало АНБ. Почти все широко применяемые эллиптические кривые попадают в эту категорию. Об атаках на эти конкретные кривые ничего не слышно — однако плохие кривые существуют, и некоторые считают, что лучше поберечься, чем потом сожалеть.

Есть, конечно, кое-какой прогресс в разработке кривых с эффективной арифметикой за пределами NIST, включая кривую 25519, созданную Дэниелом Бернштейном (djb), и недавно вычисленные кривые Пауло Баретто со товарищи, — но до их широкого распространения еще жить и жить. Пока эти «нетрадиционные» кривые не встроят в браузеры, их нельзя будет использовать для обеспечения безопасности передаваемых по сети данных.

Другое тонкое место ECC связано с патентами. Более 130 патентов, касающихся конкретного использования эллиптических кривых, принадлежат BlackBerry — ведь в 2009 году они приобрели Certicom. Многие из тех патентов лицензированы для эксклюзивного использования частными компаниями — и даже АНБ. Некоторые разработчики из-за этого взяли паузу — чтобы оценить, не нарушает ли их работа с ECC эти патенты. В 2007 году Certicom подала иск против Sony — из-за нескольких видов использования эллиптических кривых, — однако в 2009 году иск был отклонен. Сейчас уже есть куча разных реализаций криптографии с эллиптическими кривыми, которые, как считается, не нарушают эти патенты — а потому широко используются.

У цифровой подписи ECDSA есть серьезный недостаток по сравнению с RSA: она требует хорошего источника энтропии. Без достаточной случайности чисел секретный ключ могут раскрыть. В 2013 году слабый генератор случайных чисел в Android позволил хакерам найти секретный ключ ECDSA и взломать несколько биткойн-кошельков. У Sony PlayStation была похожая уязвимость. Для электронных подписей нужен хороший генератор случайных чисел. Dual_EC_DRBG уж точно не подойдет.

Заглядывая вперед

Впрочем, недостатки есть у всякой технологии, а вот достоинства ECC по сравнению с традиционной RSA неоспоримы — и уже широко признаны. Многие эксперты беспокоятся, что математические алгоритмы RSA и Диффи — Хеллмана могут быть успешно взломаны в течение ближайших лет — и тогда ECC останется единственной разумной альтернативой.

ПОДПИСАТЬСЯ - USBKiller

Не пались! Как вычисляют вирусописателей

2020-02-16T17:19:51.907Z

Источник: t.me/USBKiller

Содержание статьи

Да кому ты нужен?
Это он, это он, ваш тотальный деанон!
В каждой строчке только точки
Вот тебе мыло душистое и полотенце пушистое
Не стучите, открыто!
Ваш домен выключен или находится вне зоны обслуживания
И смех и грех
Вместо послесловия

Да кому ты нужен?

Начнем с того, что обе присутствующие на российском рынке отечественные антивирусные компании очень тесно взаимодействуют с правоохранительными органами, чего совершенно не скрывают. Хотя бы по той простой причине, что они вынуждены регулярно получать у суровых организаций с названиями из трех букв лицензии и сертификаты на разработку средств защиты конфиденциальной информации, на работу с криптографией, на защиту персональных данных и далее со всеми остановками. А это означает, что упомянутые компании регулярно проходят проверки со стороны этих организаций и плотно общаются с их представителями.

Кроме того, все они имеют лицензии на проведение технических экспертиз и исследований с использованием методов форензики, причем регулярно используют эти лицензии по назначению — в том числе в интересах государства. Наконец, ходят упорные слухи, что многие работающие на рынке информационной безопасности фирмы в обязательном порядке отправляют куда надо регулярные отчеты о текущей вирусной и киберкриминальной обстановке. Если в такой отчет, помимо сухой статистики, можно включить конкретные сведения о разоблаченном вирмейкере, упустят ли аналитики такую возможность? Ответ, в общем-то, очевиден.

Но есть и хорошая новость, юзернейм. Если однажды утром ты проснулся знаменитым, потому что твое имя внезапно попало в новостные ленты антивирусных компаний, это означает одно из двух. Либо ты уже сидишь в тесном зарешеченном помещении в ожидании суда, либо представители закона не проявили к твоей персоне заслуженного внимания.

Существует такое понятие, как тайна следствия, разглашать которую нельзя ни под каким соусом. Если в отношении некоего абстрактного кодера Васи органы правопорядка проводят какие-либо мероприятия, об этом вряд ли расскажут в интернетах до тех пор, пока кодеру Васе не будет предъявлено обвинение или он не предстанет перед судом. Только вот радоваться, обнаружив себя, любимого, в новостях, тоже глупо: это однозначно свидетельствует о том, что ты уже на карандаше, а о твоем творчестве оперативно сообщили куда следует. И в какой-то не очень прекрасный момент равнодушие со стороны людей в погонах может внезапно смениться пристальным интересом. Обстоятельства, знаешь ли, иногда складываются совершенно причудливым образом.

Это он, это он, ваш тотальный деанон!

Абсолютно во всех известных широкой общественности случаях деанона причину его следует искать в зеркале. Вирмейкеры порой палятся на таких мелочах, которые со стороны выглядят сущей нелепицей. Ну казалось бы, зачем хранить на серваке, где поднята админка ботнета, личные файлы? Зачем сбрасывать стату по работе другого ботнета эсэмэсками на номер мобильного телефона с левой симкой, если этот номер ранее неоднократно светился в объявлениях по продаже компьютерных потрошков с указанием города и даже, ты не поверишь, ближайшей станции метро? Кто надоумил юного гения организовать C&C трояна на публичном хостинге, где крутится сайт папиной фирмы, при этом жестко вбив URL прямо в код?

Складывается впечатление, что подобные глупости совершают исключительно кодеры, которых природа наделила одной-единственной извилиной, да и та анатомически расположена где-то в районе непосредственного контакта организма со стулом. Однако наступить на грабли может буквально каждый. Особенно если он не выработал полезной привычки внимательно смотреть себе под ноги.

В каждой строчке только точки

Как известно, отлаживание — это мучительный процесс избавления программы от лажи. Для облегчения этого самого процесса некоторые компиляторы добавляют в бинарник специальные отладочные строки. В них порой содержится полный путь к папке, где хранились исходники проекта, причем этот путь иногда включает имя пользователя винды, например C:\Users\Vasya Pupkin\Desktop\Super_Virus\ProjectVirus1.vbp.

В процессе реверсинга вся эта радость неизбежно вылезает наружу. Одно дело, если имя учетки придумали те же самые ребята, которые сочиняют непроизносимые названия для товаров в магазине IKEA. Но зачастую строка включает настоящее имя и даже — страшно подумать — фамилию незадачливого вирмейкера. Благодаря этому обстоятельству вычислить его становится намного проще, хотя результат не гарантирован: мало ли на нашей планете обитает однофамильцев? Однако наличие в образце вредоноса отладочной строки с фамилией и характерной структурой папок может стать еще одним доказательством причастности человека к написанию программы, если за него возьмутся всерьез.

Даже если вместо имени пользователя в обнаруженной исследователями строчке значится ник, это все равно даст важную зацепку. Большинство людей, не страдающих паранойей, использует один и тот же ник на различных ресурсах. Это их и подводит. Любой желающий очень быстро отыщет посты интересующего его персонажа на форумах, его страничку на гитхабе и профайл в твиттере. Понять, что все эти «цифровые следы» оставило одно и то же лицо, несложно: одинаковый аватар, схожая подпись, один и тот же текст, размещенный на разных площадках… Дальше потянется ниточка, которая куда-нибудь да приведет.

Вывод прост: раз уж ты взялся за написание программы, которую кто-то, вероятно, захочет исследовать, нужно соблюдать правила элементарной гигиены и внимательно следить за тем, чтобы в код не попало ничего лишнего.

Вот тебе мыло душистое и полотенце пушистое

Еще одно распространенное природное явление — хранение адресов электронной почты в виде незашифрованных символьных значений. Характерные строки — это первое, на что обращает внимание в дизассемблированном коде реверс-инженер. Притом некоторые индивидуумы полагают, будто достаточно поксорить строчку, чтобы надежно спрятать свой адрес на мейл.ру от посторонних глаз. Нет, друзья, недостаточно.

Если в коде внезапно обнаруживается мыло, оно тут же вбивается в гуголь. Дальше возможны варианты. По адресу электропочты через несколько последовательных шагов может отыскаться и учетка в телеграме, и страничка пользователя в социальных сетях, и факт его регистрации на форумах вместе со всеми сообщениями. А может не нагуглиться ничего. Второй вариант случается, если предусмотрительный юзернейм не использует один и тот же ящик для технических целей и личной переписки.

Не стучите, открыто!

Еще веселее, когда какой-нибудь непризнанный гений прописывает прямо в коде логин и пароль, например от админки бота или от облачного хранилища, куда трой заливает утянутые с компьютера пользователя файлы. Совсем хорошо, если один и тот же пароль используется везде, где только можно, — и для авторизации в админке, и на почтовом сервере, и в социальных сетях.

В этой связи невольно вспоминается один недавний случай, когда некий анонимус решил проверить трояна-стилера на собственном компьютере. Стилер, что характерно, отработал на пять баллов. В результате в облако, логин и пароль от которого хранились в открытом виде в самом трое, с компа нашего естествоиспытателя было выгружено все исподнее, наглядно продемонстрировав исследователям его неприкрытую жоизнь и богатый внутренний мир. По возможности избегай этого, юзернейм.

Ваш домен выключен или находится вне зоны обслуживания

Кое-кто очень любит забивать прямо в код адреса управляющих серверов, даже несмотря на то, что прогрессивное человечество давным-давно придумало DGA — алгоритмы динамической генерации доменных имен. Примеры таких решений можно без особого труда найти в этих ваших интернетах.

И дело не в том, что DGA повышает живучесть троя (накрылся один управляющий сервак — софтина автоматически подключается к следующему), и даже не в том, что сервер, если его адрес известен, можно сбрутить, засинкхолить или заDDoSить. Вычислить можно и сгенерированный адрес, вдумчиво покурив алгоритм, но тут вступают в действия иные механизмы защиты — верификация подписи сервера, шифрование при передаче данных и прочие.

Даже если сломать админку у исследователя не получилось, очень много полезной информации можно добыть, воспользовавшись службой whois. И скрытие имени держателя домена помогает далеко не всегда. А еще можно поискать другие сайты на том же IP-адресе, посмотреть, что на них находится, и попробовать зайти оттуда. В принципе, многие слышали термин CloudFlare, но вот разбираться, что это такое, всем обычно лень.

Некоторые гуманоиды и вовсе поднимают админки у публичных хостеров либо на площадках, где крутятся другие их проекты или сайты работодателя. Комментировать такое я, пожалуй, не стану: глумиться над подобным грешно, а плакать уже сил нет.

И смех и грех

Гордыня — это смертный грех. А грешников, как утверждают религиозные деятели, ждет неминуемое наказание. Далеко не все вирмейкеры готовы оставаться в тени и тихонечко стричь бабло, им хочется славы, почета и уважения, внимания публики и бурных оваций. В результате кое-кто начинает записывать видосы о компиляции и обфускации троев и выкладывать скринкасты на ютубе. Позабыв при этом закрыть в браузере вкладочки со своей страничкой «Вконтакте» и окошки проводника, где на HD-разрешении можно разглядеть очень много интересного.

Другой персонаж компрометирующих роликов не снимал, зато выкладывал в интернет крайне интересные статьи о методах обхода UAC, написании сплоитов, повышении привилегий в системе и прочих вирмейкерских трюках. С конкретными примерами, конечно. Вычислили его очень просто: по этому самому коду, вернее по характерным именам переменных, комментам, манере реализации некоторых функций — в общем, сравнив выложенные в паблик исходники и кодес из IDA Pro. Отпираться оказалось бессмысленно — код он размещал в личном блоге за собственной подписью. Фаталити.

Вместо послесловия

Методов идентификации авторов малвари существует великое множество, я упомянул только о самых очевидных из них. Выводы тоже вполне очевидны: в кабинет к следователю вирмейкеров приводит собственная некомпетентность и ~~расп~~наплевательское отношение к элементарным вопросам безопасности. Впрочем, это, возможно, и неплохо: помнится, один похожий на Льва Толстого дядька что-то писал про естественный отбор. Который, по его мнению, в целом способствует повышению выживаемости вида.

ПОДПИСАТЬСЯ - USBKiller