Новости сетевой безопасности, все новости по сетевой безопасности
7.06.2015 - 16:03 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| Новинка от российских хакеров: вирус Troldash вымогает деньги у пользователей. Эта программа попав в компьютер, блокирует доступ к личным файлам и информации до тех пор пока вы или не заплатите хакерам требуемую сумму или же не закончится срок ультиматума и данные не уничтожат. Новая программа-вымогатель получила название Troldash, принцип ее действия и последствия после ее появления описаны сотрудником компании Checkpoint Натальей Колесовой в корпоративном блоге компании. После попадания в компьютер троян-вымогатель блокирует для пользователя доступ к данным, указывая только адрес электронной почты, написав письмо на который, можно связаться с хакерами. Колесова сообщила: «В то время, как авторы большинства троянов-вымогателей пытаются скрыться и избежать прямого контакта, создатели Troldash дают свои жертвам адрес электронной почты. Уже в ходе электронной переписки злоумышленники требуют выкуп и оговаривают способ его уплаты». Сам вымогатель распространяется как спам, в случае если его скачает пользователь то он автоматически запускает процесс шифровки данных после завершения которого и появляется сообщение с инструкцией и электронным адресом. Однако как пишет bbc, возможно вести переговоры с хакерами и обратится к их человечности и жалости. Журналист вела переписку с хакерами и начинался разговор с суммы 250 евро, однако в ходе общения сумма уменьшилась в начале на 15% до 12 тысяч рублей, далее торг продолжался и сумма сократилась до 7 тысяч рублей. На данный момент «Программы-вымогатели» стали достаточно серьезной проблемой, они достаточно быстро распространяются . Программа Cryptlocker заразила более 250 тысяч компьютеров в мире. Источник: softcraze.com | |
| |
29.07.2015 - 19:06 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| В Android обнаружены уязвимости, позволяющие получить доступ к смартфону через MMS
Компания ZIMPERIUM, специализирующаяся на компьютерной безопасности, обнаружила критические уязвимости в ядре Android, которые позволяют выполнять код через отправку MMS сообщений или Google Hangout. По примерной оценке, данной опасности подвержено 95% пользователей устройств под управлением системы Android (около 950 миллионов человек). И что самое опасное, данную уязвимость достаточно просто использовать: необходимо лишь знать номер мобильного телефона жертвы. » Нажмите, для открытия спойлера | Press to open the spoiler « Джошуа Дж. Дрейк (@jduck), заглянул в самые глубокие уголки кода ядра Android и обнаружил 7 критических уязвимостей, данные уязвимости подвержены более 95% устройств (примерно 950 миллионов устройств). Отчёт Дрейка будет представлен на конференциях Black Hat USA 5 августа и CON 23 7 августа. Найдено множество методов удалённого запуска кода, худшие из которых не требуют вмешательства пользователя. Злоумышленникам только нужен ваш номер мобильного телефона, с помощью которого они могут удаленно выполнить произвольный код через специально созданный файл доставленным через ММС. Для более успешной и скрытной атаки можно удалить сообщение прежде чем пользователь его заметит. Эти уязвимости являются крайне опасными, потому что они не требуют, чтобы жертва предпринимать никаких действий. В отличие от фишинга, где пользователь должен открыть файл или ссылку. Эти скриншоты были сделаны на Nexus 5 где установлена последняя версия, Android 5.1.1. Подвержены устройства с Android от версии 2.2 до версии 4.1. Список зарегистрированных CVEs: CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829 Компания Google в течение нескольких часов выпустила фикс данных ошибок, но проблема осложняется тем, что для исправления данных уязвимостей необходимо обновление прошивки, а оно выпускается производителями устройств как правило только для более новых моделей »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
1.08.2015 - 17:14 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Видео в популярном формате MKV может превратить Android-смартфон в «кирпич»
Новая уязвимость в операционной системе Android может обрести популярность среди хакеров-вымогателей, так как позволяет полностью блокировать работу устройства дистанционно с помощью файла в формате MKV. » Нажмите, для открытия спойлера | Press to open the spoiler « Уязвимость в операционной системе Android позволяет злоумышленникам превратить смартфон или планшет в «кирпич» — устройство, которым невозможно пользоваться. После проведения атаки на гаджет его экран перестанет реагировать на нажатия, пользователь не сможет принять или совершить звонок и не будет слышать звуков уведомлений, сообщает Trend Micro. Проблема связана с компонентом mediaserver операционной системы, предназначенным для индексации мультимедийных файлов, записанных в память устройства. При индексации файла формата MKV (Matroska) с определенным внедренным в него кодом происходит переполнение целочисленного типа. В результате происходит переполнение буфера и запись данных в нулевую область памяти. Matroska — открытый проект по разработке кросс-платформенного контейнера, содержащего видео, звук, субтитры и другие данные (например, названия глав в фильме и т. д). Matroska является развитием проекта MCF, но значительно отличается от него тем, что основан на языке EBML (Extensible Binary Meta Language) — двоичном аналоге XML. EBML позволяет разработчикам годами развивать формат, сохраняя совместимость с плеерами предыдущих поколений. Специалисты создали вредоносный файл с помещенным в него модифицированным файлом формата MKV и запустили его на Android-устройстве. После этого компонент mediaserver ушел в бесконечную перезагрузку — обнаруживая файл, он перезагружался. А загрузившись вновь, заново сканировал память и вновь пытался анализировать файл. Зацикленная перезагрузка mediaserver замедлила работу всей системы Android так, что устройство перестало отвечать. При этом оно оставалось включенным. Новая уязвимость может обрести популярность среди хакеров-вымогателей При этом вовсе не обязательно, чтобы файл MKV попадал на устройство жертвы в составе вредоносного приложения. Его можно внедрить в HTML-код веб-страницы. Когда пользователь попадет на такую страницу с помощью мобильного браузера, произойдет то же самое. Эксперты из Trend Micro убедились в этом на примере браузера Google Chrome. По мнению аналитиков Trend Micro, новый баг может быть использован разработчиками вирусов-вымогателей (программ, заставляющих пользователя заплатить, чтобы вернуть доступ к данным). Злоумышленники могут блокировать работу устройства и требовать с пользователя оплаты, пояснили эксперты. По их мнению, когда владелец смартфона поймет, что не может воспользоваться устройством никоим образом, он с большей охотой отдаст деньги. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: Cnews | |
| |
17.08.2015 - 18:56 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Обнаружен способ использовать пользователей BitTorrent в качестве агентов DDOS-атаки
Специалисты по компьютерной безопасности из Лондонского городского университета опубликовали работу под драматичным названием «Пиринговый файловый обмен из ада: использование уязвимостей BitTorrent для запуска распределённых отражённых атак на отказ в обслуживании». В работе они поясняют, как им удалось заставить распространённые BitTorrent-клиенты участвовать в DRDOS атаках на интернет-сервера. » Нажмите, для открытия спойлера | Press to open the spoiler « Атака DRDOS (не путать с операционной системой DR-DOS) состоит в том, чтобы отправлять на различные сервера очень много таких запросов, на которые эти сервера должны отвечать. При этом ip-адрес отправителя подделывается и заменяется на адрес жертвы. В результате все ответы валятся на сервер-жертву. Если количество запросов сделать слишком большим, сервер будет испытывать трудности с их обработкой. Исследователи нашли недочёт в протоколе BitTorrent, который затрагивает uTP, DHT, Message Stream Encryption и BitTorrent Sync. Он позволяет не только закидать сервер-жертву ненужными ему запросами, но и увеличить трафик в 50 раз по отношению к потраченному (а в случае BTSync — и во все 120 раз). Их метод ищет компьютеры раздающих, отправляет им приветственный запрос, а вместо обратного адреса подсовывает адрес сервера, который необходимо атаковать. Исследователи уже сообщили об уязвимости разработчикам BitTorrent, и те работают над патчами для различных продуктов. Но, естественно, моментально заменить все работающие с этим протоколом клиенты не представляется возможным. Пользователи старых клиентом могут стать соучастниками атаки, сами не подозревая этого — у них просто увеличится исходящий трафик. Классические DDoS-атаки обычно организовывают через ботнет — сеть компьютеров, ставших подконтрольными злоумышленнику благодаря работе вирусов-троянов. Такие сети используют как для массовой рассылки спам-сообщений, так и для вывода из строя интернет-серверов путём отправки чрезмерного количества запросов. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
24.09.2015 - 20:39 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Еще одно встроенное шпионское приложение обнаружено на компьютерах Lenovo
У восстановленного с завода Thinkpad с предустановленной Windows 7 в планировщике есть приложение, которое включается раз в день и собирает данные о том, как вы используете компьютер. После этого все сведения отправляются компании-аналитику. Информация о сборе данных присутствует в пользовательском соглашении, но зарыта очень глубоко. За последний год это уже третий скандал по поводу предустановленного шпионского ПО, в котором участвует Lenovo: сначала компания была поймана на установке Superfish, который грубо нарушал безопасность пользователя, устанавливая MitM сертификат. Потом их поймали на загрузке в BIOS неудаляемого самоустанавливающегося ПО, в место, предназначенное для кастомных драйверов. Этот скандал особенно примечателен тем, что касается бренда премиум класса Thinkpad, приобретенного у IBM. Стоит отметить, что в 21-го веке, если вы не готовы платить за продукт, то вы сами являетесь продуктом. В случае с устройствами Lenovo кажется, что даже если вы платите за продукт, то по-прежнему остаетесь продуктом. Задача, которая заставила обратить на это внимание, называется «Lenovo Customer Feedback Program 64». В описании в планировщике значится: " This task uploads Customer Feedback Program data to Lenovo". Задача запускает программу Lenovo.TVT.CustomerFeedback.Agent.exe расположенную в C:\Program Files (x86)\Lenovo\Customer Feedback Program. Другие файлы в этой папке: Lenovo.TVT.CustomerFeedback.Agent.exe.config, Lenovo.TVT.CustomerFeedback.InnovApps.dll и Lenovo.TVT.CustomerFeedback.OmnitureSiteCatalyst.dll. Согласно Википедии, Omniture – это онлайн фирма, специализирующаяся на маркетинге и веб-аналитике, а SiteCatalyst – их приложение для веб-аналитики со стороны клиента. Может быть на ThinkPads и не показывается дополнительная реклама, но сбор данных мониторинга и отслеживание ведется. Источник: habrahabr | |
| |
3.10.2015 - 21:25 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| В криптософте TrueCrypt обнаружены критические уязвимости
Член команды Google Project Zero Джеймс Форшоу (James Forshaw) обнаружил две критические уязвимости в драйвере TrueCrypt, который программа устанавливает в Windows-системах. Ошибки безопасности CVE-2015-7358 , CVE-2015-7359 позволяют злоумышленникам осуществить эскалацию привилегий, получив полные права администратора и доступ ко всем данным пользователя даже в том случае, если они зашифрованы. » Нажмите, для открытия спойлера | Press to open the spoiler « Уязвимости остались незамеченными во время независимого аудита кода приложения. Проверка состояла из двух этапов и проводилась инженерами iSEC Partners после того, как разработчики TrueCrypt внезпано заявили о закрытии проекта, сообщив о том, что в его коде могут содержаться уязвимости. Форшоу считает, что найденные им уязвимости не являются бэкдорами. Исследователь заметил, что по всей видимости, участники аудита просто их не заметили. Аудиторы фокусировались именно на поисках «закладок» в коде — подозрения в их наличии появились после странных заявлений первоначальных разработчиков TrueCrypt, которые так и остались анонимными. Исследователь пока не представил подробных данных, заявив, что хочет дать авторам форков неделю на исправление багов. Поскольку инструмент более официально не развивается, то дыры безопасности напрямую в коде изначального приложения исправлены не будут. Тем не менее, ошибки были исправлены в открытой программе VeraCrypt, которая основана на TrueCrypt. Версия VeraCrypt 1.15, выпущенная в конце сентября, содержит патчи для найденных Форшоу уязвимостей. По словам эксперта исследовательского центра Positive Research Артема Шишкина, эксплуатировать найденные Форшоу уязвимости очень просто. «Встроенный статический верификатор на такое не жалуется, однако тот, кто «шарит» в безопасности, первым делом полезет это проверять». Эксперт не уверен в том, что уязвимости представляли собой «закладки»: «Сомнительно, скорее всего халтура, оставшаяся со времен Windows XP». Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров предположил, что обнаруженные уязвимости действительно могли быть оставлены разработчиками TrueCrypt намеренно. «Ошибка позволяет сделать скорее не Privilege Escalation, а получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора. То есть получить контроль над машиной уязвимость не позволяет, но зато обеспечение конфиденциальности явно хромает. В свете этих фактов я, как профессиональный параноик, констатирую, что эти уязвимости вполне могут являться запланированными закладками. И тот факт, что они так похожи на «раздолбайство», делает их хорошими закладками, ибо специально созданные уязвимости довольно трудно сохранить незаметными». По мнению Склярова, в ходе качественно проведенного аудита безопасности такие ошибки должны были быть обнаружены: «В таких случаях всегда ищут конкретные типы уязвимостей — из описания похоже, что в проведенном аудите искали бэкдоры и алгоритмические закладки. А значит, хорошим аудитом подобные дыры должны быть обязательно выявлены». »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: habrahabr | |
| |
16.10.2015 - 15:56 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Исследование: 85% Android-устройств небезопасны
Примерно 85% Android-устройств подвержено 13 критическим уязвимостям в операционной системы – и все из-за хронической неспособности операторов своевременно предоставлять патчи. В ожидании обновлений многие устройства остаются уязвимыми в течение слишком долгого периода времени. » Нажмите, для открытия спойлера | Press to open the spoiler « Найденная недавно уязвимость Stagefright наглядно показала неравномерность обновлений Android по вине операторов. Прецедент позволил создать довольно ясную картину: некоторые девайсы оставались уязвимыми несколько месяцев или даже лет. Исследователи присвоили каждой компании место в рейтинге в соответствии с тем, насколько ответственно она относится к доставке важных обновлений. Это позволяет оценить, как хорошо каждая защищает своих пользователей, и исследователи надеются, что хороший пример будет заразителен. Трое исследователей в Университете Кембриджа разработали «оценочную карточку» для Android-устройств на основе показателя, получившего название FUM. Каждое устройство оценивается по шкале от 1 до 10, что позволяет проследить, насколько часто операторы и производители предоставляют патчи. Авторы Дэниэл Томас (Daniel Thomas), Алестер Бересфорд (Alastair Beresford) и Эндрю Райс (Andrew Rice) представили свою работу на конференции, посвященной безопасности и приватности мобильных устройств в Денвере, штат Колорадо. Исследователи пришли к выводу, что, если судить по экосистеме в целом, производители устройств на Android улучшили свои показатели. В среднем они получили оценку 2,87 из 10, согласно «Оценке безопасности экосистемы Android» — понятию, введенному авторами исследования (PDF) Для сбора информации авторы проанализировали 21 713 устройства при помощи специального приложения Device Analyzer, которое можно скачать в Google Play еще с 2011 года. Как утверждает Томас, приложение не сканирует устройство на уязвимости, но собирает информацию о самом устройстве и о том, как оно используется. Получив информацию о номере сборки и версии ОС Android, исследователи сопоставили ее с информацией об известных уязвимостях, имевшихся в то время, когда устройство использовало данную версию ОС. «Мы можем использовать номер сборки, чтобы выяснить, дату ее появления, – то есть, определить, когда мы впервые столкнулись с этим номером сборки, и таким образом выяснить, имеется ли бэкпорт для этой версии ОС», — рассказал Томас. Собрав информацию о 32 критических уязвимостях, имеющихся на сегодняшний день, исследователи использовали только 13 из них (которым подвержены все Android-девайсы), чтобы получить график, изображенный ниже. Как подчеркнул Томас, исследователи обнаружили, что 85% устройств имели хотя бы одну критическую уязвимость. В августе Google объявил о том, что устройства Nexus будут получать OTA-обновления ежемесячно, чтобы лучше защитить пользователей от растущего количества уязвимостей и атак. Даже несмотря на то, что исследование кембриджской троицы закончилось в июле, устройства Nexus получили более высокую оценку по шкале FUM – 5,17. Остальные производители, которые утверждали, что будут предоставлять более частые обновления – LG и Samsung – получили 3,97 и 2,75, соответственно. Оценка по FUM учитывает долю устройств, не подверженных критическим уязвимостям в течение определенного времени (f), долю устройств, которые используют самую свежую версию Android, предоставленную производителем (u), и среднее число существующих уязвимостей, незапатченных производителем (m). Исследователи надеются, что система оценки, над которой они работали больше четырех лет, позволит точно определять степень защищенности Android-устройств даже за пределами лаборатории. Исследователи отметили, что Android-устройства получают слишком мало обновлений – 1,26 обновления в год. Именно это заставило экспертов глубже проанализировать экосистему. Они считают, что при возможности оценить проблему безопасности в численном отношении пользователи могут делать выбор в пользу более защищенного устройства и таким образом оказывать давление на производителей и операторов, чтобы заставить их более ответственно относиться к патчам. «Производитель точно знает, защищено ли в конкретный момент времени устройство и получит ли оно обновление в ближайшее время, но пользователь никогда этого не знает», — беспокоятся исследователи. Учитывая недавние новости о Stagefright Томас надеется, что исследование было опубликовано вовремя: производители, наконец, стали более пристально следить за новостями в мире безопасности. Но, хотя авторы исследования уже общались с представителями некоторых производителей девайсов и планируют назначить еще ряд встреч, Томас считает, что пока слишком рано оценивать, какое влияние окажет их исследование на отрасль. «Мы надеемся, что наша работа будет способствовать усовершенствованию экосистемы Android, так как у производителей появится мотивация для того, чтобы лучше заботиться о безопасности устройств. Время покажет», — говорит »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: threatpost_ru | |
| |
27.10.2015 - 13:09 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| Раскрыт DDoS-ботнет из 900 CCTV-камер Несмотря на всю перспективность и привлекательность идеи создания Интернета вещей (IoT, Internet of Things), распространение таких «подключенных» устройств может привести к увеличению количества преступных киберзлодеяний. Зачастую настройки системы защиты IoT-электроники по умолчанию отличаются слабостью, и злоумышленник даже посредственной квалификации может взломать такое устройство. Одной из угроз является создание ботнетов, использующих IoT-устройства. В последнее время, отмечают эксперты, такие инциденты участились. При этом самыми популярными мишенями являются CCTV-камеры. По некоторым оценкам, в мире насчитывается 245 миллионов функционирующих камер видеонаблюдения, официально установленных профессионалами, а также ещё миллионы неучтённых, которыми пользуются любители. Многие пользователи не задумываются об обеспечении даже элементарной безопасности. На днях в компанию Incapsula обратился клиент, жалующийся на «наводнение» его серверов HTTP-запросами. Во время атак было зафиксировано до 20 тыс. запросов в секунду. При изучении специалистами Incapsula IP-адресов выяснилось, что среди участников атакующей ботнет-сети есть CCTV-камеры, находящиеся… на заднем дворе компании. Ко всем этим устройствам доступ можно было получить по стандартным паролям, установленным по умолчанию. В целом, исследователи выявили около 900 камер, объединенных в ботнет по всему миру. Также интересно отметить, что ко многим из скомпрометированных камер получали доступ злоумышленники из совершенно разных регионов. Это указывает на то, что, скорее всего, они были взломаны независимо сразу несколькими лицами. Чтобы такой «проходной двор» не сделали из вашего устройства, специалисты рекомендуют, как минимум, менять все установленные по умолчанию пароли на более сложные. Источник: 3DNews | |
| |
12.11.2015 - 21:45 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| ESET: авторы Buhtrap освоили APT-атаки Аналитики международной антивирусной компании ESET обнаружили новый вектор кибератаки Buhtrap, нацеленной на российский бизнес. Злоумышленники скомпрометировали дистрибутивы популярной системы удаленного доступа и администрирования Ammyy Admin. Киберкампания «Операция Buhtrap» («ловушка для бухгалтера») была раскрыта ESET весной 2015 года. Атакующие распространяли банковское шпионское ПО, используя фишинговую рассылку и набор вредоносных программ для контроля над зараженным ПК. 88% жертв атаки – компании из России. В октябре 2015 года аналитики ESET обнаружили вредоносную активность на сайте компании Ammyy Group. Злоумышленникам удалось загрузить на сервер модификацию дистрибутива программы Ammyy Admin, содержащую установщик легитимной программы и вредоносное ПО группы Buhtrap. Скомпрометированный дистрибутив был доступен для загрузки около недели. Buhtrap представляет собой загрузчик (downloader). Он получает список установленного в системе ПО и сайтов, посещенных пользователем. Если система интересна для атакующих, начинается загрузка установочного архива с файлами для кибершпионажа. Вредоносный код позволяет перехватывать нажатия клавиш, получать информацию о смарт-картах и взаимодействовать с удаленным сервером. Несмотря на то, что Ammyy Admin – легитимная программа, она уже использовалась во вредоносных кампаниях. Поэтому некоторые антивирусные продукты, включая ESET NOD32, детектируют ее как потенциально нежелательное приложение. Тем не менее, программный продукт используется корпоративными пользователями в России и других странах. Среди клиентов Ammyy Group – российские банки и компании из списка Fortune Global 500. Расследование ESET установило, что в октябре-ноябре 2015 года сайт Ammyy использовался для распространения нескольких семейств вредоносных программ. 26 октября «раздавался» загрузчик трояна Lurk, 29 октября – CoreBot, 30 октября – программа группы Buhtrap, в начале ноября – банковский троян Ranbyus и средство удаленного доступа Netwire RAT. Эти программы не связаны друг с другом, однако фальшивые дистрибутивы Ammyy Admin выполняли одинаковые действия. Можно предположить, что злоумышленники, взломавшие сайт Ammyy Group, предоставляли услуги по распространению вредоносного содержимого разным кибергруппам. Группа Buhtrap осваивает новые методы компрометации корпоративных пользователей. Как и операторы банковского трояна Carbanak, злоумышленники освоили схемы, характерные для таргетированных атак. Использование атак класса watering hole (компрометация сайтов, посещаемых потенциальными жертвами) позволяет характеризовать Buhtrap как АРТ-группировку (Advanced Persistent Threat – «постоянные угрозы повышенной сложности»). Источник: eset | |
| |
29.11.2015 - 0:29 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Обнаруженная брешь позволяет раскрывать ip-адреса клиентов VPN-провайдеров
26 ноября специалисты по безопасности VPN-провайдера Perfect Privacy обнаружили в VPN уязвимость, которая может привести к раскрытию ip-адресов пользователей. Атака работает за счёт перенаправления портов. По заявлениям специалистов, уязвимости подвержены все реализации VPN (протоколы IPSec, OpenVPN, PPTP, и другие), и не зависит от операционной системы. » Нажмите, для открытия спойлера | Press to open the spoiler « Для успешного осуществления атаки атакующий должен завести аккаунт у того же VPN-провайдера, что и жертва. Затем необходимо узнать выходной ip-адрес жертвы. Часто у VPN-провайдеров используется небольшой пул выходных адресов – их можно перебирать, заманить жертву на специально созданный веб-сайт, что и выдаст её выходной ip-адрес, или брать адреса из торрентокачалки. Затем атакующий активирует у себя перенаправление портов – при этом от жертвы не требуется никаких действий, и неважно, работает ли у неё такое перенаправление, или нет. И в заключение, жертве необходимо скормить любой ресурс, в url которого указан порт, на который идёт перенаправление. Технические детали специалисты приводят следующие: У жертвы установлена связь с VPN-сервером 1.2.3.4 Её таблица роутинга будет примерно такой: 0.0.0.0/0 -> 10.0.0.1 (адрес внутреннего шлюза VPN), 1.2.3.4/32 -> 192.168.0.1 (старый шлюз по-умолчанию) Атакующий соединяется с тем же сервером 1.2.3.4, уже зная выходной ip-адрес жертвы Он активирует перенаправление портов на сервере 1.2.3.4, например, на порт 12345 Он заманивает жертву, чтобы та сделала запрос на 1.2.3.4:12345 (например, через включение в страницу кода http://1.2.3.4:12345/x.jpg>) Установленное соединение раскроет IP-адрес жертвы, из-за роутинга “1.2.3.4/32 -> 192.168.0.1” Суть проблемы в том, что для обеспечения правильной работы VPN, в какой-то момент жертве приходится использовать свой реальный ip-адрес. В Perfect Privacy уже предложили свой вариант решения проблемы, который должны реализовать провайдеры – как на стороне сервера, так и в настройках клиента. По словам специалистов, из девяти проверенных ими популярных VPN-провайдеров подобная уязвимость была найдена у пяти. Среди них оказались Private Internet Access (PIA), Ovpn.to и nVPN. В PIA уже оперативно исправили проблему, и даже наградили своего конкурента денежным призом в $5000 по программе Whitehat Alert Security Program. VPN (Virtual Private Network), виртуальная частная сеть – набор технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. Уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию шифрования. Чаще всего VPN используют для доступа удалённо работающих сотрудников к корпоративной сети. Также VPN очень популярен среди любителей скачивать фильмы, музыку и другие не совсем легальный контент из интернета, поскольку он помогает скрыть свой реальный ip-адрес, и шифрует трафик, что затрудняет прослушку канала. Часто у VPN-провайдеров есть несколько серверов в разных странах, благодаря чему VPN помогает обойти и блокировку ресурсов, введённую провайдерами по требованию властей. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
|
|