Security Week 03: захід SHA-1 триває, баг чи фіча в Whatsapp, уразливості в роутерах не чиняться

SHA-1 — все. Чи ні? Стежити за розвитком подій навколо цього алгоритму хешування легко і приємно: незважаючи на очевидну серйозність проблеми, вона залишається малоприменимой для практичних атак, як мінімум — масових. Вперше я згадував про SHA-1 дайджесті аж від жовтня 2015 року. Проблеми з ним з'явилися з-за того, що обчислювальні ресурси подешевшали дещо швидше, ніж очікувалося. Експерт з криптографії Брюс Шнайер у 2012 році передрікав, що через три роки для створення колізії при генерації хешей потрібно 11 років обчислень на умовному сервері. Три роки пройшли, і з'ясувалося, що насправді (за рахунок розвитку технологій паралельних обчислень, і завдяки новим дослідженням в області криптографії) цей термін значно менше — всього 49 днів.

Так як хешування з допомогою SHA-1 використовується у вельми відповідальних операціях, наприклад при установці захищеного з'єднання з веб-сайтами, розробники софта досить оперативно почали ділитися планами висновку ненадійного алгоритму з експлуатації. Починаючи з 24 січня (для Firefox, для інших браузерів трохи пізніше) відвідування сайту, не підтримує алгоритм SHA-2 (зазвичай модифікації SHA-256), буде призводити до різноманітним загрозливим попереджень у користувачів.

За даними Facebook на кінець 2015 року, 7% їх аудиторії, в основному жителі країн, що розвиваються, як і раніше користувалися браузерами або додатками, не підтримують SHA-2. Більш свіже дослідження показує, що ненадійні SHA-1 використовують 35% сайтів в адресному просторі IPv4, але серед них майже немає дійсно популярних. Найсерйозніші проблеми виникли не у сайтів і не у користувачів, а у платіжних систем і розробників мобільних додатків. Головний висновок досить детального огляду на Threatpost: незважаючи на раннє виявлення проблеми, публічне обговорення рішень, спільні зусилля та інше, в 2017 році SHA-1 стане нішевою проблемою, яка остаточно навряд чи коли-небудь зважиться. А значить, завжди буде ризик шкідливих маніпуляцій з призабутих сервером, який то забули оновити, то не змогли. Не можна просто так взяти і викорінити ненадійний алгоритм.



В Whatsapp знайшли вразливість системи шифрування повідомлень. Чи не знайшли.
Новина. Блогпост з подробицями.

В п'ятницю 13-го в газеті Guardian була опубликована стаття про те, що уразливість в Whatsapp дозволяє розробникам месенджера підслуховувати користувачів при наявності шифрування листування. Деталі уразливості наступні: протокол Signal, на якому засновано шифрування в Whatsapp, генерує унікальні ключі для зв'язку між двома користувачами. У випадку, якщо користувач знаходиться в офлайні, Whatsapp може поміняти ключі, причому по-тихому, не повідомляючи користувачів — якщо не включити в налаштуваннях відповідну функцію.

Тобто якщо змінює ключі, значить це навіщось потрібно, а чого ще треба, окрім як для підслуховування? Розробник Open Whisper Systems, відповідального за протокол Signal, Морлі Марлинспайк спробував зруйнувати цю залізну логіку ЗМІ. Ситуація заміни ключа шифрування, про яку йде мова, відбувається в тому випадку, якщо серверу нікуди доставляти повідомлення. Наприклад, відбулася заміна смартфона або було переустановлений додаток. В такому випадку сервер генерується новий ключ, щоб забезпечити доставку повідомлення, коли користувач повернеться в мережу.

Коротше, баг виявився фичей. Питання в тому, чому користувачів не повідомляють про зміну ключів шифрування? Розробники Whatsapp порахували, що користувачів, більшість з яких шифрування нічого не розуміють, зайвий раз лякати не варто. В месенджері Signal, наприклад, вважають, що варто лякати, так і в Whatsapp цю настройку можна включити вручну. Тоді у вас з'явиться можливість включити режим параноїка: якщо (не важливо з якоїсь причини) ви бачите, що ключі змінилися, ви можете змінити їх ще раз, імовірно забезпечивши собі режим максимальної приватності.



Хоча параноїком це не допоможе. Цікава новина про необхідність обережного трактування аспектів кібербезпеки.

Роутери таїландського інтернет-провайдера залишаються вразливими через шість місяців після виявлення уразливості
Новость. Дослідження.

Традиційна новина зі світу «несправжнього IoT». У таїландського інтернет-провайдера TrueOnline виявилися вразливі роутери виробництва маловідомої компанії Billion і відомої Zyxel, в яких дослідники знайшли масу способів несанкціонованого перехоплення контролю через веб-інтерфейс (у тому числі і зовні). Судячи з усього, мова йде про уразливість в кастомний прошивці — вендори не при чому, хоча можливі варіанти (Zyxel повідомили, що мова йде про роутерах, давно зняті з виробництва)

Уразливості були знайдені ще в липні цього року, але опублікували їх тільки зараз з простої причини: інтернет-провайдер начисто проігнорував повідомлення дослідників. Загалом рутинна новину непогано виглядає в контексті. Наприкінці минулого року експерти «Лабораторії» виявилиновость і исследование) Android-троянець Switcher, який має функцію підміни записів DNS в роутерах, тобто використовується як сходинка для захоплення всієї домашньої мережі жертви.

Давнину
«Nina-1600»

Резидентний дуже небезпечний вірус, що вражає .COM-, .EXE — та .SYS-файли, шукає в поточному каталозі при кожному виклику int 21h. .COM — і .EXE-файли інфікує стандартно. При зараженні .SYS-файлів дописує своє тіло в кінець файлу і модифікує програми Interrupt та Strategy цільового драйвера.

Активізується тільки при відсутності антивірусних блокувальників. При спробі пройти коди вірусу відладчиком знищує частину даних на диску. Містить тексти: «Dear Nina, you make me write this virus; Happy new year!», ":\COMMAND.COM".

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 41.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.