Security Week 41: тиждень патчів, 12-річна уразливість в sshd повертається, StrongPity APT

минулого тижня в Денвері пройшла 26-я за рахунком конференція VB, організована авторитетним порталом-довгожителем Virus Bulletin. Конференція з тематики схожа з BlackHat, але в ній значно менше шоу і куди більше технічних деталей. Експерти «Лабораторії» виступали на конференції з двома доповідями. З одним, про помилкові докази приналежності шкідливого коду і цільових атак, пропоную ознайомитися самостійно, а про інший розповім докладніше.

Атака StrongPity (новина, исследование) цікава не стільки своїми можливостями по крадіжці даних (тут взагалі важко чим-небудь здивувати), скільки правильним таргетуванням жертв. Організатори атаки створили кілька веб-сторінок, мимикрирующих під офіційні сайти популярного софту, конкретно WinRAR і TrueCrypt. Посилання на ці веб-сайти також вдалося протягнути на пару софтових агрегаторів.

На підроблені сайти поширювалися підготовлені дистрибутиви вищевказаного софта: вони працювали, але мали додаткову функціональність, спрямовану на збір і крадіжку даних. Крім того, шкідливі компоненти дозволяли більш детально профілювати жертв. Був передбачений пошук спеціалізованого админского софта, для шифрування або для віддаленого доступу: putty, winscp, пара клієнтів Remote Desktop і так далі. Трактувати таку поведінку можна по-різному. По-перше, очевидно, велися прицільні спроби атакувати системних адміністраторів, апріорі мають розширені права в мережі жертви. По-друге, таргетування жертв, використовують софт для шифрування даних дозволяє припустити прицільний пошук тих, кому є що приховувати.

Читати далі →

криптософте TrueCrypt виявлені критичні уразливості



Член команди Google Project Zero Джеймс Форшоу (James Forshaw) виявив дві критичні уразливості в драйвері TrueCrypt, що програма встановлює в Windows-системах. Помилки безпеки CVE-2015-7358, CVE-2015-7359 дозволяють зловмисникам здійснити ескалацію привілеїв, отримавши повні права адміністратора та доступ до всіх даних користувача навіть у тому випадку, якщо вони зашифровані.
Читати далі →

Хакерські проекти на Кикстартере



Я готувався до курсом з виведення проекту на Кікстартер та мені як «домашки» треба було проаналізувати успішні проекти. (Я трохи аж зойкнув, коли дізнався, що в світі 1250 активних краудфандинговых платформ.) Так як у мене хабр-дефект, я знайшов всі проекти в галузі інформаційної безпеки (а пару проектів підказали хлопці з хакерспейса).

10% — частка технологічних стартапів Кикстартере (вони в результаті зібрали близько 118 000 000 доларів).
Так, краудфандінг відмінно заточений на всяку непотрібну, але прикольну хрень. На Кикстартере збирають бабло на салат і на резинкометы (16-ти ствольный дерев'яний кулемет системи Гатлінга), а на інших платформах реалізують «правило 34» для космосу і на радість старовини Фрейдом друкують сигари органи. Але є і околохакерские проекти, причому деякі досить серйозні. Як для простих користувачів (флешечки з біометрією), так і для професійних пентестеров (аналізатор атак по стороннім каналах для заліза).

Пропоную самим оцінити ідеї проектів (глибину технічних описів) і почуття гумору розробників.

Читати далі →

Може софтверное знищення даних бути краще потужного магніту?


Привіт, %username%, я впевнений, що так. І в наших з тобою силах зробити це реальністю.
Цей пост навіяний ось цим обговоренням, де часом доходило до ксеноморфов. У нас же все буде простіше і надійніше (раптом ксеноморфов забудуть погодувати?)

Читати далі →

Завершений аудит коду TrueCrypt

Сайт Open Crypto Audit Project повідомляє про завершення другої стадії аудиту коду популярного відкритого засоби шифрування TrueCrypt, розробники якого 28 травня 2014 року дуже дивно покинули сцену, порадивши переходити на BitLocker — рішення для шифрування даних від Microsoft. По суті, аудит коду завершено, хлопцям з OCAP залишилося тільки написати фінальний документ з висновками.

Згідно з результатами аудиту, ніякої закладки в TrueCrypt 7.1 a немає. Аудитори зазначили лише 4 потенційно нехороших місця, які не призводили до компрометації будь-яких даних при звичайних умовах:
  1. Відсутність автентифікації зашифрованих даних у заголовку томи
  2. Змішування ключового файлу відбувається не криптографічно стійким чином
  3. Реалізація AES може бути вразлива до атаки по часу
  4. CryptAcquireContext може виявитися неинициализированным без повідомлення про помилку

Читати далі →

Нестандартний Top10 подій у сфері IT-безпеки 2014 року

У нашій робочої термінології є одне усталене англійське вираження «threat landscape». На російську мову воно нормально не перекладається (ландшафт загроз, ага). Якщо все гранично спростити, то це така штука, на основі якої компанії роблять вибір: закупити ще заліза або витратити гроші на захист існуючої інфраструктури. Залежність тут пряма: якщо ваші поїзда постійно сходять з рейок, то вирішується це зовсім не закупівлею нових локомотивів.

Оцінювати ландшафт (ну ось, знову) за шкалою від привітного до похмурого можна по-різному. Ось, наприклад, версія від наших експертів з безпеки: підсумки 2014-го, прогноз на 2015-й, для любителів цифр, цифри. А що думають самі компанії? Ми їх регулярно про це запитуємо (детальніше тут), але в цьому році вирішили використати ще один нестандартний метод.

Відстеженням всіх значущих новин у сфері IT-безпеки у нас займається редакція сайту Threatpost. Ми вирішили відібрати 10 подій року, що минає (для версії сайту англійській) за єдиним критерієм: популярності відповідних статей. І отримали цікавий набір новин, актуальний для айтішників, наших нинішніх і потенційних клієнтів і сб. У ньому абсолютно немає політики (тобто історій про Сноудена і NSA), і досить мало тим стратегічного плану. Зате на перший план вийшли проблеми, які необхідно враховувати при оцінці цього самого ландшафту вже зараз. Докладніше — під катом.

Читати далі →

Безкоштовний From Disk 4 з підтримкою TrueCrypt

Випуск безкоштовної версії From Free Disk — перший крок назустріч користувачам.
Другий крок — вбудована підтримка контейнерів вмираючого TrueCrypt.
Чекаємо ще один, останній крок — відкриті вихідні коди :)

image

Завантажити безкоштовну версію
Історія версій
Офіційна новина

Джерело: Хабрахабр

Сайт TrueCrypt зламаний і пропонує переходити на BitLocker

    image
Сторінка TrueCrypt на SourceForge, схоже, зламана.
 
На сторінці розповідається про те, що розробка TrueCrypt була припинена в травні цього року, після того, як Microsoft припинила підтримку Windows XP, і що TrueCrypt більш небезпечний і може містити уразливості.
Далі, на сторінці міститься докладна інструкція міграції з TrueCrypt на BitLocker.
 
На сайті є також посилання на бінарний файл TrueCrypt, які ведуть в розділ завантажень SourceForge, разом з цифровим підписом. Найімовірніше, ключі були скомпрометовані, т.к. цей файл підписаний коректним (старим) ключем, а всередині нього:
 
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. Use it only to migrate existing data encrypted by TrueCrypt. \ N \ nThe development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. \ N \ nUse BitLocker to encrypt data: \ n \ n-To encrypt a drive, click icon of the drive in Explorer using the right mouse button and select 'Turn on BitLocker'. \ n \ n-To create an encrypted file container: \ n1) Create a virtual disk in Disk Management (right-click Computer / PC icon> select 'Manage'> select 'Storage' > select 'Disk Management'> select 'Action' menu> select 'Create VHD'). \ n2) Initialize the disk (right-click it and select 'Initialize Disk') and create a partition on it (right- click unallocated space on the drive and select 'New Simple Volume'). \ n3) Encrypt the new virtual drive by BitLocker (right-click it in Explorer and select 'Turn on BitLocker').
 
22 травня SourceForge змінили алгоритм хешування паролів і запропонували всім їх змінити, щоб використовувався новий алгоритм. Можливо, щось пішло не так.
Читати далі →

Закінчився перший етап аудиту безпеки TrueCrypt - критичних багів не виявлено

  Восени минулого року в ході краудфандінговой кампанії з метою проведення всебічного аудиту безпеки популярної криптографічного програми TrueCrypt було зібрано більше 60000 доларів. 14 квітня завершився перший етап аудиту — компанія iSECpartners представила звіт про аудит якості коду TrueCrypt. На другому етапі буде проведено формальний криптоанализ.
 
В ході аудиту коду виявлено 11 помилок — серед них жодної критичної, чотири помилки середнього ступеня небезпеки, чотири — низькою і три в категорії «informational» — тобто практично несуттєві з точки зору безпеки. У 32-хстранічном звіті (PDF ) для наочності знайдені баги зведені в діаграму за ознаками ступеня ризику і легкості експлуатації. У лівому нижньому кутку — зона найвищої небезпеки, у правому верхньому — наїнізшей.
 
 
 
Читати далі →