uinC NewsLetter #44, 2015


Приветствуем!

Новости из Security Мира

26/10/2015 12:57 «Госуслуги» на Android каждую минуту фиксируют геопозицию
Приложение «Госуслуги» на Android перестало «закрываться» после обновления 15 октября 2015 года. Теперь программа в фоновом режиме работает на смартфоне всегда, жалуются её пользователи. Из других отзывов известно, что обновлённая программа теперь каждую минуту обращается за GPS координатами. Соответственно, те кому важнее батарейка телефона — ругают разработчиков «Госуслуг» из «Ростелекома» за повышенную прожорливость приложения. Вторая часть раздосадованных владельцев просто недопонимает цель авторов программы. Зачем госкорпорации потребовалось раз в минуту уточнять где находится тот или иной гражданин? ФИО и другие персональные данные гражданина государству тоже известны, благодаря самому предназначению госприложения. Поэтому в целом история для пользователей выглядит, как осуществлённая на практике сцена из романа «1984» Оруэлла о «Большом брате». Ранее в 2015 году одна из крупнейших компаний России уже собирала избыточные координаты пользователей. В феврале это было приложение Яндекса «Метро».
Источник

27/10/2015 12:10 ФСТЭК признала уязвимость данных пользователей на госсайтах
Федеральная служба по техническому и экспертному контролю (ФСТЭК) признала уязвимость персональных данных и текстов обращений граждан, направляемых в госорганы, следует из ответа руководителя ФСТЭК Владимира Селина на соответствующий запрос депутата Госдумы Ильи Костунова. Как отметил глава службы, данные не подвергаются шифрованию и в процессе передачи могут стать доступны третьим лицам. Парламентарий ставит вопрос о сроках принятия мер по шифрованию такой информации и подчеркивает, что необходимость ее защиты зафиксирована в указе президента России. «ФСТЭК разделяет вашу озабоченность по вопросу обеспечения безопасности сбора персональных данных и сообщений пользователей на сайтах органов госвласти»,— приводит ТАСС выдержку из ответа службы. ФСТЭК своим приказом утвердила требования к операторам о защите информации, не составляющей гостайну, содержащуюся в государственных информационных системах. В частности, операторы должны «обеспечивать меры по защите информации от раскрытия, модификации и навязывания ввода ложной информации», а именно создавать «защищенное соединение с применением криптографических средств защиты информации». Ранее сообщалось, что по итогам шести месяцев Россия заняла второе место в мире по числу утечек конфиденциальной информации в интернет. Рынок средств защиты информации от утечек (DLP) в России за 2014 год вырос на 25%, но он все равно не успевает за злоумышленниками.
Источник

27/10/2015 15:13 Обнаружен ботнет из 900 камер видео-наблюдения
Американская компания Incapsula обнаружила ботнет из около 900 IP-камер, с помощью которых злоумышленники организовали масштабную DDoS-атаку. Об этом представители Incapsula рассказали в корпоративном блоге компании. В атаке участвовали подключенные к интернету камеры из разных стран мира, несколько десятков из них было расположено в России, а лидерами заражения стали Тайланд и страны Южной Америки. Все скомпрометированные камеры видеонаблюдения имели установленный пакет утилит BusyBox для ОС Linux, облегчающий выполнение системных команд. Зловредное внедрение представляло собой исполняемый файл формата ELF для ARM архитектуры, которым оказался файл ".btce" - утилита для сканирования сети на активность интерфейса BusyBox и подбора пароля по словарю, еще известная под названием ELF_BASHLITE или Lightaidra, а также GayFgt. Хакерам удалось создать целую сеть из подключенных к интернету устройств наблюдения, которая позволяла им отправлять около 20 тыс. запросов в секунду для организации DDoS-атак типа HTTP GET-флуд. При этом логи камер показали, что доступ к ним получали с IP-адресов, имеющих разную географию: как предполагают исследователи, это свидетельствует о сдаче ботнета в аренду для осуществления DDoS-атак разной направленности.
Источник

27/10/2015 16:32 Множественные критические уязвимости ядра Joomla
Популярная система управления контентом Joomla на прошлой неделе получила сразу три обновления, устраняющих различные уязвимости в системе защиты, одна из которых позволяла повышать привилегии посредством внедрения SQL-кода и тем самым получить права администратора на большинстве интернет-ресурсов, находящихся под управлением Joomla. Данная уязвимость (CVE-2015-7297, CVE-2015-7857, CVE-2015-7858) обнаружена специалистом в сфере информационной безопасности Trustwave Асафом Орпани (Asaf Orpani), а также сотрудником PerimeterX Нетанелем Рубином (Netanel Rubin). По словам экспертов, самое слабое место находится в модуле ядра Joomla. Воспользовавшись уязвимостью системы, хакер может осуществить перехват сессии администратора, извлечь идентификатор сессии и подставить его в секцию куки GET-запроса, заполучив таким образом администраторские привилегии. «Поскольку брешь обнаружена в модуле ядра, не требующем никаких расширений, все веб-сайты на базе Joomla 3.2 и более поздних версий уязвимы к атаке. Из этого следует, что все ресурсы под управлением VirtueMart также могут быть скомпрометированы», — сообщил Орпани. Две другие уязвимости были связаны со списком контроля доступа (ACL) - CVE-2015-7859 и CVE-2015-7899. Они также устранены в последних обновлениях, доступных на веб-сайте разработчика.
Источник

28/10/2015 00:09 Протокол HSTS позволил отследить посещенные веб-ресурсы
На конференции Toorcon продемонстрирован новый вид атаки на браузеры, позволяющей выяснить какие сайты пользователь посещал ранее. Атака применима к сайтам, на которых включена поддержка протокола HSTS для автоматизации проброса на области HTTPS при запросе ресурса с использованием протокола HTTP, и проявляется даже если пользователь очистил историю посещений. Для демонстрации уязвимости подготовлена специальная страница, анализирующая открытие в прошлом некоторых популярных ресурсов. Проблема успешно проявляется в Firefox и Chrome, но также затрагивает и другие браузеры, поддерживающие HSTS. В Tor Browser проблема не проявляется из-за ограничения точности таймера. Техника атаки основывается на том, что CSP запросив несуществующее изображение на сайте с использованием протокола HTTP, в случае если на этом сайте выставлен флаг HSTS и сайт открывался ранее, его параметры HSTS прокэшированы и ответ будет возвращён после одного запроса (URL сразу будет запрошен по HTTPS, минуя запрос по HTTP). Если сайт не был открыт ранее, вначале будет выполнен запрос по HTTP, а затем, после получения заголовка HSTS, браузер отправит повторный запрос с использованием HTTPS, т.е. операция займёт ощутимо больше времени. Оценив время задержки кодом на JavaScript можно с достаточно большой вероятностью определить открывал пользователь проверяемый сайт ранее или нет. Интересно, что разработчикам Chrome около года назад сообщили о похожем методе определения факта открытия сайтов и данная проблема до сих пор не решена. Если обратиться к 443 порту сайта по протоколу HTTP (http://example.com:443), такое обращение приведёт к ошибке, если сайт не открывался ранее. Если же сайт был открыт в прошлом и использует флаг HSTS, то браузер автоматически заменит ссылку на https://example.com:443 и запрос будет выполнен успешно. Ещё одна уязвимость связана с работой механизма привязки открытых ключей (HPKP, HTTP Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Данный механизм можно использовать в Chrome или Firefox для отслеживания посетителей без применения cookie. Используя HPKP под видом сертификата можно выполнить привязку произвольного идентификатора, уникального для каждого посетителя. В дальнейшем эта привязка может применяться для достоверного определения повторного посещения сайта данным пользователем по аналогии с тем как для идентификации используются cookie. Особенность состоит в том, что привязка сохраняется независимо от удаления cookie, а удаление HPKP-записей является неочевидным действием, требующим обращения к внутренней странице (chrome://net-internals/#hpkp) для конкретного домена (список доменов с привязкой посмотреть нельзя).
Источник

29/10/2015 18:32 «Яндекс» обещает 500 тыс руб. за взлом своего браузера
Интернет-компания «Яндекс» объявила конкурс на выявление уязвимостей в «Яндекс.Браузере», а именно в технологии Protect, которая, по утверждению разработчика, защищает пользователей Яндекс.Браузера от сетевых угроз: кражи данных, вирусов, рисков в публичных Wi-Fi-сетях. Любой желающий может попробовать взломать браузер и сообщить о найденной лазейке. Участники конкурса, обнаружившие самые серьёзные уязвимости, получат денежное вознаграждение. Приз за первое место составит 500 тысяч рублей, за второе и третье — 300 тысяч и 150 тысяч рублей соответственно. «Яндекс» интересуют уязвимости, позволяющие нарушить конфиденциальность или целостность пользовательских данных. Сообщения можно присылать до 20 ноября через специальную форму обратной связи. Результаты конкурса будут объявлены 26 числа на конференции ZeroNights-2015, а также опубликованы на страницах клуба Яндекс.Браузера.
Правила участия

30/10/2015 14:10 Устранены критические уязвимости гипервизора Xen
Проект Xen сообщил об устранении сразу нескольких опасных уязвимостей, из которых отдельного внимания заслуживает проблема CVE-2015-7835. Уязвимость CVE-2015-7835 позволяет привилегированному пользователю паравиртуализированной гостевой системы получить полный контроль над хост-системой и другими виртуальными окружениями. Уязвимость вызвана ошибками в коде размещения больших страниц памяти в паравиртуализированных гостевых системах (PV) и позволяет получить доступ на запись к страницам памяти, рассчитанным на обращение только в режиме чтения. По мнению разработчиков операционной системы Qubes, выявленная проблема является самой опасной уязвимостью за всю историю существования проекта Xen. То, что проблема присутствует в кодовой базе Xen уже семь лет заставляет задуматься о необходимости аудита безопасности кодовой базы гипервизора и рассмотрению безопасности как первичного приоритета в разработке Xen. Уязвимость проявляется в Xen 3.4 и более новых выпусках, на 32- и 64-разрядных системах x86 (платформы ARM проблеме не подвержены). Всем пользователям Xen рекомендуется срочно применить исправлениеи или установить обновления, которые в настоящий момент доступны только для Qubes OS (пакеты 4.4.3-8 и 4.1.6.1-23). Обходным вариантом является перевод паравиртуализированных гостевых систем в режим полной виртуализации (HVM). Компания Amazon сообщила, что её облачные сервисы не подвержены проблеме. Rackspace, IBM/Softlayer и Linode устранили уязвимости в своих продуктах до их публичного обнародования.
Источник

30/10/2015 20:25 Tor представил бета-версию защищенного мессенджера
Проект Tor представил бета-версию собственного клиента для мгновенного обмена сообщениями Tor Messenger, нацеленного на обеспечение анонимности и защиты от прослушивания. Весь применяемый для обмена сообщениями трафик передаётся только через сеть Tor. Для шифрования сообщений, защиты имеющейся переписки и аутентификации собеседников применяется протокол OTR (Off-the-Record). Готовые сборки подготовлены для Linux, Windows и OS X. Для обмена сообщениями применяется традиционная клиент-серверная модель, подразумевающая наличие сервера для координации обмена сообщениями. Tor Messenger позволяет соединиться с обычными IM-серверами, поддерживающими такие протоколы, как Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter и Yahoo, при этом соединение с ними осуществляется только через сеть Tor. Также возможно использование серверов, работающих в форме скрытых сервисов Tor (Hidden Services). В качестве основы для построения приложения задействована кодовая база клиента для мгновенного обмена сообщениями Instantbird, построенного на технологиях Mozilla. Подобный подход напоминает Tor Browser, основанный на кодовой базе Firefox. На стадии планирования в качестве основы Tor Messenger рассматривались Pidgin и libpurple, но в итоге выбор был сделан в пользу Instantbird c использованием вместо libpurple плагинов c реализацией поддержки протоколов обмена сообщениями на языке JavaScript. Нежелание использовать libpurple было обусловлено необходимостью траты значительных ресурсов на проведение аудита данной библиотеки и опасений, что разработчики Pidgin халатно относятся к вопросам безопасности. Плагины на JavaScript, интерфейс на XUL и платформа Mozilla позволяли применить в проекте опыт и наработки, накопленные в процессе разработки Tor Browser. Из планов по дальнейшему развитию проекта отмечается организация повторяемых сборок для Windows и OS X, задействование sandbox-изоляции, автоматическое применение обновлений, расширенные средства поддержки Tor (TIMB и TBB/PTTBB), возможность использования OTR поверх Twitter DM (Direct Message), подготовка локализованных сборок, средства для организации защищённых конференций с несколькими участниками (np1sec), средства шифрованной передачи файлов и улучшение удобства работы.
Источник

1/11/2015 14:38 Скомпрометированы данные 2 тыс. абонентов Vodafone
Британский сотовый оператор Vodafone сообщил о хакерской атаке, которая поставила под угрозу личные данные, включая информацию о банковских счетах, почти 2 тыс. своих клиентов. В заявлении компании говорится, что попытка завладеть данными абонентов предпринята в период с 00:00 среды, 28 октября, до 12:00 четверга, 29 октября. Отмечается, что хакеры попытались получить доступ к учетным записям 1827 пользователей. В руках злоумышленников могли оказаться имена, номера телефонов и некоторые данные банковских счетов (код безопасности и последние четыре цифры банковского счета) клиентов. В сообщении подчеркивается, что все аккаунты, пострадавшие от действий хакеров заблокированы. Vodafone в настоящее время помогает пострадавшим клиентам восстановить данные учетных записей. Кроме того, компания сообщила о случившемся банкам затронутых кибер-атакой клиентов, с целью предпринять дополнительные меры для защиты их счетов. В сообщении отмечается, что хакеры использовали адреса и пароли электронных почтовых ящиков клиентов, полученные от стороннего источника, не связанного с Vodafone. Таким образом,​ сама система Vodafone взломана не была. Британские правоохранительные органы проводят расследование случившегося.
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru