Технологии безопасности

Сайт посвященный вопросам безопасности

Опечатка в коде официального кошелька Zerocoin позволила украсть криптовалюты на $648 тыс


Курс Zcash (ZXC) в течение последнего месяца во время того, как неизвестный злоумышленник или злоумышленница обналичивал(-а) средства

16 февраля 2017 года группа разработчиков Zerocoin нашла баг в официальной реализации Zerocoin. Оказалось, что в коде присутствует опечатка — единственный лишний символ, случайно добавленный при наборе на клавиатуре. Из-за этой опечатки была возможность проводить транзакции без соответствующей траты монет. То есть можно было перечислять деньги, не снимая их с кошелька.

К сожалению, опечаткой в коде уже воспользовались нечистые на руку и не имеющие совести персонажи, которые увели с кошельков Zerocoin криптовалюты в эквиваленте на $648 тыс.
Continue reading

Баги из СССР

История — это опыт, который позволяет современному поколению не наступить вновь на грабли. Но в программировании, как и в других активно развивающихся областях, такой идеальный сценарий не всегда возможен. Почему? Потому что появляются новые языки программирования, многие процессы становятся сложнее, а машины умнее. В этой статье я приведу две реальные истории. Что их объединяет? Во-первых, время — все они произошли в СССР; во-вторых, люди — каждая история могла пойти по другому сценарию, если бы главные герои не проявили свои лучшие/худшие человеческие качества; в-третьих, конечно же, программирование, иначе статья была бы просто неуместна в нашем блоге.

Continue reading

Не доверяйте SUDO, она может вас подвести

Всем доброго времени суток, в этой статье постараюсь описать некоторые способы обхода ограничений на исполнение команд в ОС Linux, советы по использованию которых можно часто встретить на различных форумах. Демонстрация будет проведена на примере задания Restricted shells с сайта Root-Me. И так, начнём. Continue reading

Security Week 07: RSA и искуcственный интеллект, безопасность Android, госрегулирование IoT

На этой неделе расцвела пышным цветом, растеклась по лугам и долинам, распустилась и опала главная конференция по информационной безопасности — RSA Conference 2017. Конференция, в отличие от мероприятий типа Blackhat или нашего собственного Security Analyst Summit, немножко маркетинговая. Исследований по безопасности там почти нет (у нас есть, а так не очень), зато красивых слов об инновационных технологиях — много. Слова тоже нужны: хочется того или нет, инфобезопасность давно перестала быть чисто техническим феноменом, превратившись в социальный. Возможно из-за того, что в прошлом году я был на мероприятии, а в этом — нет, в этот раз слова с RSA я воспринимаю с несколько большей долей скепсиса.

Может быть так происходит и потому, что инфобезопасный маркетинг в последнее время часто строится на некоем ожидании чуда. Пока технарь ждет, когда соберется проект, иной маркетолог мечтает о голубом вертолете с волшебником, который прилетит и решит все, абсолютно все проблемы. Но нет. Показательным примером дисбаланса между мечтами и суровой реальностью стал семинар, посвященный технологиям будущего — конкретно искусственному интеллекту и квантовым вычислениям — в переложении на киберзащиту (новость).
Continue reading

CloudFlare изменил «пиратским» сайтам IP, чтобы обойти блокировку в сетях Cogent

Несколько дней назад пользователи США и Европы заметили, что магистральный провайдер Cogent более недели блокирует в своей сети запросы пользователей к «пиратским» сайтам типа Primewire, Movie4k, TorrentProject и TorrentButler. Блокирование установлено по IP. Эти ресурсы работают с сервисом CloudFlare, который и присвоил им адреса IP — 104.31.18.30 и 104.31.19.30. CloudFlare — это CDN-провайдер, трафик клиентских сайтов проходит через их серверы и обрабатывается, а реальные ресурсы «живут» за IP-адресами этой компании.

Если трафик пользователя, желающего открыть один из указанных сайтов, не проходит через сеть Cogent, то все открывается. В противном случае доступ к этим ресурсам получить невозможно. Причины блокировки пока неизвестны, хотя можно предположить, что основная причина — правообладатели, точнее, их желание любыми способами закрыть доступ пользователям к ресурсам с нелицензионным контентом. На вопрос о причинах блокировки пресс-секретарь Cogent неделю назад заявил, что о проблеме компании известно, но обсуждать ее со сторонними компаниями и журналистами провайдер не будет.
Continue reading

Дерандомизация ASLR на любых современных процессорах средствами JavaScript


Запись обращений к кэшу устройством управления памятью (MMU) в процессоре по мере вызова страниц по особому паттерну, разработанному для выявления различий между разными уровнями иерархии таблиц. Например, паттерн «лесенки» (слева) указывает на первый уровень иерархии, то есть PTL1, при вызове страниц по 32K. Для других уровней иерархии тоже есть методы выявления

Пятеро исследователей из Амстердамского свободного университета (Нидерланды) доказали фундаментальную уязвимость техники защиты памяти ASLR на современных процессорах. Они выложили исходники скриптов JavaScript и подробное описание атаки AnC (ASLR⊕Cache), которой подвержены практически все процессоры.

Исследователи проверили AnC на 22 процессорах разных архитектур — и не нашли ни одного, который был бы защищён от такого рода атаки по стороннему каналу. Это и понятно, ведь во всех процессорах используется буфер динамической трансляции для кэширования адресов памяти, которые транслируются в виртуальные адреса. Защититься от этой атаки можно только отключив кэш процессора.
Continue reading

Компании отрабатывают методы слежки на рабочем месте


Офис журналистов-новостников в The Daily Telegraph

Около года назад журналисты британской газеты The Daily Telegraph обнаружили небольшие черные коробочки, прикрепленные с обратной стороны столешницы их рабочих столов. При этом на коробочках красовалась надпись «OccupEye». Сотрудники компании решили, эти коробочки — датчики, которые отслеживают присутствие людей за столом. Люди встревожились, осознав, что начальство может теперь отслеживать каждый шаг своих подчиненных.

Как оказалось, эти коробочки — устройства, отслеживающие микроклимат в кабинках сотрудников компании. По словам руководителей The Daily Telegraph, детекторы должны были следить, чтобы воздух не был чрезмерно охлажден или перегрет. Таким образом начальство хотело снизить расходы на электроэнергию, большое количество которой потребляют кондиционеры. В конце концов, устройства убрали. Но, на самом деле, сейчас в офисах достаточно много детекторов, которые следят не только за температурой.
Continue reading

Как «пробить» человека в Интернет: используем операторы Google и логику

В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.

В комментариях к первой нашей статье, читатели просили побольше практических примеров и скриншотов, поэтому в этой статье практики и графики будем много. Для демонстрации возможностей «продвинутого» поиска Google в качестве целей были выбраны личные аккаунты автора. Сделано это, чтобы никого не обидеть излишним интересом к его частной жизни. Хочу сразу предупредить, что никогда не задавался целью скрыть свое присутствие в интернете, поэтому описанные методы подойдут для сбора данных об обычных людях, и могут быть не очень эффективны для деанонимизации фэйковых аккаунтов, созданных для разовых акций. Интересующимся читателям предлагаю повторить приведенные примеры запросов в отношении своих аккаунтов и оценить насколько легко собирать информацию по ним.

Continue reading

Google Drive добавил сканирование «пиратского» контента по хэшам файлов

Борьба с так называемым «пиратским» контентом продолжается. В эту борьбу правообладатели привлекают все большее количество сторон. В числе прочих партнеров правообладателей — корпорация Google. Сейчас руководство компании решило заняться проблемой очистки серверов Google Drive от контента, нарушающего чье-либо авторское право. Одна из первых введенных мер в рамках этой борьбы — уведомление пользователей о проблемах с авторским правом в случае «шаринга» контента такого типа. Для того, чтобы определить, какого рода контент размещается на сервисе (обычный или «пиратский»), Google использует сканирование по хэшам файлов.

Обычно хэшем файла или его хэш-суммой называют уникальный идентификатор файла, который генерируется при помощи специального ПО. В основе процесса обработки данных для получения хэш-суммы — ряд математических преобразований данных (обычно это алгоритмы SHA-1, MD5, CRC), которые содержатся в файле. Хэш может служить «отпечатком» файла и использоваться для подтверждения аутентичности этого файла. Дело в том, что если у двух файлов изменить имена или расширения, то их хэш-сумма будет по-прежнему одинаковой. При изменении содержимого файла автоматически изменится и хэш-сумма.
Continue reading

Служба Advanced Threat Protection в Защитнике Windows

В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.


Continue reading