vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2017/08/hacking_a_gene_.html

Тут пишут, что удалось внедрить malware в компьютер, управляющий генным сиквенсером при помощи специально подсунутой туда последовательности ДНК.

Это [livejournal.com profile] lenka_iz_hij на заметку. По-моему такого Сергей Островски еще не расследовал.
vitus_wagner: My photo 2005 (Default)
https://www.reuters.com/article/us-shipping-gps-cyber-idUSKBN1AN0HT

Из-за распорстранившейся практики глушения и подделки сигнала GPS разные страны рассматривают идею возвращения к наземным радионавигационным системам. Потому что передатчик Лорана находится на порядки блихе к судну, чем спутник GPS, ну и излучает куда более мощный сигнал. Имея антенну 100x100 метров и питание от электрической распределительной сети, это можно себе позволить. Такое карманной глушилкой уже не заглушишь.
vitus_wagner: My photo 2005 (Default)
https://www.bleepingcomputer.com/news/government/china-forces-muslim-minority-to-install-spyware-on-their-phones/

Вот тут пишут, что "полиция останавливает людей на улицах, проверяет, установлено ли на их смартфонах полицейское мониторингове приложение, и если нет, арестует на 10 суток".

Вот интересно, а если они остановят человека, а у него вообще никакого смартфона нет? И вообще мобильника?

Отдельно доставляет использлование md5 хэшей для контроля файлов. Вот я бы на месте уйгурских борцов за свободу срочно вычислил какую-нибудь коллизию. Чтобы это приложение, например. на само себя стучало как на террористический контент.

GNU Ring

Jul. 25th, 2017 11:17 am
vitus_wagner: My photo 2005 (Default)
Попробовал поставить себе GNU Ring - это такой мессенджер с поддержкой аудио-видео, у которого вообще нет никаких центральных серверов, а для поиска пользователей используется блокчейн и OpenDHT.

В отличие от ToX там предусмотрена штатная возможнсоть подключения к аккаунту нескольких устройств. У меня, правда, не получилось - андроидный Ring после импорта туда аккаунта, созданного на десктопе, стал падать.

Попробовать с кем-то пообщаться пока не получилось потому что не с кем. Не знаю никого, кто бы из знакомых имел там аккаунт.
vitus_wagner: My photo 2005 (Default)
[personal profile] qkowlew порадовал новостью от доктора веба:

на сайт gosuslugi.ru внедрен непонятно чей код, вставляющий левый iframe, который может обращаться к 15 левым доменам.

На данный момент по данным DrWeb никаких вредносных "Петь" или "Вов" с этих сайтов посетителям госуслуг не грузят.

Но данный пример показывает, что нефиг хихикать над украинцами, у которых система обновлений MeDoc распространяет ransomware и над американцами, которые дергаются по поводу влияния "страшных русских хакеров" на результат выборов.

Ибо у нас не лучше.

1. Для того чтобы взломать любой сайт, не надо иметь за спиной мощности всесильной спецслужбы (whistleblower-ы давно все потребные инструменты у спецслужбы слили и в открытый доступ выложили). Брюс Шнайер, например уверен, что не в состоянии предотвратить целевую атаку на свой сайт. А если уж Шнайер не может - то кто?

2. Государственные органы во всем мире, включая те самые спецслужбы, не умеют выстраивать оперативных служб реагирования на инциденты. (я б предложил передать все государственные сайты в оперативное управление РВСН, поскольку там-то должны уметь успевать принять меры за время подлета баллистической ракеты, но ведь то, что они это действительно умеют, никто не проверял)

В общем похоже, парадигму безопасности серверов надо менять. И вместо, (вернее вместе) контейнеризации, разграничения доступа и т.д. в первую очередь бороться за intrusion detection, и оперативное восстановление на known good state.
vitus_wagner: My photo 2005 (Default)
Выяснилось, что stretch я похвалить немного поторопился.

Как оказалось он молча, без вопросов апгрейдит keepass 0.43 на keepass 2.0.3.

Засада в том, что keepass <2 и keepass 2.x это программы у которых нет ничего общего, кроме названия и назначения.

Например, несовместим формат файлов. То есть keepass 2.x умеет один раз симпортировать базу от 1.x но записать обратно - уже никак.

А я держу keepass в качестве менеджера паролей ровно потому что он позволяет копировать базу как файл между разными устройствами с разными операционными системами. Поэтому ситуация когда на одном устройстве один формат, на другом другой - меня категорически не устраивает.

Поставил пока пакеты из jessie на hold. И думаю - стоит переходить на keepass 2.x
или не стоит?

Что-то мне все андроидные клиенты, совместимые с keepass2 вызывают подозрение:

У keepass2android интерфейс переписан с java на mono. Это для андроид-то!
KeePassMob содержит в себе код работы с сетью (dropbox), что по-моему для пассворд-менеджера под андроид категорически недопустимо. Поскольку уж если в этой дырявой системе есть способ защититься от доступа в сеть, то именно пассворд-менеджер обязан это сделать.

Поэтому я думаю о том, что может быть стоит еще какой password-manager поискать.

Требования:

1. Наличие клиентов для linux и android
2. Приемлемая usability для android, у которого жутко неудобная работа с clipboard
3. Приемлемая юзабилити под X11.
4. Возможность копирования базы паролей с устройства на устройство как файла по ЛЮБОМУ
протоколу передачи файлов scp, obex, smb.
5. Наличие в базе хотя бы пары дополнительных колонок кроме имя и пароль.
В качестве бонусов:
5. Команд-лайн интерфейс под linux.
6. Возможность хранения базы паролей в version control.
vitus_wagner: My photo 2005 (Default)
https://geektimes.ru/post/290557/

Немецкий провайдер Posteo сделал свой ход в борьбе с вирусом-вымогателем Petya. Он заблокировал почтовый ящик автора вируса, на который вирус предлагает слать сообщения о проведенной оплате с целью получить ключ для расшифровки.

Теперь даже если пользователи и готовы поддаться на шантаж и заплатить деньги, ключа они все равно не получат (а биткойны - уйдут).

Что-то в этой идее есть. Надо как-то приучить пользователей, что только наличие свежего бэкапа спасает от ransomware.


Так что, возможно, эта жестокая карантинная мера когда-нибудь в будущем окупится.
vitus_wagner: My photo 2005 (Default)
https://thenextweb.com/eu/2017/06/09/pirate-bay-founder-weve-lost-the-internet-its-all-about-damage-control-now/

Интервью с Петером Сунде, одним из основателей The Pirate Bay, в котором тот признает поражение децентрализованного и свободного интернета 90-х перед огромными централизованными корпорациями.

Впрочем, признаки поражения я замечал еще в 2011 году.
vitus_wagner: My photo 2005 (Default)
https://www.welivesecurity.com/2017/06/06/turlas-watering-hole-campaign-updated-firefox-extension-abusing-instagram/

Вот тут описан некоторый ботнет, которые пользуется для получения URL своего центра управления комментариями в инстаграмме. Причем URL, естественно, стеганографически спрятана в тексте комментария.

Проблема в том, что, получив в руки код соответствующей малвари можно начать следить за появлением соответствующих комментариев в треде, и оперативно вычислять новые С&C.

Кстати, не факт, что можно добиться от инстаграмма или от модераторов соответствующего аккаунта оперативного удаления соответствующих комментариев.

А вот можно ли добиться от инстаграмма фильтра, блокирующиего подобные комментарии совсем - мне кажется нет. Ну допустим, фильтр блокирующий zero-width unicode chars теоретически сделать можно. Но внедрить его в instagram сложно - большая система, требует долгого тестирования и т.д. Ну и авторы ботнета быстренько изобретут другой способ стеганографии. Можно вообще сделать способ кодирования, позволяющий сделать сообщение с кодом неотличимым от легитимного сообщения. И эта технология применяется задолго до появления компьютеров.
vitus_wagner: My photo 2005 (Default)
Что-то я не нашел очевидного (казалось бы) решения по защите хранящегося на (хостинговом, доступном всяким нехорошим людям) сервере почтового архива, которое бы работало так:

1. В распоряжении MDA есть открытый ключ gpg/сертификат X,509 для каждого пользователя.
2. Любое письмо, прилетающее по SMTP (в наше время в норме защищенное TLS по дороге) шифруется этим ключом конечного получателя перед тем, как сложиться в его maildir (но после того как оно прошло через фильтры sieve). Ну да, сеансовый ключ придется каждый раз генерировать. Ну и что?
3. В распоряжении IMAP-сервера есть зашифрованный приватный ключ. Когда пользователь логинится на IMAP-сервер, его аутентификация производится путем расшифровки этого ключа. После этого можно любую хранящуюся почту расшифровывать и пользователю выдавать.


Причем шифровать письма совершенно спокойно можно вместе с заголовками.
То есть и метаинформацию without user consent хрен достанешь.

Модификации требуемые для IMAP-сервера достаточно тривиальные.


Но почему-то никто так не сделал. Во всяком случае я такого не нашел.

Вместо этого предлагаются решения на базе двух мейлбоксов секьюрного и несекьюрного. С тем чтобы складывать в секьюрный мейлбокс можно было тоже только при наличии активной сессии.

Видиом, идея full-disk encryption (каковая есть зло) людям глаза застит. В то время как никто не мешает maildir шифровать пофайлово.

Правда, немножко непонятно как быть с тренировкой байесовского антиспама в такой ситуации. Ну ладно, допустим ham мы будем в sa-learn скармливать непосредственно в ходе сессии, когда мы его можем расширфровать (а спам и шифровать не обязательно). Но не явится ли байесовская база, которая должна быть доступна на чтение MDA каналом утечки информации?
vitus_wagner: My photo 2005 (Default)
http://www.reuters.com/article/us-china-cyber-law-idUSKBN18P0G9

Китай принял аналог российского закона о персональных данных, требующий хранения данных о китайских пользователях на территории Китая.

Правда, заодно там запретили торговать пользовательской информацией и признали за пользователем право требовать удаления его информации с серверов.

Почитать бы, конечно, сам текст закона, а не рейтеровский пересказ. А то похоже, что китайцы в отличие от наших правителей реально думают о защите своих бизнесов от киберугроз.
vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2017/03/security_orches.html

У Шнайера интересный и обширный пост на тему того, почему не работают стандартные методы упорядочивания и автоматизации в военном деле и в области реагирования на инциденты в компьютерной безопасности.

Он делает вывод что централизация и предваарительное планирование рулят в том случае, если у нас есть определенность (certainity), а там где есть неопределенность, нужны децентралиаация и инициатива.

Там где есть активный и способный к адаптации враг, неопределенности избежать невозможно, сколько данных не собирай. Поэтому нужны другие механизмы, которые в человеке эволюцией выработаны давно, а вот воплощать их в компьютерах мы еще не научились.

Кстати, по-моему это касается не только тех случаев, когда адаптивностью и инициативой обладает враг. Даже если контрагент тебе не враг, как не враг upstream-разработчик мейнтейнеру пакета, неопределенность он все равно вносит. Из самых благих побуждений. И попытка с этим бороться путем стандартизации процедур приведет только к тому, что ты не сможешь embrace the changes (как это по-русски сказать?) и сделаешь хуже.

В общем, гони хаос в дверь, он влезет в окно. Поэтому не надо стремиться все слишком упорядочить. В какой-то момент надо остановиться и сказать "а вот здесь мы позволяем хаос, и будем на него реагировать по мере возникновения".
vitus_wagner: My photo 2005 (Default)
Сидим с ребенком в очереди к врачу, и вдруг мне приходит письмо по email: «Ваш ребенок вошел в школу». А ведь некоторые родители полагаются на этот сервис.
vitus_wagner: My photo 2005 (Default)
Уже вторая новость за несколько дней выглядит как

1. У кого-то крадут ноутбук, на котором установлен какой-то софт для удаленного управления.
2. Вор, не переставляя системы, логинится с украденного ноутбука в свой Facebook.
3, Хозяин ноутбука или полицейский эксперт заходит в украденную машинку по сети, получает доступ к этому фейсбук-профайлу, и посредством содержащейся в нем информации карает преступника (в одном случае - затроллил его через друзей до удаления аккаунта, в другом - вычислил реальное имя и сдал полиции).

Мораль - только полный идиот в наше время ворует ноутбуки из машин. (умный - ворует информацию из ноутбуков так, чтобы никто не заметил).
vitus_wagner: My photo 2005 (Default)
https://www.bleepingcomputer.com/news/security/ultrasound-tracking-could-be-used-to-deanonymize-tor-users/

Новый способ деанонимизации пользоватлеей Tor - путем встраивания в веб-странчки джаваскрипта, генерирующего ультразвуковой сигнал. И подслушивания этого сигнала на других соседних устройствах.
(видимо с помощью тоже джаваскрипта, встроенного в баннеры).

Утверждается что технология придумана для совершенно "мирных" целей - связать между собой устройства, принадлежащие одному пользователю, чтобы лучше таржетировать рекламу. Но оказалось что заодно это успешно давит попытки анонимизироваться онлайн.

В общем, режьте рекламу со страниц. И к микрофонам нужен аппаратный выключатель. Который включается только тогда, когда ты в микрофон говоришь, как у старых добрых раций.
И о фильтрах, режущих высокие частоты стоит подумать. Хтя вот на колонках выключатель часто бывает, и где он есть он у меня по умолчанию выключен.
vitus_wagner: My photo 2005 (Default)
И зарегистрировал компанию.

via Шнайер.

UpdCудя по URL beta.companieshouse.gov.uk, это тестовый сайт, где тестируют новый движок системы регистрации. И компания специально заведена с таким именем, чтобы проверить работу input sanitizing.
vitus_wagner: My photo 2005 (Default)
1. Фронтовая киберразведка http://www.reuters.com/article/us-cyber-ukraine-idUSKBN14B0CU

Больше технических подробностей: https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/

Украинская артиллерия использует приложение для смартфона для упрощения артиллерийских вычислений.
А некая хакерская группа в это приложение внеднила троян, и теперь донецко-луганские сепаратисты используют его для определения положения украинских позиций.

Впрочем, если даже у госсекретаря США проблема с тем, чтобы добыть себе нормально защищенный смартфон, то что же говорить о несчастных артиллериских лейтенантах.

2. Луганск стал важднейшим центром киберпреступности
https://www.wordfence.com/blog/2016/12/how-to-protect-against-brute-force-attacks/
https://yro.slashdot.org/story/16/12/21/2311207/hotbed-of-cybercrime-activity-tracked-down-to-isp-in-region-where-russia-is-invading-ukraine

Ну по-моему, это неудивительно. Если взять территорию с развитой инфраструктурой и образованным населением, объявить это население бандитами и террористами и лишить возможности зарабатывать деньги легитимными способами, это население начнет зарабатывать деньги криминальными способами.

3, До конгресса США наконец дошло, что Сноуден контактирует с российской разведкой.
http://intelligence.house.gov/news/documentsingle.aspx?DocumentID=743
Интересно, а что они ожидали? Когда очень быстро и эффективно добились того, что ни одна страна мира, кроме России не предоставила Сноудену убежища? Что он добровольно сдастся американскому суду? Если вы хотите чтобы whistleblowers не обращались за помощью к вашим врагам, делайте так, чтобы они либо не нуждались в помощи (а были уверены что добъются справедливости самостоятельно), либо могли найти помощь среди ваших друзей (что, впрочем сомнительно. Дружба дружбой, а разведка разведокой. Как мы знаем по тем же документам Сноудена, американские спецслужбы за британскими вполне себе шпионят).
vitus_wagner: My photo 2005 (Default)
Продолжаю разбираться с letsencrypt. Понятно что это гадость. вроде systemd, но деваться некуда. Все альтернативные бесплатые CA за этот год были успешно уничтожены.

Обнаружил, что автор acme-tiny рекомендует по крону повторно выписывать сертификат на тот же самый ключ.

По-моему, в этом вопросе он глубоко неправ. Плтому что с точки зрения пользователя сайта смена сертификата и смена ключа полностью эквивалентны. Браузер не смотрит на ключ, браузер смотрит на то, что ключ соответствует указанному в сертификате.

И если уж мы напрягаемся на предмет того, чтобы менять сертификат раз в три месяца, или раз в месяц, то надо менять и ключ. Потому что это позволяет ограничить риски от утаскивания ключа. Ежели кто попятит закрытый ключ с вашего сервера, то черед весьма недолгое время вы его перегенерируете, а сертификат на старый перестанет действовать. Если же вы выпишите на старый ключ новый сертификат, то тем самым предоставите злоумышленнику возможность пользоваться старым ключом еще три месяца.

Правда, как обычно, идея перегенерации ключа по крону несет свои собственные риски.
В текущем виде acme-tiny требует доступа только к ключу аккаунта на letsencrypt и к CSR. То есть скрипт, активно работающий с сетью и теоретически могущий быть проэксплойченным через дырки в стандартной библиотеке питона, самом питоне и libc, не имеет доступа к вашему закрытому ключу.

Если же мы генерируем ключ, то какие-то части того задания, которое отвественно за перевыпуск сертификата, должны работать с повышенными правами.

То есть нужно аккуратно поделить задачу на три части

1. Сгенерировать новый закрытый ключ и CSR. В принципе, для этого никаких прав не нужно. Нужно только не пересекаться по правам с шагом 2, чтобы у того доступа к закрытому ключу не было. С другой стороны, поскольку эта операция ничего особо принципиального не делает, только пишет в файлики в формате pem, то не жалко и от рута запускать.

2. Посредством acme-tiny или еще какого auditable клиента к letsencrypt получить сертификат.

3. Убедиться в соответствии сертификата ключу и домену, и положить новый ключ и новый сертификат куда надо. Единственная операция, которая требует повышенных привилегий.

Обдумывал мысль, как бы запихнуть операцию 2 в chroot но решил что для acme-tiny это явно не вариант - в chroot придется тащить всю питоновскую инфраструктуру. Пожалуй, с dehydrated это бы лучше получилось.

Идея, естественно в том, чтобы создавать дерево с бинарниками для chroot непосредственно перед запуском скрипта, копируя бинарники из основной системы, а потом уничтожать, откопировав оттуда только полученный сертификат.
vitus_wagner: My photo 2005 (Default)
https://threatpost.com/ransomware-gives-free-decryption-keys-to-victims-who-infect-others/122395/

Новый троян, который шифрует файлы и требует выкуп, предлагает пользователю альтернативный вариант - если тебя самого душит жаба, ты можешь разослать ссылку на троян другим. И если двое из получивших троян по этой ссылке заплатят, тебе расшифруют файлы бесплатно.

Утверждается, что разработан "группой студентов из Сирии".

Но чем-то напоминает известный анекдот про "я не умею программировать, поэтому сами сотрите свои файлы и разошлите вирус трем знакомым".

Но вообще цены у рансомварщиков растут. Уже по целому биткойну хотят (это около $800). Бэкап, честное слово, дешевле обойдется.
vitus_wagner: My photo 2005 (Default)
http://www.zerohedge.com/news/2016-11-26/these-are-48-organizations-now-have-access-every-brits-browsing-history

Тут вот в Великобритании приняли аналог нашего "закона Яровой". Теперь британские провайдеры обязаны хранить историю посещения своими пользователям всяких сайтов. И есть список из 48 государственных организаций, которые имеют право доступа к этому списку.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

August 2017

S M T W T F S
  1 2 3 45
6 78 9 10 11 12
13 14 1516171819
20212223242526
2728293031  

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Aug. 17th, 2017 01:42 pm
Powered by Dreamwidth Studios