Если что, я не пропал бесследно с ваших радаров.
Просто у наших друзей VolgaCTF на следующей неделе соревнования и конференция. Оффлайн, вживую, прям приехать можно посмотреть. Удивительное дело, в свете всех карантинов и самоизоляций. Говорят, будет инетересно. Посмотрел темы докладов — и правда неплохо: от форензики и онлайн-банкинга, до антенного арсенала пентестеров.
А еще Волге 10 лет. Орги обещают, что будет еще и красиво. Посмотрим. Может быть, даже расскажу, как там оно.
Особенно приятно, что мы в этот раз впервые поддерживаем ивент.
Так что буду в Самаре (а мог бы уже на Мальдивах), не теряйте.
Просто у наших друзей VolgaCTF на следующей неделе соревнования и конференция. Оффлайн, вживую, прям приехать можно посмотреть. Удивительное дело, в свете всех карантинов и самоизоляций. Говорят, будет инетересно. Посмотрел темы докладов — и правда неплохо: от форензики и онлайн-банкинга, до антенного арсенала пентестеров.
А еще Волге 10 лет. Орги обещают, что будет еще и красиво. Посмотрим. Может быть, даже расскажу, как там оно.
Особенно приятно, что мы в этот раз впервые поддерживаем ивент.
Так что буду в Самаре (а мог бы уже на Мальдивах), не теряйте.
Telegram
VolgaCTF
VolgaCTF
Итак, VolgaCTF закончился, фоток со мной не будет, моих впечатлений от соревнований и конфы тоже, из привезенного с собой пока что ярче всего — махровое ОРВИ. Поэтому поехали просвещаться дальше.
И начнем с плохого.
Сегодня будет довольно грустная новость. Я уже перестал писать про атаки вымогателей, поскольку ничем особенно интересным этот конвейер шифровальщиков не отличается. Ну, разве что, отдельные истории про то, когда по ошибке атакуют не тех.
Но в этот раз злоумышленникам удалось казалось бы невозможное. Из-за атаки вымогателей погиб человек.
И да, вымогатели снова ошиблись адресатом. Предположительно, шифровальщик имел своей целью серверы Дюссельдорфского университета. Но вместо учебного заведения была атакована инфраструктура университетской клиники. Использовав уязвимость CVE-2019-19871, злоумышленники заблокировали около 30 серверов больницы, что привело к невозможности принимать новых пациентов. Дада, мне тоже кажется, что этот шифровальщик — постоянный гость в наших поликлиниках.
Но черный юмор тут неуместен. Именно в этот момент в больницу и привезли женщину, нуждавшуюся в экстренной медицинской помощи. Пациентку перенаправили в следующую клинику, которая находилась в 30 километрах. Спасти женщину не успели.
В то же время, поняв, что атака пошла не по адресу, злоумышленники отдали ключи шифрования, что позволило восстановить работу больницы. Но трагедия уже успела произойти.
По мере роста роли информационных технологий в нашей жизни, информационная безопасность приобретает гораздо большее значение и его уже довольно сложно переоценить.
Так что берегите себя. И носите масочки
И начнем с плохого.
Сегодня будет довольно грустная новость. Я уже перестал писать про атаки вымогателей, поскольку ничем особенно интересным этот конвейер шифровальщиков не отличается. Ну, разве что, отдельные истории про то, когда по ошибке атакуют не тех.
Но в этот раз злоумышленникам удалось казалось бы невозможное. Из-за атаки вымогателей погиб человек.
И да, вымогатели снова ошиблись адресатом. Предположительно, шифровальщик имел своей целью серверы Дюссельдорфского университета. Но вместо учебного заведения была атакована инфраструктура университетской клиники. Использовав уязвимость CVE-2019-19871, злоумышленники заблокировали около 30 серверов больницы, что привело к невозможности принимать новых пациентов. Дада, мне тоже кажется, что этот шифровальщик — постоянный гость в наших поликлиниках.
Но черный юмор тут неуместен. Именно в этот момент в больницу и привезли женщину, нуждавшуюся в экстренной медицинской помощи. Пациентку перенаправили в следующую клинику, которая находилась в 30 километрах. Спасти женщину не успели.
В то же время, поняв, что атака пошла не по адресу, злоумышленники отдали ключи шифрования, что позволило восстановить работу больницы. Но трагедия уже успела произойти.
По мере роста роли информационных технологий в нашей жизни, информационная безопасность приобретает гораздо большее значение и его уже довольно сложно переоценить.
Так что берегите себя. И носите масочки
Спишь? Сейчас я тебе сказку на ночь расскажу. Практически под музыку кельтских арф. Но только про информационную безопасность.
Тысячу лет назад Харальд Гнилозубый собирал скандинавские племена в единый союз. И были они храбрыми, закатывали пиры и шли к успеху. Только Харальд (возможно, скрывавший боль, судя по прозвищу) и подумать не мог, что в честь него благодарные потомки назовут какую-то мудрёную технологию. И уж точно не мог датский конунг даже и догадываться, что в этой технологии найдутся какие-то гнилые элементы.
На днях появилось описание уязвимости в протоколе Bluetooth. Суть её в том, что злоумышленник, подключившись к устройству жертвы, может получить доступ ко всем девайсам, сопряжённым с ним по Bluetooth.
Ты спросишь, как же так получается? А я отвечу: вот так вот. Технология взлома до конца ещё не раскрыта. Но в её основе лежит сама идея работы Bluetooth. Чтобы обеспечить беспроблемное сопряжение железа разного типа, технология включает в себя целый стек протоколов. В процессе соединения между устройствами выбирается подходящий протокол и формат взаимодействия.
За генерацию ключа при выборе протокола отвечает стандарт Cross-Transport Key Derivation (CTKD). Он заготавливает различные сессионные ключи и отдаёт тот, который подходит под выбранный стандарт сопряжения.
Атака, которую назвали BLURtooth (размытый зуб), позволяет злоумышленнику влезть в процесс сопряжения — совсем как человек посередине — и заставить CTKD сгенерировать новые ключи аутентификации на устройстве жертвы. Таким образом, ключ сменится на всех службах и приложениях Bluetooth, а значит, и на сопряжённых устройствах.
Как я уже сказал выше, принцип работы атаки подробно не описан. Но технология защиты до выхода обновлений ясна. Современный стандарт Bluetooth способен устанавливать связь между устройствами в радиусе до 1,5 километров. Однако, на практике, это расстояние сильно меньше. А значит, мы всегда можем не запускать сопряжение в присутствии подозрительных личностей.
Вот такая поучительная история. Дальше будет несмешной каламбур про "чисть зубы перед сном, чтобы не скрывать боль, как Харольд" и пожелание доброй ночи.
Тысячу лет назад Харальд Гнилозубый собирал скандинавские племена в единый союз. И были они храбрыми, закатывали пиры и шли к успеху. Только Харальд (возможно, скрывавший боль, судя по прозвищу) и подумать не мог, что в честь него благодарные потомки назовут какую-то мудрёную технологию. И уж точно не мог датский конунг даже и догадываться, что в этой технологии найдутся какие-то гнилые элементы.
На днях появилось описание уязвимости в протоколе Bluetooth. Суть её в том, что злоумышленник, подключившись к устройству жертвы, может получить доступ ко всем девайсам, сопряжённым с ним по Bluetooth.
Ты спросишь, как же так получается? А я отвечу: вот так вот. Технология взлома до конца ещё не раскрыта. Но в её основе лежит сама идея работы Bluetooth. Чтобы обеспечить беспроблемное сопряжение железа разного типа, технология включает в себя целый стек протоколов. В процессе соединения между устройствами выбирается подходящий протокол и формат взаимодействия.
За генерацию ключа при выборе протокола отвечает стандарт Cross-Transport Key Derivation (CTKD). Он заготавливает различные сессионные ключи и отдаёт тот, который подходит под выбранный стандарт сопряжения.
Атака, которую назвали BLURtooth (размытый зуб), позволяет злоумышленнику влезть в процесс сопряжения — совсем как человек посередине — и заставить CTKD сгенерировать новые ключи аутентификации на устройстве жертвы. Таким образом, ключ сменится на всех службах и приложениях Bluetooth, а значит, и на сопряжённых устройствах.
Как я уже сказал выше, принцип работы атаки подробно не описан. Но технология защиты до выхода обновлений ясна. Современный стандарт Bluetooth способен устанавливать связь между устройствами в радиусе до 1,5 километров. Однако, на практике, это расстояние сильно меньше. А значит, мы всегда можем не запускать сопряжение в присутствии подозрительных личностей.
Вот такая поучительная история. Дальше будет несмешной каламбур про "чисть зубы перед сном, чтобы не скрывать боль, как Харольд" и пожелание доброй ночи.
cve.mitre.org
CVE -
CVE-2020-15802
CVE-2020-15802
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
У вас сбоит телега
Anonymous Quiz
43%
Нет
35%
Да
0%
На разных устройствах по-разному
22%
Я хочу режим викторины и праздничный фейерверк
Instagram не безопасен.
Кроме вреда для самооценки и угрозы краха интеллектуального развития человечества, соцсеть припасла еще неприятных сюрпризов.
Мы уже говорили с тобой о том, что, на самом деле, приложения для смартфонов частенько запрашивают гораздо больше полномочий, чем им требуется для корректной работы. И вот еще один пример.
Много лет назад, когда ультрасовременным мессенджером была ICQ, самые остроумные пользователи подкидывали друзьям сообщения, от которых их клиент просто выключался. Технологии, конечно, идут вперёд, но идея "можем повторить" никуда не девается.
Недавно специалисты из CheckPoint рассказали о найденной уязвимости в Instagram, которая позволяла получить доступ к конфиденциальной информации жертвы.
Всё, что нужно было сделать злоумышленнику — это прислать по почте или в мессенджер специальную картинку на атакуемый смартфон. Если жертва сохраняла эту картинку у себя (для этого её достаточно просто открыть посмотреть), то при следующем запуске Instagram, имеющий доступ ко всем изображениям, обращался к этой фотографии и ломался. Но не как его постоянные инфлюенсеры, а по-настоящему. Он предоставлял злоумышленнику доступ не только к собственным данным, но и ко всему, к чему имел доступ сам — к камере, геолокации, контактам и т.д.
Технически уязвимость Instagram крылась в модуле, отвечающем за сжатие изображений формата jpeg. Определённым образом сформированный файл этого формата при обработке становился причиной целочисленного переполнения стека памяти. Такая ситуация, в свою очередь, позволяла злоумышленнику получить неавторизованный доступ к данным или выполнение стороннего кода.
К счастью, эта уязвимость на всех типах устройств была устранена ещё в начале года. Но сама проблема компрометации приложений с избыточными правами никуда не девается.
Я уже говорил и продолжаю говорить, что когда какой-нибудь "Фонарик" запрашивает доступ к местоположению устройства — это, по меньшей мере, ненормально и само по себе является поводом задуматься, а так уж ли нужен тебе такой инстаг... фонарь?
Кроме вреда для самооценки и угрозы краха интеллектуального развития человечества, соцсеть припасла еще неприятных сюрпризов.
Мы уже говорили с тобой о том, что, на самом деле, приложения для смартфонов частенько запрашивают гораздо больше полномочий, чем им требуется для корректной работы. И вот еще один пример.
Много лет назад, когда ультрасовременным мессенджером была ICQ, самые остроумные пользователи подкидывали друзьям сообщения, от которых их клиент просто выключался. Технологии, конечно, идут вперёд, но идея "можем повторить" никуда не девается.
Недавно специалисты из CheckPoint рассказали о найденной уязвимости в Instagram, которая позволяла получить доступ к конфиденциальной информации жертвы.
Всё, что нужно было сделать злоумышленнику — это прислать по почте или в мессенджер специальную картинку на атакуемый смартфон. Если жертва сохраняла эту картинку у себя (для этого её достаточно просто открыть посмотреть), то при следующем запуске Instagram, имеющий доступ ко всем изображениям, обращался к этой фотографии и ломался. Но не как его постоянные инфлюенсеры, а по-настоящему. Он предоставлял злоумышленнику доступ не только к собственным данным, но и ко всему, к чему имел доступ сам — к камере, геолокации, контактам и т.д.
Технически уязвимость Instagram крылась в модуле, отвечающем за сжатие изображений формата jpeg. Определённым образом сформированный файл этого формата при обработке становился причиной целочисленного переполнения стека памяти. Такая ситуация, в свою очередь, позволяла злоумышленнику получить неавторизованный доступ к данным или выполнение стороннего кода.
К счастью, эта уязвимость на всех типах устройств была устранена ещё в начале года. Но сама проблема компрометации приложений с избыточными правами никуда не девается.
Я уже говорил и продолжаю говорить, что когда какой-нибудь "Фонарик" запрашивает доступ к местоположению устройства — это, по меньшей мере, ненормально и само по себе является поводом задуматься, а так уж ли нужен тебе такой инстаг... фонарь?
Check Point Research
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS - Check Point Research
Research by: Gal Elbaz Background Instagram, with over 100+ million photos uploaded every day, is one of the most popular social media platforms. For that reason, we decided to audit the security of the Instagram app for both Android and iOS operating systems.…
Forwarded from Hacker News
GitHub запустил статический анализ кода на уязвимости
https://habr.com/ru/post/521578/?utm_campaign=521578&utm_source=habrahabr&utm_medium=rss
https://habr.com/ru/post/521578/?utm_campaign=521578&utm_source=habrahabr&utm_medium=rss
Хабр
GitHub запустил статический анализ кода на уязвимости
После обширного тестирования GitHub открыл в открытом доступе функцию сканирования кода на уязвимости . Любой желающий может запустить сканер на собственном репозитории и найти уязвимости до того, как...
Forwarded from Представляешь,
В Microsoft опубликовали топ стран за последние два года, из которых исходило большинство кибератак. Угадаете, кто на первом месте?
Anonymous Poll
15%
Украина
12%
КНР
56%
Россия
5%
США
4%
Беларусь
7%
Северная Корея
Невероятно, но факт. Вымогатели продолжают удивлять. В 2020 году злоумышленники начали объединяться в злодейские команды, чтобы "эффективнее" проводить свои атаки.
На этот раз, специалисты MalwareHunterTeam обнаружили новую фишку вымогателей. Так, одна компания, название которой не уточняется, была атакована шифровальщиком SunCrypt.
После того, как переговоры по выплате злоумышленникам ни к чему не привели и бизнес-жертва стала затягивать с ответом, её сайт подвергся DDoS-атаке. Кроме ддоса прилетело и сообщение о том, что атака будет продолжаться до тех пор, пока переговоры не возобновятся и не будут завершены в пользу вымогателей.
Таким нехитрым, но очень суровым способом злоумышленники вынудили свою жертву заключить с ними сделку.
Получается, что на данный момент, вымогатели уже не оставляют своим жертвам шанса, защититься от шифровальщиков с помощью бэкапов. Во-первых, в последнее время, злоумышленники всё чаще копируют служебную информацию перед шифрованием и всегда могут её опубликовать. А во-вторых, даже если жертва смирится с репутационными рисками и откажется платить, может последовать мощная DDoS-атака, с серьезным ущербом впридачу.
При таком раскладе, выбор у жертвы не велик. А значит, компания средней руки, не имеющая возможности организовать защиту от DDoS-атаки, может попросту разориться, оказавшись в "заложниках" вымогателей.
На этот раз, специалисты MalwareHunterTeam обнаружили новую фишку вымогателей. Так, одна компания, название которой не уточняется, была атакована шифровальщиком SunCrypt.
После того, как переговоры по выплате злоумышленникам ни к чему не привели и бизнес-жертва стала затягивать с ответом, её сайт подвергся DDoS-атаке. Кроме ддоса прилетело и сообщение о том, что атака будет продолжаться до тех пор, пока переговоры не возобновятся и не будут завершены в пользу вымогателей.
Таким нехитрым, но очень суровым способом злоумышленники вынудили свою жертву заключить с ними сделку.
Получается, что на данный момент, вымогатели уже не оставляют своим жертвам шанса, защититься от шифровальщиков с помощью бэкапов. Во-первых, в последнее время, злоумышленники всё чаще копируют служебную информацию перед шифрованием и всегда могут её опубликовать. А во-вторых, даже если жертва смирится с репутационными рисками и откажется платить, может последовать мощная DDoS-атака, с серьезным ущербом впридачу.
При таком раскладе, выбор у жертвы не велик. А значит, компания средней руки, не имеющая возможности организовать защиту от DDoS-атаки, может попросту разориться, оказавшись в "заложниках" вымогателей.
X (formerly Twitter)
MalwareHunterTeam (@malwrhunterteam) on X
Official MHT Twitter account.
Check out ID Ransomware (created by @demonslay335).
More photos & gifs, less malware.
Check out ID Ransomware (created by @demonslay335).
More photos & gifs, less malware.
Сегодня продолжим рассказывать о наработках бравых ребят из MalwareHunterTeam, которые в течение всего 2020 года наблюдают за деятельностью нового шпионского ПО от группировки APT-C-23.
Малварь Android/SpyC23 прячется в установочных файлах таких мессенджеров для Android, как Threema, Telegram, WeMessage на непроверенных репозиториях Android-приложений.
Прежняя версия Android/SpyC23 умела заливать и удалять файлы, делать скриншоты экрана смартфона, записывать аудио, копировать контакт-листы и журналы вызовов.
Эволюционировавший зловред научился перехватывать и блокировать сообщения из мессенджеров и социальных сетей и, что особенно "приятно", скрывать тревожные оповещения службы безопасности Android (securitylogagent — на устройствах Samsung, com.miui.securitycenter — на Xiaomi, huawei.systemmanager — на Huawei).
Кроме того, в своей новой версии Android/SpyC23 обнаруживается крайне малым количеством антивирусов. Так, онлайн-служба VirusTotal, которая проверяет файлы и ссылки на наличие вредоносов с помощью движков ведущих антивирусных систем, обнаружила нашего "героя" с помощью всего одного движка из пятидесяти восьми.
Самым зорким антивирусом оказалось АВПО от ESET, сотрудники которого написали обширную статью про развитие вредоносов от APT-C-23 с 2017 года, к которой я тебя и отправляю.
Что по итогу? Главное, что следует помнить, это то, откуда исходят заражения. Вредоноса подхватывают только те пользователи Android, которые используют неофициальные магазины приложений, как например DigitalApps, на котором и был впервые встречен новый Android/SpyC23. Система защиты сомнительных репозиториев сама остаётся довольно сомнительной. А потому, методика защиты в данном случае максимально проста — качай приложения с официальных проверенных ресурсов, которые сами стараются следить за тем, что раздают.
Малварь Android/SpyC23 прячется в установочных файлах таких мессенджеров для Android, как Threema, Telegram, WeMessage на непроверенных репозиториях Android-приложений.
Прежняя версия Android/SpyC23 умела заливать и удалять файлы, делать скриншоты экрана смартфона, записывать аудио, копировать контакт-листы и журналы вызовов.
Эволюционировавший зловред научился перехватывать и блокировать сообщения из мессенджеров и социальных сетей и, что особенно "приятно", скрывать тревожные оповещения службы безопасности Android (securitylogagent — на устройствах Samsung, com.miui.securitycenter — на Xiaomi, huawei.systemmanager — на Huawei).
Кроме того, в своей новой версии Android/SpyC23 обнаруживается крайне малым количеством антивирусов. Так, онлайн-служба VirusTotal, которая проверяет файлы и ссылки на наличие вредоносов с помощью движков ведущих антивирусных систем, обнаружила нашего "героя" с помощью всего одного движка из пятидесяти восьми.
Самым зорким антивирусом оказалось АВПО от ESET, сотрудники которого написали обширную статью про развитие вредоносов от APT-C-23 с 2017 года, к которой я тебя и отправляю.
Что по итогу? Главное, что следует помнить, это то, откуда исходят заражения. Вредоноса подхватывают только те пользователи Android, которые используют неофициальные магазины приложений, как например DigitalApps, на котором и был впервые встречен новый Android/SpyC23. Система защиты сомнительных репозиториев сама остаётся довольно сомнительной. А потому, методика защиты в данном случае максимально проста — качай приложения с официальных проверенных ресурсов, которые сами стараются следить за тем, что раздают.
Twitter
MalwareHunterTeam
"PureTalk.apk": 2ed77be505cd246ca41bba218d8a5c59ae6049eff2c3b72ca91433ad4fe3b103 Very low detected malware or FP from ESET? 🤔 cc @LukasStefanko @virqdroid
Давненько не было действительно стоящих новостей про интернет вещей. С видео, туториалом.
А речь идет про уязвимость в электронном поясе верности для мужчин. Что?! Да!
Pen test Partners выложили достаточно развернутый материал про девайс, который можно хакнуть так, что достоинство на веки вечные останется в тисках. Естественно, приблуда управляется удаленно, со смартфона, через API-интерфейс. Знак безграничного доверия и надежности создатели девайса почему-то решили никаким образом не обезопашивать, поэтому передача данных производилась без пароля, без шифрования, без регистрации и смс.
Кстати, кроме всего прочего у чудо-игрушки нет и экстренного механизма отключения. Правильно, а зачем? Видимо, так же себе когда-то сказали и инженеры.
Бонусом ко всему прочему устройство может слить завладевшему им злоумышленнику историю геолокаций, переписки и много чего еще.
Кстати, чтобы снять залоченный пояс верности, по оценкам экспертов, может потребоваться целый болторезный станок. Хоть бы столяры не промахивались, как инженеры. А то болт да не тот.
Членовредительство какое-то.
А речь идет про уязвимость в электронном поясе верности для мужчин. Что?! Да!
Pen test Partners выложили достаточно развернутый материал про девайс, который можно хакнуть так, что достоинство на веки вечные останется в тисках. Естественно, приблуда управляется удаленно, со смартфона, через API-интерфейс. Знак безграничного доверия и надежности создатели девайса почему-то решили никаким образом не обезопашивать, поэтому передача данных производилась без пароля, без шифрования, без регистрации и смс.
Кстати, кроме всего прочего у чудо-игрушки нет и экстренного механизма отключения. Правильно, а зачем? Видимо, так же себе когда-то сказали и инженеры.
Бонусом ко всему прочему устройство может слить завладевшему им злоумышленнику историю геолокаций, переписки и много чего еще.
Кстати, чтобы снять залоченный пояс верности, по оценкам экспертов, может потребоваться целый болторезный станок. Хоть бы столяры не промахивались, как инженеры. А то болт да не тот.
Членовредительство какое-то.
Pen Test Partners
Smart male chastity lock cock-up | Pen Test Partners
TL;DR Smart Bluetooth male chastity lock, designed for user to give remote control to a trusted 3rd party using mobile app/API Multiple API flaws meant anyone could remotely lock all devices and prevent users from releasing themselves Removal then requires…
Я часто рассказываю о шифровальщиках (просто потому, что новостей о них действительно много), но гораздо полезнее обсудить методы борьбы с ними.
Вообще, методов самостоятельного восстановления после неожиданной атаки вымогателя существует довольно мало. Но, достаточно эффективным инструментом можно считать, например, использование теневых копий системы — бэкапа, который Windows предлагает для отката к последней работоспособной версии.
Именно по этой причине современные шифровальщики защищают теневые копии, отрезая жертвам пути спасения. И именно по этой причине была разработана программка Raccine, которая прерывает процессы удаления теневых копий.
Идея работы утилиты проста. Удаление теневых копий в Windows осуществляется выполнением команды
Именно так и поступает Raccine (аббревиатура от Ransomware Vaccine)! Для её корректной работы вместе с установщиком утилиты необходимо скачать и запустить raccine-reg-patch.reg, который пропишет Raccine, как дебаггер (отладчик) для vssadmin.exe. После этого, Raccine получит право следить за работой vssadmin и прерывать её, как только заметит обращение в режиме удаления теневой копии или изменения размеров папки. Готово! Вы великолепны.
Правда, удаление теневой копии может происходить и по вполне легитимным причинам. В таком случае, Raccine так же вмешается в процесс и оборвёт его. В таком случае, рекомендуется удалить утилиту и повторить процесс.
Пока что Raccine больше похожа на костыль, который позволяет жёстко пресечь любые попытки удаления теневых копий, хотя и не учитывает тот факт, что подобная процедура может осуществляться при помощи других утилит. Но разработчик Флориан Рот обещает допилить своё детище и устранить эти недостатки.
По итогу хочу сказать, что предложенный механизм кажется и правда весьма надёжен. Как говорится, всё гениальное просто.
Вообще, методов самостоятельного восстановления после неожиданной атаки вымогателя существует довольно мало. Но, достаточно эффективным инструментом можно считать, например, использование теневых копий системы — бэкапа, который Windows предлагает для отката к последней работоспособной версии.
Именно по этой причине современные шифровальщики защищают теневые копии, отрезая жертвам пути спасения. И именно по этой причине была разработана программка Raccine, которая прерывает процессы удаления теневых копий.
Идея работы утилиты проста. Удаление теневых копий в Windows осуществляется выполнением команды
vssadmin delete с указанием директории расположения резервного архива или выполнением команды vssadmin resize shadowstorage с указанием изменения выделенного места под архив (что так же приводит к удалению существующих теневых копий). Таким образом, если представить себе утилиту, которая будет отслеживать запуск vssadmin.exe с ключами delete или resize shadowstorage и пресекать его, мы получим возможность защититься от нежелательного удаления резервных копий нашей системы.Именно так и поступает Raccine (аббревиатура от Ransomware Vaccine)! Для её корректной работы вместе с установщиком утилиты необходимо скачать и запустить raccine-reg-patch.reg, который пропишет Raccine, как дебаггер (отладчик) для vssadmin.exe. После этого, Raccine получит право следить за работой vssadmin и прерывать её, как только заметит обращение в режиме удаления теневой копии или изменения размеров папки. Готово! Вы великолепны.
Правда, удаление теневой копии может происходить и по вполне легитимным причинам. В таком случае, Raccine так же вмешается в процесс и оборвёт его. В таком случае, рекомендуется удалить утилиту и повторить процесс.
Пока что Raccine больше похожа на костыль, который позволяет жёстко пресечь любые попытки удаления теневых копий, хотя и не учитывает тот факт, что подобная процедура может осуществляться при помощи других утилит. Но разработчик Флориан Рот обещает допилить своё детище и устранить эти недостатки.
По итогу хочу сказать, что предложенный механизм кажется и правда весьма надёжен. Как говорится, всё гениальное просто.
GitHub
GitHub - Neo23x0/Raccine: A Simple Ransomware Vaccine
A Simple Ransomware Vaccine. Contribute to Neo23x0/Raccine development by creating an account on GitHub.
Про некоторых людей говорят, что они талантливы во всем. Иногда об этом не знают они сами, иногда — все остальные. Помогает раскрыть творческий потенциал хорошее расследование.
Вот, например, в сети появился документ, из которого мы узнаём интересную историю.
Роберт Сильвестр Келли, также известный, как R.Kelly (мне честно пришлось гуглить, чтобы вспомнить исполнителя песни «I Believe I Can Fly») является певцом, поэтом, продюсером. В общем, личность весьма многогранная. Особенно, если учесть тот факт, что уже очень много лет R.Kelly борется за признание себя невиновным в каком-то невероятном количестве преступлений — от домашнего насилия, торговли наркотиками, принуждения к проституции, вымогательства до производства детской порнографии и, собственно, педофилии.
Надо ли говорить, что вокруг этого персонажа кипят не шуточные страсти, задевающие даже киберпространство.
Так, возле дома одного из свидетелей по делу R.Kelly внезапно сгорел автомобиль. В случайность никто не поверил и федералы взялись за этот инцидент. Собственно из-за того, какими методами проводилось расследование, я и решил забрать этот материал в свой канал.
Дело в том, что следователи запросили у компании Google айпишники, с которых искали адрес дома потерпевшего за последние несколько дней. Тут уже выяснилось забавное. Среди обнаруженных по предоставленным адресам устройств нашёлся мобильник родственника издателя R.Kelly.
Далее, федералы запросили логи с базовых станций телефонных операторов, находящихся в районе дома потерпевшего, за то же время. И оказалось, что ровно в момент возгорания автомобиля именно этот мобильник находился в зоне действия именно этих базовых станций.
Позднее, при задержании, следователи нашли в телефоне подозреваемого информацию, напрямую подтверждающую его причастность к поджогу.
Закончить этот пост я хочу песней!
Вот, например, в сети появился документ, из которого мы узнаём интересную историю.
Роберт Сильвестр Келли, также известный, как R.Kelly (мне честно пришлось гуглить, чтобы вспомнить исполнителя песни «I Believe I Can Fly») является певцом, поэтом, продюсером. В общем, личность весьма многогранная. Особенно, если учесть тот факт, что уже очень много лет R.Kelly борется за признание себя невиновным в каком-то невероятном количестве преступлений — от домашнего насилия, торговли наркотиками, принуждения к проституции, вымогательства до производства детской порнографии и, собственно, педофилии.
Надо ли говорить, что вокруг этого персонажа кипят не шуточные страсти, задевающие даже киберпространство.
Так, возле дома одного из свидетелей по делу R.Kelly внезапно сгорел автомобиль. В случайность никто не поверил и федералы взялись за этот инцидент. Собственно из-за того, какими методами проводилось расследование, я и решил забрать этот материал в свой канал.
Дело в том, что следователи запросили у компании Google айпишники, с которых искали адрес дома потерпевшего за последние несколько дней. Тут уже выяснилось забавное. Среди обнаруженных по предоставленным адресам устройств нашёлся мобильник родственника издателя R.Kelly.
Далее, федералы запросили логи с базовых станций телефонных операторов, находящихся в районе дома потерпевшего, за то же время. И оказалось, что ровно в момент возгорания автомобиля именно этот мобильник находился в зоне действия именно этих базовых станций.
Позднее, при задержании, следователи нашли в телефоне подозреваемого информацию, напрямую подтверждающую его причастность к поджогу.
Закончить этот пост я хочу песней!
От создателей "сожру этот торт для тонкой талии" и "займусь песпорядочным сексом во имя целомудрия": TikTok рассказывает пользователям о приватности и информационной безопасности.
Forwarded from Дежурный smmщик
TikTok запустил серию роликов в рамках Национального Месяца осведомленности в сфере кибербезопасности
Платформа подготовила серию видеороликов в аккаунте TikTok Tips, в которых сотрудники просвещают пользователей на тему безопасности: например, рассказывают о создании сложных паролей и использовании менеджеров паролей для защиты своих учетных записей.
TikTok также объявил о сотрудничестве с HackerOne, чтобы изучить потенциальные угрозы.
Платформа подготовила серию видеороликов в аккаунте TikTok Tips, в которых сотрудники просвещают пользователей на тему безопасности: например, рассказывают о создании сложных паролей и использовании менеджеров паролей для защиты своих учетных записей.
TikTok также объявил о сотрудничестве с HackerOne, чтобы изучить потенциальные угрозы.
Zoom будет шифровать звонки. Да неужели.
Сегодня я принёс новость, которая почти наверняка окажется актуальной для тебя.
14 октября компания Zoom провела видеоконференцию, на которой рассказала о своих самых ближайших планах по развитию одного из самых востребованных сервисов 2020 года.
Итак, что же нового ждать в Zoom в ближайшее время?
Во-первых, появится возможность организации видеоконференций с платой за вход. Причём платить можно будет непосредственно "на входе" в конференцию. В тестовом режиме до конца 2020 года OnZoom (так называется эта версия) останется доступен только платным пользователям из США, однако с 2021 года к сервису получат доступ пользователи из других стран.
Во-вторых, в Zoom появится магазин приложений (функция Zapps), благодаря которой пользователи смогут работать, например, в Google Docs, не выходя из Zoom. Кажется, у лучшего файлообменника наклевывается конкурент, если ты понимаешь, о чем я.
Но главной фишкой, из-за которой я решил снова рассказать о зуме под занавес 2020-го, когда только ленивая корпорация не запилила свой сервис для видеозвонков, конечно, является третье нововведение. В Zoom появится сквозное (end-to-end, E2EE) шифрование.
Компания и раньше заявляла, что для защиты переговоров пользователей от посторонних сервис использует именно сквозное шифрование, которое, по науке, должно обеспечивать невозможность доступа к ключу шифрования никому, кроме самих конечных пользователей. Но на деле, Zoom обходился технологиями транспортного шифрования с симметричными алгоритмами, при использовании которых ключ шифрования конкретной конференции должен быть передан всем участникам и потому находится в базе самого сервиса, а значит, может быть украден.
Уличённая в подмене понятий, компания Zoom собрала собственный совет по безопасности, наняла ряд первоклассных специалистов в области ИБ и сообщила, что внедрит сквозное шифрование только для платных аккаунтов, объяснив это рыночными требованиями и желанием сотрудничать с органами государственной безопасности США. Однако, поднялся такой шквал недовольства, что компании пришлось заявить о введении сквозного шифрования для всех и безвозмездно, то есть даром.
Тем не менее, по умолчанию, функция E2EE включена не будет. Администратору видеоконференции придётся поковыряться в настройках и сгенерировать пару "секретный ключ — открытый ключ". То есть, благодаря асимметричному алгоритму, со стороны сервиса трафик останется зашифрованным, так как секретный ключ будет находиться только на стороне администратора конференции.
Со следующей недели шифрование в Zoom станет доступно в тестовом режиме всем пользователям, но не все так просто. Юзеры, не имеющие платного аккаунта, столкнутся с рядом ограничений и необходимостью проходить двухфакторную аутентификацию, которая, впрочем, претерпит изменения через 30 дней. Именно тогда закончится первый этап тестирования, за который компания рассчитывает собрать отзывы пользователей.
В итоге, полная версия E2EE будет запущена в 2021 году. Наверное.
Сегодня я принёс новость, которая почти наверняка окажется актуальной для тебя.
14 октября компания Zoom провела видеоконференцию, на которой рассказала о своих самых ближайших планах по развитию одного из самых востребованных сервисов 2020 года.
Итак, что же нового ждать в Zoom в ближайшее время?
Во-первых, появится возможность организации видеоконференций с платой за вход. Причём платить можно будет непосредственно "на входе" в конференцию. В тестовом режиме до конца 2020 года OnZoom (так называется эта версия) останется доступен только платным пользователям из США, однако с 2021 года к сервису получат доступ пользователи из других стран.
Во-вторых, в Zoom появится магазин приложений (функция Zapps), благодаря которой пользователи смогут работать, например, в Google Docs, не выходя из Zoom. Кажется, у лучшего файлообменника наклевывается конкурент, если ты понимаешь, о чем я.
Но главной фишкой, из-за которой я решил снова рассказать о зуме под занавес 2020-го, когда только ленивая корпорация не запилила свой сервис для видеозвонков, конечно, является третье нововведение. В Zoom появится сквозное (end-to-end, E2EE) шифрование.
Компания и раньше заявляла, что для защиты переговоров пользователей от посторонних сервис использует именно сквозное шифрование, которое, по науке, должно обеспечивать невозможность доступа к ключу шифрования никому, кроме самих конечных пользователей. Но на деле, Zoom обходился технологиями транспортного шифрования с симметричными алгоритмами, при использовании которых ключ шифрования конкретной конференции должен быть передан всем участникам и потому находится в базе самого сервиса, а значит, может быть украден.
Уличённая в подмене понятий, компания Zoom собрала собственный совет по безопасности, наняла ряд первоклассных специалистов в области ИБ и сообщила, что внедрит сквозное шифрование только для платных аккаунтов, объяснив это рыночными требованиями и желанием сотрудничать с органами государственной безопасности США. Однако, поднялся такой шквал недовольства, что компании пришлось заявить о введении сквозного шифрования для всех и безвозмездно, то есть даром.
Тем не менее, по умолчанию, функция E2EE включена не будет. Администратору видеоконференции придётся поковыряться в настройках и сгенерировать пару "секретный ключ — открытый ключ". То есть, благодаря асимметричному алгоритму, со стороны сервиса трафик останется зашифрованным, так как секретный ключ будет находиться только на стороне администратора конференции.
Со следующей недели шифрование в Zoom станет доступно в тестовом режиме всем пользователям, но не все так просто. Юзеры, не имеющие платного аккаунта, столкнутся с рядом ограничений и необходимостью проходить двухфакторную аутентификацию, которая, впрочем, претерпит изменения через 30 дней. Именно тогда закончится первый этап тестирования, за который компания рассчитывает собрать отзывы пользователей.
В итоге, полная версия E2EE будет запущена в 2021 году. Наверное.
Zoom Blog
Zoom Rolling Out End-to-End Encryption Offering
We’re excited to announce that starting next week Zoom’s E2EE offering will be available as a technical preview! Learn more