Шарага-2  

Вернуться   Шарага-2 > Электроника

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 31-01-2015, 21:59
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию Информационная безопасность

Да "ёперный же ты театер"...
Предполагал, что Украина давно "не та" и давно "ручная" (после того, когда узнал про технологии "Приватбанка")... но, чтоб и Севастополь "на кукане сидел" не предполагал...

"Colonel" прокомментировал новость недельной давности.
Цитата:
http://colonelcassad.livejournal.com/2020929.html

Ограничения Google для Крыма
31 января, 9:50

<...>

>>> Привычка, Хромом пользуюсь с 2008 года.
Кстати, в комментах, в ответ, вполне здравые предложения встречаются.

---
Не пойму... почему люди, живущие на территории xUSSR, могут быть так привязаны к гуглю и прочим "однокликовым технологиям"? o_O
Неужели полагают, что таким образом они смогут "приобщиться" к "золотому миллиарду" и сканать за "своих"?
Или потому, что "это круто!"?

Хых!... павлины, говоришь...

===

Недавно очередной "ахтунг" на известный проприетарный продукт грянул.
На это раз очень серьёзный.

Кому лень читать и вникать, изложу тезисно.

Цитата:
http://habrahabr.ru/company/eset/blog/247031/

Авторы TorrentLocker переключились на использование режима CBC симметричного алгоритма шифрования AES, вместо ранее используемого CTR.
Таким образом, они свели к нулю возможность «несанкционированной» расшифровки файлов.
Расшифровка возможна только в случае получения закрытого ключа RSA от злоумышленников, с помощью которого можно расшифровать AES ключ.
Этот зашифрованный публичным RSA ключом AES ключ хранится в конце зашифрованного файла и используется для непосредственной расшифровки файла (или его первых 2-х MB).
Как мы описывали выше, публичный RSA ключ располагается в теле вредоносной программы.

В качестве основной защитной меры от последствий заражения TorrentLocker и шифрования файлов следует использовать резервное копирование файлов на жестком диске.
Следует помнить, что TorrentLocker специализируется на шифровании файлов, расположенных на сетевых дисках, которые подключены к зараженному компьютеру.
В этом случае файлы с резервной копией данных лучше хранить на удаленном устройстве, которое не подключено к компьютеру, в противном случае, они также могут быть скомпрометированы TorrentLocker.
Комменты пострадавших.

Цитата:
Лечения от этой напасти не существует?

>>> У меня знакомые с Австралии после этой штуки вопрос решили в офисе кардинально, благо им на курс рубля все равно, и купили аймаки. Но так как и на мак бывают эстонские вирусы которые нужно устанавливать введя пароль администратора вариант не 100%

---

Мы собственно попались — нашелся пользователь, который не смог удержаться, чтобы не открыть архив с какого-то левого сайта и заразить сеть этой заразой.
Т. к. выбора особо у нас не было — пришлось платить.
Сумма, судя по всему, варьируется, у нас ушло 800 $.
Досадно будет, если на какой-нибудь общей сетевой шаре, из-за необдуманных действий какого-нибудь "везунчика", "запечатаются" какие-нибудь незабэкапленные проекты типа ACAD, 3DS, Altium, куча PDF с даташитами и т.д.
И поделать ничего нельзя -- только платить, если резервных копий не было.

Сайты зловреда размещаются в Tor-е (only), оплату требуют только в биткоинах.
В переводе на баксы получается от $800 до $1680 за расшифровку одного компа.
Троян настроен на пожирание более 130 форматов файлов.
В т.ч. таких, как .dwg, .3ds, .cdr, .sql, .sqlite, .pdf и пр..

Погано что
Цитата:
http://habrahabr.ru/company/eset/blog/247031/

В ноябре 2014 г. мы наблюдали новый метод распространения вредоносных файлов TorrentLocker.
Злоумышленники по-прежнему использовали фишинговые сообщения, но теперь вредоносный .zip архив размещался как вложение к сообщению электронной почты.
Кроме этого, в самом архиве теперь находился не исполняемый файл TorrentLocker, а .doc файл со сценарием на VBA.
Этот сценарий (скрипт) используется для загрузки и исполнения дроппера TorrentLocker.
Сам скрипт подвергнут обфускации.
Этот VB код выполняет загрузку исполняемого файла с удаленного сервера, а затем запускает его на исполнение.
Название файла замаскировано под файл изображения .png.
Делайте выводы.
"Включать или не включать", например, "автоматику и удобства" для обработки входящих сообщений и прочее "от лукавого".

===
Эта "беда" пока никак не проявлялась на территории xUSSR (видимо, биткоинов и баксов с эурами на этой территории мало).
Но, не так давно "звоночек прозвенел" и в моём регионе -- три собственническо-частные конторы (довольно "толстые") лишились "1С-вских" баз данных и всей офисной шелухи с годовыми отчётами (бэкапов вообще не делали...) -- решили не платить и восстанавливали инфу вручную "по бумажным носителям", силами женского бух-коллектива... ух!.. сочувствую...

===

Забавен один факт.

Цитата:
http://habrahabr.ru/company/eset/blog/247031/

Стоит отметить, что IP-адреса C&C-серверов обеих вредоносных программ также совпадают.
Hesperbot использовал в качестве удаленного C&C-сервера домен updatesecurehost1.ru с IP адресом 46.149.111.178.
Тот же IP-адрес использовался семплом TorrentLocker в сентябре 2014 г.
В качестве домена выступал nigerianpride.net.
Этот IP находится в Севастополе )))

Цитата:
General Information

Hostname: Cannot be resolved
IP: 46.149.111.178
Preferable MX: mx.yandex.ru

Network Information

Имя: INTEK
Диапазон адресов: 46.149.96.0 - 46.149.111.255
Владелец: Elerium ltd
Расположение: Dzerzhinskogo street, 19, Sevastopol, 9901, Ukraine
Контактная информация: Aleksandr Nikulin, +30692459249
Статус: ASSIGNED PI
---
UPD

По прикидкам ESET, на эксплуатации TorrentLocker-а "некто" за пару месяцев заработал ~$500-700 тыс.
__________________
do ut des
Ответить с цитированием
  #2  
Старый 01-02-2015, 11:11
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
http://colonelcassad.livejournal.com/2020929.html

Ограничения Google для Крыма
31 января, 9:50
У гугла ограничение на анонимщиков, он их вообще игнорирует. Это означает дискриминация по принадлежности к стране, нации и т.д.
Те же нацисты, как и сами США управляемые еврейской ОПГ.

Вот вам и вся их демократия и права человека.
Ответить с цитированием
  #3  
Старый 01-02-2015, 11:25
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Цитата:
Мы собственно попались — нашелся пользователь, который не смог удержаться, чтобы не открыть архив с какого-то левого сайта и заразить сеть этой заразой.
Т. к. выбора особо у нас не было — пришлось платить.
Сумма, судя по всему, варьируется, у нас ушло 800 $.
Пока используется покупные ОС "оттуда", нет никаких гарантий безопасности вообще, помешанные на своём величии и нацизме печатники банкнотов имеют 1001 способ залезть в карман и сейф любого пользователя. И чтобы проверить такую ОС или ПО потребуются специалисты не ниже уровня строителей операционных систем.

На примере моего исследования ОС Windows XP могу доложить, что ОС запускает в адресном пространстве программы потоки-паразиты с незнамо откуда взявшимся кодом. И самое интересное, что не всегда, а как им моча в голову ударит. Мой антивирусник это сразу замечает. На более свежих ОС это уже не случайность, а правило, они запускаются всегда и везде.
Ответить с цитированием
  #4  
Старый 01-02-2015, 14:59
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Цитата:
В ноябре 2014 г. мы наблюдали новый метод распространения вредоносных файлов TorrentLocker.
Злоумышленники по-прежнему использовали фишинговые сообщения, но теперь вредоносный .zip архив размещался как вложение к сообщению электронной почты.
Кроме этого, в самом архиве теперь находился не исполняемый файл TorrentLocker, а .doc файл со сценарием на VBA.
Заказчики браузеров внедряют "сценарии" с целью сделать пользователей рабами их рекламы и пропаганды. Как бы нечайно забывают о безопасности. В мире правят деньги, в особенности те кто их же печатает, а не демократия и честные выборы.
Потом писаки этих програм предлагают и даже навязывают обновления. Обновления дырок в защите, разумеется.
Ответить с цитированием
  #5  
Старый 01-02-2015, 17:31
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Вспоминается мутная история с одним качественным продуктом.
По одним слухам, ведущий разработчик после перехода в штат программеров Microsoft прекратил разработку, по условиям трудового контракта.
По другим слухам, на автора "надавила" АНБ и в качестве "отступного" устроила его в M$.

Цитата:
http://ru.wikipedia.org/wiki/TrueCrypt

TrueCrypt — компьютерная программа для шифрования «на лету» (On-the-fly encryption) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI-интерфейс), Linux и Mac OS X.
Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла.
С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память.
Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов.
Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.

<...>

28 мая 2014 проект был закрыт, разработка свёрнута.
Все старые версии удалены, репозиторий очищен
.
Обстоятельства закрытия проекта вызвали множество догадок и обсуждений в ИТ сообществе.

<...>

В 2013 году начался сбор средств для проведения независимого аудита TrueCrypt, толчком к которому послужила в том числе полученная от бывшего сотрудника АНБ Сноудена информация о намеренном ослаблении спецслужбами средств шифрования.
На аудит было собрано свыше 60 000 долларов.
14 апреля 2014 года завершился первый этап проверки, критических ошибок обнаружено не было.

<...>

Версия 7.1а вышла 7 февраля 2012.

Версия 7.2 вышла 28 мая 2014 года.
Финальный релиз, возможно только дешифрование, возможность шифрования данных была удалена.
Причём, TrueCrypt был действительно удалён из всех репозиториев.
На просторах Интернета пока ещё можно найти последнюю "нескурвившуюся" версию 7.1а.
Если кому надо, могу отдать проверенные (по контрольным суммам) версии для всех платформ.

Зачем это надо?
Например, для резервирования какой-либо информации "в облаке", допустим в тех же Yndex.Disk, Dropbox, MS или гуголь, Amazon и пр..
Довольно удобно.
Мне показалось удобным использование Yandex.Disk-а (10 GB нахаляву), подключаемого через WebDAV (davfs2) к рабочей станции как локальный том, а в яндексовском "облаке" лежит TrueCrypt-контейнер, открываемый при необходимости.
Т.о., всегда и везде, где имеется доступ к Интернет, под рукой все необходимые данные.
__________________
do ut des
Ответить с цитированием
  #6  
Старый 01-02-2015, 19:57
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Кстати.
Хочется порекомендовать (для предприятий) качественный отечественный software-продукт из Ярославля -- "система ИКС".
Могучая и весьма гибкая в настройках штука.
(не реклама)
Хоть и платная, зато, сертифицирована ФСТЭК...

Цитата:
http://xserver.a-real.ru/

«Интернет Контроль Сервер»

Устанавливается на любой компьютер, превращает его в мощный интернет-шлюз организации.
ИКС позволяет организовать почтовый, прокси, файловый, Web, jabber серверы.
Имеет ICQ-бот и IP-телефонию.
---
Ссылку на ресурс вполне можно было бы запостить в рубрике "Пазитифф", но по смыслу ближе к данной теме.
__________________
do ut des
Ответить с цитированием
  #7  
Старый 02-02-2015, 00:50
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Причём, TrueCrypt был действительно удалён из всех репозиториев.
Сорцы 7.0 имею. Не думаю что удалив архив можно удалить историю и идею, даже надумав её украсть или скупить на корню.
Ответить с цитированием
  #8  
Старый 02-02-2015, 00:54
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Ссылку на ресурс вполне можно было бы запостить в рубрике "Пазитифф", но по смыслу ближе к данной теме.
Интересно, в связи с IP телефонией, не знаете ли как скоро начнут использовать IPv6 так как она задумывалась, чтобы можно было P to P контакт иметь без всяких там вывертов?
Ответить с цитированием
  #9  
Старый 02-02-2015, 12:49
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
Сообщение от AlexKlm Посмотреть сообщение
Сорцы 7.0 имею. Не думаю что удалив архив можно удалить историю и идею, даже надумав её украсть или скупить на корню.
А я исходники 7.1a припрятал.
И все выпущенные бинарники этой версии.
__________________
do ut des
Ответить с цитированием
  #10  
Старый 02-02-2015, 12:52
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
Сообщение от AlexKlm Посмотреть сообщение
Интересно, в связи с IP телефонией, не знаете ли как скоро начнут использовать IPv6 так как она задумывалась, чтобы можно было P to P контакт иметь без всяких там вывертов?
Наверное, не скоро ещё.
Хоть здесь и пишут, что РФ в лидерах.

http://info.nic.ru/node/5464

Слышал, что в некоторых ДЦ он уже широко используется.
А когда "на бытовом уровне" возможность использования появится, не встречал такой информации.
Да и железа много заменить придётся, а в условиях нынешнего политико-экономического кризиса это может быть накладно.
Можно пока через шлюзы-посредники IPv6 пользоваться.
__________________
do ut des
Ответить с цитированием
  #11  
Старый 02-02-2015, 21:13
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Наверное, не скоро ещё.
Хоть здесь и пишут, что РФ в лидерах.

http://info.nic.ru/node/5464

Слышал, что в некоторых ДЦ он уже широко используется.
А когда "на бытовом уровне" возможность использования появится, не встречал такой информации.
Да и железа много заменить придётся, а в условиях нынешнего политико-экономического кризиса это может быть накладно.
Можно пока через шлюзы-посредники IPv6 пользоваться.
Да уж, прикрыли шлюз и конец общению миллионов юзеров.
Ответить с цитированием
  #12  
Старый 03-02-2015, 09:48
evgeny_ch evgeny_ch вне форума
Заблокирован
 
Регистрация: Jul 2014
Адрес: Минск
Сообщений: 8,381
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
...
Зачем это надо?
Например, для резервирования какой-либо информации "в облаке", допустим в тех же Yndex.Disk, Dropbox, MS или гуголь, Amazon и пр..
Довольно удобно.
...
Когда идёшь со дня рожденья
Всё клади себе в карман.
Только не клади варенье
Трудно будет доставать.
Нынче столько пишут про клаудкомпутинг,
аж тошно туды бегать.
Непаханое поле для студрефератов.
Ответить с цитированием
  #13  
Старый 03-02-2015, 22:30
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
Сообщение от evgeny_ch Посмотреть сообщение
Когда идёшь со дня рожденья
Всё клади себе в карман.
Только не клади варенье
Трудно будет доставать.
Нынче столько пишут про клаудкомпутинг,
аж тошно туды бегать.
Непаханое поле для студрефератов.
Я пока что тоже признаю "облака" только собственноручно построенные

Но, в случае с Яндыхом (для личных нужд), остался вполне доволен комфортом --> в надёжно зашифрованном контейнере (который хранится в облаке) хранить собственные .ini, .conf, .sh, записки, браузерные закладки, БД jabber-а, да хоть PIN-коды от всех карт и пассы от всех ресурсов и пр., да ещё и держать синхронные копии в различных "облаках".

Всякое "видимо-слышимо" мне без надобности, а моя инфа места много не занимает -- на 56 Кбит/сек "прокачается" почти мгновенно.
Да даже если все "облака" разом йопнутся (что вряд ли) или, если "Интернет внезапно кончится" --> лично мне будет похер -- т.к., ещё и в таких же локальных контейнерах та же инфа хранится, дублируется автоматом посредством rsync
__________________
do ut des
Ответить с цитированием
  #14  
Старый 04-02-2015, 21:21
evgeny_ch evgeny_ch вне форума
Заблокирован
 
Регистрация: Jul 2014
Адрес: Минск
Сообщений: 8,381
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Я пока что тоже признаю "облака" только собственноручно построенные

...
Пошутил я.
Привет, ?ELF. :HI:
Безопасность не бывает лишней, и т. б. полной.
Человекофактор всегда лишний.
Ответить с цитированием
  #15  
Старый 20-02-2015, 19:22
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

В прошедшие дни кучно крипто-новости пошли.

Вдогонку к недавним сообщениям от "Лаборатории Касперского" о троянах в HDD и интересном анализе от "Group-IB" на тему увода крупных сумм в 2014 году, теперь ещё и remix пошаговой инструкции по выковыриванию за пару минут виндовых паролей (как локальных, так и доменных) опубликовали
Без использования @stakeL0phtCrack, SAMInside и т.п., без нудного-долгого брутфорса.

Поэтому, на всякий случай, ахтунг! для всех владельцев Windows (у кого она ещё осталась).
Молодые энтузиасты после подобных статей запросто могут пожелать "протестировать технологию" и "по приколу" проверить на прочность какие-нибудь сети и хосты.

Цитата:
http://habrahabr.ru/post/250999/

18 февраля в 23:25

Восстанавливаем локальные и доменные пароли из hiberfil.sys
Дыра старая, "врождённая" и очень серьёзная.
"100%-го противоядия" нет в принципе.

Цитата:
http://www.securitylab.ru/news/420431.php
http://www.securitylab.ru/vulnerability/420418.php

Дата публикации: 21.02.2012

Уязвимые продукты:
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Storage Server 2003
Microsoft Windows Vista
Microsoft Windows 7

Описание: Уязвимость позволяет локальному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за того, что в wdigest и tspkg хранят пароли пользователей в незашифрованном виде в памяти ОС.
Локальный пользователь может прочитать пароли пользователей, авторизованных на системе.
Для успешной эксплуатации уязвимости злоумышленник должен иметь возможность присоединить библиотеку к процессу lsass.exe.

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://blog.gentilkiwi.com/mimikatz
А здесь пишут, что и более новые Microsoft OS подвержены этой же болезни.

Цитата:
http://winitpro.ru/index.php/2013/12...nyx-v-windows/

24 Декабрь 2013

Получение в открытом виде паролей пользователей, авторизованных в Windows

Извлекаем пароли пользователей из lsass.exe онлайн
Получение пароля пользователя из дампа памяти Windows
Получение паролей из файлов виртуальных машины и файлов гибернации

Windows Server 2008 / 2008 R2
Windows Server 2012/ R2
Windows 7
Windows 8

Выводы. Еще раз напоминаем прописные истины:

-- Не стоит использовать одинаковые пароли для разных сервисов (особенно терминальных, находящихся во владении третьих лиц).

-- Задумайтесь о безопасности ваших паролей и данных, находящихся на виртуальных машинах в столь рекламируемых сейчас облаках, ведь вы не можете быть уверенными в том, у кого еще имеется доступ к гипервизорам и хранилищу, на котором расположены виртуальные машины.

-- Минимизируйте в своих системах количество учетных записей, обладающих правами локального администратора

-- Никогда не заходите с учетной записью администратора домена на сервера и компьютеры, доступные другим пользователям

Примечание. Данная методика не сработает при наличии на системе современного антивируса, блокирующего инъекцию.
В этом случае придется сначала создать дамп памяти машины и уже на другой машине «вытянуть» из него пароли для сессий всех пользователей.
Примечание насчёт процитированного выше ПРИМЕЧАНИЯ.

На самом деле это не так.

Антивири да, честно "бычатся" на оригинальный файл mimikatz.exe, т.к., все антивири его знают (по сигнатуре).
Ну, авторы этой freeware программы и не скрывают её предназначения.

Но, стоит чуть изменить бинарник ("провести обфускацию", если можно так сказать), и антивирусы "врага не видят", радушно пропускают (даже вполне надёжные корпоративные)

Не особо заморачиваясь, можно обработать exe-шник тем же UPX --> профит!
В качестве бонуса ещё и более быстрая загрузка появится.

---
Для успеха атаки необходимы права локального админа.
Прав локального админа достаточно даже для того, чтобы срисовать пассы "админа домена предприятия" и т.п., при этом ничего ломать и брутфорсить не надо -- логины и пассы в plain text.
Права локального админа можно заполучить через руткит и пр.,пр..
А можно и просто инсталлер какой-нибудь софтины перепилить (многие инсталляторы требуют прав локального админа для установки софта, этого будет достаточно) и перед инсталляцией желаемого пользователем софта выполнить код того же mimikatz-а, слить в онлайне результат и т.д...

===

К процитированным выше вариантам "обезопаситься" -- давно всем известные варианты противодействия:

-- постоянная внимательность
-- внимательность и неспешность при реакции на сообщения системы
-- аутентификация пользователей в системе по USB-токенам, биометрии и т.п.
-- не пускать винду в Интернет вообще... если это невозможно, то, хотя бы, организовать доступ в Интернет через прокси-сервер (цепочку прокси) с обязательной авторизацией + никакой "автоматики" в подключении к прокси (хотя, это уже не спасёт, если удалось отработать mimikatz)
-- порядок в правах доступа и в ролях пользователей
-- ... и далее по списку <известные всем меры предосторожности>.
__________________
do ut des
Ответить с цитированием
  #16  
Старый 14-03-2015, 18:19
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
http://habrahabr.ru/company/1cloud/blog/252991/

вчера в 13:11

Как получить статус суперпользователя с помощью уязвимости DRAM: Техника Rowhammer

Исследователи информационной безопасности из Google создали эксплойт, который эксплуатирует физические слабости чипов DDR-памяти определенных типов, для повышения прав недоверенных пользователей на Intel-совместимых компьютерах, работающих под Linux.

===

neolink
13 марта 2015 в 16:48

Только доступ не физический а программный, был продемонстрирован уход из песочницы NaCl, то есть вы можете открыть страницу в Chrome, ваш ноутбук зашуршит вентилятором секунд на 10 и у вас в системе уже стоит руткит.
Согласен с процитированным оратором.

Конечно, пока не так всё фатально, но будущее уже близкО...

---
Вот и приходят те времена "широкого внедрения в жизнь" аппаратных вирусов, о чём ещё два года назад довелось беседовать на семинарах с коллегами.
Про аппаратные гипервизоры тогда разговаривали и про методы противодействия им.
В подобной ситуации любой программный антивирус моментально "превращается в тыкву".

В случае использования чужих комплектующих, пока остаётся вариант полной электромагнитной изоляции "чужого" эл.оборудования, использование "нестандартного" софта и "непредсказуемая гибридность сетей".
__________________
do ut des
Ответить с цитированием
  #17  
Старый 15-03-2015, 16:18
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
В подобной ситуации любой программный антивирус моментально "превращается в тыкву".
Даёт, значит, установить себе вирус-драйвер? Что это за антивирус такой, недостойный своего имени? Ну и под каким именем и сертификатом происходит установка этого драйвера уровня системы? Чья подпись под "новым оборудованием"? Гугл-мап для лучшего отображения карты?
Ответить с цитированием
  #18  
Старый 08-04-2015, 02:26
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Кстати.
Недавнее.

Цитата:
http://habrahabr.ru/post/254777/

2 апреля (2015) в 19:15

Завершен аудит кода TrueCrypt

Согласно результатам аудита, никакой закладки в TrueCrypt 7.1a нет.
Аудиторы отметили только 4 потенциально нехороших места, которые не приводили к компрометации каких-либо данных при обычных условиях:

1. Отсутствие проверки подлинности зашифрованных данных в заголовке тома
2. Смешивание ключевого файла происходит не криптографически устойчивым образом
3. Реализация AES может быть уязвима к атаке по времени
4. CryptAcquireContext может оказаться неинициализированным без сообщений об ошибке.
Т.е., для сведений/данных, не относящихся к "ГосТайне", использование TrueCrypt 7.1a -- вполне гуд.

---
п. 3, правда, несколько смущает.
Но, для этой беды есть куча старинных рецептов.
__________________
do ut des
Ответить с цитированием
  #19  
Старый 10-04-2015, 00:00
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
http://b2bsecurity.cnews.ru/top/2015...erbanka_594784

09.04.15, Чт, 19:29, Мск,

CNews обнаружил и изучил троянскую программу для Android-смартфонов, похищающую средства с привязанных к телефонным номерам карт Сбербанка.
Деньги путем SMS-команд переводятся на номера других операторов.
В Сбербанке говорят, что при использовании Android без антивируса ответственность за возможные риски лежит на клиенте.

<...>

По заявлению Сбербанка, «Сбербанк Онлайн» для Android - это первое банковское приложение со встроенным антивирусом, разработанным в «Лаборатории Касперского».
Антивирус сканирует ОС смартфона при первом запуске приложения, а затем продолжает это делать в фоновом режиме.
При обнаружении в системе приложений с признаками вредоносного ПО, антивирус предупреждает об этом пользователя и предлагает удалить ему подозрительные программы.

###

Комментарий к новости:

Вообще удивительно что WindowsPhone в плане безопасности лучше Android.
Действительно, как так?.. что винда оказалась надёжнее, чем гуглоподелка...

Помнится, с винды спрыгнул в основном из-за "антивирусов" и "файерволов", которые только что и делали, что работали сами на себя, неимоверно пожирая ресурсы и тормозя нужные мне процессы.
Теперь весь этот срам имплементируется в мобильные платформы...
Да ещё и выкосить всякую лишнюю херь "правообладатель", типа Гугля, не позволяет.
Швабода... хулетам... (((

Да. И почему нет подобных засад под "гламурные" iPhone с iOS?

---
Пля... всё же счастье, что в моём стареньком N900 живёт GNU Linux (младший потомок Debian), а не Android...
Пусть лишние движения приходится делать без "нативного финансового приложения" -- приходится ходить через обычный старенький Firefox + двойная аутентификация, но зато и граблей намного меньше.
Вернее, граблей нет, если сам не накосячишь.
__________________
do ut des
Ответить с цитированием
  #20  
Старый 11-04-2015, 01:08
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Удивляюсь, где и от кого так можно "нацеплЯть"?..
Что для подхвата этакой "зрады" надобно сделать?

Цитата:
http://habrahabr.ru/post/255333/

вчера в 01:22

Новый adware встраивается непосредственно в браузер
Соблюдение нескольких простых правил, пмсм, отсекают большую часть подобных угроз:

1) не использовать Google Chrome,
а если уж без него никак, то держать его в "песочнице" (jail), которую никогда не жалко разрушить;

2) пользоваться "народными" браузерами, типа старой Оперы (<= v. 12.16), которая хоть и была "проприетарной", но позволяла конролировать почти все свои процессы; и которая до сих пор вполне жива и удобна, как прежде;

3) никогда не включать Java Script "по дефолту" (равно как и пресловутый Adobe Flash), а включать при необходимости;

01.jpg

02.jpg

03.jpg

4) всю "движуху в окне" включать только при необходимости, а если сайт без включения Java Script или Flash вообще не желает себя показывать, то, может, ну_его_на? и лучше поискать альтернативу?
Ведь, чаще всего, стОящая информация выкладывается в виде plain text.
Истине мультимедийная поддержка не требуется.

Разве нужен видеоролик в youtube или пляшущий баннер, чтобы передать друг другу Правду или реквизиты "левой" креды?..

5) использовать разные браузеры для разных ресурсов, и никогда "не путать личную шерсть с государственной"(С) -- работу и развлечения вести, если возможно, на разных компьтерах, или, хотя бы, в разных браузерах.

Или в изолированных виртуальных машинах -- допустим, Интернет в VM, работа -- на физическом хосте, или наоборот -- если, например, "танки", Steam и пр. являются основной работой для компа

6) нещадно косить все cookies при закрытии браузера;

7) отключить всю "автоматику" по обработке файлов браузером -- .pdf, .doc/docx, .xls/xlsx и пр. -- такая автоматика может оказаться небезопасной даже для *nix-ов, если, например, в /home или на доступных user-шАрах хранятся чувствительные личные/корпоративные данные.

---
Не знаю, может мне так везло, или являюсь "эстонским парнем", и "неуловимым Джо", но даже под виндой ни разу не получалось словить вирус или трояна, даже во времена, когда активно шарился по варезным и кардерским ресурсам.
Даже под "дырявыми" -- W2K, XP, W2K3, без security-апдейтов и антивирусов, но с примитивно настроенной IPSec, настроенной стандартными виндовыми средствами -- политика: запретить всё незнакомое и открывать вручную при необходимости.

Конечно, сейчас будут пытаться уничожить всю "альтернативщину" и гнуть всю толпу в сторону одного движка -- "гугля нашего"... как и с мобильными платформами вышло -- Android (проприетарный) и Blink (проприетарный) нынче банчат.

В курсе, что обе эти платформы "якобы открытые"... открытые-открыте, но не GNU...
И в этом нет "заговора мирового правительства"?..
Всё ж, как будто, "само собой", и "честная конкуренция" оставляет в живых только лучших... да-да...
__________________
do ut des
Ответить с цитированием
  #21  
Старый 17-04-2015, 12:33
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Соблюдение нескольких простых правил, пмсм, отсекают большую часть подобных угроз:

1) не использовать Google Chrome,
...
7) отключить всю "автоматику" по обработке файлов браузером
Это для продвинутых пользователей или администраторов. Простому юзеру регулярно упоребляющему это "слишком много букаф".
К тому же администратор должен не только следить за установками каждого компа в сети, но иметь возможность одним движением руки восстанавливать правильные установки каждому. Иначе - он тоже не резиновый. Не известно, возможно ли это.
Ответить с цитированием
  #22  
Старый 17-04-2015, 22:52
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
Сообщение от AlexKlm Посмотреть сообщение
Это для продвинутых пользователей или администраторов. Простому юзеру регулярно упоребляющему это "слишком много букаф".
К тому же администратор должен не только следить за установками каждого компа в сети, но иметь возможность одним движением руки восстанавливать правильные установки каждому. Иначе - он тоже не резиновый. Не известно, возможно ли это.
Возможно.
Так оно и делается.

В виндовом домене/лесе делается через GPO (Group Policy Objects) -- один раз правила прописал, и шабАш -- все компы домена будут периодически (допустим, раз в 15 минут, или чаще -- но это создаст лишний сетевой трафик) стучаться к DC (Domain Controller) --> в AD (Active Directory) и спрашивать о новых правилах.

Администратору надо один раз крепко башку поломать -- насчёт структуры леса, структруы подразделений, групп и насчёт того, чтобы попытаться предугадать что кому потребуется в будущем, что кому можно, а чего нельзя.
Ну, и периодически "рихтовать" эти структуру и правила.

Ограниченные в правах пользователи (Users) не смогут "ни шаг влево, ни шаг вправо" сделать.
Даже Google Chrome (который мне "в принципе" не нравится), даже в "юзерспейсе", можно прижать этими правилами.
Можно и вообще забанить все возможности играться любыми exe-шниками, .msi, командниками, скриптами и пр. в пользовательском профиле (в конторах, чаще всего, так и делается).

Так что, и винда вполне надёжна (при правильном с ней обращении), если бы не её 0-day уязвимости и прочие "кротовые норы" в исходном коде...

---
За что, лично мне, и нравятся терминальные сервисы ("частно-облачные", по сути) -- на стороне клиента только "тупая" железка-посредник с ограниченными возможностями -- монитор_со_звуком+клавиатура+мышь -- одно движение мышью со стороны админа (или его автоматической системы контроля -- тут уж, кто чего сам придумает или купит готовое) --> и терминал "превращается в тыкву".

По сути, в терминалах (тонких и особенно zero-клиентах) и ломаться-то нечему (ни одной подвижной детали нет), потому почти не требуют обслуживания.
Всё действительно ценное хранится на серверах в терминальной (или "облачной") ферме и на сетевых "шарах", права доступа к которым, опять же, диктуются правилами, прописанными в GPO.

Внутренние сети (конторский Intranet) можно довольно надёжно изолировать.
Но, чем сложнее система, тем ниже её отказоустойчивость (особенно, когда сервисы должны быть доступны в режиме 365/24).

Чаще всего, основная "засада" кроется в пресловутом user-факторе (в "прокладке между монитором и клавиатурой") и в "социальной инженерии" по отношению к персонам, наделённым приличными полномочиями и правами...

Потому, "правила контрацепции", хочешь не хочешь, но и "обычным пользователям" тоже надобно изучать (пмсм).
И вникать, хотя бы частично, в современные технологии информационного обмена и в их "завораживающие" новшества.
__________________
do ut des
Ответить с цитированием
  #23  
Старый 25-04-2015, 19:12
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Как "из-под винды" голым ходить в Интернет, вообще не представляя какие угрозы бывают и могут быть, и чтобы тебе за это ничего не было?

Такая проблема (для конторских нужд) давненько меня озадачивала.

Один вариант напрашивался сам собою -- была бы версия Citrix для Linux/UNIX, давно бы уже замутил линуксовое "опубликованное приложение -- browser".
Но, Citrix/XEN существует только для Windows.

Второй вариант -- предоставить всем пользователям доступ в Интернет через линуксовый browser, но так, чтобы не доставлять неудобств -- с одноразовой (в начале сеанса в начале рабочего дня) "прозрачной" сквозной аутентификацией -- типа, у всех на Desktop-е красуется значок Firefox, Yandex.Browser, Chromium, Vivaldi и пр., жмём на него мышой и загружается браузер, будто бы он установлен локально.

Выглядит красиво, заманчиво и правильно.

Browser "крутится" на полноценном Linux-сервере, на одной/нескольких из виртуальных машин в частном облаке, на него распространяются все желаемые политики, настроена iptables, browser коннектится через proxy-сервер (вернее, через два-три), на которых имеется антивирь (допустим, Dr.Web).

Снаружи, все пользователи выходящие в Интернет выглядят, допустим, так:

Цитата:
Переданный адрес: XXX.XXX.XXX.XXX
Браузер: Netscape v 5.0
OS: Macintosh
или так "честно сдаться"

Цитата:
Переданный адрес: XXX.XXX.XXX.XXX
Браузер: Netscape v 5.0
OS: Linux
какой "овцой прикинуться", при наличии соответсвующих плугов, не проблема, хоть виндой с IE на борту.

---

О главном.
Прошвырнулся на днях по старым адресам, и, оказывается, тема жива и даже неплохо развивается.

Вчера, локально, в домашней виртуальной сети, "прозвонил" подобный пробный конфиг -- всё работает прекрасно.
(правда, без сквозной NTLM аутентификации -- локальный домен с AD поднимать лень)
На crash-ение пока не наступил, даже с имитацией типичного поведения типичного пользователя, и даже с просмотром видео-аудио с различных ресурсов.
Сознательно полазил по известным мне "засадным" ресурсам -- проблем не возникло.

В ближайший месяц будет чем заняться.
Попробую внедрить в тестовой подсети реального домена, подсчитать нагрузку и вычислить требуемые параметры Linux-серверов, в расчёте на n-ое количество одновременных пользователей.

Пока основная задача, которую ещё не доводилось решать -- автоматическое создание учётных записей на Linux-сервере, при первом к нему обращении (после авторизации в AD), и автоматическое создание "правильного" шаблона всех браузеров для каждого пользователя.

Теоретически, задача решаемая, непреодолимых проблем быть не должно.

Если "взлетит", получится заманчиво -- одна точка входа-выхода --> цепочка прокси-серверов + один сервер со всеми копиями всех браузеров, одна унифицированная "платформа" (при взгляде снаружи), из возможных под Linux -- Firefox, Yandex.Browser, Chromium, Google Chrome, Vivaldi, elinks и пр..

---
Может кому тоже пригодится?
Пара-тройка ссылок на скудные ресурсы по этой теме.

http://wiki.x2go.org/doku.php (проект "точится", в основном, под Debian и Ubuntu)
https://debian.pro/1618
http://www.chriscowley.me.uk/blog/20...y-integration/

Насчёт самой проблемной части: krb5-auth и т.п.

http://habrahabr.ru/post/171249/
http://habrahabr.ru/post/169877/
http://www.oszone.net/20508/www.alm-summit.ru

===

Кстати.
Эту схему можно замутить и для отдельно стоящего виндового хоста, если ресурсы компа позволяют.

И в качестве замены "удалённого европейского VPN" тоже сгодится.
(если у кого есть потребность на некоторых ресурсах "выглядеть своим на 100%")
Т.к., "ходить" мы будем с "чужого IP", от имени "чужого Linux-сервера", размещённого на недорогом "чужом хостинге".

Или так, если "крайняя секурность по IP" не требуется:

1) поднять на виртуалке (VMware, VirtualBox) сервер Linux со скромными запросами -- стандартная установка "с закрытыми глазами" + три-четыре команды в терминале после установки:

Цитата:
root@server:~# apt-get update; apt-get install python-software-properties; add-apt-repository ppa:x2go/stable; apt-get update

root@server:~# apt-get install x2goserver xubuntu-desktop

root@server:~# apt-get install chromium

и т.д. по вкусу...
2) настроить в Linux browser-ы или мыльник-и для одной учётной записи.
3) подключаться к тому софту через клиента x2go, установленного на виндовом хосте.

Печать, загрузка, сохранение файлов -- всё, как в обычном "нативном виндовом софте".

Бонус: благодаря такой схеме отсекается куча современных WEB-угроз.
Кроме, разве что, наиболее коварного "фишинга" (рассчитанного на невнимательных, пользующихся "гламурными браузерами", не позволяющими видеть ссылки, по которым нам предлагают перейти), которые даже при включённом их "антифишинге", способны прозевать "подставы".

===

А лучше всего, по возможности, перейти на Linux/UNIX (Macintosh) платформу...
__________________
do ut des
Ответить с цитированием
  #24  
Старый 27-04-2015, 20:08
kamil yaminov kamil yaminov вне форума
Пользователь
 
Регистрация: Jul 2014
Сообщений: 106
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Пля... всё же счастье, что в моём стареньком N900 живёт GNU Linux (младший потомок Debian), а не Android...
Это же Meego/Maemo? А как там с софтом?
Ответить с цитированием
  #25  
Старый 29-04-2015, 01:24
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
Сообщение от kamil yaminov Посмотреть сообщение
Это же Meego/Maemo? А как там с софтом?
Да, в N900 -- Maemo, в более позднем N9 -- Meego.

Софтом давно не интересовался.
Так сложилось, что вскоре после покупки смарта и обновления системного софта (прошивки), я установил всё, что мне было необходимо и забыл про поиски чего-то нового.
Если всё работает и устраивает, то и переделывать, вроде как, незачем.

После продажи Nokia остались зеркала.
И maemo.org с тамошним форумом до сих пор живы.
На 4pda есть раздел, ещё какие-то живые сайты в закладках болтаются.

В прошлом году немцы выпустили hardware-update для N900 -- материнская плата в том же формфакторе, что и оригинальная, только с новой SoC, с увеличенным количеством RAM, со всеми современными интерфейсами (типа HDMI), и запилили новую maemo-прошивку для своей платы.
Просили за это 200 евриков (без стоимости доставки).

Киллер-фича N900 -- аппаратная клавиатура, резистивный экран и стилус.
Конечно, для тех, кому это надо.

Мне, например, несколько раз пригождалось, когда надо было через ssh-туннель с двойной аутентификацией (Google Auth -- есть в репозиториях Maemo) подключиться к родной сети, в той сети подключиться к связной машинке-проводнику (RDP), на той машинке запустить mmc с "Active Directory Users and Computers", сбросить пароль пользователя или снять блокировку, ребутнуть тонкого клиента или какой-нибудь сервер, включить/выключить кондёр, подключиться к iLO и т.п..

Типа этого:
Цитата:
#!/bin/bash
$ ssh -N -f -L 23389:192.168.168.100:3389 -p 500 *******@ХХХ.ХХХ.ХХХ.ХХХ
<...>
$ rdesktop-cli -f -0 -z -k en-us -u ******* -p ******* 127.0.0.1:23389
<...>
Не будь аппаратной клавиатуры и стилуса, не знаю как бы даже на 6-7" емкостном экране решать подобные задачи, не говоря уж про 4.5".

На Apple и Android -смартах, может быть и можно вывернуться и что-нибудь придумать, но удобного софта мне встречать не доводилось (удобный софт видел только для управления Unix-хостами) -- многое спотыкается о то, что в винде часто приходится "мышкой тыкать" (если нет в заначке могучих .vbs или .ps1 скриптов на все случаи жизни).

Как, например, понять человека, которому требуется помощь и когда пользователь не может толком объяснить что у него случилось и какая помощь ему требуется?
100% выход только один -- самому посмотреть на его экран и понять суть проблемы.
А такое, к сожалению, бывает часто (проблемы из-за низкой "IT-культуры")
__________________
do ut des
Ответить с цитированием
  #26  
Старый 01-05-2015, 00:09
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
Сообщение от ?ELF Посмотреть сообщение
Выглядит красиво, заманчиво и правильно.

<...>

В ближайший месяц будет чем заняться.
Попробую внедрить в тестовой подсети реального домена, подсчитать нагрузку и вычислить требуемые параметры Linux-серверов, в расчёте на n-ое количество одновременных пользователей.

<...>

Теоретически, задача решаемая, непреодолимых проблем быть не должно.

Если "взлетит", получится заманчиво -- одна точка входа-выхода --> цепочка прокси-серверов + один сервер со всеми копиями всех браузеров, одна унифицированная "платформа" (при взгляде снаружи), из возможных под Linux -- Firefox, Yandex.Browser, Chromium, Google Chrome, Vivaldi, elinks и пр..
Непростая тема оказалась для "гетерогенной" сети...
Неделя прошла, а желаемый результат пока не достигнут

По ресурсам опытным путём почти определился -- ~200 MB HDD + ~200 MB RAM для каждого пользователя на "линуксовой браузерной терминалке" + мегов по 100 каждому "на всё про всё" на терминалке виндовой.

Схема (т.н. SSO -- Single Sign On) работает без проблем -- от виндовой терминалки до "линуксового терминального сервера с браузерами" -- прозрачно и без затыков.

А вот с того "линуксового терминального сервера" прозрачно "прокинуть" юзера и автоматически аутентифицировать его в Squid (чтобы не заставлять людей повторно/многократно вводить свои DOMAIN\login + password) -- пока не получилось.

Одно понятно -- надо рыть в сторону squid+krb5, оставив при этом возможность NTLM-аутентификации на squid-е... (и basic_auth тоже надо бы сохранить, для редких случаев...)

Насколько понял, squid из репозиториев Ubuntu Server 14.04 собран уже с поддержкой требуемых хелперов
Цитата:
Squid Cache: Version 3.3.8

--enable-auth-negotiate=kerberos,wrapper
уже радует... возможно не придётся собственный огород городить и кучковать его в .deb

---

Т.е., "дело остаётся за малым" -- окончательно разобраться и окончательно перейти на Kerberos-"билетики" и каким-то образом прикрутить это в W2K3 домену (т.к. W2K3 "на ходу" менять на домен W2K8 нереально -- слишком докуя чего понапихано и отлажено в том старом глобальном ldap-дереве).

Если удастся, будет вполне удобно -- человек один раз залогинившись в Intranet, получит кучу удобств, без необходимости многократных аутентификаций.
Что, в свою очередь, избавляет от необходимости сохранения паролей на липких бумажках, приклеенных к монитору...

---
Если удастся связать всё, как хочется, ей-ей, напишу пошаговое HOWTO с картинками...
__________________
do ut des
Ответить с цитированием
  #27  
Старый 01-05-2015, 09:24
kamil yaminov kamil yaminov вне форума
Пользователь
 
Регистрация: Jul 2014
Сообщений: 106
По умолчанию

я как-то в командировке керберосом в принимающей организации пользовался, очень удобная штука
Ответить с цитированием
  #28  
Старый 09-05-2015, 14:28
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Да... будущее уже здесь, рядом.
И все антивирусы стройными рядами идут лесом.

Цитата:
http://geektimes.ru/post/250146/

вчера в 21:35

На github появились исходники кейлогеров, работающих на GPU.

Программа не использует типичные приёмы руткитов для встраивания в ядро системы.
Вместо этого при помощи видеокарты информация о нажатиях собирается напрямую через DMA (прямой доступ к памяти).

Jellyfish – работающий под Linux руткит в стадии «proof of concept» (доказательство возможности работы), использующий технику LD_PRELOAD из Jynx (CPU), а также OpenCL API, разраотанный Khronos group (GPU).
В данный момент код работает с видеокартами AMD и NVIDIA.
Кроме этого AMDAPPSDK также поддерживает и Intel
.
И "догонка" из комментов.

Цитата:
http://www.alchemistowl.org/arrigo/P...ct-Maux-II.pdf

Project Maux Mk.II

(C) Arrigo Triulzi, 1 November 2008
Единственным действенным "противоядием" остаётся только собственная платформа, на собственных комплектующих (не для "частников", конечно).
__________________
do ut des
Ответить с цитированием
  #29  
Старый 25-05-2015, 14:40
Аватар для ?ELF
?ELF ?ELF вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: Челябинская область
Сообщений: 1,035
По умолчанию

Цитата:
http://www.cnews.ru/top/2015/05/25/n..._1_mlrd_595881

25.05.15, Пн, 13:08, Мск

Специалисты по информационной безопасности обнаружили связь ФСБ с хакерской группировкой Carbanak, похитившей из банков около $1 млрд.
Как выяснилось, их командно-контрольный сервер имеет тот же IP-адрес, что и веб-сервер ФСБ.

Веб-сайт Федеральной службы безопасности (ФСБ) России размещен на том же сервере, на котором находился командно-контрольный сервер злоумышленников, похитивших крупную сумму денег в рамках операции Carbanak.
Об этом в блоге антивирусной компании Trend Micro рассказал ее старший специалист по изучению угроз Максим Гончаров.
Интересная новостишка и чья-то лихая шутка
Trend Micro -- не та компания, чтобы распространять "жёлтые новости".

---
Только что проверил.
Так и есть, как в статье написано.
Цитата:
$ dig -x 213.24.76.23

; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> -x 213.24.76.23
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1505
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;23.76.24.213.in-addr.arpa. IN PTR

;; ANSWER SECTION:
23.76.24.213.in-addr.arpa. 86400 IN PTR www.fsb.ru.

;; Query time: 62 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Mon May 25 15:33:16 YEKT 2015
;; MSG SIZE rcvd: 67
__________________
do ut des
Ответить с цитированием
  #30  
Старый 23-06-2015, 12:14
Аватар для AlexKlm
AlexKlm AlexKlm вне форума
Пользователь
 
Регистрация: Jul 2014
Адрес: около Мурманска
Сообщений: 4,840
По умолчанию

Внёс в чёрный список hosts ещё несколько IP. Один из них:

127.0.0.1 ac.ajur.info # скрытое слежение о пользователе, сюда посылаются адреса просматриваемых в данный момент юзером сайтов, страниц

Попробуйте программу HttpLook как-нибудь на досуге, узнаете много интересного.
Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Текущее время: 02:02. Часовой пояс GMT +4.