Опубликована подробная информация о уязвимостях WPA2

Комплекс уязвимостей в WAP2 получил название KRACK (аббревиатура от Key Reinstallation Attacks) и был обнаружен сводной группой исследователей, в которую вошли: Мэти Ванхоф (Mathy Vanhoef) и Фрэнк Писсенс (Frank Piessens) из Левенского католического университета, Малихех Ширванян (Maliheh Shirvanian) и Нитеш Саксена (Nitesh Saxena) из Алабамского университета в Бирмингеме, Ионг Ли (Yong Li) из компании Huawei Technologies, а также представитель Рурского университета Свен Шеге (Sven Schäge).

wi-fi-router

Исследователи сдержали свое обещание, и подробная информация о проблемах WPA2 уже появилась на сайте krackattacks.com, а также специалисты начали наполнять тематический репозиторий на GitHub. Кроме того, эксперты опубликовали свою научно-исследовательскую работу (PDF), которая будет представлена на конференциях Computer and Communications Security (CCS) и Black Hat Europe.

Как выяснилось, предупреждение, выпущенное ранее US-CERT, которое цитировали СМИ, оказалось верным. Исследователи пишут, что краеугольным камнем их атаки действительно является четырехэлементный хендшейк WPA2. Данный хендшейк осуществляется тогда, когда клиент хочет подключиться к защищенной сети Wi-Fi. Он используется для подтверждения того, что обе стороны (клиент и точка доступа) обладают корректными учетными данными. В то же время хендшейк используется для согласования свежего ключа шифрования, который впоследствии будет применяться для защиты трафика. В настоящее время практически все защищенные Wi-Fi сети используют именно такой, четырехэлементный хендшейк. Что делает их все уязвимыми перед какой-либо вариацией атак KRACK.

handshake

«К примеру, атака работает против частных и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все наши атаки, направленные на WPA2, используют новаторскую технику реинсталляции ключей (key reinstallation)», — пишут авторы KRACK.

По сути, KRACK позволяет злоумышленнику осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. К тому же если сеть настроена на использование WPA-TKIP или GCMP, злоумышленник сможет не только прослушивать трафик WPA2, но и осуществлять инжекты пакетов в данные жертвы.

Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. То есть в опасности абсолютно все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устройства.

Единственной хорошей новостью на сегодня является тот факт, что атакующему придется находиться к зоне действия целевой Wi-Fi сети, то есть атаку не получится осуществить удаленно. Видеоролик ниже демонстрирует KRACK в действии и описывает ее работу.

Сообщается, что от KRACK в некоторых случаях может защитить использование HTTPS, однако далеко не всегда. Дело в том, что сам HTTPS нельзя назвать абсолютно безопасным (к примеру, существуют методики даунгрейда соединения), хотя он и станет дополнительным слоем шифрования.

«Любое устройство, использующее Wi-Fi, скорее всего, уязвимо. К счастью, различные имплементации могут быть пропатчены в режиме обратной совместимости», — рассказывает Мэти Ванхоф.

Список уязвимых продуктов и доступных обновлений уже формируется на специальной странице US-CERT, он будет активно обновляться в ближайшие дни. Эксперты прогнозируют, что мобильные устройства и настольные компьютеры получат патчи в самом ближайшем будущем, а вот миллионы IoT-устройств теперь ждет незавидная судьба, так как все они в одночасье стали уязвимы, и многие никогда не получат обновлений.

    Уязвимости, вошедшие в состав KRACK:

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Мэти Ванхоф рассказал, что ему удалось обнаружить комплекс проблем, из которых формируется KRACK, еще в 2016 году, но он более года совершенствовал свою атаку. Исследователь сообщил об уязвимостях некоторым производителям и представителям US-CERT еще в июле 2017 года, а в августе поделился информацией о проблемах с широким кругом вендоров.

Что даст Украине новый закон о кибербезопасности?

Верховная Рада на заседании в четверг, 5 октября, приняла в целом закон об основных принципах кибербезопасности Украины.

Процесс от законопроекта до принятия закона занял более двух лет. Впервые проект закона о кибербезопасности был зарегистрирован группой депутатов из разных фракций в июне 2015 года. В начале 2016 года в связи с утверждением президентом «Стратегии кибербезопасности Украины» документ потерял актуальность и был отозван. Позднее был зарегистрирован уже новый существенно доработанный проект. Первое чтение документ прошел еще в сентябре прошлого года и только сейчас наконец был окончательно принят парламентом. За принятие законопроекта проголосовало 257 народных депутатов.

Появление этого закона именно сейчас актуально как никогда. Так как одним из мировых трендов является тенденция к значительному росту количества кибератак, которые становятся все более изощренными и малопрогнозируемыми. Особенной целью киберпреступников являются критически важные объекты инфраструктуры страны. Украина не стала здесь исключением. В июне этого года произошла крупнейшая кибератака в истории страны, заблокировавшая работу тысяч украинских компаний и государственных органов.

cyber-security

«Насколько важен вопрос кибербезопасности, я думаю, сейчас понимает каждый из нас. Мы ведем войну с врагом, с агрессором — Россией. Это гибридная война, одной из частей которой являются кибератаки», — отметил глава профильного комитета ВР Александр Данченко, представляя законопроект ко второму чтению.

Финальный текст закона пока не опубликован, однако по данным народного депутата Ольги Черваковой, парламент не поддержал поправку «о технологической информации», против которой выступали медийные общественные организации. «Эта поправка, которая устанавливает тотальную диктатуру и фактически отрицает доступ граждан к любой информации, которая составляет общественный интерес, информации о жизни, здоровье людей, об опасности, экологических вопросах», — заявила депутат в ходе рассмотрения законопроекта в зале Рады. Читать далее «Что даст Украине новый закон о кибербезопасности?»

Киберполиция будет предупреждать о вирусах посредством СМС

Кібер-поліція
Киберполиция будет использовать систему экстренного уведомления о киберугрозах. С ее помощью определенный перечень лиц будет немедленно уведомляться о вирусах и зараженных ПО, о которых стало известно правоохранителям.
В случае возникновения чрезвычайной ситуации заранее определенной группе получателей будут приходить экстренные сообщения. Кроме того, включенным в перечень структурам киберполиция будет предоставлять рекомендации о минимизации последствий кибератак.
Изначально система экстренного уведомления будет использоваться для обеспечения безопасности государственных органов и объектов критической инфраструктуры, но в дальнейшем к ней смогут подключиться все желающие. Для этого необходимо будет пройти верификацию — сообщить определенную информацию о предприятии для внесения его в список оповещения.
Технические условия для запуска системы были предоставлены киберполиции мобильным оператором «Lifecell».
Меморандум о сотрудничестве киберполиции и мобильного оператора «Lifecell» подписан 26 сентября 2017 года.

Источник

М.Е.Док может снова заразить компьютеры вирусом

Киберполиция выступила против рискованного обновления программы M.E.Doc

Руководство скандальной компании, рискуя сохранностью информации своих клиентов, выпустило обновление.

12 июля компания M.E.Doc передала пользователям обновление 10.01.190, о чем уведомила всех на своем сайте. При этом компания-разработчик не смогла получить от киберполиции, СБУ или других профильных служб никакого подтверждения безопасности данного обновления.


Читать далее «М.Е.Док может снова заразить компьютеры вирусом»

Кибервойна

После атаки троянского вируса-вымогателя Petya.A (NotPetya, Nyetya) прошли 2 недели, и начали выясняться новые подробности.

Во вторник, 27 июня, накануне Дня Конституции, Украину захлестнула волна заражений трояном-вымогателем, который вначале назвали Petya — потому что часть кода была заимствована из известного шифровщика Petya/Misha. Потом, разобравшись, что троян ведёт себя по-другому, переименовали в NotPetya. Принцип действия подобных программ прост: попадая в ваш компьютер, они шифруют все файлы стойким шифром и затем просят вас перевести определённую сумму в биткоинах на счёт вымогателей, и тогда в обмен вы получаете ключ для расшифровки. В оригинальном трояне Petya в шифровании была допущена ошибка — и данные можно было получить назад без выкупа. В новом варианте трояна подобных ошибок нет. Для распространения использовались не только фишинговые письма, но и целый ряд уязвимостей.

Несколько месяцев назад группа хакеров ShadowBrokers заявила о том, что им удалось взломать Агентство национальной безопасности США и украсть у него уязвимости «нулевого дня». ZeroDays — один из самых мощных инструментов в хакерском арсенале. Это уязвимость, которая позволяет хакеру проникнуть в компьютер жертвы и о которой ещё не знает никто. ShadowBrokers пытались продать кибероружие АНБ, но публика встретила их заявления со скептицизмом. После этого часть материалов была опубликована в свободном доступе, в том числе уязвимости для Windows с кодовыми названиями EternalBlue и EternalRomance. Незадолго до публикации, предвидя, сколько бед могут натворить эти программы, АНБ пошло на беспрецедентный шаг и сообщило Microsoft о найденных уязвимостях, которые No Such Agency («Нет Такого Агентства» — шутливое название АНБ, само существование которого долго отрицалось) приберегала для террористов и прочих заклятых друзей Америки. Microsoft выпустил критическое обновление MS17-010, в том числе для уже неподдерживаемой Windows XP, но создание новых разрушительных вирусов, основанных на утечке, уже было не остановить. Читать далее «Кибервойна»

Новый эксплоит кит Stegano

Я давно интересуюсь стеганографией. Если кто не знает, что это такое, то можно коротко сказать о ней так: это способы передачи информации там, где ее никто даже искать не будет. Есть огромное количество разнообразнейших способов такой передачи информации, но в цифровом мире чаще всего используются медиафайлы.
Если хотите узнать о стеганографии побольше, то можно к примеру почитать эту статью

steganografia

И вот недавно прочитал, что исследователи компании ESET сообщают, что как минимум с октября 2016 года через вредоносные рекламные кампании на различных новостных сайтах распространяется новый эксплоит кит Stegano. Он атакует пользователей Internet Explorer, используя уязвимости во Flash Player, и если атака удалась, доставляет на машину жертвы дополнительную малварь.

Набор эксплоитов получил название Stegano из-за техники, которую он использует. Вредоносный код злоумышленники прячут в изображениях, то есть применяют стеганографию. В детальном техническом отчете, исследователи ESET объясняют, что атакующие изменяют в PNG-файлах значение transparency (прозрачность) для нескольких пикселей, а затем используют эти изображения как рекламные баннеры, для которых покупают рекламные места на посещаемых сайтах. Читать далее «Новый эксплоит кит Stegano»

Yahoo! следит за пользователями

Регистрируя ящик электронной почты, мы надеемся и рассчитываем на то, что он останется только нашим, и никто посторонний не сможет прочитать личную и деловую переписку. Для этого устанавливаем сложный пароль, который трудно подобрать и всячески остерегаемся хакеров. Но все оказывается далеко не так сложно, как мы себе это представляем. Часто случается так, что наши ящики взламывают те, кто должен защищать их от противоправных действий.

yahoo_watches_you

Речь идет о тех сервисах, которые предоставляют возможности регистрации почтовых ящиков. Именно их сотрудники имеют все возможности для проникновения в чужие тайны. И это далеко не бред. Недавно стало известно, что один из крупнейших поисковиков Yahoo следил за перепиской тех, кто имел аккаунт на этом сервисе.

Информация вскрылась во время бесед с бывшими работниками интернет-компании, уволенным по различным причинам. Все они оставили за собой анонимность и поведали детали. По их словам, слежка осуществлялась при помощи специально созданного ПО, разработанного по заказу американских спецслужб. Соответственно, вся информация «сливалась» в ФБР и АНБ. При этом отмечалось, что спецслужбы интересовались, прежде всего, личными данными клиентов Yahoo. Под «колпаком» у силовых ведомств были сотни миллионов аккаунтов ничего не подозревавших пользователей.

Комментарии по поводу скандала с Yahoo

Одним из первых на новость отреагировал беглый сотрудник АНБ Эдвард Сноуден. Он поведал широким массам, что полностью согласен с высказываниями экс-сотрудников поисковика. При этом он заметил, что администрация грубо нарушает права своих клиентов. Вторым его действием был призыв к удалению своих учетных записей теми пользователями, которые все еще пользуются им.

Сам виновник скандала, поисковик Yahoo, оказался немногословным, объявив, что строго соблюдает законность в своей деятельности.

DDoS атака на Twitter, PayPal, Github и др. была совершена с айпи-камер

В пятницу на территории США была зафиксирована крупнейшая DDoS атака, затронувшая Twitter, Etsy, Github, Soundcloud, Spotify, PayPal и многие другие сайты.

Трафик, осложняющий доступ к серверам, или полностью блокирующий их, был вызван работой вируса Mirai, использовавшего в качестве бот-сетей не обычные ПК, а IoT устройства, такие как камеры слежения и цифровые видеорекордеры.

cameras

Китайская компания Hangzhou Xiongmai Technology подтвердила, что Mirai смог получить контроль как минимум над 500 тыс ее устройств, и генерировал с их помощью трафик, мешающий работе сервисов на территории США.

Согласно данным компании Dyn, также подвергшейся атаке, были зафиксированы десятки миллионов устройств под управлением Mirai, участвующими в DDoS.

Xiongmai советует всем владельцам своих устройств, выпущенных до сентября 2015 года, обновить прошивку, поменять стандартный пароль, либо отключить устройство от Интернета.

Обновление MS16-072 ломает Group Policy. Что с этим делать?

Ничего не предвещало беды 14 июня: бюллетень обновлений содержал лишь сухой список важных обновлений безопасности и стандартные рекомендации по их немедленной установке. Однако, после применения обновлений, системные администраторы по всему миру столкнулись со странным поведением политик безопасности. Наиболее распространённый симптом: начали «отваливаться» сетевые принтеры и папки.

Те, кто следовал лучшим практикам распространения обновлений, заметили, что такое поведение наблюдалось только в тестовой группе, обновления для которой были приняты до распространения их по всей организации.

При попытке разобраться в ситуации, результат GPRESULT поверг в некоторое замешательство: некоторые политики безопасности уровня пользователя (user scope) не применялись, выдавая весьма «информативное» сообщение: «Filtering: Not Applied (Unknown Reason)». Некоторые новые политики просто не появлялись в выводе GPRESULT.

скрин ошибки
Читать далее «Обновление MS16-072 ломает Group Policy. Что с этим делать?»

Что именно крадет у пользователей Windows 10?

Выпуск Windows 10 уже наделал больше шума, чем все предыдущие релизы от Microsoft вместе взятые. И причина вполне понятна — в новой операционной системе найдены беспрецедентные средства контроля за пользователем.

Кибер(НЕ)безопасность

Некоторые эксперты уверены, что наступает новая эра в IT, когда свободный пользователь исчезнет как класс. Каждому человеку будет присвоен инвентаризационный номер, на каждого будет составлено досье на основании данных из его личной переписки, перемещений, SMS и т.д.

тотальный контроль

Хотя картина в целом уже понятна, результаты первых попыток провести более-менее анализ были опубликованы только на днях. Исследователи вооружились сетевыми мониторами, средствами отладки и иными профессиональными инструментами и заглянули внутрь Windows 10, чтобы понять: что именно Windows 10 крадет с компьютера пользователя. Читать далее «Что именно крадет у пользователей Windows 10?»