anonymous@RULINUX.NET~# Last login: 2017-11-24 07:44:50
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск

Новости Security

Новости касающиеся вопросов безопастности

Ультразвуковая деанонимизация

subsection
Скрыть

Новый способ деанонимизации пользоватлеей Tor - путём встраивания в веб-странчки джаваскрипта, генерирующего ультразвуковой сигнал. И подслушивания этого сигнала на других соседних устройствах. (видимо с помощью тоже джаваскрипта, встроенного в баннеры).

Утверждается, что технология придумана для совершенно "мирных" целей - связать между собой устройства, принадлежащие одному пользователю, чтобы лучше таргетировать рекламу. Но оказалось что заодно это успешно давит попытки анонимизироваться онлайн.

В общем, режьте рекламу со страниц. И к микрофонам нужен аппаратный выключатель. Который включается только тогда, когда ты в микрофон говоришь, как у старых добрых раций. И о фильтрах, режущих высокие частоты стоит подумать.

>>> Подробнее

vilfred (*) (2017-01-12 02:36:10)

[9 сообщений] [Добавить комментарий]


Локальная root-уязвимость в ядре Linux

subsection
Скрыть

В ядре Linux обнаружена локальная уязвимость (CVE-2016-8655), позволяющая локальному непривилегированному пользователю выполнить код с правами root. В том числе, уязвимость может быть использована для выхода за пределы изолированных контейнеров, работающих с использованием пространств имён идентификаторов пользователей. Рабочий прототип эксплоита подготовлен для Ubuntu 14.04/16.04 c ядром Linux 4.4 и работает независимо от активации механизмов защиты SMEP/SMAP (Supervisor Mode Execution Prevention/Supervisor Mode Access Prevention).


Проблема вызвана состоянием гонки в коде net/packet/af_packet.c и присутствует, начиная с выпуска ядра Linux 3.2-rc1, представленного в августе 2011 года. Уязвимость затрагивает функцию packet_set_ring() и позволяет через манипуляции с кольцевым буфером TPACKET_V3 осуществить обращение по уже освобождённому указателю функции, что может быть эксплутаировано для запуска кода на уровне ядра Linux.


Для атаки пользователь должен иметь полномочия по созданию сокетов AF_PACKET, которые предоставляются при наличии прав CAP_NET_RAW. В Debian, Red Hat Enterprise Linux и, возможно, в некоторых других дистрибутивах (требуется уточнение информации) проблема проявляется только при предоставлении администратором прав CAP_NET_RAW и активации поддержки пространств имён идентификаторов пользователей (user namespaces, sysctl kernel.unprivileged_userns_clone=1), которая отключена по умолчанию. В Ubuntu и Fedora режим user namespaces включен по умолчанию, но для атаки по-прежнему требуется получение полномочий CAP_NET_RAW. На платформе Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.


Патч с исправлением уязвимости принят в состав ядра Linux 4.9-rc8. Обновления пакетов пока выпущены только для Ubuntu. Проблема остаётся неисправленной в Fedora, openSUSE, Debian, CentOS/RHEL 7, SUSE Linux Enerprise 12. Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.
Дополнительно можно отметить публикацию обновления для платформы Android, в котором устранено шесть критических уязвимостей, из которых три затрагивают ядро Linux, две драйвер NVIDIA и одна модуль для чипов Qualcomm). Уязвимости могут привести к выполнению кода с правами ядра. Эксплоиты для данных уязвимостей пока не сформированы, но информация о проблемах и код патчей уже доступны публично. Из проблем не отнесённых к категории критических, также отмечаются более 20 уязвимостей, которые дают возможность организовать выполнение кода с правами текущего процесса или позволяют поднять свои привилегии через манипуляции с различными подсистемами (kernel file system, HTC sound codec, MediaTek driver, Qualcomm codec, Qualcomm camera driver, NVIDIA libomx, libziparchive, Smart Lock, Telephony, Wi-Fi, Qualcomm sound driver и т.п.).


Также продолжается история с уязвимостями в GStreamer: чтобы показать, что упомянутые в первом отчёте проблемы не единичны, Крис Эванс (Chris Evans) выявил ещё шесть уязвимостей в декодировщиках форматов FLIC и vmnc, позволяющие организовать выполнение кода при открытии специально оформленных файлов. Также предложен пример создания нового работающего эксплоита для прошлой уязвимости, некорректно исправленной в Fedora Linux.


https://www.opennet.ru/opennews/art.shtml?num=45632

Dr.uid (*) (2016-12-07 13:29:21)

[5 сообщений] [Добавить комментарий]


Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu

subsection
Скрыть

Опубликованы подробности и эксплоит для уязвимости (CVE-2016-1247) в пакете с nginx, в конце октября устранённой в Debian и Ubuntu. Проблема специфична для deb-пакета nginx, не касается самого nginx, и может привести к выполнению кода с правами root при наличии у атакующего прав доступа "www-data" в системе.

Проблема вызвана некорректными настройками доступа к директории с логами web-сервера. Директория с логами /var/log/nginx имеет владельца "www-data", что позволяет пользователю с данными полномочиями произвольно манипулировать файлами в данной директории. При запуске или перезапуске nginx в лог добавляются записи от процесса с правами root. Периодически скрипт ротации логов меняет владельца файлов с логами на "www-data".

Локальный пользователь с правами www-data может создать в директории /var/log/nginx символическую ссылку вместо файла с логом "error.log". Таким образом, направив символическую ссылку "/var/log/nginx/error.log" на другой файл перед перезапуском nginx, можно изменить любой файл в системе. Перезапуск nginx по сигналу USR1 осуществляется скриптом ротации логов, который по умолчанию вызывается из cron.daily каждый день в 6:25.

Для организации запуска кода с правами root в эксплоите осуществляется создание символической ссылки на файл /etc/ld.so.preload (/var/log/nginx/error.log -> /etc/ld.so.preload), который после перезапуска nginx будет создан, а после ротации лога получит владельца www-data, что позволит прописать в нём произвольную библиотеку атакующего, после чего библиотека будет активироваться при выполнении любого исполняемого файла, например, можно запустить suid root приложение /usr/bin/sudo.

Демонстрационный видос на ютубе

Источник новости

Dr.uid (*) (2016-11-17 23:04:05)

[4 сообщения] [Добавить комментарий]


Выявлен новый rootkit для Linux, подменяющий функции libc

subsection
Скрыть

Компания Trend Micro выявила новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона, который прячется в темноте. Следы разработки Umbreon прослеживаются с начала 2015 года, а сейчас руткит появился в свободной продаже на черном рынке. Umbreon может быть установлен атакующими на Linux-системы на базе архитектур x86, x86_64 и ARM, в том числе на встраиваемые платформы, такие как платы Raspberry Pi и беспроводные маршрутизаторы.

Umbreon относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Руткит предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д. Всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. Следы вычищаются достаточно качественно, например, дополнительные настройки компоновщика вырезаются даже из вывода трассировки, т.е. не видны при использовании таких инструментов как strace. Так как Umbreon не в состоянии перехватить системный вызов ptrace(), чистка производится на этапе вывода результата, через перехват функций vprintf, __vfprintf_chk и fputs_unlocked.

В комплект также входит бэкдор Espereon, названный в честь покемона с большими ушами. Espereon обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap и скрывается под прикрытием Umbreon. Скрываются не только процессы и трафик, но и сетевая активность, благодаря перехвату функций got_packet и pcap_loop.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

статья оригинал



Цельнотянуто с opennet.ru

>>> Подробнее

Dr.uid (*) (2016-09-07 21:31:04)

[4 сообщения] [Добавить комментарий]


451 по Фаренгейту

subsection
Скрыть

Код для обозначения заблокированных по решению властей страниц официально включили в протокол HTTP. Об этом сообщил Марк Ноттингем, председатель Инженерного совета интернета (IETF), в официальном блоге.

В случае, если пользователи попытаются получить доступ к запрещенной по юридическим причинам странице, они увидят сообщение об ошибке под кодом 451. Набор цифр служит отсылкой к роману-антиутопии Рэя Брэдбери «451 градус по Фаренгейту», посвященному теме цензуры.

Ноттингем отметил, что предложение о вводе кода 451 для обозначения заблокированных сайтов находилось на рассмотрении совета с 2012 года. Изначально он был против этой идеи, считая, что ресурсам хватит уже существующего кода 403 («Доступ к ресурсу запрещен») и дополнительное разъяснение можно добавить в тексте или заголовке страницы с сообщением об ошибке. Однако затем в совете пришли к выводу, что отдельный код позволит оценить, насколько сильна цензура в той или иной стране. Кроме того, пользователям станет проще понять, почему запрошенный ресурс недоступен.

Инженерный совет интернета (IETF) — некоммерческая организация, занимающаяся развитием протоколов и архитектуры сети.

>>> Подробнее

vilfred (*) (2016-09-01 19:07:36)

[1 сообщение] [Добавить комментарий]


clamtk - небольшой фронтэнд для антивируса clamav

subsection
Скрыть

позволяет , например, проверять файлы или директории из командной строки

$ clamtk file_to_be_scanned

или

$ clamtk directory_to_be_scanned

или в графическом виде

[путь к изображению некорректен]

>>> Подробнее

vilfred (*) (2016-07-02 15:08:31)

[2 сообщения] [Добавить комментарий]


Уязвимость MouseJack позволяет получить контроль над системами, использующими беспроводные мыши

subsection
Скрыть

Исследователи из компании Bastille Networks разработали новый вид атаки, позволяющей на расстоянии до ста метров получить контроль над беспроводными мышами, работающими на частоте 2.4GHz, и симулировать ввод любых клавиатурных комбинаций. Атака получила название MouseJack и охватывает большинство моделей беспроводных мышей, использующих собственные проприетарные протоколы для обмена данными (атака не затрагивает устройства, работающие через Bluetooth). В том числе атаке подвержены беспроводные устройства ввода от компаний Logitech, HP, Dell, Gigabyte, Microsoft и Lenovo. Обновления с устранением проблем пока выпущены только компанией Logitech. Выпуск исправления для дешёвых моделей устройств под вопросом, так как у некоторых мышей не предусмотрен механизм обновления прошивки.

Суть атаки в недостаточной защите протокола, используемого при обмене данными между компьютером и мышью. Если для беспроводных клавиатур все данные шифруются для избежания перехвата пользовательского ввода, то специфичные для мышей команды передаются без использования шифрования и не требуют аутентификации, что позволяет атакующему находясь на расстоянии до 100 метров вклиниться в канал связи и путём генерации специально оформленных пакетов организовать выполнение произвольных действий мышью.

Главная проблема состоит в том, что в силу унификации протокола незашифрованные команды от мыши можно использовать не только для отправки данных о кликах, но и для передачи сведений о клавиатурных комбинациях, т.е. можно симулировать ввод с клавиатуры. Воспользовавшись данной возможностью, атакующий может получить полный контроль над системой пользователя. При создании экспериментального прототипа исследователям удалось добиться подстановки ввода со скоростью до 1000 слов в минуту. Для установки руткита на систему пользователя оказалось достаточно 10 секунд.
В зависимости от производителя и используемой модификации протокола разработано девять основных методов атаки, в числе которых отправка фиктивных HID-пакетов, подстановка нажатий клавиш, сопряжение дополнительной мыши или клавиатуры и симуляция фиктивной мыши или клавиатуры. В качестве передатчика могут выступать работающие на частоте 2.4 GHz недорогие программируемые беспроводные USB-адаптеры, основанные на чипах Nordic Semiconductor nRF24LU1+, которые также используются в подключаемом к компьютеру брелоке для большинства беспроводных мышей и клавиатур. Прошивка и набор утилит для совершения атаки опубликованы на GitHub. В состав инструментария включены утилита для обнаружения беспроводных клавиатур и мышей, сниффер для декодирования пакетов и определитель сетевого адреса.
[путь к изображению некорректен]



Цельнотянуто с опеннет.

>>> Подробнее

Dr.uid (*) (2016-02-24 22:59:10)

[2 сообщения] [Добавить комментарий]


Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника

subsection
Скрыть

Во входящем в состав ядра Linux модуле snd-usbmidi-lib выявлена критическая уязвимость (CVE-2016-2384), позволяющая организовать выполнение кода с правами ядра при наличии у атакующего физического доступа к системе.

Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство, передающее некорректный блок параметров USB, а также запустить в системе определённый код под непривилегированным пользователем. Без наличия возможности выполнения кода на локальной системе уязвимость позволяет только инициировать отказ в обслуживании (крах ядра).

Видео с демострацией эксплуатации уязвимости

Уязвимость затрагивает пакеты с ядром, поставляемые в большинстве дистрибутивов Linux, включая Red Hat Enterprise Linux 6/7, Ubuntu, Debian, Fedora и SUSE. Проблема уже исправлена в ядре 4.5-rc4. В качестве обходного метода защиты можно отключить сборку модуля usb-audio (CONFIG_SND_USB_AUDIO=n) или запретить его автоматическую загрузку ("echo blacklist snd-usb-audio >> /etc/modprobe.d/blacklist.conf"). Доступен рабочий прототип эксплоита, который успешно работает в Ubuntu 14.04 (3.19.0-49-generic), Linux Mint 17.3 (3.19.0-32-generic) и Fedora 22 (4.1.5-200.fe22.x86_64).



Комбикорм цельнотянут с opennet

Dr.uid (*) (2016-02-22 13:37:47)

[2 сообщения] [Добавить комментарий]


CVE-2015-7547: Glibc getaddrinfo() stack overflow

subsection
Скрыть

Всё плохо! Все версии glibc, начиная с 2.9, подвержены данной уязвимости. А поскольку это глибцэ, то и все программы, слинкованные с ней, также подвержены уязвимости, включая всякие питоны и ПХП.

Proof of concept: сервер на Си, клиент на питоне. Пинг-пинг и клиент падает.

Всё ещё хуже, т. к. о данной уязвимости было известно ещё с июля 2015.

Однако всё не так уж безрадостно. Патч доступен, обновления [в поддерживаемые версии дистрибутивов] приходят.

Для маргиналов, сидящих на старых версиях, есть способ оградить себя от злобных хакеров просто ограничив размер пакетов с ответами, которые принимает локальный DNS-резолвер. Также можно с помощью межсетевого экрана отклонять UDP DNS-пакеты размером больше 512 байт, отказаться от использования AF_UNSPEC, 'options edns0' в /etc/resolv.conf, а также 'RES_USE_EDNS0' или 'RES_USE_DNSSEC'.

>>> Подробнее

anonymous (*) (2016-02-17 13:41:38)

[4 сообщения] [Добавить комментарий]


Жертва скрытого сервиса Tor подала иск против разработчиков анонимной сети Tor

subsection
Скрыть

В окружной суд штата Техас подан иск против ресурса Pinkmeth и разработчиков проекта Tor. Иск подан от лица Шелби Конклин, которая пострадала от деятельности сайта Pinkmeth, работающего как скрытый сервис Tor и предоставляющего площадку для размещения фотографий обнажённых девушек, снятых и опубликованных без их ведома (например, на сайте размещаются приватные порноматериалы, полученные хакерами после взлома компьютеров пользователей). Размер иска составляет 1 миллион долларов.

Разработчики Tor обвиняются в создании технологии и предоставлении сервисов, способствующих анонимному распространению незаконной информации, без возможности отследить местоположение скрывающегося за скрытым сервисом сайта и идентифицировать его создателей. Утверждается, что Tor сознательно помогает сайтам в совершении правонарушений. В качестве одного из требований истцов к Tor упоминается прекращение дальнейшего предоставления любых сервисов ресурсу Pinkmeth, что изначально невозможно из-за принципов работы анонимной сети.

По мнению юристов из правозащитной организации Electronic Frontier Foundation (EFF) обвинение беспочвенно. В частности, претензии к разработчикам Tor должны быть сняты на основании 230 статьи закона Communications Decency Act, в соответствии с которой провайдеры и пользователи интерактивных компьютерных систем не могут рассматриваться как распространители информации, предоставляемой другим провайдером контента. С тем же успехом иск мог быть подан против разработчиков http-сервера или создателей Web, которые в не меньшей степени "способствуют" работе незаконных сайтов.

Технология скрытых сервисов Tor (Hidden Services) позволяет создавать анонимные серверные приложения, принимающие соединения по TCP, но не имеющие конкретного адреса и месторасположения (изначальный адрес сервера скрывается по аналогии с тем, как скрываются IP-адреса пользвоателей сети Tor). Подобные сайты адресуются через специальный анонимный домен ".onion", например "http://iddmagszne4qt86tg.onion/". Одной из областей применения таких сервисов является анонимная публикация контента в Web без раскрытия источника его распространения.

>>> Подробнее

Bod (*) (2014-07-10 13:10:18)

[4 сообщения] [Добавить комментарий]


1 2 3 4 5 6   




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!