Sicherheitswoche 01: Javascript-Ransomware, 100.000 US-Dollar pro Fehler in Adobe Flash, verschlüsselte Zukunft

    Ein wichtiges Ereignis Ende Dezember war der Chaos Communication Congress. Materialien davon können durch das Schlüsselwort 32c3 gefunden werden, wobei 32 die Seriennummer der Veranstaltung ist, beginnend im Jahr 1984. Bei der Veranstaltung in Hamburg gab es viele interessante Studien. Zum Beispiel sprachen die Experten Felix Domke und Daniel Lange ausführlich über die technische Seite des Dieseltors, einschließlich der Merkmale der modernen Kraftfahrzeugsteuerungssysteme. Und hierSie können sich eine monumentale 110-seitige Präsentation über die Verwundbarkeit von Eisenbahnsystemen ansehen und feststellen, dass die IT in Zügen häufig, überall und auf unterschiedliche Weise und häufig unter Verwendung von Standardsoftware (Windows XP) oder Standard-Funkprotokollen (GSM) eingesetzt wird. deren Sicherheitsmängel sind weithin bekannt und werden aktiv ausgenutzt (zum Glück bisher an anderen Orten).

    Und hier sind die Neuigkeiten(Präsentation und Link zu Forschungsarbeiten im Inneren), dass einzigartige Merkmale des Programmierstils auch in kompilierten Code eindringen. Obwohl dieses Thema ziemlich hochspezialisiert ist, sehe ich etwas mehr darin: Vielleicht wird das Bild rechts in naher Zukunft endlich an Relevanz verlieren. Nicht weil jeder jedem folgt, sondern aufgrund von Verhaltensanalysen kann der Benutzer anhand der Art und Weise, wie er den Code schreibt, identifiziert werden, wie er mit der Site, der Anwendung oder etwas anderem wie einem Programmierer interagiert. Apple hat übrigens erst gestern ein Startup erworben, das sich auf die Analyse menschlicher Emotionen spezialisiert hat. Generell beginnt das Jahr 2016 interessant. Und wir beobachten weiter. Frühere Folgen finden Sie hier .

    JavaScript Ransomware mit Affiliate-Programm, potenziellen Multi-Plattform-, Präferenz- und Poetin-
    News . Forschung .

    Diese Nachricht gehört eindeutig nicht zur Kategorie „Wir werden alle sterben“: Nun, es ist eine neue Ransomware erschienen, nun, eine kleine, nicht standardmäßige Verpackung. Das Partnerprogramm ist auch keine Neuigkeit. Der einzig interessante Punkt ist die Verwendung von JavaScript und der NW.js-Umgebung, mit der Sie Code nicht als Sandbox in einem Browser, sondern mit Systemrechten ausführen können. Ein Nebeneffekt dieses Ansatzes ist das große Volumen des Trojaners - 22 Megabyte -, da er den Chromium-Browser und andere rechtmäßige Dienstprogramme enthält. Emsisoft-Forscher haben den Code eingehend untersucht, die Angriffsvektoren jedoch nie erwähnt. Nach der derzeitigen Praxis der Arbeitsteilung zwischen Cyberkriminellen können sich jedoch völlig unterschiedliche Menschen an „Infektionen“ beteiligen.



    Ein solcher nicht standardmäßiger Ansatz kann mit dem Herunterladen und Installieren von Microsoft Office verglichen werden, um eine Sicherheitsanfälligkeit auf eine solche Weise auszunutzen: Im Allgemeinen ist dies nicht der effektivste Weg. Interessant sind jedoch die Funktionen des von den Autoren des Trojaners organisierten Partnerprogramms. Für 25% des Erlöses (Bitcoin-Wallet-Daten sind das Einzige, was für die Registrierung erforderlich ist), wird denjenigen, die sich für den rutschigen Pfad der Cyber-Erpressung entscheiden, ein angepasster Trojaner zur Verfügung gestellt, mit dem Sie sogar die Höhe des Lösegelds selbst festlegen können. Die Ergebnisse werden in der Konsole nachverfolgt (natürlich über Tor). Kurz gesagt, so ein interessantes Beispiel für das c2c-Geschäft ist von Kriminalität zu Kriminalität. Mehr dazu (am Beispiel Brasiliens) - hier .



    Und hier ist das, was der Benutzer als Ergebnis sieht. Dann ist alles normal: eine Rückkaufanfrage, die Erhöhung der Raten nach einer bestimmten Zeit, die Möglichkeit, eine Datei pro Probe zu entschlüsseln, und dieser Vorgang wird automatisiert. Normalerweise funktioniert das Entschlüsseln von Dateien aufgrund von Sicherheitslücken im Algorithmus nicht - jedes einzelne Dokument wird mit einem eigenen Schlüssel verschlüsselt. Nur die Beschlagnahme des Verwaltungsservers durch Strafverfolgungsbehörden mit anschließender Analyse des Inhalts hilft, wie es bei CoinVault der Fall ist .

    Zerodium zahlt bis zu 100.000 US-Dollar für einen Exploit von Adobe Flash
    News .

    Wir haben bereits über Zerodium geschrieben - letztes Jahr gab es bekannt3 Millionen US-Dollar Rekordprämie für effektiven Exploit für iOS. Das Schlüsselwort hier ist effektiv, das heißt, Sie können das Gerät aus der Ferne hacken, ohne den Eigentümer durch Social-Engineering-Methoden einzubeziehen. Im November gab das Unternehmen bekannt, dass ein Gewinner (einer der erwarteten drei) gefunden wurde, aber was genau gefunden wurde - das werden wir aufgrund der Besonderheiten dieses Brokers nicht herausfinden. Das Unternehmen nutzt die gefundenen Lücken für den Weiterverkauf an staatliche Strukturen, was von allen Seiten zweifelhaft ist, um die entsprechende Art der operativen Tätigkeit durchzuführen.

    Der Wunsch von Zerodium, sich von einer angemessenen Menge zu trennen, wird durch Änderungen im Adobe Flash-Code verursacht. Am 21. Dezember kündigte Adobe die Einführung der Heap-Isolation-Technologie an, die wiederum einige nachträgliche Angriffe unmöglich machte. Mit anderen Worten, Flash (es sei denn, Sie haben es natürlich aktualisiert) ist spürbar sicherer geworden. Interessante Hintergrund dieser Innovation - Adobe auf seinem Blog sagt die Einführung neuer Maßnahmen wegen der Interaktion und den Austausch von Erfahrungen mit Microsoft und Google Project Zero (zuvor, diese Gruppe präsentierte Empfehlungen , die Sicherheit von Flash zur Verbesserung). Ein interessantes und positives Beispiel für das Zusammenspiel von Experten aus verschiedenen Unternehmen.



    Und anscheinend so effektiv, dass die "dunkle Seite" sich entschied, auszuscheiden. Im vergangenen Sommer hat Adobe übrigens ein eigenes Bug-Bounty-Programm angekündigt, das jedoch keine Barzahlungen vorsieht. Ja, und die typischen Zahlungen, die Anbieter Forschern versprechen, erreichen fast nie die von Zerodium und ähnlichen Unternehmen angekündigten sechsstelligen Beträge. Der Unterschied zwischen ihnen liegt in der Tatsache, dass der Prozess der Suche und Veröffentlichung von Fehlern auf der guten Seite normalerweise offen und transparent ist, aber was, wie und wem Zerodium zahlt, ist nicht bekannt. Die tatsächlichen Beträge können durchaus niedriger sein. Dies bedeutet, dass die Einführung von finanziellem Interesse am Suchprozess nach Fehlern nichts ändert - der Forscher muss sich immer noch sozusagen für ein ethisches und kriminelles Vorgehen entscheiden.

    Vater (und Mutter)Die moderne Kryptographie hat ein völlig anonymes PrivaTegrity-System angekündigt. Mit eingebauter Hintertür.
    Die Nachrichten .

    David Chaum ist ein bekannter Theoretiker in engen Kreisen auf dem Gebiet der Datenverschlüsselung, Netzwerkanonymität und elektronischen Währungen. Als bekanntes und angesehenes Mitglied der Community entwickelte er das Thema des Schutzes von Informationen im Netzwerk, als das Netzwerk selbst noch nicht existierte - eines seiner Hauptwerke zur Wahrung der Anonymität in der Postkorrespondenz wurde 1981 veröffentlicht (PDF). Am 6. Januar erschien im Wired-Magazin ein Artikel über Chaums neue Entwicklung, das PrivaTegrity-System. Das System ermöglicht es Ihnen, vollständig anonym, effizienter und sicherer im Netzwerk zu kommunizieren als in vorhandenen Tor- und I2P-Netzwerken. Technische Details wurden nicht bekannt gegeben (es gibt auch keine auf der Website.Chauma), aber für die hitzige Debatte in der Gemeinde war und war dies nicht notwendig.

    Ein Merkmal des Systems ist ein Algorithmus, mit dem einer der Teilnehmer anonymisiert werden kann. Laut Chaum ist es wirklich unsicher, die Kontrolle über die Kommunikation einer Struktur oder eines Staates zu übertragen, und die Aufteilung der Verantwortung auf neun „Administratoren“ kann das Problem lösen. Dieser aus neun Mitgliedern bestehende Rat kann einen potenziellen Angreifer nur dann an die Öffentlichkeit bringen, wenn eine einstimmige Entscheidung getroffen wird (es ist wahrscheinlich, dass die Mitglieder des Rates nur im Falle einer expliziten Straftat zustimmen können). Wie dem auch sei, dies bedeutet, dass in einem supersicheren (angenommenen) System standardmäßig eine Hintertür vorhanden ist. Bei diesem umstrittenen Teil des Projekts stapften die Beobachter nicht langsam. Zum Beispiel so :



    Oder so :



    Die Initiative von Chaum ist daher ein Versuch, einen Kompromiss zwischen dem Wunsch normaler Nutzer, anonym zu bleiben, und dem Wunsch der Strafverfolgungsbehörden (und der Gesellschaft insgesamt) zu finden, Kriminellen, Terroristen und anderen freigegebenen Elementen keinen unantastbaren Kommunikationskanal zu bieten. Meinung der Gegner: Jede anfänglich inhärente Schwachstelle des Algorithmus wird früher oder später ausgenutzt. Sie können den Zugriff nicht alleine gewähren und hoffen, dass es niemand anderes bekommt. Chauma beschuldigte sogar staatliche Strukturen der politischen Nachsicht (siehe das Zitat von Christopher Sogoyan oben) - zu einer Zeit, in der die meisten Kryptografen versuchen, dem Staat zu beweisen, dass Hintertüren schlecht sind, gibt eine der theoretischen Säulen dem Staat ein starkes Argument "für".



    Es wäre interessant, sich die technischen Details des Systems anzuschauen (falls sie nach solch einem „herzlichen Empfang“ jemals enthüllt werden). Bisher ist auf der Chaum-Website ein schönes Bild zu sehen: Rund 25 Experten , die anonym bleiben wollten, haben das Konzept angeblich gebilligt. In der Kryptographie findet nach wie vor eine interessante Metamorphose statt, die als rein technisches Thema erhebliches politisches Gewicht erlangt. Und in Zukunft wird die Sicherheit unserer Daten vielleicht nicht mehr von den Technologien bestimmt (mit denen und ohne Chaum ist alles in Ordnung), sondern davon, wie sich der Staat, die Gesellschaft, kurz gesagt alle Interessierten, untereinander einig sein werden.

    Was noch passiert ist:
    Interessante Verwundbarkeitin einem sicheren Blackphone-Smartphone - Sie können über das Kommunikationsmodul auf Daten zugreifen, das, wie Sie wissen, die höchste Priorität in jedem Telefon hat, den Staat im Staat darstellt und enthält, was zum Teufel weiß, was.

    Die Staaten fanden eine Sicherheitslücke im Comcast-Hausalarmsystem. Das Signal der Penetrationssensoren (2,4 GHz) war sehr einfach zu übertönen - mit einem Störsender oder (natürlich!) Folienkappen, und das System reagiert auf solche Aktionen langsam oder in keiner Weise. Zitat eines Comcast-Vertreters: „Unser Alarmsystem verwendet dieselbe fortschrittliche Industriestandardtechnologie wie andere Anbieter ähnlicher Lösungen.“ Ja

    In den Niederlanden sind Hintertüren in Verschlüsselungssystemen nicht zugelassen . Und nicht irgendjemand, sondern der Justizminister!

    Cisco hat einen Fehler im Cisco XMPP-Client gefunden, der für MiTM-Angriffe verwendet werden kann. Grund: Die Möglichkeit, den Client zu zwingen, Daten im Klartext und nicht als Teil einer durch das TLS-Protokoll geschützten Sitzung zu übertragen.

    Antiquitäten:
    "Anthrax" ist

    resident, infiziert .COM- und EXE-Dateien, MBR der Festplatte. Dateien sind standardmäßig betroffen. MBR wird infiziert, wenn die infizierte Datei gestartet wird. Die Virenfortsetzung und der MBR-Sektor werden ab der Adresse 0/0/2 (Track / Kopf / Sektor) gespeichert.

    Der Speicher wird beim Booten von einer infizierten Festplatte infiziert. Dann infiziert der Virus nur die Dateien. Es hakt int21h, enthält die Zeilen "Anthrax", "Damage, Inc".

    Zitat aus dem Buch "Computerviren unter MS-DOS" von Eugene Kaspersky. 1992 Jahr. Seite 105.

    Haftungsausschluss: Diese Spalte gibt nur die private Meinung des Autors wieder. Es kann mit der Position von Kaspersky Lab übereinstimmen, oder es kann nicht übereinstimmen. So viel Glück.

    Jetzt auch beliebt: