Основан 26 Июля 2013 года
freehacks.ru fhacksnplmzxaaoo.onion
/images/banners/468x60_free.png

Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 10 из 11
  1. #1
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,711
    Репутация
    222 + / -
    Безопасность

    В OpenSSL 1.0.1 обнаружена критическая уязвимость CVE-2014-0160

    [Только зарегистрированные могут видеть это. ]

    В последнем релизе популярной свободной реализации протоколов SSL/TLS — OpenSSL — обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации.


    Уязвимость CVE-2014-0160, о которой стало официально известно 7 апреля, затрагивает последние релизы OpenSSL: стабильную 1.0.1 и бету 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux и других UNIX-подобных систем (например, Ubuntu 12.04 и 13.10, Fedora 18, CentOS 6.5, FreeBSD 8.4). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.


    Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов и других систем, использующих OpenSSL, уже выпустили соответствующие обновления.
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  2. Пользователь сказал cпасибо:
    Bandit
  3. #2
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,186
    Репутация
    332 + / -
    Программист

    OpenSSL писали обезьяны

    Специалисты по информационной безопасности продолжают обсуждать ситуацию с уязвимостью OpenSSL 1.0.1 ([Только зарегистрированные могут видеть это. ]): из-за бага в расширении Heartbeat для TLS любой человек в мире мог просмотреть содержимое оперативной памяти примерно 66% всех серверов в интернете, фрагментами по 64 КБ. Как минимум десятая часть этих серверов уязвима и сейчас, спустя 36 часов после выхода патча для OpenSSL 1.0.1.

    Вчера в публичной доступе появился эксплойт для простого считывания памяти удаленного сервера (вот одна из его модифицированных версийс более удобной выдачей результата сканирования: [Только зарегистрированные могут видеть это. ]) и инструменты для поиска уязвимых серверов.

    Сегодня вышел специализированный скрипт для сканера Nmap ([Только зарегистрированные могут видеть это. ]) и модуль для Metasploit ([Только зарегистрированные могут видеть это. ]). Появились даже забавные «ханипоты», которые в ответ на попытку сканирования выдают картинки в псевдографике ([Только зарегистрированные могут видеть это. ]).

    Что характерно, вышеупомянутая уязвимость — вовсе не единственный баг в OpenSSL. Специалисты давно говорили о крайне низком качестве кода этой библиотеки. Еще в 2009 году вышла статья «OpenSSL писали обезьяны» ([Только зарегистрированные могут видеть это. ]), а в твиттер-аккаунте @OpenSSLFact каждый день публикуют примеры ужасного кода из OpenSSL.



    ВК][
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  4. #3
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    350
    Репутация
    149 + / -
    Безопасность
    Угу, самая горячая бага 2014 года. Некоторые популярные сайты типа wunderlist были прикрыты.

  5. #4
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,711
    Репутация
    222 + / -
    Безопасность
    Heartbleed Bug теперь распознается в Acunetix!





    Ссылки


    • [Только зарегистрированные могут видеть это. ]
    • [Только зарегистрированные могут видеть это. ]

    [свернуть]
    Последний раз редактировалось admin; 12.04.2014 в 06:37.
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  6. #5
    Аватар для virtuoso

    Статус
    Offline
    Регистрация
    13.09.2013
    Сообщений
    90
    Репутация
    37 + / -
    Хакинг
    Сканер это хорошо, exploit есть в паблике?

  7. #6
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,186
    Репутация
    332 + / -
    Программист
    подожду торрентов))
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  8. #7
    Аватар для virtuoso

    Статус
    Offline
    Регистрация
    13.09.2013
    Сообщений
    90
    Репутация
    37 + / -
    Хакинг
    Цитата Сообщение от sata-ata Посмотреть сообщение
    подожду торрентов))
    Не совсем уловил о чём ты.

  9. #8
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,186
    Репутация
    332 + / -
    Программист
    подожду когда данное обновление можно будет скачать через торрент
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  10. #9
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,711
    Репутация
    222 + / -
    Безопасность
    Цитата Сообщение от virtuoso Посмотреть сообщение
    Сканер это хорошо, exploit есть в паблике?
    Да, уже давно: [Только зарегистрированные могут видеть это. ]
    Даже есть онлайн сканер: [Только зарегистрированные могут видеть это. ]
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  11. #10
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,186
    Репутация
    332 + / -
    Программист
    мой наглейший [Только зарегистрированные могут видеть это. ]: (не является рекламой)


    The Heartbleed Bug

    «Heartbleed Bug»- в терминах информационной безопасности - означает разновидность компьютерного вируса или критическую уязвимость в OpenSSL, которая позволяет получить доступ к памяти популярных сервисов. Через эту брешь в защите программного обеспечения становится возможной утечка конфиденциальных данных.
    Этот недостаток допускает кражу информации, которая в нормальных условиях защищена алгоритмами SSL/TLS шифрования, используемыми для обеспечения безопасности в Интернете. Алгоритм SSL/TLS обеспечивает безопасность связи и конфиденциальность в Интернете для приложений, таких как веб, электронная почта, обмен мгновенными сообщениями.
    «Heartbleed bug» позволяет любому пользователю Интернета прочитать информацию из памяти системы, находящейся под защитой уязвимых версий программного обеспечения OpenSSL. Это подвергает риску секретные ключи, используемые для выявления поставщиков услуг и для шифрования трафика, имена и пароли пользователей и содержание переписки. Этой лазейкой пользуются злоумышленники, чтобы перехватить сообщения, похитить данные непосредственно с сервера, выдавая себя за настоящих пользователей.


    Какова уязвимость в реальности?

    Компания Codenomicon протестировали некоторые из собственных сервисов на качество защиты от злоумышленников. Они совершили атаку сами на себя извне, не оставляя следов. Без использования какой-либо конфиденциальной информации они смогли похитить секретные ключи, используемые для сертификатов X. 509, а также имена пользователей и пароли, мгновенные сообщения, сообщения электронной почты и важные бизнес данные.

    Как остановить эту уязвимость?

    До тех пор пока в уязвимая версия OpenSSL в ходу, она может подвергнуться атаке. [Только зарегистрированные могут видеть это. ] была выпущена недавно и внедряется в настоящее время. Поставщики ОС и дистрибьюторы, поставщики устройств и независимые поставщики программного обеспечения должны принять нововведение и уведомить об этом своих пользователей. Поставщики услуг и пользователи должны установить исправленную версию, как только она станет доступна для операционных систем, сетевых устройств и программного обеспечения.



    Вопросы и ответы

    Что такое CVE-2014-0160?

    CVE-2014-0160 - это официальная рекомендация по исправлению этого дефекта. CVE (Common Vulnerabilities and Exposures) - стандарт по информационной безопасности уязвимых имен, поддерживаемый MITRE. Из-за совместного обнаружения дубликата CVE, идентификатор CVE-2014-0346 не должен использоваться.
    Откуда произошло название «Heartbleed Bug»? Что это?

    Уязвимость «Heart bleed Bug» находится в OpenSSL в протоколах безопасности транспортного уровня TLS/DTLS в расширении RFC6520. Когда он эксплуатируется, это приводит к утечке содержимого памяти, от сервера к клиенту и от клиента к серверу.
    Что делает уникальным баг «Heartbleed»?

    Ошибки в единичном программном обеспечении или библиотеке возникают и устраняются в новых версиях. Вместе с тем, этот баг оставил в открытом доступе большое количество частных ключей и конфиденциальной информации. Дефект программы, обнаруженный в течение длительной эксплуатации, показывает, что атаки злоумышленников не оставляют после себя следа и к этому следует относиться серьезно.
    Был ли этот изъян в SSL/TLS преднамеренно включен в протокол согласно спецификации?

    Нет, эта проблема возникла на этапе ввода в эксплуатацию, т.е. программная ошибка сейчас существует в популярных библиотеках OpenSSL и содержится в криптографических сервисах, таких как протокол SSL/TLS для приложений и служб.
    Что же подвергается утечке?

    Шифрование используется для защиты коммерческой тайны, раскрытие которой может повредить вашей конфиденциальности или безопасности. В порядке значимости можно выделить секреты для четырех категорий: 1) первичный ключ; 2) вторичный ключ; 3) защищенный контент; 4) финансовые данные.
    Что если первичный ключ утрачен и как его восстановить?

    Вот эти «бриллианты из короны», ключи шифрования собственной персоной, будучи известными мошеннику, позволяют злоумышленнику расшифровать любое из прошлых и будущих сообщений в защищенные службы и выдать себя за сервис. Любую защиту, обеспеченную шифрованием и подписями в сертификатах «X. 509» можно обойти. Восстановление доступа после утечки требует внесения исправлений в слабых местах, аннулирования скомпрометированных ключей и выпуска и перераспределения новых ключей. Все это должно быть сделано владельцами сервисов, чтобы ликвидировать шанс перехвата трафика злоумышленниками
    Что если вторичный ключ утрачен и как его восстановить?

    Если утечка произошла в учетных данных пользователя (имена пользователей и пароли), то восстановление после этой утечки требует от владельцев сервиса восстановления доверия к службе в соответствии с описанным выше сценарием. После этого пользователи могут начать изменять пароли и ключи шифрования в соответствии с инструкциями от владельцев услуг. Все ключи и файлы "cookie" должны быть признаны недействительными.
    Восстановление утраченного контента

    Чаще всего подвергаются утечке личные или финансовые сведения, внутренняя переписка, такая как сообщения электронной почты и мгновенные сообщения, документы или что-либо на чем стоит защита шифрованием. Только владельцы сервисов могут оценить вероятность того, что утечка произошла и они должны уведомить об этом своих пользователей соответственно. Наиболее важной является необходимость восстановления доверия в первичных и вторичных ключевых материалах, как описано выше. Только это позволяет обеспечить безопасность скомпрометированных услуг в будущем.
    Восстановление финансовых данных

    Гарантии, поручительства и другие сведения, на которые покусился злоумышленник, могут содержать технические детали, например, адреса памяти и меры по обеспечению безопасности, такие, как пароли, используются для защиты от атак на переполнение. Они имеют только временное значение и потеряют свою ценность для злоумышленника, когда будет переустановлена новая версия OpenSSL.
    Как аннулирование и перевыпуск сертификатов действует на практике?

    Если вы являетесь поставщиком услуг вы подписали свои доверенные сертификаты (CA). Вам необходимо проверить ваш CA на наличие скомпрометированных ключей, аннулировать старый сертификат и перевыпустить новый сертификат для новых ключей. Некоторые центры сертификации сделают это бесплатно, а некоторые могут взять плату.
    Как найти баг?

    Вы, скорее всего, будете затронуты непосредственно или косвенно. OpenSSL Project является наиболее популярной библиотекой шифрования и TLS (Transport Layer Security) используется для шифрования трафика в сети Интернет. И в популярной социальной сети, и на сайте вашей компании, и на сайтах электронной коммерции, и даже на правительственных сайтах может быть установлено программное обеспечение с использованием уязвимых OpenSSL. Многие интернет-сервисы используют TLS, чтобы идентифицировать пользователей и для защиты вашей конфиденциальности и сделок. Вы можете иметь сетевые устройства залогиненные с помощью этого уязвимого программного обеспечения TLS. Кроме того вы можете иметь клиентский софт на вашем компьютере, через который могут получить доступ к данным с вашего компьютера, если вы подключитесь к скомпрометированным сервисам.
    Насколько широко распространена проблема?

    Наиболее показательное программное обеспечение с использованием OpenSSL, установлено на таких серверах, как Apache, Nginx. Согласно данным «Неткрафт», в апреле 2014 совокупные доли на рынке только этих двух из активных сайтов в Интернете составляли свыше 66%. Кроме того OpenSSL project используется для защиты, например, серверов электронной почты (SMTP, POP и IMAP протоколы), чат серверов (XMPP протокол), виртуальных частных сетей (SSL VPN), сетевых устройств и различных клиентов. К счастью во многих крупных потребительских сайтах сохраняются консервативные протоколы SSL/TLS. По иронии судьбы наиболее продвинутые сервисы, предоставляющие более прогрессивные услуги или те, кто обновил шифровальный софт до последних и лучших версий, будут атакованы в наибольшей степени. Кроме того OpenSSL Project является очень популярным в клиентском программном обеспечении, в противоположность разветвленным сетевым сервисам, наиболее инерционным в получении обновлений.
    Какие версии OpenSSL затронуты?

    • OpenSSL 1.0.1 through 1.0.1f (включительно) уязвимы
    • OpenSSL 1.0.1g не уязвима
    • OpenSSL 1.0.0 branch не уязвима
    • OpenSSL 0.9.8 branch не уязвима

    Дефект был внесен на рассмотрение в пакете OpenSSL в декабре 2011 и выпущен в версии 1.0.1 от 14 марта 2012. OpenSSL 1.0 .1g был выпущен 7-го апреля 2014 с исправлением ошибки.
    Насколько же распространены уязвимые OpenSSL версии?

    Уязвимые версии были в ходу на протяжении более двух лет. Они были быстро интегрированы в современные операционные системы. Важным фактором является то, что протокол TLS версий 1.1 и 1.2 стали доступны вместе с первой уязвимой версией OpenSSL (1.0.1 ) и Сообщество безопасности поддерживало TLS 1.2 из-за раннего нападения на TLS (такого, как [Только зарегистрированные могут видеть это. ]).
    А что насчет операционных систем?

    Некоторые операционные системы поставлялись с потенциально уязвимой версией OpenSSL:

    • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    • CentOS 6.5, OpenSSL 1.0.1e-15
    • Fedora 18, OpenSSL 1.0.1e-4
    • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
    • NetBSD 5.0.2 (OpenSSL 1.0.1e)
    • OpenSUSE 12.2 (OpenSSL 1.0.1c)

    Operating system distribution with versions that are not vulnerable:

    • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
    • SUSE Linux Enterprise Server
    • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
    • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
    • FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
    • FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

    Каким образом можно устранить уязвимость OpenSSL?

    Даже несмотря на то, что фактический код исправления может тривиальным, группа экспертов OpenSSL отредактировала его надлежащим образом, поэтому исправленная версия 1.0 .1g должна быть использована. Если это невозможно разработчики программного обеспечения должны перекомпилировать OpenSSL удалить старые сертификаты из протокола рукопожатия и перевыпустить новые, используя вариан-DOPENSSL_NO_HEARTBEATS.
    Надо ли удалять «Heartbleed» для обнаружения уязвимых сервисов?

    Большинство, если не почти все, TLS реализации, ответили положительно на запрос «heartbeat» во время обнаружения уязвимых версий OpenSSL. Если же только уязвимые версии OpenSSL продолжали бы реагировать на сигналы в течение ближайших нескольких месяцев, будет более целесообразно оповестить владельцев уязвимых служб. Однако, при условии быстрого реагирования со стороны интернет-сообщества вообще отпадет необходимость в дезактивации «heartbeat».
    Как я могу определить, что кто-то воспользуется уязвимостью против меня?

    Особенность этого бага в том, что злоумышленник не оставляет следов взлома, ничего ненормального не отражается в логах.
    Можно ли обнаружить или блокировать это нападение с помощью IDS/IPS?

    Хотя на различных этапах установки соединения может появиться присоединенная программа, были разработаны правила обнаружения вторжений и профилактики систем (IDS/IPS). Из-за шифрования различия между законным использованием и атакой не могут основываться на содержании запроса, но атака может быть обнаружена путем сравнения длины запроса с длиной ответа. Это означает, что IDS/IPS может быть запрограммирован для обнаружения нападения, но не для того, чтобы заблокировать его, если такие запросы вообще блокируются.
    Has this been abused in the wild?

    Сообществу безопасности следует развертывать TLS/DTLS сети-приманки, чтобы задержать нападающих, и для оповещения о реализации таких попыток.
    Получают ли злоумышленники доступ к только 64k памяти?

    В общей сложности нет ограничения на нападение в 64 килобайта, это ограничение применяется только к одному «heartbeat» («пульсу»). Злоумышленник может запросить 64 kb повторно неограниченное количество раз во время активного подключения TLS , и получить произвольное количество 64-килобайтных блоков содержимого памяти до тех пор, пока выкачает достаточное количество информации.
    Является ли это багом MITM как был «Apple's goto fail»?

    Нет, для этого не требуется атака «man in the middle» (MITM). Злоумышленник может напрямую связаться с уязвимой службой или имитировать подключение к службе под видом любого пользователя. Тем не менее в дополнение к прямой угрозе кража ключа позволяет злоумышленникам выдавать себя за скомпрометированный сервис.
    Может ли проверка подлинности TLS сертификатов ослабить угрозу?

    Нет, heartbeat запрос может быть направлен в течение протокола рукопожатия. Это происходит до клиентской проверки сертификата подлинности.
    Может ли режим FIPS ослабить это?

    Нет, OpenSSL Федеральный стандарт обработки информации (FIPS) режим не влияет на функциональность уязвимых «heartbeat».
    Может ли «Perfect Forward Secrecy» (PFS) предотвратить это?

    UИспользование «Perfect Forward Secrecy» является лучшим вариантом, однако к сожалению его нелегко найти. Он должен защищать последние сообщения от ретроспективной расшифровки. Пожалуйста, смотрите [Только зарегистрированные могут видеть это. ]
    Можно ли отключить расширение «heartbeat» во время подтверждения TLS?

    Нет, код расширения уязвимых «heartbeat» активируется независимо от результатов переговоров на стадии рукопожатия. Единственный способ защитить себя —обновиться до фиксированной версии OpenSSL или перекомпилировать OpenSSL



    з.ы. на выставке инфосекьюрити раша (тип по безопасности) взял такое вот сердечко-наклейку, щас красуется на ноуте)))
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

Страница 1 из 2 12 ПоследняяПоследняя

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.