vulnerabilidade direitos em smartphones Android com Mediatek chipset

(Foto: Mediatek)

Vários smartphones Android com Mediatek chipset permitem que qualquer app para garantir privilégios de root. Especialmente aparelhos baratos a partir fabricantes chineses parecem afetados.

Um pesquisador de segurança descobriu uma vulnerabilidade no Android smartphones com chipsets do fabricante Mediatek, através do qual um atacante pode obter privilégios de root. Esta é provavelmente uma característica de depuração que não foi desativado pelos fabricantes dos dispositivos. Biblioteca confirmou a vulnerabilidade a várias fontes, não disse quais dispositivos estão exatamente atingiu a pedido Heise Segurança, no entanto.

Vários indícios sugerem que isto é tudo sobre smartphones no segmento de baixo preço derivado de fabricantes chineses. Além disso, principalmente Android 4.4 parece (KitKat) afectado versões mais recentes do Android, versão 5.0 da diferença não foi mostrado. A diferença é um subjacentes função de teste que vem apenas no mercado chinês para uso. Aplicativos sem privilégios através de recursos do sistema sobre este obtenham privilégios de root que devem ser somente leitura.

Acima de tudo, os usuários tendem a estar em risco, fazer o download dos aplicativos a partir de lojas alternativas de aplicativos. Estes tornaram-se muito populares no mercado chinês. No entanto, é difícil limitar com precisão quais os usuários estão expostos a apenas um risco, pois não há atualmente nenhuma lista de dispositivos com a lacuna.(FAB)

Gap em ImageMagick e GraphicsMagick permite que novos ataques

Manipulado código malicioso filename na popen () - Move função do sistema operacional para execução. Patches estão disponíveis.

As bibliotecas de processamento de imagens ImageMagick e GraphicsMagick conter uma função que será passado nas partes do nome do arquivo para o shell e executado. Isto pode ser explorado para injetar código malicioso. Os desenvolvedores mágicos gráficos têm a função apropriada de modo sumariamente removidos com a versão agora lançado 1.3.24 de sua ferramenta. Também em ImageMagick 7.0.1-7 o problema foi resolvido.

ImageMagick tinha chegado há apenas um mês apenas um nas manchetes do que outra vulnerabilidade (CVE-2016-3714) era conhecido sobre qual poderia executar código malicioso nos servidores afetados. foi abusado que esta lacuna prontamente ao ataque mostra como é importante para actualizar as bibliotecas correspondentes rapidamente. Isso afeta principalmente os servidores Linux no qual executar aplicativos da Web. Especialmente se eles permitem que os visitantes upload de suas próprias imagens - como avatares do Conselho. Mas muitos programas de desktop para Linux e Unix usar essas bibliotecas em segundo plano.

Administradores devem garantir que eles ofereceram seus pacotes de distribuição Linux para ImageMagick e GraphicsMagick instalado o mais tardar. mas as novas versões também podem ser manualmente em relação aos lados dos projetos: ImageMagick, GraphicsMagick.(FAB)

WPAD: 20 anos antigo protocolo traz milhões de usuários em risco

(Imagem: Microsoft TechNet)

O protocolo WPAD é usado para configurar automaticamente proxies e representa uma vulnerabilidade há muito conhecida. Na conferência de segurança Black Hat, uma pesquisa apresenta agora mais vulnerabilidades.

O Web Proxy Auto Discovery Protocol (WPAD) é ancorado em quase qualquer sistema operacional, desde Netscape 2.0 em 1996 Ele é usado para a configuração automática de proxy para o terminal e já é muito longa familiar como um ponto fraco. O problema é que os roteadores encaminhar as solicitações de clientes para o arquivo para a Internet. Respostas há um servidor, ele pode distribuir as configurações de proxy. Isto aplica-se, por exemplo, todos atrás de uma caixa de dispositivos Fritz alimentados. E a Microsoft corrigiu com BadTunnel retornou recentemente um problema WPAD no Windows.

proxies mal

Que até recentemente empregado pelo especialista em segurança Trend Micro Maxim Goncharov descobriu um problema sério em torno WPAD: Durante sua apresentação na conferência Black Hat, ele explicou como quase qualquer dispositivo pode ser alimentado através WPAD com uma configuração de proxy malicioso - sem o usuário e independentemente de intervenção do sistema operacional. O padrão WPAD permite, em princípio, também a criação de um proxy PEÚGAS de modo que todo o tráfego do terminal afectado pelos fluxos em última análise, controlada pelo proxy invasor. Mas mesmo que apenas uma web proxy é configurado, este mais dados vão para as garras de um tráfego do navegador puro.

O problema é baseado em como terminais de pesquisa após o URL a partir do qual você gostaria de baixar wpad.dat o arquivo utilizado para configuração: O cliente leva o especificado pelo domínio de pesquisa do servidor DHCP (por exemplo, foo.unternehmen.bar) e insere wpad. antes (wpad.foo.unternehmen.bar). ele encontra a rede local sem URL de correspondência, ele leva um subdomínio após o outro (wpad.unternehmen.bar, wpad.bar) a partir da solicitação até que finalmente encontra um servidor válido. Roteadores encaminhar essas solicitações e fora da Internet. Assim, um atacante controla o domínio de topo .bar ele pode, em princípio, fazer todos os clientes pertencentes ao respectivo domínio de pesquisa com quaisquer arquivos WPAD.dat.

Eavesdropper a bordo

Goncharov testado este exemplo em aeroportos, uma conferência e também a bordo de um vôo da Lufthansa para San Francisco, onde ele simplesmente mudou o nome de seu computador em wpad. Sozinho durante o vôo seu caderno chegou como mais de 1.200 desses pedidos, é claro, apenas alguns dispositivos diferentes foram responsáveis ​​por isso. Ele também registrado para fins de teste, o .tokyo domínio de nível superior (TLD), em antecipação a abundância de pedidos por causa dos Jogos Olímpicos de 2020 a ser realizada no Japão. Resultado: Em pouco mais de seis meses cerca de 2000 aparentemente pertencente ao governo da cidade de clientes Tóquio pediu em pouco mais de 60 milhões de cópias em sua operação no honeypot nuvem AWS para WPAD.dat.

Na Alemanha, isso se aplica em particular para os usuários que acessam a Internet usando uma caixa de Fritz. Os dispositivos de entrar no domínio de pesquisa antes fritz.box. Quando o TLD é .box ativo, ainda não está claro. AVM é, de acordo com informações do orador Bastert Urban qualquer caso sobre o plano e quer registrar o TLD, logo que isso é possível. Espera-se que este êxito. Para o topo domínio de nível ou .box domínio wpad.box estava indo para uma terceira pessoa, isso pode configurar automaticamente todos operados atrás de um Fritz terminais da caixa com uma configuração de proxy.

Solução? na mão

Na borda de participantes da conferência de apresentação Goncharovs mostrou como ele poderia interceptar, quaisquer conexões HTTPS via man-in-the-middle usando o método. Embora com uma mensagem de erro de certificado no navegador. Além disso, os pesquisadores apontam para que se tenha registrado o domínio wpad.de em Berlim residente há anos. Após notificação à polícia da matéria participou e foi para entregar os arquivos de log do servidor Web - que não mostrou nenhuma atividade maliciosa. Enquanto não está claro se os logs foram modificados. Além disso, Goncharov reuniu-se com o fabricante de um filtro de internet para iOS, o wpad.com.tw 24 domínios como wpad.sk, ou tenha wpad.org.cn registrado. O que está claro.

Proteção contra o problema que os usuários domésticos se desativar a configuração automática de proxy. Alternativamente, você pode ao roteador ou o firewall de um filtro de curinga para wpad. * Defina para não passar os pedidos na Internet. As empresas podem registrar o wpad.unternehmensnahme.de domínio ou desabilitar as configurações de proxy automáticos e especificar um proxy. Mais dicas podem ser encontradas em um papel branco que a Trend Micro lançou.

correção: resposta de AVM corrigido.(FAB)

SSL Gau: Para testar os programas e serviços on-line

A publicação da abertura heartbleed momentosa tem muitos serviços pego frio - incluindo Adobe, LastPass, Web.de e até mesmo VeriSign. Os usuários podem on-line verificar se os serviços utilizados por eles já estão protegidos.

bug heartbleed: A GAU para criptografia web

bug heartbleed: A GAU para criptografia web

Um erro de programação extremamente graves comprometidos chaves de criptografia e dados do backup com conexões OpenSSL na Internet. A lacuna também permite o acesso a dados sensíveis, tais como senhas de texto simples. Dada a proliferação de biblioteca de código aberto, isso tem consequências desastrosas.

  • Assim, o heartbleed explorar obras
  • SSL Gau: Para testar os programas e serviços on-line
  • Senhas em risco - e agora?
  • Heartbleed sofrem efeito avestruz
  • senha de acesso: gap heartbleed com consequências catastróficas
  • Informação e de fundo para bug heartbleed

O bug heartbleed importante no generalizada OpenSSL biblioteca de criptografia permite que os parceiros de conexão podem atacar uns aos outros. Em servidores Web suscetíveis é sobre a capacidade de ler as chaves criptográficas privadas da memória. Com o qual o atacante pode, em seguida, descriptografar o tráfego SSL de todos os usuários.

frio travado

Alguns operadores de serviços, tais como CloudFlare, obviamente, ter informado previamente o descobridor do bug; No entanto, os critérios pelos quais esta seleção é feita não é conhecido. Amostras de Heise Segurança mostram que muitos sites de destaque, obviamente, não estavam preparados para a liberação de detalhes da vulnerabilidade. Na parte da manhã, por exemplo, Adobe.com, Web.de, VeriSign.com, Comodo.com eo site do gerenciador de senhas on-line LastPass ainda estavam vulneráveis.

As empresas têm agora todos responderam. Os operadores do gerenciamento de tarefas on-line Wunderlist ter precaução fora da sincronização em nuvem porque os servidores da Amazon alugados também são afetados. Ainda vulnerável é, obviamente, apenas o site do OpenSSL Project.

Na terça-feira à tarde, o site do projeto OpenSSL foi ainda mais vulnerável.
Na terça-feira à tarde, o site do projeto OpenSSL foi ainda mais vulnerável.ampliarverifique serviços

Com dois serviços de testes que você pode descobrir se os serviços utilizados por você está vulnerável ainda, nomeadamente filippo.io/Heartbleed e possible.lv/tools/hb. Além disso, há pelo mesmo autor, o heartbleed Go-Script, com o qual você pode realizar estes testes localmente. pode check-ssl-heartbleed.pl o script Perl até mesmo correio de teste do servidor com STARTTLS. Atualize 9 de abril de 09:45: Enquanto isso, também existem módulos de teste para Metasploit, Nmap, Nessus OpenVAS ee uma xkcd apropriado.

Para a maioria das distribuições Linux as versões cobertos OpenSSL agora são oferecidos através do gerenciador de pacotes. mas alguns programas, como o módulo Apache SPDY instalar suas próprias bibliotecas. Para verificar isso, um ativo nas bibliotecas do sistema em Linux pode lsof com o comando | libssl exibição grep. Aqui, então algo aparece como tal:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
vmware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

Enquanto isso, Sophos teve de admitir que os aparelhos UTM (anteriormente Astaro) são sensíveis à diferença. Um patch de segurança ainda está em andamento. Mas também há uma boa notícia: OpenSSH não é afetado à primeira vista. Embora ele usa as funções de criptografia básicos de OpenSSL, mas não usa as funções TLS vulneráveis.(Rei)

router sem fios UPC tensão rede secreta de

O provedor de banda larga austríaca UPC entregou roteador sem fio para seus clientes essa extensão não documentada um segundo, WLAN oculta, pesquisadores de segurança relatório do SBA Research. Por conseguinte, o modelo fornecida pela UPC Thomson TWG850-4U sempre usado o mesmo SSID e a mesma chave WPA para este WLAN. Redes com SSID oculto não aparecem nos dispositivos de acesso Wi-Fi Gênero normais, é preciso saber o SSID ao lado da chave WPA para se conectar à rede.

O poder oculto não é isolado do main-Fi, para um invasor pode acessar tanto a Internet e outros computadores na rede, de acordo com os pesquisadores. O hóspede não convidado pode até mesmo acessar a interface de configuração do roteador e não ler o conjunto pelos clientes UPC chave WPA, e alterar os parâmetros de configuração crítica.

Durante uma breve visita em Viena, o pesquisador de segurança afirma ter "centenas de redes em apenas algumas ruas" localizar que eles poderiam assumir. UPC fornece o modelo TWG850-4U a todos os clientes que optam pela oferta combinada de TV e da Internet. De acordo com uma declaração anterior pelo provedor de banda larga usada por cerca de 250.000 clientes neste pacote.

UPC reagiu prontamente e respondeu na quinta-feira, três dias depois de o problema se tornou público com um patch de emergência que está agora gradualmente distribuído automaticamente para os dispositivos afetados. O descobridor da abertura confirmou a H Segurança que a WLAN oculta não é mais apertado pela actualização de firmware.

Um fenômeno similar observada em novembro do ano passado já os clientes holandeses subsidiárias UPC. Depois de uma atualização de firmware, outro roteador Thomson mediu uma rede invisível aqui. No entanto, um não tem acesso à interface de configuração e outros computadores na rede através desta rede invisível. UPC justifica este comportamento com o tempo "novas oportunidades"Que estão previstas para o futuro.

atualização: Um porta-voz UPC confirmou o problema a Heise Security e anunciou que cerca de 100.000 cópias do referido router wireless em circulação.(Rei)

milenar fixo bug no kernel do Linux: Vaca suja

(Foto: kernel.org)

Uma condição de corrida no kernel significa que os usuários locais para sobrescrever arquivos que eles realmente deveria lê-lo. desenvolvedores do kernel descrever o bug como "nojento" e recomendar para corrigir o mais rápido possível.

Os desenvolvedores do kernel Linux têm uma vulnerabilidade grave no kernel fechado. A vulnerabilidade (CVE-2016-5195) poderia ter sido abusada por usuários locais para sobrescrever arquivos aos quais eles têm apenas direitos de leitura. Nos sistemas Linux, entre outras coisas, os seus direitos próprio utilizador pode, assim, ser estendido para privilégios de root.

A vulnerabilidade existe na sua forma actual desde pelo menos do kernel 2.6.22 - assim há mais de nove anos. Em seu código de cometer o kernel chefe Torvalds correção mencionada que é um "bug antiga" EM QUESTÃO, que há onze anos depois "ruim" tinha sido fixada pelo próprio. Essa mudança pode ter novamente precisa ser desfeita; Agora, a vulnerabilidade foi, porém, finalmente ligado. No arco há uma condição de corrida que era a natureza mais esotérico no primeiro poço era agora, de acordo com Torvalds, mas mais fácil de implantar, porque o próprio kernel evoluíram.

Novas versões do kernel em que a vulnerabilidade foi objeto de hedge, já estão concluídos ou em preparação. O kernel 4.4.26 coberto, 4.7.9 e 4.8.3 já estão disponíveis, versão 3.10.104 seguiria logo. As principais distribuições Linux também já está trabalhando para fechar a lacuna no bem-mantido com eles do kernel pacotes.

Update - 20/10/2016, 20:38

A vulnerabilidade agora tem um nome: Vaca suja. Atrás desta, pelo menos em parte, uma crítica implícita das vulnerabilidades que são usados ​​com nome e logotipo. No entanto, as operadoras também recolher dinheiro para FreeBSD e criaram uma loja online que vende mercadorias.

mas o site também traz informações úteis para a lacuna juntos. No entanto, a questão de saber se um é vulnerável, não é exatamente respostas confiáveis ​​com base no agente de usuário do navegador, como a versão utilizada do kernel do Linux não é verificado corretamente. (FAB)

Fingerprint Software revela senha

Qualquer pessoa que se registra em um notebook com um scanner de impressão digital, apontando um dedo, tem um problema de segurança pode: Pelo menos com os scanners UPEK generalizadas, qualquer pessoa que tenha acesso ao registro, leia todas as senhas do Windows, e usá-lo para fazer login. Este relatório os especialistas de criptografia ElcomSoft em seu blog.

Fingerprint Software revela senha
A Suite UPEK Protector deve apresentar melhor não confiar sua senha do Windows.ampliarO Protector Suite era, obviamente, um longo tempo pré-instalado em computadores portáteis que estão equipados com um fornecedor sensor de impressão digital UPEK. De acordo com um agora excluído da lista de página inicial do fornecedor de todos os fabricantes de notebooks conhecidos têm equipado dispositivos com sensores UPEK. Além disso, o programa também será vendido separadamente.

O Protector Suite armazena a senha do Windows do usuário no registro quando entra o login por impressão digital. As senhas são de fato AES criptografada, mas a criptografia aparentemente implementado incorretamente: ElcomSoft tem encontrado uma maneira de reconstruir a usada para criptografar chave secreta AES. Aparentemente, esta é a mesma.

Fingerprint Software revela senha
Desenvolvido pela ferramenta ElcomSoft extrai as senhas em texto puro de todos os utilizadores no registo.ampliarPara fins de demonstração, os pesquisadores de criptografia nos enviou uma ferramenta de linha de comando que exibe os três primeiros caracteres das senhas de todos os usuários que tinham o login do Windows ativado anteriormente. Um atacante tem acesso a um sistema Windows, já pode ler todos os dados não criptografados e também alterar as senhas do Windows para ter acesso à conta de um usuário. No entanto, ele não tem acesso a esses dados criptografados (EFS) são protegidos por exemplo, o sistema de arquivos de criptografia de arquivos NTFS Criptografia. senha do Windows do usuário é necessário para a sua descriptografia. Tal espionagem pode ser evitada, por exemplo, por uma criptografia completa do sistema com o BitLocker ou TrueCrypt.

ElcomSoft recomenda que você desative a função de login, de modo que o armazenado na senha de registro a ser excluído. Com a gente não levar ao sucesso desejado. Mesmo depois de alterar a senha do Windows poderíamos lê-lo na versão atual da ferramenta. Apenas a instalação completa do software de driver remédio gerenciado.

UPEKs controladora AuthenTec confirmou o problema a Heise Security e afirmou que eles querem oferecer uma versão para download no final desta semana, o que gera a chave secreta com um algoritmo endurecido.(Rei)

Maior de língua alemã Fórum subterrânea off-line: ação policial contra Crimenetwork.biz?

Screenshot do CNW

(Foto: archive.org)

Recentemente, a droga mercado Chemical Amor foi fechado pelas autoridades, agora especula-se se é o crimenetwork.biz fórum on-line acaba de ser entregue.

Recentemente, o fórum on-line é crimenetwork.biz (CNW) offline. Tendo recentemente intimamente associada com CNW droga mercado Chemical Amor foi fechado pelas autoridades, é muita especulação - especialmente desde que o administrador CNW deve ser Ausgebüxt com uma soma de cinco dígitos. sucessor de um CNW é, aparentemente, já está sendo planejado.

4.000.000 Posts

Crimenetwork.biz provavelmente o maior fórum alemão subterrâneo. Provavelmente, iniciado em 2006, teve pouco antes do desaparecimento da rede de bem-8000 ativa e 84.000 usuários registrados que têm escrito em boas 190.000 tópicos distribuídos mais de 4 milhões de mensagens. Nem pode ser alcançado desde terça-feira apenas por Tor Navegador, nem a versão acessível através da web aberta do fórum.

Desde então, em outros fóruns discutiram o que pode ser o gatilho para isso. Depois que foi revelado há duas semanas que os promotores de drogas de mercado Chemical Amor pôr fim per ataque e prisões, a idéia lógico que os servidores CNW foram apreendidos. Porque depois de tudo o que (através dos respectivos administradores"sincronizar" no caso de CWN, "z100" no caso do Amor Chemical) é conhecido, este trabalhou de perto e usados ​​possivelmente até mesmo a mesma infra-estrutura de servidor.

É concebível, no entanto, que sincronização foi resolvido. Alternativamente, porque o ar mais fino tornou-se após o ataque e as prisões no caso de amor química; ou porque ele fez com o dinheiro confiado dos quais: a sincronização associada Carteira Bitcoin foi em qualquer caso, apuradas em 10 de maio, e o equivalente a pouco mais de 33.500 dólares americanos provavelmente transferidos para um serviço de mistura para disfarçar o fluxo de caixa. CNW oferecido, como muitos outros fóruns clandestinos também oferecem um serviço escrow.

O sucessor de CNW anunciou

Os administradores do fórum agem como intermediários entre compradores e vendedores. Tire do comprador eo pagamento pelo vendedor - geralmente digitalmente entregues - counter produtos e entrar depois de operação de pagamento livre. manter entre três e 15 por cento da soma dos próprios curadores, diz um familiarizado com os costumes do perito subsolo disse Heise Segurança. No caso do Fórum de Rede Crime esse dinheiro deve ser ido. De acordo com lançamentos on-line sync've pagos quaisquer montantes que lhe foram confiadas mais desde o início de maio.

Logo após a notícia da indisponibilidade de CNW fez as rondas, um vídeo do YouTube anunciou um sucessor do fórum. No dado crimenetwork.cc endereço ainda é ver que ele deve ir de uma só vez, apenas a um anúncio. De acordo com postagens, o fórum será lançado no dia 15 de Maio. o sucessor do 2x4.ru provedor russo, que tem aparecido em cena no passado como os chamados hospedagem Bulletproof está hospedado. (ANW)

Android pragas Tordow: bancários sofre mutações de Tróia em um super-Trojans

(Foto: AP, Britta Pedersen / arquivo)

Os pesquisadores de segurança alertam para o malware bancário, cujas funções devem cumprir todos os sonhos de criminosos: O cavalo de Tróia pode fazer com dispositivos Android infectados basicamente.

Não há nada a praga Tordow para dispositivos Android não pode. Assim, pelo menos lê o resultado da análise da Kaspersky.

Em essência, fosse um Trojan bancário que pode ganhar privilégios de root, a fim de explorar uma variedade de maneiras informações. Como o processo de raiz funciona em detalhes, Kaspersky não explicou. No passado, outras pragas já conseguiram com sucesso através da exploração de diversas vulnerabilidades. É um dispositivo Android enraizada uma vez, os criminosos podem fazer praticamente tudo isso e escutar suas vítimas variaram.

Bug no seu bolso

Tem Tordow levado com sucesso raiz, que pode, por exemplo, gravar chamadas, informações de banco de dados de cópia e recarregar o malware adicional e instalá-lo. Além disso, a praga deve ser capaz de ler informações de conexão, incluindo senhas para serviços online de navegadores móveis. Embora isso não é nada novo nesta forma concentrada, mas extremamente preocupante.

piggyback Tordow é chegar com aplicativos legítimos. Tal Apps manipulado tem Kaspersky afirma ter encontrado exclusivamente fora do Google Play. Que instala um aplicativo popular com a praga a bordo, o acordo com pesquisadores de segurança não notou nada das atividades fundo perigosas: O aplicativo legítimo vai saber trabalhar como de costume e operar a praga em segredo. Como identificar contaminado com aplicativos Tordow, Kaspersky não explicou. (Des)

Microsoft planeja reorganizar os serviços para atualizações

(Imagem: Captura de tela)

Desde o início da próxima semana, a Microsoft não fornecerá mais atualizações no Microsoft Centro de Download para baixar.

Os usuários individuais aplicar patches da Microsoft no futuro, como de costume via Windows Update e empresas através WSUS. Mas o próximo dia de patch próxima terça-feira a empresa quer reorganizar as fontes para o download de varejo: A partir de então os usuários não serão capazes de baixar todas as atualizações através do Microsoft Download Center. Que actualizações será que a Microsoft não é elaborar.

No passado, os remendos foram paralelo no centro de download e Update Catalog para download. Os boletins de segurança da Microsoft são destinados link a partir do dia remendo início da próxima semana no Catálogo Update quando o patch não está listado no Centro de Download. Em seguida, a Microsoft sugere aos usuários que utilizam as ferramentas que dependem de ligações ao centro da download.

Aqueles que querem navegar pelo catálogo Update, tem, que você tem que instalar um add-on além apenas com sucesso Internet Explorer. O catálogo em si permanece fechado para o navegador web da Borda da Microsoft. (Des)

Agência do consumidor adverte sobre os procedimentos de segurança 3D para cartões de crédito

O centro consumidor NRW adverte contra o uso de cartões de crédito que utilizam os chamados procedimentos de segurança 3D. Ele complementa o pagamento on-line por uma senha adicional que o usuário deve especificar antes. Destina-se a evitar que um criminoso pode usar um cartão de crédito ou os dados relacionados na Internet em lojas que suportam o processo, shopping. O processo é a Visa "Veryfied pela Visa" e, MasterCard "secure code Mastercard",

De acordo com a Consumer No entanto, existem dúvidas sobre a segurança do sistema, também os clientes ameaçam desvantagens financeiras quando cobranças indevidas na conta-se. De acordo com o comunicado de imprensa poderia trapaceiros que só sabem o número do cartão eo nome do titular do cartão, solicitar um código 3D na Internet e usá-lo para comprar à custa do cliente. Outros criminosos girar poderia sair em turnê Web-shopping, se eles conseguem interceptar o código de segurança. No entanto, para isso, por exemplo, ser instalado no PC da vítima um Trojan.

No Commerzbank, um código de segurança esquecido pode ser substituído por aviso adicional para verificar o número da conta e data de nascimento. Se um ladrão roubou cerca de uma bolsa, mas deve ter acesso aos dados necessários.

Além disso, existem problemas com a adesão. Havia um risco de que as empresas contam com os chamados elementos de prova prima facie. Supõe-se que o abuso só foi capaz de surgir porque o cliente foi negligente lidou com os procedimentos de segurança 3D. Por esta razão, o cliente pode permanecer sentados sobre os danos se ele pode provar nenhuma manipulação como um caso de Troy Heritage.

De acordo com o Consumidor defende Visa e MasterCard e os bancos emissores de fato explica "que, ao contrário dos casos de cartão CE não quer contar com a prejudicial para os consumidores prima facie evidência." Na prática, os bancos partem daí revelado. Assim, por exemplo, o banco Advanzia deve ter no caso de um professor que se aproveitou do processo 3D, recusou-se a compensar os danos. Portanto, o centro consumidor NRW aconselha a primeira renunciar ao uso do código de segurança até que todas as dúvidas sobre a segurança dos problemas do sistema e passivos são resolvidos.(DAB)

Encontrar perigosa vulnerabilidade no Samba e patch: SambaCry

Sambacry em ação

(Foto: Loran Kloeze)

A criptografia Trojans WannaCry tinha verme semelhante espalha usando uma vulnerabilidade de SMB no Windows. Agora a fonte homólogo aberto Samba tem um buraco semelhante em sete anos. Ameaça de uma infecção Trojan criptografia em sistemas Linux?

A descoberta recentemente sete anos de idade lacuna no serviço de troca de dados Linux Samba versão 3.5.0 permite que atacantes remotos para executar código malicioso arbitrária (CVE-2017-7494). Desde uma lacuna semelhante no homólogo Windows do software foi fundamental para a disseminação de criptografia Trojan WannaCry, a comunidade da Internet apelidou a lacuna atual SambaCry. Existem versões de Samba, que já estão sendo distribuídos entre outros por muitas distribuições Linux. No entanto, uma vez que o software é executado em muitos sistemas embarcados e dispositivos NAS, no futuro previsível, sem manchas irá aparecer, muitos sistemas ainda são vulneráveis.

O perigo em sua própria rede

Para a abertura, há uma prova-de-conceito, bem como um módulo para o Toolkit Metasploit pentesting e é relativamente simples explorável para ataques. Por esta razão, espera-se que a diferença em breve mal utilizado em um grande ataques em larga escala. Os administradores devem, portanto, trazer todas as instalações do Samba em suas redes até à data o mais cedo possível. Se isso não for possível, os dispositivos vulneráveis ​​deve ser removido da rede. Se estas duas opções não são elegíveis, só ajuda a isolar os dispositivos vulneráveis ​​para que possam ser alcançados em nenhum caso da rede pública.

Mas mesmo nos caixas e servidores LAN vulneráveis ​​NAS são um problema. O worm WannaCry foi especialmente preocupado com tanto barulho porque ele tinha crescido em redes corporativas internas a partir de um computador vulnerável para a próxima. Uma praga Linux hipotética poderia, mesmo entra na rede como WannaCry shimmy de um sistema Samba vulnerável para a próxima. é particularmente explosiva neste cenário é que os servidores de arquivos são os alvos perfeitos para Trojans criptografia.

Assim, encontra-se sistemas vulneráveis

Os pesquisadores de segurança já estão trabalhando a todo vapor em ferramentas para detectar sistemas vulneráveis ​​dentro de suas próprias redes. Este script Nmap localizado versões aproximadamente vulneráveis ​​Samba podem ser rastreados. O desenvolvedor trabalha em suas próprias palavras já uma versão melhorada que verifica pelo módulo Metasploit se o servidor Samba correspondente é realmente vulnerável.(FAB)

servidor DNS do CCC: Vulnerável devido ao software desatualizado

Em resposta ao seqüestro de DNS os administradores da CCC tem agora um software de servidor alterada. Anteriormente werkelte um servidor DNS, que tinha conhecido lacunas em cinco anos.

A CCC operado pela Berlin servidor DNS dnscache.berlin.ccc.de (213.73.91.35) foi vítima de um ataque de envenenamento de cache DNS, o CCC diz em um comunicado. Na quarta-feira de funcionar como um servidor de cache, portanto, levou a pedidos de seus usuários em sites de destaque, tais como páginas de publicidade da Microsoft e Facebook. Aparentemente, o servidor colocar o software djbdns, que a introdução do tempo "Estado da Arte" foi enfatizado um dos administradores para Heise Segurança.

No entanto, cinco anos atrás um pesquisador publicou um estudo sobre envenenamento de DNS rápida no djbdns, na qual ele pôs a nu várias questões críticas de segurança. Em paralelo, ele também lançou patches que desabilitam fácil envenenamento do cache com endereços de IP falsos e enviou-os também para o autor do software Dan J. Bernstein. mas "djb" cuidada, aparentemente, não ao projeto iniciado por ele; nunca houve uma nova versão que enchido os buracos.

De qualquer forma, era relativamente fácil com técnicas publicadas para alegrar endereços IP incorretos sob o cache DNS do CCC. Em vez do teoricamente necessário 2 x 109 pacotes de adivinhar com uma resposta falsa para porta de origem UDP aleatória e também aleatória ID transação já bastaram significativamente menos tentativas. "Um ataque com êxito sob condições realistas em menos de vinte minutos com uma largura de banda de apenas 10 Mbits / s pode ser conseguida", Diz o CCC. Ironicamente seria usado pela maioria dos provedores BIND servidor padrão, os djbdns deve melhorar, estão imunes a este ataque.

Os Administradores CCC notado o problema de segurança apenas através dos ataques bem sucedidos nos últimos dias; eles mudaram em resposta agora software não é mantida e definir agora não ligado, um servidor DNS caching especializada, que assumiu a sucessão de BIND no FreeBSD 10 Onde os ataques originados, permanece desconhecida.

Atualize 2014/02/13, 16:30: especificação ano corrigidos - problemas no djbdns foram publicados no início de 2009, que foram conhecidos por cinco anos, como originalmente escrito para quatro.(Ju)

lacuna de segurança perigoso nos smartphones atuais Samsung

Os smartphones Galaxy baixar atualizações através de uma conexão HTTP não segura. Isso pode abusar um invasor para injetar código com privilégios de sistema. Sofredores não devem usar redes Wi-Fi públicas até que uma correção esteja pronto.

Na pré-instalado teclado tela numerosos Samsung smartphones gapes uma vulnerabilidade crítica para assumir o controle permitir que um invasor e pode tocar dados. Esta foi encontrado, que é especializada em aplicações móveis empresa de segurança NowSecure. Afetada, entre outros modelos Galaxy S5 e S6. Proteger você pode atualmente dificilmente.

Os bocejos lacuna na versão adaptada do SwiftKey teclado, totalmente integrado da Samsung o firmware para os seus telefones inteligentes. O teclado convida arquivos Zip a partir da rede, que normalmente contêm atualizações para a voz ativa. À medida que o download não é criptografada via HTTP, um atacante na posição do man-in-the-middle pode interceptar a transmissão e, em vez enviar um arquivo manipulado para o smartphone. Especialmente em redes públicas, tais como Wi-Fi hotspots tais intervenções com pouco esforço são viáveis.

Hash em texto simples

Embora o software de teclado verifica o hash SHA1 do arquivo baixado; a informação que é esperado de hash, ele vai trazer antes de baixar, mas também em texto claro pela rede. Um invasor também pode interceptar esta transmissão e substituir o hash SHA1 especificado contra o hash do arquivo manipulado.

O conteúdo do pacote descompacta o teclado que funciona com os direitos do sistema, em qualquer lugar no sistema de arquivos. Substitui o atacante desta forma um aplicativo que já está em execução em um determinado momento - por exemplo, após a inicialização - pode permanentemente trazer código malicioso seja executado. NowSecure demonstrou isso em um clipe do YouTube com um shell remoto que permite a instalação acesso automático completo do dispositivo através da rede.

Protecção, evitando

A empresa de segurança pesquisado atualmente ainda que dos smartphones Galaxy são vulneráveis ​​à lacuna. Enquanto o status na maioria dos modelos ainda é desconhecida, alguns fornecedores de versões do Galaxy S4 Mini, S5 e S6 são pelo menos vulnerável.

De acordo NowSecure isso não ajuda a mudar para um teclado de tela diferente, como SwiftKey ainda atrai seus pacotes de atualização. Proteger o usuário só pode ser por evitar situações em que um atacante pode assumir o controle sobre a rede - particularmente no uso de WLANs públicas devem abster-se.(Rei)

versões comprometidas TeamViewer estão a ser responsabilizado por hacks

(Foto: TeamViewer)

A empresa de segurança encontrou evidências de que usuários do Windows trojan versões TeamViewer são plantadas para espionar suas informações de login. Assim, o atacante pode assumir o controle de suas máquinas.

Estão equipados com uma porta traseira forneceu TeamViewer de downloads em circulação? Durante semanas, os usuários do TeamViewer reclamar em várias plataformas na rede que seus computadores foram atacados no software de controle remoto. informações relevantes também foram recebidos no Heise Segurança. desenvolvimento de software tinha excluiu categoricamente que os ataques foram provocados por um corte de seu próprio servidor. Agora informa a empresa de segurança Trend Micro de uma campanha de ataque com velhos, versões de buggy TeamViewer na Itália.

Crooks havia enviado mensagens de spam que baixar uma versão trojaned TeamViewer quando você clica em um arquivo JavaScript em anexo e executá-lo. Esta é uma versão antiga TeamViewer de 2010 com o número da versão 6.0.x - mas Trend Micro não descarta que, mesmo mais recentes versões manipuladas TeamViewer estão em circulação. A empresa de segurança especularam que campanhas semelhantes são responsáveis ​​pelos ataques observados recentemente.

O atacante não manipular o software TeamViewer diretamente, mas convidar para uma biblioteca DLL que contém as funções maliciosas para a amostragem de dados - um exemplo clássico de DLL hijacking.

Update - 16/06/2016, 15:36

Conversando com Heise Security, porta-voz do TeamViewer reiterou mais uma vez que os ataques e são especialmente senhas fracas para o conhecimento da empresa para sites de terceiros comprometidos base de acesso. Usuários de tal software deve ter um cuidado especial e certifique-se de que eles não reutilizar senhas. Caso contrário oferecidos nas listas de senhas de rede poderia ser usado para atacar instalações TeamViewer.(FAB)