WPADia: 20 vuotta vanha protokolla tuo miljoonia käyttäjiä vaarassa

(Kuva: Microsoft TechNet)

WPAD protokollaa käytetään automaattisesti määrittää välityspalvelimia ja se edustaa pitkän tunnetun haavoittuvuutta. Tällä Black Hat turvallisuus konferenssi, tutkimus esittää nyt enemmän haavoittuvuuksia.

Web Proxy Auto- Discovery Protocol (WPAD) on ankkuroitu lähes minkä tahansa käyttöjärjestelmän koska Netscape 2.0 1996th Sitä käytetään automaattisen kokoonpanon välityspalvelimen päätelaitteelle ja on jo hyvin kauan tuttu heikko kohta. Ongelmana on, että reitittimet toimitettava asiakkaiden pyyntöjä tiedoston internetiin. Vastaukset siellä palvelin, se voi jaella välityspalvelimen asetuksia. Tämä koskee esimerkiksi kaikki taakse Fritz laatikko pohjaisia ​​laitteita. Ja Microsoft kiinnittää BadTunnel palasi äskettäin WPAD ongelma Windows.

paha välityspalvelimia

Joka viime aikoihin asti palveluksessa Trend Micro turvallisuuden asiantuntija Maxim Goncharov on löytänyt vakavan ongelman ympärillä WPADia: Esityksessään konferenssissa Black Hat, hän selitti, kuinka lähes mikä tahansa laite voidaan kytkeä virta kautta WPAD kanssa ilkeä välityspalvelinmääritystä - ilman käyttäjälle ja käyttöjärjestelmästä riippumatta väliintulon. WPAD standardi mahdollistaa periaatteessa myös asettaa sukat välityspalvelimen siten, että kaikki liikenne päätelaitteen vaikuttaa virtaa lopulta ohjataan hyökkääjä välityksellä. Mutta vaikka vain web proxy on perustettu, tätä enemmän tietoa mennä kynsistä puhdas selaimen liikennettä.

Ongelma perustuu siihen, miten haku liittimiin paikantimen jälkeen, josta haluat ladata Wpad.dat käytetyn tiedoston kokoonpano: Asiakas ottaa määritetyn DHCP-palvelin hakutoimialue (esimerkiksi foo.unternehmen.bar) ja sijoittaa WPAD. ennen (wpad.foo.unternehmen.bar). hän löytää lähiverkon myyjien URL hän ottaa aliverkkotunnus toisensa jälkeen (wpad.unternehmen.bar, wpad.bar) Koska pyynnön kunnes se lopulta kohtaa kelvollinen palvelimelle. Reitittimet välittämään näitä pyyntöjä ja Internetin ulkopuolella. Joten hyökkääjä hallitsee aluetunnus .bar hän voi periaatteessa tehdä kaikki asiakkaat kuuluvat vastaaviin hakutoimialue minkään Wpad.dat tiedostoja.

Salakuuntelija aluksella

Goncharov testattu tässä esimerkissä lentokentillä, konferenssi ja aluksella Lufthansan lennon San Franciscoon, jossa hän yksinkertaisesti nimi muutettiin hänen tietokone WPAD. Alone lennon aikana vihkossa ylsi yli 1200 tällaisia ​​pyyntöjä tietenkin vain muutamia erilaisia ​​laitteita oli vastuussa tästä. Hän myös rekisteröity koemielessä ylätason verkkotunnus (TLD) .tokyo, ennakoiden paljon pyyntöjä, koska 2020 olympialaisten pidetään Japanissa. Tulos: Vain yli puoli vuotta noin 2000 ilmeisesti kuuluvat kaupungin hallituksen Tokion asiakkaita pyydetään hieman yli 60 miljoonaa kappaletta sen toiminta on AWS pilvi hunajapurkiksi on Wpad.dat.

Saksassa tämä koskee erityisesti käyttäjille, jotka käyttävät Internetiä käyttäen Fritz ruutuun. Laitteet anna hakutoimialue ennen fritz.box. Kun TLD on .box aktiivinen, ei ole vielä selvää. AVM on tietojen mukaan kaiuttimen Urban Bastert tapauksessa suunnitelmasta ja haluaa rekisteröidä aluetunnuksen heti, kun tämä on mahdollista. On toivottavaa, että tämä onnistuu. Ylätason verkkotunnus tai toimialueen .box wpad.box aikoi kolmannelle henkilölle, tämä voisi määrittää automaattisesti kaikki toimivat takana Fritz laatikko navat välityspalvelinasetuksia.

Remedy? käsin

Reunalla Goncharovs esityksen konferenssin osallistujille osoitti, kuinka hän voisi siepata, https yhteydet kautta man-in-the-middle-menetelmällä. Vaikka todistus virheilmoituksen selaimessa. Lisäksi tutkijat huomautti, että yksi on rekisteröity verkkotunnus wpad.de Berliinissä asuva vuosia. Ilmoitettuaan poliisille asian osallistui ja oli käsi lokitiedostot Web-palvelimen - joka ei osoittanut mitään haitallista toimintaa. Vaikka on epäselvää, tukit muutettu. Lisäksi Goncharov täyttänyt valmistajalta Internet-suodattimen iOS-laitteissa wpad.com.tw 24 verkkotunnuksia, kuten wpad.sk, tai on wpad.org.cn rekisteröity. Mikä on tällä hetkellä epäselvä.

Suoja ongelma saada kotikäyttäjille, jos ne poistaa automaattisen välityspalvelimen kokoonpanon. Vaihtoehtoisesti voit reitittimeen tai palomuurin jokerimerkkinä suodatin WPAD. * Aseta jottei siirtää pyyntöjä internetissä. Yritykset voivat rekisteröidä verkkotunnuksen wpad.unternehmensnahme.de tai poistaa käytöstä automaattisen välityspalvelimen asetuksia ja määritä välityspalvelimen. Lisää vinkkejä löytyy valkoista paperia Trend Micro on julkaissut.

korjaus: korjattu vastaus AVM.(FAB)

Oikeudet haavoittuvuuden Android älypuhelimet kanssa Mediatek piirisarja

(Kuva: Mediatek)

Useat Android älypuhelin Mediatek piirisarja anna sovelluksien turvata pääkäyttäjän oikeudet. Varsinkin halpoja vempaimia kiinalaiset valmistajat näyttävät vaikuttaa.

Turvallisuus tutkija on löytänyt haavoittuvuuden Android älypuhelimet kanssa piirisarjoja valmistajalta Mediatek, joiden kautta hyökkääjä voi saada pääkäyttäjän oikeudet. Tämä on luultavasti virheenkorjaus ominaisuus, jota ei poistettu käytöstä valmistajien laitteita. Kirjasto vahvisti haavoittuvuus useita lähteitä, ei sanonut, mitkä laitteet täsmälleen osuma pyynnöstä Heise Security pelin.

Useat seikat osoittavat, että tässä on kyse älypuhelinten halpasavukkeiden peräisin kiinalaiset valmistajat. Lisäksi pääasiassa Android 4.4 näyttää (KitKat) vaikutti uudempia versioita Android 5.0: kuilu ei näkynyt. Kuilu on testitoiminto taustalla, joka tulee vain Kiinan markkinoille käytettäväksi. oikeudettoman sovellukset kautta järjestelmän ominaisuuksia tästä saamasta pääkäyttäjän oikeudet, jotka pitäisi lukea vain.

Ennen kaikkea käyttäjät ovat todennäköisesti vaarassa, lataa sovelluksia vaihtoehtoisten App myymälöissä. Nämä ovat hyvin suosittuja Kiinan markkinoilla. Kuitenkin, se on vaikea tarkasti rajoittaa, mitkä käyttäjät ovat alttiina vain yhden riskin, koska tällä hetkellä ei ole lista laitteiden kanssa raon.(FAB)

Aukko ImageMagick ja GraphicsMagick mahdollistaa uusia hyökkäyksiä

Manipuloitu tiedostonimi haittaohjelmia koodia popen () - Siirrä toiminto käyttöjärjestelmän suoritusta varten. Laastarit ovat käytettävissä.

Kuvankäsittelyä kirjastot ImageMagick ja GraphicsMagick sisältävät toiminnon, joka välitetään osissa, tiedostonimen kuoreen ja teloitettiin. Tämä voidaan hyödyntää pistää haitallista koodia. Grafiikka Magic-kehittäjät ovat sopiva toiminto niin summittaisesti poistetaan nyt julkaissut version 1.3.24 niiden avulla. Myös ImageMagick 7.0.1-7 ongelma on ratkaistu.

ImageMagick oli tullut vasta kuukausi sitten vain yksi otsikoissa kuin toinen haavoittuvuus (CVE-2016-3714) tunnettiin joista yksi voisi ajaa haitallista koodia vaikutusalaan palvelimilla. oli väärin, että tämä ero nopeasti hyökkäys osoittaa, kuinka tärkeää on päivittää vastaavaan kirjastot nopeasti. Tämä koskee pääasiassa Linux-palvelimia, joihin verkkosovelluksien. Varsinkin jos he antaa kävijöille mahdollisuuden lähettää omia kuvia - kuten hallituksen avatarit. Mutta monet työpöydän ohjelmia Linux ja Unix käyttää näitä kirjastoja taustalla.

Ylläpitäjien tulisi varmistaa, että ne ovat tarjonneet Linux paketteja ImageMagick ja GraphicsMagick asentanut uusimman. mutta uudet versiot voivat olla myös manuaalisesti sivujen suhteen hankkeiden: ImageMagick, GraphicsMagick.(FAB)

Kiinteät ikivanha vian Linux-ytimen: Dirty Cow

(Kuva: kernel.org)

Kilpailutilanteesta ytimen että paikalliset käyttäjät voivat korvata tiedostoja, että he todella pitäisi lukea se. Ytimen kehittäjät kuvaavat vialle "inhottava" ja suositella paikata mahdollisimman pian.

Linux-ytimen kehittäjät ovat vakava haavoittuvuutta ytimen suljettu. Haavoittuvuus (CVE-2016-5195) olisi voitu väärin paikallisten käyttäjien korvata tiedostoja, joihin ne ovat vain lukuoikeudet. Linux-järjestelmät, muun muassa oman käyttöoikeuksia voidaan siis ulottaa pääkäyttäjän oikeudet.

Haavoittuvuus nykymuodossaan vuodesta ainakin ytimen 2.6.22 - niin yli yhdeksän vuotta. Hänen koodi sitoutua fix mainittujen ytimen Torvalds päätoimittaja, että se on "antiikin bug" Kysymyksessä, joka yksitoista vuotta sitten, kun "huono" oli vahvistettu itse. Tämä muutos voi olla jälleen täytyy perua; Nyt haavoittuvuus kuitenkin lopulta kytketty. Keula on kilpailutilanne, joka oli enemmän esoteerinen luonne aluksi hyvin oli nyt mukaan Torvalds mutta helpompi ottaa käyttöön, koska itse ydintä ovat kehittyneet.

Uusi ydin versiot, joissa haavoittuvuutta oli suojattu, on jo valmistunut tai valmisteilla. Suojattavan ytimen 4.4.26, 4.7.9 ja 4.8.3 on jo saatavilla, versio 3.10.104 pian perässä. Suuret Linux myös työskentelee jo kuilun hyvin hoidetussa niistä ytimen paketteja.

Update - 20/10/2016, 20:38

Haavoittuvuus on nyt nimi: Dirty Cow. Tämän takana, ainakin osittain, epäsuorasti arvosteltu haavoittuvuuksia, jotka ovat kuluneet sisään nimi ja logo. Kuitenkin operaattorit myös kerätä rahaa FreeBSD ja ovat perustaneet verkkokaupan, joka myy kauppatavaraa.

mutta sivusto tekee myös hyödyllistä tietoa kuilu yhdessä. Kuitenkin kysymys siitä, onko yksi on haavoittuva, ei ole aivan luotettavia vastauksia perustuu selaimen käyttäjä agentti, koska käytetty versio Linux-ytimen ei tarkisteta oikein. (FAB)

SSL Gau: Testaa ohjelmat ja verkkopalvelut

Julkaisemisen valtavien heartbleed-haavoittuvuus kuilu on monia palveluja kiinni kylmä - kuten Adobe, LastPass, Web.de ja jopa VeriSign. Käyttäjät voivat verkossa tarkistaa, onko käyttämien palvelujen ne on jo suojattu.

Heartbleed-haavoittuvuus bug: Tällä GAU web salauksen

Heartbleed-haavoittuvuus bug: Tällä GAU web salauksen

Erittäin vakava ohjelmointivirheitä vaarantunut salausavaimia ja data varmuuskopioidaan OpenSSL yhteydet Internetissä. Kuilu tulevat myös luottamuksellisten tietojen, kuten selväkielisenä salasanoja. Yleisyyden vuoksi avoimen lähdekoodin kirjasto, tämä on katastrofaalisia seurauksia.

  • Joten heartbleed-haavoittuvuus hyödyntää teoksia
  • SSL Gau: Testaa ohjelmat ja verkkopalvelut
  • Salasanat vaarassa - mitä nyt?
  • Heartbleed-haavoittuvuus sairastuneille strutsi vaikutus
  • Salasana: heartbleed-haavoittuvuus ero katastrofaalisia seurauksia
  • Tietoa ja taustaa heartbleed-haavoittuvuus bug

Valtavien heartbleed-haavoittuvuus vian laajaa salauskirjasto OpenSSL mahdollistaa yhteyden kumppanit voivat hyökätä toisiaan. Herkissä web-palvelimia on kyse kyvystä lukea yksityisiä kryptoavaimilla muistista. Jolla hyökkääjä voi sitten purkaa SSL-liikenne on kaikille käyttäjille.

kiinni kylmä

Jotkut operaattorit palveluja kuten CloudFlare ilmeisesti aiemmin ilmoittanut löytäjä vika; Kuitenkin kriteerit, joiden tämän valinnan tehdään ole tiedossa. Näytteitä Heise Security osoittavat, että monien tahojen sivustot olivat tietenkään ole valmis vapauttamaan haavoittuvuuden yksityiskohtia. Aamulla, esimerkiksi Adobe.com, Web.de, VeriSign.com, Comodo.com ja sivuston online Password Manager LastPass olivat edelleen haavoittuva.

Yhtiöt ovat nyt kaikki vastanneet. Operaattorit online tehtävien hallinta Wunderlist on varotoimi pois pilvisynkronoinnin koska vuokra Amazonin palvelimilla vaikuttaa myös. Edelleen haavoittuva on tietenkin vain paikalla OpenSSL Project.

Iltapäivällä paikalle OpenSSL hanke on vieläkin herkemmin.
Iltapäivällä paikalle OpenSSL hanke on vieläkin herkemmin.suurentaasekkipalvelut

Kahdella testauspalvelut voit selvittää, jos käyttämien palvelujen olet haavoittuvia vielä eli filippo.io/Heartbleed ja possible.lv/tools/hb. Lisäksi on saman tekijän, Go-Script heartbleed-haavoittuvuus, jolla voit suorittaa nämä testit paikallisesti. voi check-ssl-heartbleed.pl Perl-skripti jopa postipalvelin testi STARTTLS. Päivitä 9. huhtikuuta 09:45: Samaan aikaan on myös testi moduuleja Metasploit, Nmap, Nessus OpenVAS ja sopivalla xkcd.

Useimpien Linux suojattavan OpenSSL-versiot ovat nyt tarjotaan pakettienhallinnalla. mutta jotkut ohjelmat, kuten Apache SPDY moduuli asentaa omia kirjastoja. Voit tarkistaa tämän, yksi nykyisin toimivat järjestelmässä kirjastoissa Linux voi lsof komennolla | grep näyttö libssl. Täällä, niin jotain näkyy sellaisenaan:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
VMware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

Samalla Sophos oli myönnettävä, että UTM laitteet (ent Astaro) ovat alttiita kuilu. Turvallisuus laastari on vielä kesken. Mutta on olemassa myös hyviä uutisia: OpenSSH ei vaikuta ensi silmäyksellä. Vaikka se käyttää perus salauksen toiminnot OpenSSL, mutta ei käytä haavoittuvia TLS toimintoja.(Rei)

Langaton reititin UPC jännitys salaisuus verkon

Itävallan laajakaistan tarjoajan UPC on toimittanut langaton reititin asiakkaisiinsa, dokumentoimaton span toinen, piilotettu WLAN, raportti turvallisuus tutkijoita SBA Research. Niinpä antaman mallin UPC Thomson TWG850-4U aina käyttänyt samaa SSID ja samaa WPA-avaimen tätä WLAN. Verkostoja piilotettua SSID eivät näy normaalissa langaton Genre päätelaitteet, täytyy tietää SSID vieressä WPA avain yhteyden verkkoon.

Piilotettu voima ei erotettuja-Fi, joten hyökkääjä voi käyttää sekä Internetiin ja muihin verkon tietokoneiden, mukaan tutkijat. Kutsumaton vieras voi jopa käyttää konfigurointiliittymästä reitittimen ja siellä luki asettamat UPC asiakkaiden WPA-avain, ja muuttaa kriittinen määritysparametrit.

Aikana lyhyt kiertue Wienissä tietoturvatutkija väittää omaavansa "satoja verkkojen vain muutaman korttelin" paikantaa että he voisivat ottaa haltuunsa. UPC tarjoaa mallin TWG850-4U ulos kaikille asiakkaille, jotka valitsevat Yhdistetyn tarjouksen TV ja internet. Mukaan aiemman julkilausuman laajakaistan tarjoajan käytössä noin 250000 asiakasta tämän paketin.

UPC on reagoinut nopeasti ja on vastannut torstaina kolmen päivän kuluttua ongelma tuli yleisölle hätätilanteessa laastari, joka on nyt vähitellen jaetaan automaattisesti hoidettavalle laitteisiin. Löytäjä kuilu vahvisti H Security että piilotettu WLAN ei enää puristettu firmware-päivityksen.

Samanlainen ilmiö havaittiin viime vuoden marraskuussa jo Hollannin UPC tytäryhtiön asiakkaille. Jälkeen firmware-päivityksen, toinen Thomson reititin on jakautuivat näkymätön verkkoon täällä. Kuitenkin yksi ei ole pääsyä konfigurointiliittymästä ja muiden verkon tietokoneiden kautta näkymättömän verkoston. UPC perustella tätä käyttäytymistä ajan "uusia mahdollisuuksia"Jotka suunnitellaan tulevaisuutta varten.

päivitys: UPC tiedottaja vahvisti ongelman Heise Security, ja ilmoitti, että jotkut 100000 jäljennökset ko langattoman reitittimen liikkeessä.(Rei)

Sormenjälkiohjelmistoon paljastaa salasanan

Jokainen, joka rekisteröityy kannettavan kanssa sormenjälkiskannerin osoittamalla sormella, on turvallisuuden ongelma voi: Ainakin laajamittaisen UPEK skannerit, jokainen, jolla on pääsy rekisteriin, lue kaikki Windowsin salasanat, ja käyttää sitä kirjautumiseen. Tässä raportissa kryptoperiodin asiantuntijoiden ElcomSoft blogissaan.

Sormenjälkiohjelmistoon paljastaa salasanan
UPEK Protector Suite on esitettävä parempi olla uskoa hänen Windowsin salasana.suurentaaProtector Suite oli ilmeisesti pitkään esiasennettuna kannettavia tietokoneita, jotka on varustettu sormenjälkitunnistin toimittaja UPEK. Erään nyt poistettu toimittajan etusivuluetteloon kaikki tunnetut Notebook valmistajat ovat varustaneet laitteiden UPEK antureita. Lisäksi ohjelma myydään myös erikseen.

Protector Suite tallentaa Windowsin salasanan käyttäjän rekisterissä sen saapuessa kirjautuminen sormenjäljellä. Salasanat ovat todellakin AES salattu, mutta salaus on ilmeisesti toteutettu virheellisesti: ElcomSoft on löytänyt tavan rekonstruoida salaamiseen käytetty salaista AES-avaimella. Ilmeisesti tämä on sama.

Sormenjälkiohjelmistoon paljastaa salasanan
Kehittämä ElcomSoft työkalu poimii selväkielisiä salasanoja kaikkien käyttäjien rekisterissä.suurentaaEsittelyä varten, salaus tutkijat ovat lähettäneet meille komentorivityökalu joka näyttää kolmen ensimmäisen merkkiä kaikkien käyttäjien salasanat oli Windows kirjautuminen aikaisemmin aktivoitu. Hyökkääjän on pääsy Windows-järjestelmän, se voi jo lukea kaikki salaamatonta tietoa ja myös muuttaa Windowsin salasanat päästä tilille käyttäjän. Hän ei kuitenkaan ole pääsyä tähän salattuja tietoja (EFS) on suojata esimerkiksi NTFS tiedostojen salauksen salaus. käyttäjän Windows-salasanaa tarvitaan niiden salauksen. Tällaiset vakooja voidaan estää esimerkiksi täyden salaus järjestelmän BitLocker tai TrueCrypt.

ElcomSoft suosittelee poistat kirjautuminen toiminto, joten tallennetaan rekisteriin salasana poistetaan. Kanssamme se ei johda toivottuun tulokseen. Senkin jälkeen muuttaa Windowsin salasana voisimme lukea sitä nykyisessä versiossa työkalun. Vain täydellinen asennus ajurista onnistui korjaamiseksi.

UPEKs emoyhtiö AuthenTec vahvistanut ongelman Heise Security, ja totesi, että he haluavat tarjota versio ladattavissa myöhemmin tällä viikolla, joka generoi salainen avain kovetetulla algoritmilla.(Rei)

Suurin saksankielinen maanalainen Forum offline: poliisitoimia vastaan ​​Crimenetwork.biz?

Näyttökuva CNW

(Kuva: archive.org)

Äskettäin huumeiden Marketplace Chemical Rakkaus suljettiin viranomaiset, nyt on spekuloitu onko online-foorumi crimenetwork.biz juuri toimitettu.

Äskettäin verkossa foorumi on crimenetwork.biz (CNW) offline. On äskettäin tiiviisti CNW huumeiden Marketplace Chemical Rakkaus sulki Viranomaisten on runsaasti spekulaatiota - varsinkin kun CNW ylläpitäjän olisi Ausgebüxt on viiden luku summa. CNW seuraaja on ilmeisesti jo suunnitteilla.

4000000 Viestit

Crimenetwork.biz luultavasti suurin saksalainen maanalainen foorumilla. Luultavasti alkoi vuonna 2006, se oli juuri ennen katoamista verkosta hyvin 8000 aktiivista ja 84000 rekisteröityä käyttäjää, jotka ovat kirjoittaneet hyvässä 190000 langat jaettu yli 4 miljoonaa viestiä. Kumpikaan pääsee tiistaista lähtien vain Tor Selain eikä versiossa pääsee avoimen web foorumin.

Sen jälkeen muissa yhteyksissä käsitellään mitä voidaan laukaista tämän. Sen jälkeen selvisi kaksi viikkoa sitten, että syyttäjät huumeiden Marketplace Chemical Rakkaus lopettamaan kohti raid ja pidätyksiä, ajatus järkeenkäypää että CNW palvelimet takavarikoitiin. Koska sen jälkeen, kun kaikki että (välityksellä vastaavien ylläpitäjät"synkronoida" kun kyseessä on CWN, "Z100" kun kyseessä on kemiallinen Love) on tunnettu, tätä tehneet tiivistä ja käyttää mahdollisesti jopa saman palvelimen infrastruktuuria.

On toisaalta mahdollista, että synkronointi on ratkaistu. Vaihtoehtoisesti koska ilma tuli ohuempi ratsian jälkeen ja pidätyksiä, kun kyseessä on kemiallinen rakkauden; tai että hän on tehnyt kanssa luovuttanut varoja, joista: Synkronointivektori liittyvä Bitcoin Lompakko oli joka tapauksessa selvitetty 10. toukokuuta, ja vastaa hieman yli 33500 dollaria todennäköisesti siirretään purkusovellukselle naamioida kassavirran. CNW tarjotaan, kuten monet muut maanalaiset foorumit tarjoavat myös escrow-palveluita.

CNW seuraaja ilmoitti

Foorumilla toimivat välittäjinä ostajien ja myyjien välillä. Kestää ostaja ja maksun myyjälle - tavallisesti digitaalisesti toimitettujen - tavara laskuri ja anna sen jälkeen maksutapahtuman ilmaiseksi. pitää kolmen ja 15 prosenttia summasta edunvalvojat itse, kertoo perehtynyt tullin pohjamaan asiantuntija kertoi Heise Security. Kun kyseessä on rikoksen Foorumin rahat olisi mennyt. Mukaan verkossa viestejä sync've maksanut summia uskottu hänelle enemmän lähtien toukokuun alussa.

Pian uutisen ei ole saatavilla CNW teki kierroksilla, YouTube-videon ilmoitti seuraaja foorumin. Annettuun osoitteeseen crimenetwork.cc on vielä nähdä, että sen pitäisi mennä kerralla, vain ilmoitus. Mukaan lähetetyt, foorumi ilmestyy 15. toukokuuta. seuraaja toimittaja Venäjällä 2x4.ru, joka on ilmaantunut aiemmin ns Bulletproof hosting isännöi. (ANW)

Android tuholaisten Tordow: pankkitoiminta Troijan mutanttijälkeläisen osaksi super-troijalaisia

(Kuva: AP, Britta Pedersen / arkisto)

Tietoturva-asiantuntijat varoittavat pankki- haittaohjelmia, joiden tehtävät pitäisi täyttää kaikki unelmat rikolliset: Troijalainen voi tehdä tulehtuneita Android-laitteisiin periaatteessa.

On mitättömäksi Tordow tuholaisten Android-laitteet eivät. Näin ollen, ainakin lukee analyysin tulos Kaspersky.

Pohjimmiltaan se oli pankki- troijalainen, joka voi saada pääkäyttäjän oikeudet, jotta hyödyntää eri tavoin tietoa. Root prosessi toimii yksityiskohtaisesti, Kaspersky ei selitetä. Aiemmin muiden tuholaisten jo onnistuneet kautta hyödyntämällä eri haavoittuvuuksia. On Android-laitteella kerran juurtunut, rikolliset voivat tehdä käytännössä kaiken tämän ja salakuunnella uhrejaan vaihteli.

Bug taskussa

On Tordow onnistuneesti juurtuneet, se voi esimerkiksi nauhoittaa puheluita, kopiointi tietokannan tiedot ja lataa lisää haittaohjelmia ja asentaa sen. Lisäksi tuholainen pitäisi pystyä lukemaan yhteyden tietoja, kuten salasanoja online-palveluita mobiiliverkkoselaimissa. Vaikka tämä ei ole mitään uutta tässä tiivistetyssä muodossa, mutta äärimmäisen huolestuttava.

Tordow reppuselässä on keksiä laillisia sovelluksia. Tällaiset manipuloitu sovellukset on Kaspersky väittää löytäneensä yksinomaan Googlen ulkopuolella Play. Joka asentaa suosittu sovellus tuholaisongelma aluksessa sekä sen mukaan tietoturva-asiantuntijat ei huomannut mitään vaarallisia tausta toiminta: laillinen sovellus eli toimii normaalisti ja käyttää tuholaisten salassa. Kuinka tunnistaa saastuttamia Tordow sovelluksia, Kaspersky ei selitetä. (Des)

Microsoft aikoo järjestää uudelleen palvelujen päivitykset

(Kuva: Kuvakaappaus)

Alkaen ensi viikon alussa, Microsoft ei enää tarjoa päivityksiä Microsoft Download Centerissä ladata.

Yksittäiset käyttäjät hakea Microsoft laikkuja tulevaisuudessa normaalisti kautta Windows Update ja yritysten kautta WSUS. Mutta tulevan laastari päivä ensi tiistaina yhtiö haluaa järjestää uudelleen lähteistä vähittäiskaupan ladattavaksi: Mistä käyttäjät eivät voi ladata kaikkia päivityksiä Microsoft Download Centerissä. Mitä päivitykset ovat, että Microsoft puutu.

Aiemmin korjaukset olivat rinnakkain Download Centeristä ja Update Catalog ladata. Microsoftin tietoturvatiedote tarkoitettu linkki laastarista päivä ensi viikolla Päivitä Catalog kun laastari ei näy Download Centerissä. Sitten Microsoft ehdottaa käyttäjille, jotka käyttävät työkaluja, jotka ovat riippuvaisia ​​linkkejä Download Centeristä.

Ne, jotka haluavat selata Update Catalog on, joka täytyy asentaa lisäosan lisäksi vain Internet Explorer menestystä. Luettelon itse pysyy suljettuna sen Edge verkkoselaimen Microsoftilta. (Des)

Vaarantunut TeamViewer versiot syypää hakata

(Kuva: TeamViewer)

Vartiointiliikkeeseen on löytänyt todisteita siitä, että Windows-käyttäjät trojaned TeamViewer versiot istutetaan vakoilla kirjautumistiedot. Joten hyökkääjä voi hallita niiden koneita.

On varustettu takaoven säädetty TeamViewer lataukset liikkeessä? Viikkoja, TeamViewer käyttäjät valittavat eri alustoilla verkossa että heidän tietokoneensa on hyökätty kaukosäätimen ohjelmisto. Asiaan liittyvää tietoa saatiin myös osoitteessa Heise Security. Ohjelmistojen kehittäminen oli kategorisesti sulkea pois, että iskut johtuivat hakata oman palvelimen. Ilmoittaa nyt vartioimisliikkeen Trend Micro hyökkäyksen kampanjan vanha, buginen TeamViewer versiot Italiassa.

Roistoja oli lähettänyt roskapostiviestit ladata trojaned TeamViewerin versio kun klikkaat liitteenä JavaScript-tiedoston ja käyttää sitä. Tämä on ikivanha TeamViewerin versio 2010 versionumero 6.0.x - mutta Trend Micro ei sulje pois, että vaikka uudempia manipuloitu TeamViewer versiot ovat liikkeessä. Vartioimisliike arveltu, että vastaavanlaisia ​​kampanjoita ovat vastuussa havaituista viime aikoina hyökkäyksiä.

Hyökkääjä ei manipuloida TeamViewer ohjelmisto suoraan, vaan kutsua DLL kirjasto, joka sisältää haittaohjelmia toiminnot näytteenottoa tietojen - klassinen esimerkki DLL kaappauksesta.

Update - 16/06/2016, 15:36

Puhuminen Heise Security, tiedottaja TeamViewerin toisti jälleen kerran, että iskut ja ovat erityisen heikkoja salasanoja tietoa yrityksen ulkopuolisten sivuille vaarannu pääsyn periaatteella. Käyttäjille tällainen ohjelmisto on oltava erityisen varovainen ja varmista, että ne eivät käytä samaa salasanaa. Muuten tarjotaan verkon salasanaa luetteloita voitaisiin käyttää hyökätä TeamViewer laitoksiin.(FAB)

Verkkokaupan palvelun Nexway ilmeisesti hienonnettu

(Kuva: AP, Karl-Josef Hildenbrand / Symbol)

Myymälän palvelu varoittaa asiakkaita vastaan, että rikolliset olisivat voineet vähentää datan asiakkaita eri verkkokaupoista. Nexway yhteistyötä väittää olevansa muun muassa Adobe, Amazon ja Eset.

Tällä hetkellä sähköisen kaupankäynnin palvelun lähetti Nexway sähköpostiviestejä asiakkaille eri verkkokaupoista ja varoittaa, että hakkerit ovat saattaneet vähentää henkilötietoja tilausprosessin aikana.

Tämä ilmenee ilmeisesti lailliset viestit välittäneen lukija Heise Security. Tässä viestissä verkkokaupan tarjoajan virustorjuntaohjelma Eset syntyy, jossa lukija on oletettavasti ostanut jotain. Ilmeisesti hakkerit ovat kopioidut tiedot kaupasta. [UPDATE] Kuten nyt on havaittu, jotkut ESETin asiakkaat ovat yksinomaan vaikuttaa eikä muita verkkokauppoja. [/ UPDATE]

Nexway viittaa tilanteisiin, joissa pyritään nyt suljettuun haavoittuvuutta. Tämä ei koske sitä, vaan yksilöidä ne porttina. Nykyisin hänen ostoksia järjestelmän pitäisi olla turvallisia.

Varoitus petos

Lisäksi asiakaspalvelu varma, että ne ovat ilmoittaneet yhteistyössä pankkien ja rahoituslaitosten tapahtuneesta. näiden tulisi "kaikki toimet, jotka voisivat liittyä hyökkäys" lohko.

Ilmoitti asiakkailla pitäisi myös olla niiden "Tarkista luottokorttilaskut ja tiliotteet nopeasti epäjohdonmukaisuuksia", Onko olemassa tapauksia, uhrit ilmoittaa laittomasta veloitetaan määriä lukita luottokortti ja mahdollisesti syytteitä.

Ei vastausta tähän mennessä

On epäselvää tällä hetkellä, onko kaikki shopin vaikuttaa Nexway haavoittuvuus. Näitä ovat 2K Games, Adobe, Amazon, Avast Software Eset ja Kaspersky.

Tuntematon on tällä hetkellä myös, mitä tietoja ovat pudonneet käsiin hakkereita. Koska varoitus sähköpostiviestin Nexway pitäisi olla selvää, että maksu tiedot on kopioitu. Onko hyökkäys myös log-in tiedot, kuten salasanat on vähennetty, palvelu on vielä selittää. Heise Security on tällä hetkellä kosketuksessa Nexway.

[UPDATE 28/11/2016 15:15]

Tiedottaja Nexway on vahvistanut hakkeri hyökkäys Heise Security. Tässä ovat tuntemattomia hyökkääjät ovat vaarantunut pieni osa infrastruktuuria sähköisen kaupankäynnin palveluntarjoaja ja on ollut käsikirjoituksen tutustua tiettyihin osto lomakkeita. Alttiutta ei tietokannassa tai kita käyttöjärjestelmä, vakuuttaa Nexway.

[UPDATE, 11.28.2016, 15:40]

Exploit sanotaan vaikuttaneen vain palvelin, joka isännöi verkkokaupoista Eset The Nexway tiedottaja selitti. Kuilu johtuu ihmisen vika ja on välittömästi kiinni. Kaikki vaikutti Eset asiakkaille on ilmoitettu, vakuuttaa Nexway.

Jatkuva teksti lisää. (Des)

Secunia PSI käytettävissä versiossa 2.0

Kun pitkä betatestiin, valmistajalla on lopullinen versio 2 Personal Software Inspector esittelyyn (PSI). PSI 2.0 päivittyy automaattisesti haluttaessa asennetut ohjelmat. Complimetary työkalu voi nyt siis ole vain tallentaa havaitsi puutteita, mutta myös korjata käyttäjälle kysymättä.

Erityisesti kolme Secunia yleisimmin väärin hyökkääjät sovellusten (Adobe Flash, Java (JRE), ja Adobe Reader) toimitetaan mahdollisimman nopeasti tärkeitä laastaria. Lisäksi PSI voidaan päivittää Flash plugin Firefox sekä Internet Explorerin ilman lisätoimia. Käytännössä tietokoneissa usein vain toinen kahdesta laajennuksia tasalla.

Secunia PSI käytettävissä versiossa 2.0
Surfing Tietokoneen voi olla turvallisuusriski.suurentaaKaikkiin paikkoihin missä PSI tukee automaattinen päivitys on merkitty skannaus katsauksen AU. Kuitenkin Apple QuickTime, toinen aloituspiste hyökkääjät kuullut olla tekemättä niin. Siellä, käyttäjän täytyy käsin puuttua. PSI Käyttöliittymä on kokonaan uusittu valmistajan on nyt, ei kuitenkaan selkiytyvät. PSI asennettu oletuksena palveluna järjestelmässä ja tehdä tilannekatsauksia muutoksia tai ongelmia huolellisesti.

PSI 2.0 tuo myös API, jota voidaan käyttää skannaamaan palvelimelle Secunia omasta turvallisuudestaan ​​sovellusten kehittäjien. Kuitenkin API ei voi käyttää tuotteissa, jotka ovat suorassa kilpailussa kaupallisten tuotteiden Secunia.(Dab)

Disassembler IDA Pro 6.0 julkaistiin

Disassembler IDA Pro 6.0 julkaistiin
Linux pinta IDApro perustuu graafisen kirjaston Qt.suurentaaBelgian ohjelmiston valmistaja Hex Röntgenkuvat on julkaissut purkava ja debuggeri IDA Pro-versio 6.0 ja versio 1.4 Decompiler. Merkittävin uusi ominaisuus on kiistatta täysi tuki Linux ja Mac OS X, sekä graafinen disassembler ja Decompiler. Toistaiseksi Linux- ja Mac-käyttäjät ovat rajoitettu disassembler / debuggeri ja heillä oli häntä käyttävät liian yksioikoinen tekstiä käyttöliittymä ja valuutta eroaa Windows näppäimistöasettelu. Uusi käyttöliittymä Linux ja OS X on Qt-pohjaisia ​​ja perustuu suurelta osin klassiseen Windows GUI. Tavallinen monille IDA Pro käyttäjät käsittelemään Windows VM voi siis tulevaisuudessa usein pois.

Disassembler IDA Pro 6.0 julkaistiin
Mac-versio ei vaadi X11. Se perustuu kuin Linux-versio Qt.suurentaaMuut parannuksia ovat lisäksi erilaisia ​​korjauksia ja joitakin parannettuja ominaisuuksia, mutta vain Windowsissa muuttuu hieman. Hanketietokannat (.idb tiedostot) ovat nyt valmistaja lukemaan nopeammin ja kirjoitettu, disassembler voi nyt lukea HP-UX päätiedostojen, IA64 tukea on parannettu, ja on nyt jäsennin Mach-O-tiedostoja , Decompiler, esittää muun ENUM-bittinen kentät, viittaukset haihtuvaan muistiin alueilla ja oktaali järjestelmä. Hinnat disassembler, decompiler ja uudistamiset säilyi ennallaan: lähtöhinta IDA Pro on 630 euroa Standard Editionin Decompiler x86 tai ARM kukin maksaa noin 1720 euroa. Sillä niput on alennuksia.

Katso myös:

(Kr)

Lentokoneiden Mars Rovers: aukon reaaliaikaisesti käyttöjärjestelmä VxWorks

Reaaliaikainen käyttöjärjestelmä VxWorks on haavoittuva ja hyökkääjät voivat suorittaa mielivaltaista koodia. Järjestelmä tulee noin 1,5 miljardia laitteita käytetään - myös Mars Rover Uteliaisuus

Versiot 5.5 kautta 6.9.4.1 on reaaliaikainen käyttöjärjestelmä (RTOS) VxWorks Wind River gapes haavoittuvuuden, joka voi toimia hakkeri kaukaista tunnus. Tämä johti Kanadan tietoturvatutkija Yannic Formaggio vuonna luennon 44CON. VxWorks on myös lentokoneiden ja Mars Rover Uteliaisuus käytetty. Kaiken RTOS juosta noin 1,5 miljardia laitteita maailmanlaajuisesti.

Turvallisuus tutkija on alistetaan järjestelmä on fuzzing testi ja syötetään tietoja, joita ei ole odotettavissa. Hän pystyi ohittaa kaikki muistiin suojamekanismeja, aiheuttaa puskurin ylivuodon ja laittaa takaoven tilin väittää olevansa. Sen jälkeen hän totesi mielivaltaisen koodin. Erityisellä käyttäjätunnuksen ja salasanan, hän on myös tuonut FTP palvelin RTOS kaatumisen.

Wind River on vahvistanut aukko VxWorks ja toimii väittää olevansa laastari. Formaggio julkaisee lisätietoja, hyväksikäytön, hän ajattelee toistaiseksi takaisin. Paitsi löysi aukon RTOS Formaggio mukaan tulisi suojella, mutta vakuuttava.

Hyökkäys uteliaisuus haavoittuvuus löydettiin kuitenkin väärä, sillä vain NASA on kosketuksissa Mars Rover. mutta VxWorks ero ei ole ainoa virhe ohjelmiston uteliaisuudesta; Mars Rover on jo lentänyt toisen haavoittuvuuden Marsiin.

[UPDATE 15/09/2015 11:20]

Harhaanjohtava otsikko säätää.(Des)