macOS

Apple пусна актуализации на сигурността за iOS, macOS, tvOS, watchOS и Safari, за да отстрани множество уязвимости, включително активно експлоатиран Zero-day в macOS Big Sur.

Последният се отнася до проблем с разрешенията в рамката на Apple за прозрачност, съгласие и контрол (TCC) – нападател може да получи пълен достъп до диска или да направи запис на екрана ви, без да има нужда от изричното ви съгласие.

Актуализирайте възможно най-скоро вашите Apple устройства, за да намалите риска, свързан с уязвимостите.

Киберспециалисти разкриха информация за коригиран недостатък в приложението Telegram, който е можел да позволи на злонамерени лица да получат достъп до ваши тайни чатове, снимки и видеоклипове.

Става дума за недостатък във функционалността на чата и начина на обработка на анимирани стикери: Нападател е можел да ви изпрати неправилно оформен стикер и да получи достъп до информацията, обменена с вашите контакти в Telegram, включително и чрез тайните ви чатове.

Проблемът е засягал iOS, Android и macOS версии на приложението и е коригиран в периода 30 септември и 2 октомври 2020 г. – актуализирахте ли приложението си?

Разкритието напомня, че периодичните прегледи на сигурността са от решаващо значение при разработването на софтуер, особено при въвеждането на нови функции. Потребителите, от своя страна, следва редовно да прилагат наличните актуализации.

Прочетете още: Как визуализацията на линкове в чат приложения може да ви компрометира и Какво е добре знаете, когато си избирате приложение за чат

Ако използвате Apple iPhone или MacBook и техния браузър Safari, прочетете внимателно следващите редове.

Уязвимост в операционните системи на компанията позволява камерите на устройствата ѝ да бъдат хакнати просто с посещаване на легитимен уебсайт.

Как? Браузърът Safari разрешава достъп на сайтове до определени функционалности на устройствата – камера, микрофон и др., без да се иска съгласието на потребителя. Казусът идва при проверката на това кои сайтове имат подобни привилегии от операционната система. Така, може да се окаже, че ако сте дали позволение на легитимния https://example.com, фалшивият fake://example.com може да се възползва от него.

Проблемът е свързан с общо 7 уязвимости, открити от анализатора Раян Пикрен (Ryan Pickren), за което е получил награда от Apple в размер на 75 хил. USD. Те са запушени в Safari 13.0.5 и Safari 13.1.

Пример как работи самата уязвимост:

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Ако мислите, че за macOS няма вируси, помислете отново. Само за първата половина на годината вече има 10 успешни атаки срещу операционната система на Mac. А тенденцията е броят на тези заплахи да стават все по-голям.

Анализаторите от SentinelOne са събрали 10 успешно усвоени уязвимости за macOS само за последните шест месеца.

1. OSX.DOK инсталира скрита версия на браузъра Tor и други приложения, които крадат потребителски данни, следят трафика и комуникацията през устройството. Зловредният софтуер се активира чрез фишинг кампания и може да разчете интернет трафика, дори да е криптиран.
2. Както името подсказва, CookieMiner използва и криптоминер, и бекдор, за да се активира. След като устройството е заразено, зловредният софтуер се старае да открадне сметки за криптовалути и съответно да източи средствата на потребителя.
3. Lazarus е известен отдавна, но продължава да се използва, защото позволява на киберпрестъпниците да установят пълен контрол върху заразените устройства.
4. OSX.Pirrit използва реклами и браузъри, за да печели пари от търсенията в интернет на потребители, които са заразени. Заплахата пренасочва към измамни сайтове, чрез които устройствата се шпионират и хакерите крадат потребителски данни.
5. Зловредният софтуер OSX.Siggen се разпространява чрез фалшиво WhatsApp приложение. Хакерите достъпват до устройствата чрез бекдор.
6. Най-честият метод за разпространението на OSX.Loudminer са фалшиви копия на аудио софтуер като Ableton Live. Веднъж инсталиран, вирусът криптира данните в устройството.
7. KeyStealDaemon краде пароли и използва вече патчнати zero-day уязвимости. Атаката е успешна, ако потребителят не е ъпдейтнал операционната си система.
8. OSX/Linkerпък използва zero-day уязвимости, за които все още Apple няма пач. Разпространява се чрез фалшиви инсталатори на Adobe Flash Player. Хакерите могат да заблудят потребителя да изтегли опасно изображение и през него да изпълняват злонамерени кодове.
9. OSX-Mokes и OSX.Netwire/Wirenet се крият зад модификации на легитимни имена като „Dropbox“, „Chrome“ и „Firefox“. Заплахите използват бекдор и могат да снимат екрана на устройството, да следят натисканията на клавиши и съответно да крадат информация.
10. OSX/CrescentCore е заплаха, която се опитва да капитализира тегленията и търсенията от браузърите на заразени устройства чрез злонамерени софтуери като скеъруеър и блоатуер.

Факт е, че рекламните софтуери (може да) не са опасни – но е факт, че товарят излишно устройството и може да покажат реклами към потенциално опасни сайтове.

Ако използвате Mac, не мислете, че устройството ви е недосегаемо за хакери. Кибер престъпниците използват хитри методи за използване на уязвимостите в операционната система и могат да заблудят дори опитни IT специалисти.

Съветваме потребителите на устройства Apple да ги ъпдейтват редовно и да използват надеждни антивирусни програми.

Последен ъпдейт на 28 юни 2018 в 01:14 ч.

Ако използвате macOS или iOS, време е за ъпгрейд на операционната ви система, за да запушите 4 сериозни уязвимости в сигурността на устройството си.

От какво ще се предпазите:

1. Две от критичните уязвимости са CVE-2018-4200 и CVE-2018-4204. Те засягат WebKit, енджинът на уеб браузъра на Apple Safari (версиите му и за macOS, и за iOS. Те позволяват изпълнението на произволен код при посещение за заразени уебсайтове от страна на уязвими потребители.
2. CVE-2018-4187 е бъг в софтуера за парсване на уеб адреси от страна на QR четеца на операционната система. Благодарение на нея, може лесно да се създаде QR код, който да показва невинно изглеждащо име на хост в известието показано от устройството, докато връзката сочи към злонамерен сайт
3. CVE-2018-4206 – засяга Crash Reporter, приложението, което изпраща Unix краш логове на инженерите на Apple с цел откриване на потенциални бъгове, довели до забиване на устройствата. Грешката в него дава на приложението завишени права.

Ъпдейти за tvOS, watchOS и iTunes не са налични, но предвид предишния ни опит в подобни ситуации, можем да заключим, че може да ги очакваме скоро, тъй като WebKit е наличен и в тях.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:27 ч.

Органите на реда на САЩ са заловили 28-годишен мъж от Охайо на име Филип Дурачински. Според обвиненията той е използвал зловреден код, за да шпионира потребители, използващи Apple Mac компютри. Вирусът е именуван „Fruitfly” и е използван, за да наблюдава всички типове активност на потребителската машина, включително и уебкамерата.

Какво може да свърши един кибер престъпник за 13 години?

Дурачински, който ще бъден съден за редица обвинения, е създал и графичен интерфейс, който му е позволявал да вижда екраните на няколко заразени компютри едновременно. Смята се, че обвиняемият е използвал разработката си за да краде лична информация като пароли и „потенциално смущаваща комуникация“ между 2003 и 2017 г. Престъпникът е поддържал актуални записи с всичката открадната информация на заразените.

За негови жертви към момента се смятат хиляди лични и работни компютри, включително училища, бизнеси и дори едно полицейско управление. Смята се и, че Fruitfly е достигнал до обществени и правителствени компютри. Въпреки че осфактновната целева група са хората, използващи компютри на Apple, разследващите са намерили и варианти, които атакуват компютърни системи с Windows.

С какво това го различава от други подобни атаки?

Тринадесет години, на фона на скоростта на развитие на антивирусния софтуер, са прекалено много време един вирус да остане незабелязан. Fruitfly е атакувал машини с различно ниво на защита от незащитени потребители до хора с правителствено ниво на сигурност. Точно как атакуващият е постигнал това, не е ясно към момента.

Но нали за Mac няма вируси?

Тъй като злонамерен код за операционната система macOS X е по-рядко срещано явление, някои хора си мислят, че тя е вълшебно защитена от всички атаки. Факт е, че Windows е система, която е експлоатирана много по-често, но това се дължи най-вече на по-мащабното ѝ разпространение (по данни на netmarketshare.com към края на годината пазарният дял на macOS е малко над 8% спрямо близо 89% на Windows).

Затова, разумен избор е да не игнорирате заплахите за системата и да се предпазите с антивирусен софтуер. Това значително ще намали риска от подобна масирана атака, която може да ви коства много повече от адекватната защита.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:31 ч.

Последен ъпдейт: 03 октомври 2017 г. 

Рисковете от подслушване, подмяна и инжектиране на трафик при използване на слабо защитени  или отворени мрежи са често обсъждана тема, но какво ще кажете за рискове в защитените мрежи?

Wi-Fi Protected Access II (WPA2) е стандарт на повече от 10 години, който е задължителен за всички  WiFi обозначени устройства. До скоро се смяташе, че WPA2 е изключително сигурен и непробиваем. Преди дни двама белгийски изследователи публикуваха своите открития за слабости в имплементацията на протокола, които могат да бъдат използвани в серия от атаки известни  с името – „KRACK“ (Key Reinstallation AttaCK). Важно е да споменем, че тези слабости са документирани и преди, но рисковете за експлоатацията им са били теоретични… до сега.

Какви са опасностите при успешна атака?

На практика престъпници могат да използват тази иновативна техника за да се сдобият с информацията, която при нормални обстоятелства трябва да е достатъчно добре защитена (криптирана). Могат да бъдат откраднати финансови данни, пароли, чат съобщения, електронни писма, мултимедия и т.н…. В зависимост от настройките на мрежата, е възможно инжектиране и/или изменяне на информация, тоест сервиране на ransomware или друг тип malware в услугите и сайтовете, които посещавате.

Какво всъщност представлява KRACK?

Слабостта се крие в преинсталацията на ключовете за криптиране при злоупотреба на съобщенията за договаряне. От време на време, докато се договаря криптирането на безжичната връзка, клиента и точката за достъп (Access Point или само AP) трябва да съгласуват ключове.
За да се постигне това съгласуване се ползва протокол, който има четири стъпки – “four-way handshake”:

1. AP-то до клиента – хайде да се разберем за сесиен ключ. Ето малко еднократна и произволна стойност за изчисляването му;
2. Клиента до AP-то – добре, ето и от мен малко еднократна и произволна стойност за изчислението на ключа;В този момент, двете страни включват в изчислението и паролата за достъп до WiFi мрежата (така нареченият Pre-Shared Key или PSK). Така се изчислява сесийният ключ и се избягва прекият обмен на паролата, като се гарантира уникален ключ за всяка сесия.
3. AP-то до клиента – потвърждавам, че сме се договорили за достатъчно данни за конструиране на сесиен ключ;
4. Клиента към AP-то – да, така е. Потвърждавам!

Въпреки, че математически погледнато четирите стъпки описани до тук са напълно достатъчни за генериране на сигурен ключ, процесът може да бъде реализиран несигурно, което прави KRACK атаката възможна:

• Злосторникът стартира AP, което е двойник на истинското и клонира MAC адреса му, но оперира на различен радио канал. Така „лошото“ AP отклонява съобщение №4 и то не достига крайната си цел.
• Докато трае това „неразбирателство“, клиентът вече може да е започнал комуникацията с точката за достъп (AP), понеже и двете страни имат сесийният ключ, макар и да не са довършили докрай “four-way handshake” протокола.

Това означава, че клиентът вече генерира криптографски материал, наричан keystream, с който ще защити предаваната информация. За да е сигурно, че keystream поредицата никога не се повтаря, клиентът добавя nonce (число което не се повтаря) към сесийният ключ. Това число се инкрементира за всеки фрейм, което гарантира, че keystream-a различен всеки път.

Има няколко вида KRACK атаки, но при всички тях се разчита на преизползване на keystream данни, което води до криптиране на различна информация с един ключ. Респективно, Ако знаете един набор от данни, можете да разберете другия – това е най-добрият случай. Някои случаи са по-лоши от това, защото могат да доведат до пълно компрометиране на връзката.

Вижте още: презентацията на официалните откриватели на атаката.

Обратно към атаката:

• В даден момент, легитимното AP ще изпрати копие на съобщение №3, вероятно няколко пъти… докато „лошото“ AP не реши да пропусне съобщението до клиента.
• Тук идва и „кофти“ реализацията, която обезсмисля заложената математическа гениалност – клиента най – накрая финализира договарянето, като рестартира keystream-a и „реинсталира“ сесийният ключ (от тук идва и името на похвата). Стойноста на числото, което никога не трябва да се повтаря (nonce), също е върната към това което е била след съобщение №2.

На практика keystream последователността започва да се повтаря, което е голямо НЕ СЕ ПРАВИ ТАКА в криптографията.

„…всяко WiFi устройство е уязвимо към някоя от атаките. Oсобено опустошителен ефект има срещу Android 6.0 – принуждава клиента да използва предсказуем ключ за криптиране – само `0`“

Ако се знае съдържанието на първоначалният фрейм, може да се възстанови keystream-a използван за криптирането му > ако keystream-a е известен, може да се използва за декриптиране на последващите фреймове.
Атаката е успешна дори, ако нападателят успее да прихване дори няколко фрейма от дадена сесия.

Колко сме уязвими и как да се предпазим?
Въпреки, че всичко до сега звучеше доста заплашително и лесно за изпълнение, пък и доста медиен шум се вдигна, има няколко фактора които смекчават обстоятелствата:

• Атаката изисква нападателя да се намира физически в обхвата на WiFi мрежата. Иначе казано, ако видите подозрителна персона с качулка да удря по клавиатурата до домът или офисът Ви, имате сериозен проблем и той не е в WiFi настройките;
• Атаката е изключително сложна за изпълнение и лесна за неутрализиране – трябва просто да приложите последните актуализации върху точките за достъп или върху клиентите. Microsoft пуснаха ъпдейт адресиращ уязвимостта в началото на месеца. И Apple iOS устройствата, и macOS са уязвими! Тук може да намерите подробен списък със засегнатите операционните системи и производители, както дали вече имат ъпдейти с фиксове. Apple публикуваха патч за уязвимостта.
• Остават си препоръките за използване на сигурни протоколи (тези които завършват на „S“ обикновено са такива ;), както активиране на VPN при свързване с непознати и отворени мрежи.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:50 ч.

Повечето хора използват не повече от две електронни устройства – смартфон и лаптоп. В личен план нищо не боли повече от загубата на телефон, но пък загубата на работен лаптоп може да се окаже катастрофална в професионално отношение. Колко защитен следва да бъде лаптопът ви се определя от това колко ценна е информацията на него и до какви последици може да доведе загубата ѝ. Редица отрасли като журналистика, отбрана, право, финанси и медицина дори предвиждат наказания, ако позволите неволното ѝ попадане в чужди ръце, а за останалите, най-малкото с което ще се отървете, е мъмрене от шефа.

Ето защо ви предлагаме 8 стъпки за предпазване на лаптопа си от злоупотреба.

1. Съхранявайте възможно най-малък обем информация на твърдия диск на лаптопа.

Освен офис пакет и няколко полезни софтуера, един лаптоп наистина няма нужда от повече. Важните данни съхранявайте в облака или на десктоп компютъра си, а когато е необходимо, се логвайте дистанционно с подходящия софтуер. Повярвайте ни, това е вариантът с най-малко главоболия.

2. Поставете системна парола на лаптопа си.

Тя няма да ви защити напълно, но може да забави неопитните престъпници в случай на кражба. Това ще ви даде време за реакция и спокойствието, че не всичко е изгубено.

3. Създайте отделен дял с важната информация и го криптирайте.

Да предположим, че попаднете на истински „професионалисти“. Те първо ще пробват да се логнат с guest account (ако сте забравили да изключите тази опция при създаването на системна парола), а после ще инсталират друга операционна система (като Linux например), само и само да се доберат до информацията на диска. В такива случаи няма по-добра защита от криптирането. Използвайте софтуери за криптиране, като DESlock, VeraCrypt, или вградения към Windows BitLocker. Повечето подобни софтуери позволяват създаването на крипто-контейнери, криптирани дялове или цялостно криптиране на диска. Както дяловете, така и контейнерите са напълно недостъпни без парола, но при контейнерите получавате допълнително удобство. То идва под формата на виртуално устройство, съдържащо цялата криптирана информация, което лесно се закача и откача от лаптопа при активиране на софтуера.

4. Архивирайте и криптирайте отделни папки.

В случай, че криптирането на цял дял не е това, от което имате нужда, използвайте програми като 7Zip и AxCrypt. Те са леки, удобни и бързи и позволяват компресирането и критпирането на немалък обем данни.

5. Качете информацията в облака.

Малко неща могат да изкарат целеустремения докторант от равновесие. Загубата на 100 страници научен труд в някой междуградски автобус със сигурност е едно от тях. Ето защо е абсолютно наложително да използвате облачни услуги за съхранение на информацията си, била тя работна или лична. Вариантите са безбройни: Google Drive, Dropbox, OneDrive или дори собствен облак. Всички те гарантират, че информацията ви няма да изчезне при физически инцидент с лаптопа ви – обещание, което не може да очаквате от крадците.

6. Използвайте биометрична защита за достъп.

Някои модели лаптопи притежават вграден четец за пръстов отпечатък и позволяват само на собственика му да го отвори. Други имат инсталиран софтуер за лицево или ирис разпознаване през вградената уеб-камера на лаптопа. За съжаление биометричните защити все още не са на нужното ниво, затова ги използвайте като допълнителна, а не основна протекция. Пръстовият отпечатък и лицевото разпознване са интегрирани в последната версия на Windows като Windows Hello, а лаптопът трябва да има Intel RealSense-съвместима камера и добър сензор за пръстов отпечатък, за да получите качествена услуга.

7. Използвайте телефона си като устройство за двуфакторна автентификация.

Можете да направите това с програма, като ESET Secure Authentication, Rohos Logon Key, който предоставя добър избор от начини за допълнителна автентификация при достъп до лаптопа ви. Отключващото USB устройство в комбинация със софтуер е друг нелош вариант, който винаги е под ръка. Буквално. Защото го носите на ключодържателя си. За тази опция използвайте KeyLok и USB Raptor.

8. Инсталирайте проследяващ софтуер.

Като крайна, но спасителна мярка, можете да инсталирате програма, която позволява да локализирате липсващия лаптоп. Сред другите функции на подобни софтуери е дистанционно включване на уеб-камерата и дистанционно тотално изтриване на информацията. Windows 10 също поддържа функцията Find My Device, но чрез нея не можете да извършите отдалечено изтриване на данни.

Както винаги предпазните мерки, които ще вземете, са въпрос на личен избор. Но дори и да не предприемете нищо, поне не излизайте „на по бира след работа“ с работния лаптоп.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.