За сървъри

За по-малко 10 минути 11-годишният Емет Брюър е успял да хакне системата за публикуване на резултатите от гласуване в американския щат Флорида. Постижението му е станало по време на 26-тото издание на конференцията DEFCON в Лас Вегас.

Самото състезание е организирано специално за деца, тъй като (според организаторите) „никой възрастен хакер не би се съгласил, тъй като е твърде лесно“.

Нико Сел – един от организаторите и създател на организацията r00tz Asylum за малки хакери – сподели, че друго 11-годишно момиче се е справило в рамките на 15 минути. Сел сподели и друга подробност от резултатите – 30 от 50-те деца са се справили със задачата за под 30 минути.

Важно уточнение е, че децата са се опитали да пробият защитата на реплики на сайтовете и мерките им за сигурност, а не на оригиналните такива.

„Това са много точни реплики на уебсайтовете. Не би трябвало проникването в тях да е толкова лесно за 8-годишно дете с половин час свободно време. Това е безотговорно от наша страна като общество“,
коментират организаторите

След състезанието последва изявление от правителството на САЩ:

Уебсайтовете безспорно имат уязвимости. Все пак е невероятно трудно да се направи реплика на сайта с точната база данни и мрежови мерки за сигурност в момента“. В изявлението се казва и че тези сайтове служат за съобщаване на резултатите, а не за техния пряк брой.

На това твърдение организаторите на събитието отговориха, че дори и промяната им козметично може да доведе до достатъчно вреда и хаос и че правителството трябва да обърне по-сериозно внимание на резултатите от състезанието.

Последен ъпдейт на 28 юни 2018 в 11:49 ч.

Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:

UDP-based Amplification Attacks

Protocol	Bandwidth Amplification Factor
Memcache	50000
NTP	556.9
CharGen	358.8
DNS	up to 179 [48]
QOTD	140.3
Quake Network Protocol	63.9
BitTorrent	4.0 – 54.3 [49]
SSDP	30.8
Kad	16.3
SNMPv2	6.3
Steam Protocol	5.5
NetBIOS	3.8

Източник: Wikipedia

За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.

Вече не може да разчитаме на това 

Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.

На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.

UPnP е протокол с дълго минало и множество проблеми касаещи сигурността

За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.

Какви са евентуалните проблеми с UPnP:

1. В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
2. Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
3. Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.

Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име  – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.

От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.

Маскиране на DDoS атака чрез UPnP пренасочване на портове

В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.

Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?

 

1. Откриване на общодостъпни UPnP устройства
   С помощта на IoT търсачката shodan.io, резултатът за българското пространството

За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.

2. Ето така изглежда XML който UPnP сервира

3. Промяна на правилата за пренасочване на портове
   В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила.
   
   Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.

 

4. Стартиране на замаскираната атака
   С направеното до тук, атаката следва следният сценарий:
   1. Уязвимият рутер получава DNS заявка на UDP/1337;
   2. Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
   3. DNS сървъра отговаря на заявката като със sourse port UDP/53;
   4. Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.

В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)

Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.

Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:15 ч.

На 28 февруари станахме свидетели на най-мащабната DDoS атака в историята на интернет. Добре познатия на всички сайт за хостване на проекти на разработчици GitHub попадна от лошата ѝ страна и принудително бе спрян, макар и за кратко.

Обемът на атаката е измерен на 1.35 Tbps (терабита в секунда), постигнати чрез средно 126.9 милиона пакети в секунда.

За атаката не е използвана ботмрежа, а много по-прост и лесен за експлоатация метод – използването на отговори от Memcached сървъри.

Нова механика за блокиране

Най-интересното в случая е самата механика зад атаката. Тя няма нужда от дистрибуцията на зловреден код до стотици хиляди устройства. Вместо това, авторите ѝ се възползват от лошо подсигурени и публично достъпни Memcached сървъри – машини, които оптимизират работата на бази данни като запомнят най-често достъпваната информация в RAM паметта си. Освен това, те имат и друга особеност – заявка от едва няколко байта може да получи отговор в размер на стотици килобайти.

По този начин, всеки атакуващ може да изпрати малък брой заявки към различни Memcached сървъри и да замени IP-то на изпращача с това на фирмените ви сървъри. Така вие ще получите огромен обем данни, усилен от неправилно внедрената UDP функционалност на Memcached услугата. Това дава и името на този тип атака – amplification attack (атака чрез усилване).

Защо е разумно да очакваме още такива инциденти

Въпреки че amplification атаките не са нищо ново, тази използва хиляди неправилно конфигурирани сървъри, за да изпълни целите си.

„Предимството“ на този вектор е, че е достъпен – няма мрежи за поддръжка и няма нужда от заразата на стотици хиляди машини, за да се достигне достатъчно голям обем от трафик. Като много други, той разчита на грешките в човешкия фактор.

Не е ясно на колко по-мащабни атаки ще станем свидетели докато се изчисти проблемът с публично достъпни memcached сървъри. Заради това е нужно да се действа сега – като скролирате до края на статията.

Съвети за потребители, системни администратори и разработчици

IP spoofing-a все още е разрешен от голяма част от интернет доставчиците, а филтрирането на фалшифициран трафик на потребителско ниво е почти непосилно за повечето. Ако използвате Memcached е нужно да станете част от решението преди да станете част от проблема:

Препоръките са дадени от CloudFlare в публикацията им относно инцидента. 

Потребители:

• Обновете софтуера си – последната версия на решението забранява UDP комуникация поначало.
• Ако използвате стара версия, можете да използвате –listen 127.0.0.1 при старт, за да накарате сървъра да „слуша“ изцяло локално или –U 0, за да забраните UDP изцяло.
• Използвайте следните команди, за да тествате дали сървърът ви е уязвим – ако получите празен отговор, значи всичко е наред:

$ echo -en „\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n“ | nc -q1 -u 127.0.0.1 11211

STAT pid 21357

STAT uptime 41557034

STAT time 1519734962

Системни администратори:

• Поставете сървъра зад защитна стена и не позволявайте UDP или TCP достъп до него.
• Използвайте описаните горе инструкции, за да забраните приемането на UDP пакети и да тествате за уязвимост. За да тествате TCP, можете да използвате nmap.

Разработчици:

• Ограничете използването на UDP комуникация в софтуера си, особено незащитена чрез оторизация такава. Има редица примери за това защо не трябва да го правите – DNS, NTP, Chargen, SSDP, а сега и Memcached. Ако използвате UDP, то е задължително да връщате по-малки като размер отговори на потребителските заявки.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:27 ч.

Уязвимост в неправителствената организация Let’s Encrypt и идеалната ѝ цел да осигури безплатни TLS сертификати на сайтове със споделен хостинг може да изиграе обратна роля – и вместо да помогне, да се превърне в проблем за сигурността на милиони интернет потребители. Причината: уязвимост, която при определени условия може да позволи издаването на сертификати за домейни върху споделен хостинг, от лица които нямат контрол върху тези домейни.

Какво е Let’s Encrypt и ACME?

Накратко – Let’s Encrypt започва като инициатива на ISRG (Internet Research Group). За да реализират инициативата, ISRG създават ACME (Automatic Certificate Management Environment) – протокол, който определя автоматизацията на процедурите между издателите на сертификати и уеб сървърите на потребителите им. Той използва три от т.нар. „10 благословени метода“ за потвърждаване на самоличността на притежател на домейн.

Методите са създадени заедно с група доброволно включили се производители и издатели на сертификати и са описани в документа „Baseline Requirements“ (секция 3.2.2.4).

За един от използваните – sni-tls-01– е открит начин да се експлоатира, в случай, че се използва от домейн, свързан със споделен хостинг.

Проблемът с ACME и споделения хостинг

Преди дни беше открита огромна уязвимост, която засяга всички, които използват Let’s Encrypt на споделен хостинг. Тя е осъществима чрез методите за потвърждение на самоличност на ACME и начинът, по който споделения хостинг работи. Cloud услуги като CloudFront и Heroku бяха също разкрити като уязвими, но чрез бърза реакция вече не позволяват експлоатирането на точно тази уязвимост.

Дупката в сигурността позволява на атакуващ да издава сертификати за външни домейни чрез споделен хостинг и в последствие да ги използва за предоставяне на вредно съдържание.

Какво значи това за нас?

За момента е спряно издаването на сертификати чрез tls-sni-01 и следващата му версия – tls-sni-02, както се споменава в официалното изявление на Let’s Encrypt. Всички cloud-based доставчици на хостинг също трябва да предприемат стъпки за „запушването“ на този пробив във сигурността, след като водещите такива откликнаха.

По-добри ли са платените сертификати?

Допускането на толкова сериозен пробив във сигурността може да накара някои хора да си кажат „за толкова пари – толкова“. Нужно е, обаче, да погледнем към сигурността на платените услуги – наистина ли е по-добра. Отдолу можете да видите изброени няколко инцидента, които ще ви дадат достатъчно ясна представа:

• Chrome забрани китайските издатели на сертификати WoSign и StartCom, след като беше разкрито, че им липсват основни практики за сигурност
• Chrome планира да елиминира изцяло „доверието“ си към Symantec сертификати, тъй като те не отразяват съвременните нужди за сигурност на бизнеса
• Холандската агенция DigiNotar стана източник на над 500 измамни сертификати, които послужиха за масирана атака срещу ирански сайтове и профили.

Tехнически подробности за уязвимостта можете да прочетете в подробното обяснение на самия ѝ откривател.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:28 ч.

Последно обновена на 12.01.2018, 11:50

Светът се сблъска с две от най-мащабните (и като обхват, и като ниво на опасност) уязвимости в историята си – Meltdown и Spectre. Пропуските в дизайните на процесите на Intel, AMD, Qualccomm и още десетки производители позволяват кражбата на чувствителна информация без знанието на потребителите – и без те дори да разберат. И докато технологичните подробности далеч не са за пренебрегване – то ето какво може да направите, за да се предпазите от ефектите на двете уязвимости – както и устройствата, които са засегнати от тях.

Историята, накратко

Meltdown и Spectre бяха „разкрити“ в тема сайт за споделяне на съдържание – reddit.com. Темата, наречена „Intel bug incoming” твърдеше, че процесорите на Intel, произведени през последните 10 години, са засегнати от критична уязвимост.

На преден план излиза това, че чрез експлоатация на една от функциите за ускоряване на работата на процесора, даден процес може да достъпи информация, която не би трябвало да бъде достъпна за него. Това се дължи на факта, че има пролука между пространството на паметта, където се изпълнява потребителски софтуер (user-mode address) и това, в което се съхраняват пароли, сертификати, криптографични ключове и др. (kernel-mode address). По този начин, зловреден код може целенасочено да достъпи до информация, запазена само за специфични процеси с право на достъп до нея.

Двата основни вектора за атака получиха имената Spectre и Meltdown.

Положението към момента

Засега са ясни следните неща:

• Всички видове процесори са засегнати донякъде. От ARM процесора на телефона ви, до IBM процесорите в суперкомпютрите
• Добавянето на допълнителен слой сигурност може да доведе до забавянето на производителността на процесорите с между 5% и 30%
• Най-засегнати от уязвимостите са продуктите на Intel, което ще направи и забавянето им по-осезаемо след патчване

До момента, при откриването на уязвимост или бъг в процесор, производителя му я поправя чрез т.нар. „микрокод“. Поради една или няколко все още неясни причини, „запушването“ на Meltdown и Spectre не може да се случи по този начин. Това накара производителите на процесори, заедно с тези на операционни системи, да работят по отстраняването на опасността на софтуерно ниво.

Засегнати производители

Ето част от засегнатите производители – и мерките, които те са предприели за решаването на проблема.

ПРОИЗВОДИТЕЛ	ОФИЦИАЛНА ПОЗИЦИЯ
A10 Networks	SPECTRE/MELTDOWN – CVE-2017-5715/5753/5754
Amazon (AWS)	AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD	An Update on AMD Processor Security
Android (Google)	Android Security Bulletin—January 2018
Apple	HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs HT208403: About the security content of Safari 11.0.2
Arista Networks	Security Advisory 0031: Arista Products vulnerability report
ARM	Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism ARM Trusted Firmware Security Advisory TFV 6
Aruba Networks	ARUBA-PSA-2018-001: Unauthorized Memory Disclosure through CPU Side-Channel Attacks („Meltdown“ and „Spectre“)
ASUS	ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Avaya	ASA-2018-001: linux-firmware security update (RHSA-2018-0007) ASA-2018-002: linux-firmware security update (RHSA-2018-0013) ASA-2018-004: linux-firmware security update (RHSA-2018-0012) ASA-2018-005: linux-firmware security update (RHSA-2018-0008) ASA-2018-006: linux-firmware security update (RHSA-2018-0014) ASA-2018-011: VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution. (VMSA-2018-0002)
Azure (Microsoft)	Securing Azure customers from CPU vulnerability Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
CentOS	CESA-2018:0007 Important CentOS 7 kernel Security Update CESA-2018:0008 Important CentOS 6 kernel Security Update CESA-2018:0012 Important CentOS 7 microcode_ctl Security Update CESA-2018:0013 Important CentOS 6 microcode_ctl Security Update CESA-2018:0014 Important CentOS 7 linux-firmware Security Update
Chromium	Actions Required to Mitigate Speculative Side-Channel Attack Techniques
Cisco	cisco-sa-20180104-cpusidechannel – CPU Side-Channel Information Disclosure Vulnerabilities Alert ID 56354: CPU Side-Channel Information Disclosure Vulnerabilities
Citrix	CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
CoreOS	Container Linux patched to address Meltdown vulnerability
Cumulus Networks	Meltdown and Spectre: Modern CPU Vulnerabilities
Debian	Debian Security Advisory DSA-4078-1 linux – security update
Dell	SLN308587 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products SLN308588 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking)
Digital Ocean	A Message About Intel Security Findings /a>
Dragonfly BSD	Intel Meltdown bug mitigation in master More Meltdown fixes
Duo Security	ArticlesIs Duo affected by the recent Spectre or Meltdown vulnerabilities?
Extreme Networks	Meltdown and Spectre (VN 2017-001 & VN 2017-002) VN 2018-001 (CVE-2017-5715, CVE-2017-5753 – Spectre) VN 2018-002 (CVE-2017-5754 – Meltdown)
F5 Networks	K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754
Fedora	Protect your Fedora system against Meltdown
Fortinet	Fortinet Advisory on New Spectre and Meltdown Vulnerabilities
FreeBSD	FreeBSD News Flash
Google	Google Project Zero: Reading Privileged Memory with a Side-Channel Google’s Mitigations Against CPU Speculative Execution Attack Methods
HPE	Side Channel Analysis Method allows information disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) HPESBHF03805 – Certain HPE products using Microprocessors from Intel, AMD, and ARM, with Speculative Execution, Elevation of Privilege and Information Disclosure.
Huawei	Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
IBM	Potential CPU Security Issue Potential Impact on Processors in the POWER Family
Intel	INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method INTEL-OSS-10002: Speculative Execution Branch Prediction Side Channel and Branch Prediction Analysis Method
Juniper	JSA10842: 2018-01 Out of Cycle Security Bulletin: Meltdown & Spectre: CPU Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
KEMP Technologies	Meltdown and Spectre (CVE-2017-5754 & CVE-2017-5753)
Lenovo	Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel
Linode	CPU Vulnerabilities: Meltdown & Spectre
Linux Mint	Security notice: Meltdown and Spectre
Liquid Web	Here Is What You Need to Know About Meltdown and Spectre
LLVM	D41723: Introduce the „retpoline“ x86 mitigation technique for variant #2 of the speculative execution vulnerabilities D41760: Introduce __builtin_load_no_speculate D41761: Introduce llvm.nospeculateload intrinsic
Microsoft	Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities Windows Server guidance to protect against speculative execution side-channel vulnerabilities SQL Server Guidance to protect against speculative execution side-channel vulnerabilities Surface Guidance to protect against speculative execution side-channel vulnerabilities Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mitel	Mitel Product Security Advisory 18-0001: Side-Channel Analysis Vulnerabilities
Mozilla	Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack („Spectre“)
NetApp	NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products
Netgear	PSV-2018-0005: Security Advisory for Speculative Code Execution (Spectre and Meltdown) on Some ReadyNAS and ReadyDATA Storage Systems
nVidia	Security Notice 4609: Speculative Side Channels Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels Security Bulletin 4614: NVIDIA Shield Tablet Security Updates for Speculative Side Channels Security Bulletin 4616: Security Bulletin: NVIDIA Tegra Jetson TX1 L4T and Jetson TK1 L4T Security Updates for Speculative Side Channels
Okta	Security Bulletin: Meltdown and Spectre vulnerabilities
Open Telekom	Open Telekom Cloud Security Advisory about Processor Speculation Leaks (Meltdown/Spectre)
OpenBSD	Meltdown
OpenSUSE	[Security-Announce] Meltdown and Spectre Attacks
OVH	Information about Meltdown and Spectre vulnerability fixes Find your patch for Meltdown and Spectre
Palo Alto Networks	Information about Meltdown and Spectre findings (PAN-SA-2018-0001
Pulse Secure	KB43597 – Impact of CVE-2017-5753 (Bounds Check bypass, AKA Spectre), CVE-2017-5715 (Branch Target Injection, AKA Spectre) and CVE-2017-5754 (Meltdown) on Pulse Secure Products
QEMU	QEMU and the Spectre and Meltdown attacks
QNAP	NAS-201801-08: Security Advisory for Speculative Execution Vulnerabilities in Processors
Qubes OS	Announcement regarding XSA-254 (Meltdown and Spectre attacks)
Raspberry Pi	Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Red Hat	Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 RHSA-2018:0008 – Security Advisory RHSA-2018:0012 – Security Advisory RHSA-2018:0013 – Security Advisory RHSA-2018:0014 – Security Advisory
RISC-V Foundation	Building a More Secure World with the RISC-V ISA
Riverbed Technology	Jan 05, 2018: Update on Meltdown and Spectre
SonicWall	Meltdown and Spectre Vulnerabilities: A SonicWall Alert
Sophos	128053: Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)
SuperMicro	Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
SUSE	SUSE Linux security updates CVE-2017-5715 SUSE Linux security updates CVE-2017-5753 SUSE Linux security updates CVE-2017-5754
Synology	Synology-SA-18:01 Meltdown and Spectre Attacks
Ubuntu	Ubuntu Updates for the Meltdown / Spectre Vulnerabilities
VMware	NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Vultr	Intel CPU Vulnerability Alert
Xen	Advisory XSA-254: Information leak via side effects of speculative execution

Как да се защитите?

Засега най-добрия ви вариант за навременна реакция е да следите новините от производителите, чиито процесори използвате, и потребителската общност, както и да се осведомите за бъдещи обновления за операционната ви система.

Информация за системни администрартори

Meltdown и Spectre са толкова комплексни като уязвимости, че е трудно решението им да бъде обобщено в един абзац или няколко реда. Въпреки това, имаме няколко полезни съвета и други материали:

1. Опознайте уязвимостите, за да разберете как да се пазите от тях. Например, тук както и ето тук. Блогът на Raspberry Pi има опростено обяснение на техническите специфики около уязвимостите – можете да го намерите тук
2. Можете да намерите много по-подробна информация за всеки производител на хардуер и софтуер относно уязвимостите в това github repository
3. Таблица с информация за това дали антивирусния ви софтуер предотвратява обновленията на операционната система и дали и как можете да го поправите можете да видите в Google Drive
4. Скриптове, които ви позволяват да проверите дали сте засегнати от уязвимостите можете да намерите за Linux и Windows 
5. Обновявайте софтуера на всички ваши устройства и следете за подозрителна активност

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

В последно време се убедихме, че потребителят действително е най-слабото звено в системата на информационна сигурност на една компания. Без значение дали става дума за откуп, фишинг или кражба на лични данни, изглежда, че винаги има намесен служител, който волно или неволно отваря вратите за киберпрестъпниците.

Служителят е най-слабото звено

Хакерите разчитат все повече на обикновените потребители в една система, за да получат нерегламентиран достъп до нея. Скорошно проучване показа, че всяка втора фирма на запад е била жертва на ransomware през последните 12 месеца, а повечето компании са претърпели един или друг киберпробив в системата си. България не е изключение от тази статистика. Да си припомним случая с фалшивия имейл от НАП, съдържащ архивен файл с троянски кон Nemucod, който подканваше потребителите да се запознаят с промени в регламента за подаване на приходни декларации. Разархивиране на прикачения файл на офисен компютър води до задействане на вируса, който от своя страна започва да тегли и инсталира други зловредни кодове, потенциално компрометирайки цялата система.

В повечето случаи в България и в чужбина, грешка от страна на служителя води до създаване и експлоатиране на уязвимости. Но именно фактът, че това се дължи на човешко действие прави тези вид заплахи толкова трудни за преодоляване.

 

Almost half of IT security incidents are caused by company employeeshttps://t.co/LpvclZBqho via @TechRepublic#training #security pic.twitter.com/vwVPeZT2u6

— Pensar (@Pensar_IT) July 18, 2017

Какви действия да предприемем, за да предпазим бизнеса си от човешка грешка?

Най-доброто решение за опазване на корпоративната инфраструктура от човешка грешка е превенцията, а отговорността за взимането на предпазни мерки е в ръководството на компанията.

Първата стъпка е въвеждането на корпоративни политики, които да са част от официалните правила на работа. Текстът трябва да е практичен, лесен за осмисляне и да съдържа най-често срещани случаи. Това ще увеличи шанса за спазване на правилата.

Втората, далеч по-важна стъпка, е инвестицията в трейнинги за информационна сигурност.

„Инвестирайте в трейнинги по информационна сигурност. Статистиката показва, че компаниите, чиито служители са преминали подобно обучение, са 75% по-малко уязвими спрямо останалите“, твърди Марк Брунели от американската фирма за криптирани облачни услуги Carbonite.

Експертът добавя, че това е най-ефективната „първа линия на защита“ срещу потенциална атака.

Третият подход, който препоръчват експертите е показването на съвети за поддържане на информационна хигиена по време на работа, например през push нотификации в Интранет или с имейл-напомняне към всички служители. Колкото по-често се показват тези съвети, толкова по-вероятно е те да бъдат следвани.

Ето пример за 5 простички правила, които всеки служител може да следва:

• Не отговаряйте на подозрителни имейли
• Няма случай, в който някой да има основание да ви поиска информация за потребителско име или парола! Не я давайте!
• Не кликвайте върху подозрителни линкове и банери!
• Ъпдейтвайте софтуера регулярно, включително и антивирусната си програма
• Замислете се дали има основание да предоставяте лична информация, когато ви бъде поискана

Не на последно място по-напредналите мениджъри могат да поискат инсталирането на специални софтуери за превенция на загуба на информация  (Data Loss Prevention [DLP]), които показват предупреждения в рискови случаи като изпращането на вътрешни документи към външни имейл адреси или използването на опасни програми и сайтове по време на работа.

Интегрирането на един или повече от тези подходи в работния процес ще намали значително риска от компрометиране на ключови бизнес процеси.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:52 ч.

Събитията, които действително могат да сплотят една компания не са много. Падането на сървъра безспорно е едно от тях.

Запознайте се с петте най-ефективни начина да се предпазите от подобен инцидент.

1. Поддържайте сървъра

Навлизането на облачните услуги сред бизнес сегмента успя да намали ефекта от сървърните крашове, но със сигурност не успя да елиминира подобни случаи. И дори част от инфраструктурата да е в облака, в повечето случаи, бизнесът продължава да ползва физически сървъри. Да не говорим, че болшинството български компании изобщо не се възползва от облачни услуги. Ето защо поддръжката и профилактиката на сървърите е толкова важна.

via GIPHY

2. Ъпдейтвайте често операционната система

Колкото и явно да ни се струва това, последните кибератаки с WannaCry и Petya ни доказаха, че дори и сериозни организации често забравят за тази на вид елементарна стъпка. WannaCry се оказа фатално ефективен защото се възползва от уязвимост в неъпдейтнати версии на Windows 7, но и от сървъри с Windows Server 2003. Затова е важно да се убедим, че компютрите и сървърите ни работят с активно поддържани от Microsoft операционни системи (никакви Windows XP и Server 2003).

Друг проблем е, че много от IT специалистите не искат и да чуват повече за сървърите веднъж настроили ги да работят правилно. Някои от тях достигат до абсолютно недопустими екстреми като изключват тотално процеса на автоматични ъпдейти на Windows. Да, тестването на пачове във виртуална машина (VM) отнема време, и да, Microsoft неведнъж е пускал бъгави пачове, но това не означава, че трябва съзнателно да държим операционните си системи неъпдейтнати, защото те непременно ще ни създадат главоболия един ден.

Най-новите версии на Windows дават повече контрол над това как и кога да се ъпдейтват операционните системи. Вижте тази статия за Windows Server 2016, за да се убедите сами.

3. Почиствайте сървъра

„Чакай, нали държа сървъра в затворено помещение?“

Браво, страхотно начало!

Още по-добро начало са сървърните поставки, рафтове и кабинети и подходящата микросреда. Но дори и в компанията, в която работите да има всичко това, сървърите неминуемо ще се пълнят с прах, а това води до намалена производителност и надеждност. Както всички знаем, съвременните процесори и видео карти автоматично намаляват производителността си, ако не получават адекватно охлаждане. За щастие висококачествените сървъри обикновено имат мощни перки за вентилация около критичните компоненти. Хайде, обаче, да се замислим какво друго прави една перка? Всмуква прах.

Ползвайте спрей с компресиран въздух, за да почистите внимателно сървърите, както отвън, така и отвътре. Внимавайте като впръсквате в перките. Разглобете и почистете отделно всеки един от филтрите, ако сървърната поставка има такива. Работете прецизно и търпеливо.

4. Качете сървъра на VM

Back-up сървър? Скъпо и неефективно. Виртуален сървър? Много по-добра идея.

Живеем във времена, в които можем да качим почти всеки сървър на VM, а това означава, че няма причина да не поддържаме копия на всичките си сървъри във виртуален вариант.

Освен, че е лесно, виртуалният сървър е далеч по-практичен от крепенето на още една купчина желязо в мазето на паркинга. Консолидацията на няколко стари сървъра в един виртуален сървър пък почти винаги ще доведе до повишена ефективност и пестене на време.

Ясно е, че не всички сървъри могат да бъдат виртуализирани заради лицензи, хардуерни пречки и други подобни, но това не е извинение да не качим тези, които могат да бъдат виртуализирани на VM.

За списък с това, което не трябва да виртуализираме, вижте тази статия.

5. Проверете за хардуерни проблеми

Дефектните компоненти са най-сигурният начин да пратим един сървър в гроба. Хардуерните грешки се проявяват най-често след POST (Power-on Self-test) процеса при стартирането на операционната система.. Проверете системните логове за хардуерни проблеми. Може да се окаже, че един обикновен ъпдейт на драйвърите решава проблема, а може и да се окаже, че нещо в сървъра е изгоряло.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.