Често задавани въпроси

Специалистите от Heise Security са направили анализ на Easy Nova Data Box PRO-25UE RFID - евтина кутия за харддиск, която според рекламите поддържа 128 битово AES криптиране + RFID чип. Но дали получавате това, за което плащате ? Според анализа на Heise, всъщност записаната информация на диска е криптирана с прост XOR шифър, който е елементарен за разкодиране. При запитване, отправено към производителя на кутията се оказва, че с AES се криптира само и единиствено при съхранението на ID-то на RFID чипа във флаш-паметта на контролера ( IM7206 ). Казано с други думи - пълна измама и security theater. Според компанията, следващият контролер - IM8202, който все още се разработва, ще предложи същинско AES криптиране на данните.

Оказва се, че на пазара има и други производители, които използват същия контролер в своите продукти, така че внимавайте какво купувате и как ви го рекламират:

• STYSEN E08 RFID Security Mobile Disk
• DoTop RFID SATA to USB storage
• Agestar RFID Security External Enclosure SRB2A
• Silverstone Treasure TS01B
• Sharkoon Swift-Case Securita

Полицията в Квебек е претърсила няколко къщи и е арестувала 14 човека на възраст от 17 до 26 години, в разследване на група, организирала ботнет ( бот-пастири, bot-herders ), които са отговорни за заразяването на близо 1 милион компютъра в Бразилия, Полша, САЩ и Канада. Интересното в случая е, че оценките на печалбата, извлечена от бот-мрежата, възлизат на 45 млн долара.

Много често в по-големите офиси се инсталира нов мрежови многофункционален принтер ( някои фирми дори го наричат “документен център” ), който освен баналното разпечатване на документи, може и да сканира, подвързва, пере, глади, изпраща факсове, прави кафе и т.н. Това, което много често се забравя е, че всъщност в тези устройства работят по-скоро като сървър от по-нисък клас или дори работна станция - със всичките рискове по сигурността, които произлизат от това. Най-често са базирани на Linux, a за почти задължителният web-интерфейс се ползва добре известния Apache сървър. Ключовото тук е, че използваните дистрибуции и версии на приложенията бързо остаряват и докато при нормалните сървъри е (относително) лесно да се обнови софтуера с такъв, при който са запушени откритите уязвимости, то при многофункционалките това съвсем не е така. При тях трябва да се чака нова версия на софтуера от производителя, а в повечето случаи този софтуер е фокусиран върху производителността и възможностите на принтера, а не върху сигурността. Това недоглеждане довежда до относително ниското ниво на защита на тези устройства. На пръв поглед - нищо особено, най-много някой да разпечата 500 страници със случаен текст от другата страна на океана, нали ? Да, ама не - ако някой има достъп до този принтер, това означава, че има копие от всички документи които се принтират, а в много случаи - и до тези, които само се копират. Помислете си какво би означавало някой да има копие от всичките версии на договорите, фактурите, фишове за заплати и т.н. и колко би платил конкурента ви за подобна информация.

Technorati : security, принтер, сигурност

Какво правите, когато дойдете в София с “Мерцедеса” си и трябва да напазарувате в Кауфланд ? Съвсем правилно - спирате го не само така, че да пречи на движението, но и да запуши поне едно място за паркиране. Ако е място за инвалид - печелите бонус точки.

В скорошно изследване Georgia Instutute of Technology и Google оценява броя на фалшивите DNS сървъри в Интернет на около 68000. Това са сървъри, които контролирани от престъпници¹, връщат погрешна информация на заявките, отправени към тях, като по този начин подвеждат потребителите. Атаката работи по следният начин - когато напишете адрес в браузера си, браузерът пита DNS² за IP адреса на искания от вас сайт. Ако конфигурирания DNS сървър е компрометиран, или компрометиран сървър успее да прехване заявката и да отговори вместо питания сървър, вие получавате грешен адрес, който ви отвежда или на страница, която страшно много прилича на търсената от вас или на сайт, затрупан от реклами. В единият случай се цели да се прехванат вашите лични данни ( адрес и парола за електронна поща, имена, адреси, кредитни карти ), а в другия случай - директна печалба от показваните реклами.

Въпреки, че този тип атаки не са нови, напоследък се забелязва увеличението им, в повечето случаи съчетано с някаква друга атака - опит за инсталиране на бот, целенасочена атака към организация или вирус, който подменя DNS настройките, така че заявките да отидат към измамнически сървър.

Както става в повечето случаи - има решение на проблема, което се поддържа от голяма част от браузърите, операционните системи и сървърите, но поради инерцията и ниската квалификация на огромна част от администраторите и техническия персонал, тази защита не се имплементира. Всъщност решението е просто - с помоща на цифрови подписи всеки DNS отговор се подписва от сървъра, което го аутентифицира пред потребителя. Това обаче ще добави значително натоварване към DNS сървърите, както и ще причини допълнителен трафик през мрежата, който не е за пренебрегване. Все пак само за отварянето на една страница браузърът може да генерира десетки и дори стотици DNS заявки ( макар, че това е белег на лош дизайн ).

Technorati : dns, интернет, сигурност, сървър

1. нарочно не ги наричам “хакери” и не добавям нищо “електронно”. Те са си престъпници. [обратно горе↩]
2. Domain Name Server [обратно горе↩]

Guofei Gu, Junjie Zhang, and Wenke Lee ( дори не смятам и да се опитвам да ги произнеса ) от Georgia Tech са разработили прототип на нов софтуер, който е способен да засича и унищожава ботнети. Софтуерът, наречен BotSniffer е разработен като плъгин към добре известния IDS с отворен код Snort¹. Използвайки статистически методики за откриване на аномалии, софтуерът е способен да разпознае наличието на ботнет по комуникацията за контрол и управление, често прикрити като HTTP или IRC протоколи. Основно предимство е факта, че по този начин могат да бъдат разпознати и сървърите, които управляват този ботнет. Този прототип е първата стъпка към комерсиалните пакети за разпознаване и унищожаване на ботнети.Явно е, че борбата с тях се влива в руслото на антивирусните пакети, където големите компании като McAfee, TrendMicro, Symantec вече добавиха определена функционалност в тази насока към своите пакети. Ботнетите вече се разпознават като сериозна заплаха за сигурноста в Интернет и оперирането на ISP-та и дори по-големите ботнети си имат посветени сайтове за наблюдение - например в TrustedSource за любимият ми Storm.

От другата страна на фронта, при създателите на ботнети, тази стъпка ще доведе до усложняване и поумняване на ботнетите, използване на нови, криптирани протоколи за комуникация и изграждане на P2P мрежи за децентрализирано управление на ботнета - все неща, които малко по малко почнаха да си проправят път.

Ето и линк към описанието на алгоритъма и прототипа: BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic

Technorati : антивирус, ботнет, мрежи

1. BotSniffer е отделен и независим пакет от Snort [обратно горе↩]