Security week 30 adups знову за своє, як закешовану некешіруемое, в контейнерах docker - небезпечний
Після неслабкого скандалу Adups заявили. що, по-перше, зовсім навіть не шпигували, по-друге, зовсім не за завданням китайських держорганів, а, по-третє, вони не спеціально і більше так не будуть. Пройшов майже рік.
І ось Kryptowire знову розкрили тему злодійства Adups. Неймовірно, але факт: наш герой продовжує в тому ж дусі. Точніше, як і раніше поставляє в Китай ідентифікатори базових станцій, список встановлених додатків, серійні номери SIM і IMSI. Перевірено на двох моделях - Blu Grand M і Cubot X16S.
Головне у всьому цьому навіть не те, що Adups не перестав шпигувати, а що через рік після «сеансу магії з викриттям» їх продукти хтось продовжує використовувати.
На BlackHat показали новий метод вилучення персональних даних з серверів
Новина. Хороша нинішня конференція BlackHat в США і доповіді на ній цікаві. Ось, наприклад, наша людина з Лас-Вегаса пише, що Омер Гіль з EY Advanced Security Center представив новий спосіб атаки на CDN-сервіси типу Akamai і Cloudflare - злом без злому. Це коли за певних умов сервер видає закешовану сторінки іншого користувача.
Дослідник описав механізм атаки наступним чином. Припустимо, є URL - 'www.example.com/personal.php', який посилається на контент з важливими даними, які кешувати не покладається. Хакер змушує жертву виконати запит 'www.example.com/personal.php/bar.css' (для цього є маса способів). Сервер на це видає сторінку 'www.example.com/personal.php' з важливою інформацією жертви - файли cookie-то у неї є. При цьому кешуючий проксі справедливо розцінює 'www.example.com/personal.php/bar.css' як запит на неіснуючий, але підлягає кешуванню файл bar.css і зберігає натомість вміст '/personal.php'.
Рівно такий же фокус можна провернути з більш ніж 40 розширеннями: aif, aiff, au, avi, bin, bmp, cab, carb, cct, cdf, class, css, doc, dcr, dtd, gcf, gff, gif, grv, hdml, hqx, ico, ini, jpeg, jpg, js, mov, mp3, nc, pct, ppc, pws, swa, swf, txt, vbs, w32, wav, wbmp, wml, wmlc, wmls, wmlsc, xsd і zip. Після цього хакер спокійно заходить на шуканий URL і отримує з кешу сторінку з введеними персональними даними - наприклад, платіжної карти. З досвіду Гіля, кешированниє файли в зазначених сервісах зберігаються близько п'яти годин. Гірше того, кешированний запит може містити CSRF-токени, ідентифікатори сесії, відповіді на секретні питання, тобто це вже пахне викраденням облікового запису.
До честі Akamai і Cloudflare, обидва сервісу визнали проблему. Самі вони запобігти подібній атаку не можуть і закликають вебмайстрів подбати про захист своїх сайтів - щоб за запитом на неіснуючий файл не видавали розташоване вище вміст.
У контейнерах Docker навчилися ховати зловредів
Новина. Продовжують надходити кул Сторіс з конференції BlackHat USA. Цього разу учасники викрили Docker. Цим модним засобом для налагодження і розгортання додатків в середовищі віртуалізації зараз користуються багато розробників. Дослідники з Aqua Security показали, як можна впроваджувати в контейнери Docker малваре, спорудивши по суті подвійне дно.
Тимчасове рішення проблеми - оновити Docker, дозволити мережевий доступ тільки аутентифицироваться клієнтам, заблокувати порт 2375 на інтерфейсі віртуальної машини Moby Linux за допомогою файрволла, а щоб уникнути розповзання шкідливого коду по мережі відключити LLMNR і NetBIOS на всіх комп'ютерах.
Наскільки небезпечна така атака поки не дуже зрозуміло, проте потенційно це реальний спосіб впровадження в конвеєр розробки популярних додатків. Наслідки можуть бути дуже сумні. Мало не буде нікому.
Резидентний безпечний вірус. Стандартно заражає COM- і EXE-файли при зверненні до них. Перехоплює int 1Ch і 21h. Залежно від значення свого внутрішнього лічильника досить активно обсипає літери на екрані.
