Седмица на сигурността 30 Adups отново на път, как да кеширате некеширани в Docker контейнери - опасно
След не слаб скандал, Adups заяви, че, първо, те изобщо не са шпионирали, второ, изобщо не по инструкции на китайските правителствени агенции и, трето, не са го направили нарочно и няма да го направят отново. Измина почти година. Kryptowire отново повдигна темата за злодеянието на Adups. Невероятно, но факт: нашият герой продължава в същия дух. По-точно, той все още доставя в Китай идентификатори на базови станции, списък с инсталирани приложения, SIM и IMSI серийни номера. Тестван на два модела - Blu Grand M и Cubot X16S.
Основното във всичко това дори не е, че Adups не е спрял да шпионира, а че година след „магическата сесия с експозиция“ някой продължава да използва техните продукти.
BlackHat показа нов метод за извличане на лични данни от сървъри
Новини. Сегашната BlackHat конференция в САЩ е добра и докладите на нея са интересни. Например наш човек от Лас Вегас пише, че Омер Гил от EY Advanced Security Center е въвел нов начин за атака на CDN услуги като Akamai и Cloudflare – хакване без хакване. Това е, когато при определени условия сървърът издава кеширани страници на друг потребител.
Същият трик може да се направи с повече от 40 разширения: aif, aiff, au, avi, bin, bmp, cab, carb, cct, cdf, class, css, doc, dcr, dtd, gcf, gff, gif, grv, hdml, hqx, ico, ini, jpeg, jpg, js, mov, mp3, nc, pct , ppc, pws, swa, swf, txt, vbs, w32, wav, wbmp, wml, wmlc, wmls, wmlsc, xsd и zip. След това хакерът спокойно отива на желания URL адрес и получава от кеша страница с въведените лични данни - например платежна карта. Според опита на Гил, кешираните файлове в тези услуги се съхраняват за около пет часа. Още по-лошо, кешираната заявка може да съдържа CSRF токени, идентификатори на сесии, отговори на секретни въпроси, тоест вече намирисва на отвличане на акаунт.
За чест на Akamai и Cloudflare и двете услуги признаха проблема. Самите те не могат да предотвратят подобна атака и призовават уеб администраторите да се погрижат за защитата на своите сайтове - така че при заявка за несъществуващ файл да не се раздава съдържанието, разположено по-горе.
Docker контейнерите се научиха как да скриват зловреден софтуер
Новини. Страхотни истории от конференцията BlackHat USA продължават да пристигат. Този път участниците разкриха Docker. Този модерен инструмент за отстраняване на грешки и внедряване на приложения във виртуализационна среда вече се използва от много разработчици. Изследователи от Aqua Security показаха как зловреден софтуер може да бъде инжектиран в контейнери на Docker, като по същество се изгражда двойно дъно.
Заобиколно решение е да актуализирате Docker, да разрешите мрежов достъп само на удостоверени клиенти, да блокирате порт 2375 на интерфейса на виртуалната машина Moby Linux с помощта на защитна стена и да деактивирате LLMNR и NetBIOS на всички компютри, за да предотвратите разпространението на зловреден код в мрежата.
Колко опасна е подобна атака все още не е много ясно, но това е потенциално реален начин за въвеждане на популярни приложения в процеса на разработка. Последствията могат да бъдат много тъжни. Малко няма да изглежда на никого.
Резидентен неопасен вирус. По подразбиране той заразява COM и EXE файловете при достъп до тях. Прехваща 1Ch и 21h. В зависимост от стойността на вътрешния си брояч, той доста активно изхвърля букви на екрана.
Цитат от книгата "Компютърни вируси в MS-DOS" от Евгени Касперски. 1992 г Страница 66.