Компьютер, железо, софт…

В своем современном состоянии I2P – сеть во многом интересна именно возможностью анонимной публикации контента. Процесс создания сайта для I2P мало чем отличается от обычного веб – строительства. Приходится учитывать только несколько нюансов. Во-первых, специальных услуг хостинга, предназначенных для I2P и в полной мере учитывающих специфику этой сети, сейчас не найти, поэтому высока вероятность того, что свой сайт придется держать на своем же компьютере, предварительно установив и настроив веб – сервер. Отсюда следует второй нюанс: увлекаться «тяжелыми» страничками и технологиями не стоит – скромный дизайн, акцент на контент и малый вес остаются бесспорными приоритетами в современном I2P – дизайне. Ситуацию спасает наличие в I2P сервисов, упрощающих создание собственных проектов. Примерами таких инструментов являются платформы Syndie и Pebble, предназначенные для создания анонимных форумов и блогов. Есть в сети I2P и свой сервис для ведения микроблогов. Называется он Ident. Возможности у него самые базовые, однако он по крайней мере относительно стабилен в работе.

Если же вы собираетесь делать собственный ресурс с нуля, можно воспользоваться предлагаемыми в стандартном комплекте пакета I2P заготовками. Краткие, но достаточно подробные инструкции по созданию анонимного вебсайта, получению для него имени и хеш – адреса можно найти на локальной страничке 127.0.0.1:7658/help/index_ru.html. Обратите особое внимание на описание процесса «строительства» серверного туннеля. Поскольку в I2P отсутствует централизованный аналог DNS, именно эти настройки и позволяют получить уникальный адрес для своего ресурса.
Читать полностью…

После того как аккаунт попал в руки злоумышленников, перед ними стоит задача: продать его на черном рынке. В частности, они могут продать его таким же простым пользователям, если номер красивый – именно такие номера и привлекают злоумышленников в первую очередь.

Вдобавок такой ресурс предлагает пользователю скачать “свежие” версии популярных ICQ – клиентов: два клиента для PC – платформы – qip2010 и ISQ7 и один для мобильной платформы – Jimm. Но все эти псевдоклиенты содержат в себе вредоносное ПО, на данный момент детектируемое по классификации Dr.Web как Java. SMSSend.356.

Впрочем, есть и рынки, где продавец и покупатель договариваются о сделке лично. Почти всегда это крупные площадки, на которых фиксируется рейтинг продавца и его статус. На таких ресурсах можно найти и списки недобросовестных продавцов и покупателей, с кем ни в коем случае нельзя иметь дело.

Выручка продавцов напрямую зависит от количества привлекательных коротких номеров и спроса на них. Цены у всех, разумеется, разные. Так, за пятизначный номер 41796 продавцы просят $300, а шестизначный 888367 будет стоить $70. За семизначный 6666868 просят уже $100. Следовательно, цена зависит от длины номера и совпадения в нем цифр. Если проследить за статистикой оставленных отзывов по месяцам, то выходит, что в среднем один злоумышленник может заработать на этом десятки тысяч рублей в месяц, в зависимости от спроса на рынке.

Если украденные номера самые обычные, то на выручку злоумышленникам приходит второй вариант – продать их спамерам, причем сразу в большом количестве. Что значит продать спамерам? Украденный номер войдет в бот – сеть и будет заниматься рассылкой спама или вымогательством.
Читать полностью…

Многие пользователи Интернета не могут понять, кому нужно красть чужие аккаунты в разного рода мессенджерах. Остальным пользователям это и вовсе неинтересно – что же в этом такого трагичного? Ведь всегда можно завести новый. Однако не все тек безобидно, как кажется.

Во-первых, помните о том, что вся история пользовательской переписки сохраняется, ее никто никогда не удалит. Все, что связано с пользовательским аккаунтом, протоколируется и хранится на серверах владельцев ICQ. Сейчас это компания DST, осколок холдинга Mail.Ru Group. Во-вторых, главная цель, которую преследуют люди, занимающиеся кражей ICQ – номеров – выгода! А ее сейчас ищут все, в том числе вирусописатели, которые как на конвейере штампуют свои изделия, будь то Trojan.Winlock, Trojan.MBRlock или те вредоносные программы, которые способствуют краже аккакунтов в социальных сетях и 1М – мессенджерах. Прошло то время, когда вирусы писались, как говорится, “на коленке”, шутки ради. Сейчас это весьма доходный бизнес, поставленный на поток. На черном рынке стоимость одного аккаунта ICQ варьируется от 2 до 500 долларов. Все зависит от привлекательности номера.

Вы спросите, как же у вас отберут аккаунт? К сожалению, все очень просто.

Кража пароля. Самый простой способ – социальная инженерия. Ее – то и используют в первую очередь. Жертва сама отдает все свои данные, даже не подозревая о фишинге.
Читать полностью…

Платформа SAP NetWeaver J2EE Engine представляет собой сервер приложений стандарта J2EE, который позволяет размещать на себе приложения, написанные на Java. Его можно сравнить со знакомым всем Apache Tomcat, только на несколько порядков больше и сложнее, а там где есть сложность, непременно появляются уязвимости. На данном сервере, собственно, и располагаются сами бизнес – системы, такие как SAP Portal, SAP XI, SAP PI или, например, Solution Manager, а также приложения собственной разработки. Такие крупные системы состоят из более мелких приложений, которые по сложности зачастую сопоставимы с полноценным Web – проектом. Данных приложений по умолчанию устанавливается огромное множество. Например, в версии 6.40 их около 500, а в версии 7.2 их уже 1200.

Масштабы впечатляют, а если учитывать, что каждое приложение имеет, помимо общих, также и свои настройки безопасности и уязвимости, то адекватная защита всей платформы, не считая варианта отключения от сети, представляет собой крайне непростую задачу. Рассмотрим основные типы уязвимостей, которые были обнаружены исследовательским центром DSecRG в течение нескольких лет исследования.

Зачастую не позволяет атаковать компанию напрямую, но помогает для дальнейших атак. Были обнаружены следующие уязвимости:

• получение версии и патча движка и приложения;
• неавторизованное чтение некоторых файлов журналирования;
• неавторизованное разглашение имен пользователей;
• неавторизованное сканирование внутренних хостов сети.

Читать полностью…

Давно существует распространенный миф о том, что SAP — это безопасная система, и единственная проблема — это матрица SOD. Попытаемся развеять этот миф окончательно.

За последние 4 года появилось много исследований в области безопасности SAP, проведенных разными специалистами, начиная от атак на SAPGUI и SAP Router, заканчивая архитектурными уязвимостями в протоколе RFC и уязвимостями программ, написанных на АВАР. SAP, в свою очередь, тоже не дремлет и расширяет отдел Security Response Team. Компания выпускает документы – стандарты по техническим вопросам безопасности SAP, подтверждая существование проблемы, связанной с отсутствием единой базы требований к безопасности, а также покупает компании разработчиков систем безопасности, таких как, например, поставщик решений по шифрованию трафика.
Читать полностью…

По нашему мнению, антивирусный продукт изначально обречен, если способен интегрироваться лишь с системным веб – браузером. «Лабораторией Касперского» заявлена полная совместимость модуля проверки ссылок не только с Internet Explorer до версии 9.0 включительно, но и с «огнелисом», а также с Google Chrome до линейки 10.x. Однако в нашем случае упомянутый модуль в лучшем виде «подружился» с Google Chrome 13.0. Непонятно, по какой причине, «за кадром» остался браузер Opera – надеемся, что вскоре это недоразумение будет исправлено. По умолчанию проверяются все ссылки, а также отображаются категории сайтов, например «Нелегальное ПО», «Азартные игры» или «Наркотики».

Если вы практикуете покупки в интернете, настоятельно рекомендуем активировать функцию «Интернет – банкинг», изначально отключенную. После этого будет установлен корневой сертификат «Лаборатории Касперского», а затем в настройках «Интернет-банкинга» нужно указать платежные веб – ресурсы, с которыми вы работаете. Результатом станет предложение о запуске страницы в режиме безопасного просмотра: все-таки свои кровные – это святое.

Год назад, в предыдущей версии Kaspersky Internet Security 2011, вы ознакомились с модулем активности программ, получающем информацию от других компонентов KIS – почтового антивируса, сетевого экрана, модуля проактивной защиты и других. Напомним, что модуль активности приложений отслеживает все события, влияющие на безопасность системы, для дальнейшего восстановления полной картины действий, совершенных одной или несколькими вредоносными программами. Если было зафиксировано хотя бы одно событие, то этого вполне достаточно для обнаружения всех остальных.

Да вот незадача: отмена действий, совершенных деструктивным продуктом, была возможна только в текущей сессии. Теперь же доступна отмена действий и в предыдущих сессиях. Ко всему прочему список таких действий расширен: Kaspersky Internet Security 2012 позволит отменить действия, связанные с созданием новых и модификацией имеющихся файлов, а также записей системного реестра.

Казалось бы, что можно придумать нового при загрузке обновлений, кроме выбора сервера в определенной стране? Но и здесь не обошлось без новых фишек. В линейке KAV / KIS 2012 апдейты загружаются только для активных компонентов – понятно, что за счет этого снижаются объем трафика и продолжительность процесса.
Читать полностью…

Теперь, когда мы знаем некоторые тонкости механизма установки приложений из Android Marketa, можно рассказать об изящной атаке, которую удалось провернуть Джону Оберхейду. Идея такова. Если мы можем сами конструировать запросы на установку, то ни. что не мешает нам написать приложение, которое будет делать это автоматически.

Если подобную функциональность добавить во вполне невинную программу и начать распространять через Android Market, то всем установившим ее пользователям можно в придачу загрузить все что угодно! Сказано —сделано. Джон написал РоС – приложение и назвал его Angry Birds Bonus Levels, что должно было привлечь внимание пользователей Android Market. Простейшая социальная инженерия сработала: программу начали устанавливать пользователи. Наиболее внимательные из них наверняка замечали, что в области обновления появлялись сообщения об установке еще трех программ: для отслеживания месторасположения, осуществления звонков на платные номера и кражи контакт – листа.

Все они действительно имели вредоносную функциональность, но никак не использовались. Тут надо сказать, что исследователь сразу после тестирования РоС сообщил о проблеме в Google, и компания уже пофиксила баг.

Решение, кстати, оказалось очень простым. Система теперь отмечает для себя все запросы на установку приложений, сделанные через Android Market, и проверяет, чтобы для входящего сообщения INSTALL_ASSET был ранее сделан соответствующий запрос. Если Vending – компонент получает сообщение INSTALL_ASSET для приложения, которое он не ожидает, то команда просто игнорируется. Казалось бы, проблемы больше нет. Но! В теле сообщения может находиться специальный флаг, который позволяет отрубить проверку, но это уже немного другая история.

В предыдущем посте я сказал, что GTalkService вовлечен в процесс установки приложений из Android Marketa. Это вообще интересная история. Тут тоже есть интересные нюансы. Рассмотрим для начала этапы, которые проходит пользователь для установки программы из маркета:

1. Запуск Android Market.
2. Поиск нужной приложения для установки.
3. Нажатие на кнопку «install».
4. Подтверждение необходимых для приложения привилегий.
5. Закачка и установка приложения.

После этого у пользователя в панели оповещений выводятся сообщения о загрузке и установке приложения. Все просто и прозрачно, но… Если посмотреть на процесс изнутри, то все происходит несколько сложнее. Если первые четыре шага выполняются приложением Android Market, то за пятый (самый важный] этап отвечает совершенно другой компонент системы, а именно уже знакомый GTalkService. Схема работы выглядит следующим образом:

1. Пользователь кликает на кнопку установки приложения в Android Markete.
2. Приложение отправляет POST – запрос на серверы Android Market.
3. Серверы Android Market отправляют информацию озапросена установку приложения системе C2DM.
4. Серверы C2DM отправляют смартфону пользователя сообщение INSTALL_ASSET через подключение GTalkService.
5. Компонент GTalkService принимает сообщение INSTALL_ASSET и активирует Vending – компонент.
6. Vending – компонент скачивает АРК – пакет приложения и, в конце концов, устанавливаетприложение.

Первое, что вызывает интерес —это, конечно же, POST – запрос, который передается на сервер. Раз его может отправить Android Market, то, возможно, это сможем сделать и мы с помощью специального приложения? Попробуем разобраться. Перехваченный запрос выглядит следующим образом:
POST /market/api/ApiRequest HTTP/1.1 Content – Length: 524 Content – Type: application/x – www – form – urlencoded Host: android.clients.google.com Connection: Keep – Alive User – Agent: Android – Market/2 ; gzip version=2&request=CuACCvYBRFFBQUFL0EFBQU3vZWVEVGo4eGV40VR 3aW9…

Все банально, кроме параметра request, в котором очевидно и прячется все интересное. Зная Google, легко можно предположить, что это данные, упакованные в фирменную структуру protobuf code, google.com/p/protobufl и кодированные после этого в base64.Так и есть. Декодировав хэш и распаковав структуру, получаем данные запроса:
i (1: “DQAAAK8AAABoeeDTj8xex9TIio…” 2: 013: “- 606db3000d480d63″)2(10 (1: “353999319718585473″))
Читать полностью…

Не будем рассматривать вариант с захватом инфраструктуры Google, через которую теоретически можно было бы загрузить произвольное приложение сразу на все Android – девайсы. На данном этапе будем считать это фантастикой. А вот что кажется более реальным, так это отправка фейковых команд на конкретный де – вайе. Да, подключение GTalkService, как я заметил выше, является защищенным: все данные передаются через SSL. Таким образом, базовая безопасность и целостность сообщений гарантируется уже самим протоколом. Но мыто знаем цену этим гарантиям !). При желании SSL – соединение можно скомпрометировать, перехватить и отреверсить пакеты, передаваемые между девайсом и серверами Google. Если разобраться в их структуре и правильно подделать сообщение install_asset,to мы можем принудительно установить на устройство произвольное приложение. Теоретически. Вопрос в том, есть ли еще какой-нибудь уровень защиты, например, цифровая подпись? Чтобы исследовать поступающие от Googlea сообщения, их надо получить. Ты сейчас можешь подумать, что придется включить снифер и ждать, пока инженеры компании вновь отправят через GTalkService команду INSTALL_ASSET. Но когда это будет? На самом деле все проще. Забегая чуть вперед, скажу, что эта же самая служба используется всякий раз, когда пользователь устанавливает сообщения через Android Market. Нажатие кнопки «lnstall» приводит к тому, что через GTalkService отправляется INSTALL_ASSET, которая инициирует на устройстве процесс загрузки нужного АРК – пакета программы и ее установки. Мы об этом еще поговорим, сейчас же важно одно: получить для исследования сообщение INSTALL_ASSET —не проблема. В общем – то, для просмотра трафика (несмотря на то, что он передается через SSL – соединение] нужно совсем немногое:

1. Достать образ Android – эмулятора, в котором включена возможность работы с Android MarketoM.
2. Добавить свой СА – сертификат в хранилище /system/etc/security/ cacerts.bk, используя keytool или portecle.
3. Реализовать MITM – атаку, заюзав sslsnif [www.thouahtcrime.oral с СА – сертификатом.

Теперь, когда GTalkService захочет установить соединение, мы сможем перехватить трафик, поскольку устройство доверяет СА – сертификату, который мы создали. Если попробовать установить какое-нибудь приложение из Android Marketa на эмуляторе, то мы, соответственно, отснифаем сообщение INSTALL_ASSET. Оно будет выглядеть примерно так:
tickle_id: 1277687266074 assetid:-155863831473128556 asset_name: Replica Island asset_type: GAME asset_package: com.replica.replicaisland asset_blob_url: http:android.clients. google.com/market/download/Download?assetId= – 155863831473120556&userld=986032118775& deviceld=1094117203906638597 asset_signature: Ayn2bWDqckQkKsBY43urvCFpYN0 asset_size: 5144485
Читать полностью…

В любой новости про зловредные приложения для платформы Android непременно упоминается механизм, с помощью которого Google удаленно удаляет нежелательное ПО со всех устройств разом. Как работает эта система, и не может ли она сама стать самым большим каналом распространения малвари?

Начну со статистики. Первый девайс на базе Android —НТС Dream/ G1 —был запущен в США и Великобритании в октябре 2008 года. Начало стремительного распространения платформы связывают с появлением смартфона Motorola Droid в ноябре 2009 года. С тех пор количество девайсов, которые ежедневно активируются, растет феноменальным образом. На последней конференции Google I/O была заявлена баснословная цифра: 400 000 активаций каждый день! Только подумай: это половина населения Кипра или, к примеру, целый Бруней. Всего на данный момент активирован о более 100 миллионов устройств на Android. Неплохо. А теперь представь, что каждым из них Google может хоть немного, но управлять. Возможно, я слегка утрирую и слово «управлять»тут не самое подходящее. Достоверно известно, что Google может устанавливать и удалять произвольные приложения через механизм GTalkService. Связывая это с впечатляющей статистикой активаций новых устройств, волей-неволей задумываешься о потенциально самом большом ботнете в мире, в который пользователи сотнями тысяч входят добровольно. И хотя идея попахивает научной фантастикой, мне было интересно разобраться во внутренностях механизма GTalkService. Как он устроен? В каком виде на устройства приходят сообщения от сервера? Насколько защищен канал передачи? Нет ли опасности, что сообщение с управляющими командами на мое устройство может отправить кто-то еще?
Читать полностью…