Отправляет email-рассылки с помощью сервиса Sendsay

Хakep_daily

  Все выпуски  

<<Небольшой>> аудит безопасности дейтинг-ресурса *


PDA   подписка    wiki   bugtrack   статьи    видео   блог   форум   поиск    друзья   






Вышла операционная система OpenWrt 14.07
2014-10-03 13:40 Denis Mirkov

Встроенная операционная система OpenWrt обновилась до версии 14.07. Эту ОС часто устанавливают на маршрутизаторах как замену проприетарным прошивкам. Основные компоненты OpenWrt включают в себя ядро Linux, util-linux, uClibc и BusyBox. Размер всех компонентов минимизирован, чтобы работать на маршрутизаторах с ограниченным объёмом оперативной памяти.

Новая версия 14.07 под кодовым названием “Barrier Breaker” содержит большое количество изменений, в том числе встроенную поддержку IPv6 и новый системный менеджер procd.

Системный менеджер разработан специально для OpenWrt и включает в себя систему ранней инициализации (preinit), системный лог, службу управления аппаратным таймером (watchdog), систему «горячего» подключения устройств (hotplug) и службу слежения за состоянием устройств. Программа написана на языке программирования Си.

Procd совместим с существующим интерфейсом UCI, который управляет конфигурацией OpenWrt. При этом он заменяет ряд системных компонентов из прошлой версии системы, в том числе подсистему hotplug2, busybox-klogd, busybox-syslogd и busybox-watchdog.

Разработчики обращаются ко всем пользователям с просьбой изучить код Procd на предмет багов.



CyberSafe — шифровальщик на все случаи жизни
2014-10-03 14:54 Денис Колисниченко

После закрытия разработки TrueCrypt армия любителей шифрования и секретности (в которой, как мы не раз говорили, уже давно должен состоять каждый айтишник) начала бороздить просторы интернета в поисках достойной альтернативы. В рамках этой статьи мы рассмотрим интересный и даже местами опенсорсный проект от отечественного производителя — CyberSafe Top Secret.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Версии и лицензионная политика

Линейка модификаций программы включает Free, Advanced, Professional, Ultimate и Enterprise. В бесплатной версии CyberSafe используется алгоритм шифрования DES (по сравнению с AES или Blowfish это просто решето, а не алгоритм шифрования), поэтому данная версия подойдет лишь для ознакомления. Основные функции программы, а именно шифрование файлов/разделов/контейнеров, прозрачное шифрование файлов и облачное шифрование файлов в ней ограничены, а все остальные недоступны. Длина пароля и длина ключа в бесплатной версии (четыре символа и 64 бита) тоже оставляют желать лучшего. Скачать бесплатную версию можно по адресу cybersafesoft.com/cstopsecret.zip, но после ее установки придется либо активировать полную версию (это можно сделать через меню «Помощь»), либо удалить, потому что сочетание алгоритма DES и пароля в четыре символа делает программу бесполезной.

INFO

Ознакомиться с полным списком возможностей программы можно на сайте разработчиков —cybersafesoft.com/rus/.

Для персонального использования, на мой взгляд, будет достаточно модификации Professional. В отличие от Advanced, в Professional поддерживается прозрачное шифрование файлов, а длина открытого ключа в два раза больше (4096 бит против 2048 в Advanced). Остальные основные характеристики шифрования те же — длина пароля 16 символов, алгоритм AES, длина ключа 256 бит.

Если тебе нужно защитить не один, а два компьютера, тогда нужно выбирать Ultimate. Она стоит на 20 баксов дороже, но в качестве бонуса ты получишь неограниченную длину пароля, длину открытого ключа в 8192 бита, двухфакторную авторизацию и алгоритм Blowfish с длиной ключа в 448 бит. Также Ultimate поддерживает скрытие папок и защиту сетевых папок.

Самая полная версия — Enterprise. Она позволяет защитить до десяти систем (как-то маловато для предприятия, но такова лицензионная политика), поддерживает корпоративное облачное шифрование (а не только облачное шифрование, как в Ultimate), а также не ограничивает количество сетевых пользователей. Остальные характеристики шифрования аналогичны Ultimate: Blowfish с длиной ключа 448 бит, длина открытого ключа 8192 бита, неограниченная длина пароля.

В мои волосатые лапы попалась самая полная версия, поэтому все иллюстрации будут соответствовать именно ей.

Что лучше: AES или Blowfish?

Оба алгоритма хороши. Оба стойки. Но у алгоритма AES максимальная длина ключа 256 бит, а у Blowfish — 448, к тому же Blowfish считается более быстрым, поэтому в максимальных модификациях программы используется именно он.

Установка программы

Прежде всего хочется сказать несколько слов об установке программы. Во-первых, программа поддерживает все практически используемые версии Windows — XP/2003/Vista/7/8. Так что если у тебя все еще XP и ты бородат, то ради конкретно этой программы тебе не придется переходить на «семерку» или «восьмерку». Во-вторых, запуск программы установки нужно производить только с правами администратора, иначе на завершающей стадии установки получишь ошибку и длинный лог.

В-третьих, при запуске программы нужно добавить сертификат CyberSoft CA (рис. 1). То есть нажать кнопку «Да», иначе не будет установлен корневой сертификат CyberSafe и нельзя будет настроить шифрование электронной почты в почтовых клиентах. Я понимаю, что типичный читатель нашего журнала — крутой парень и ему будет как-то даже обидно видеть такие подробные разъяснения, но мы искренне надеемся, что статьи, касающиеся каждого, должны быть написаны как можно более подробно. Вдруг ты решишь вырезать эту статью из журнала и подарить ее младшей сестре, чтобы она наконец научилась шифровать свои интимные фотографии? :)

Рис. 1. Нажми на кнопку «Да»

Рис. 1. Нажми на кнопку «Да»

Использование программы

Функций у программы множество, и одной статьи будет явно недостаточно, чтобы рассмотреть все. На рис. 2 изображено основное окно программы сразу после установки и активации полной версии.

Рис. 2. Основное окно программы

Рис. 2. Основное окно программы

В разделе «Ключи и сертификаты» можно управлять ключами и сертификатами, которые ты успеешь создать в процессе работы с приложением. Раздел «Шифрование файлов» используется для шифрования/расшифрования файлов и папок. Ты можешь зашифровать файлы для личного использования, а также для передачи их другому пользователю. Раздел «Эл. цифровая подпись» используется для работы с (сюрпрайз!) электронной цифровой подписью. А раздел «Шифрование дисков» — для шифрования разделов и создания виртуального диска.

Вариантов использования программы может быть несколько. Первый вариант — это передача зашифрованных файлов. Зашифровать отдельные файлы для передачи другому пользователю можно в разделе «Шифровать файлы -> Шифрование для передачи». Второй вариант — это прозрачное шифрование файлов для личного использования. Третий — шифрование всего раздела или создание виртуального диска.

С первым вариантом все ясно — если есть такая необходимость, то программа справится с ней в лучшем виде. Второй вариант довольной спорный и оправдан, если у тебя до сих пор XP. В «семерку» и «восьмерку» уже встроено шифрование BitLocker, поэтому отдавать 75 баксов за Pro-версию этой программы по меньшей мере странно и экономически неоправданно. Разве что у тебя младшие версии этих систем, где нет поддержки BitLocker. Впрочем, о BitLocker, TrueCrypt и Top Secret 2 обязательно прочитай соответствующую врезку.

А вот третий вариант довольно заманчивый. В этом году вместе с окончанием поддержки Windows XP была прекращена разработка программы TrueCrypt. Для меня она была эталоном в мире шифрования. И я ее использовал так: создавал зашифрованный виртуальный диск размером с флешку (чтобы при необходимости можно было на нее его и скопировать), который я монтировал только тогда, когда мне были нужны зашифрованные файлы. На данный момент разработка TrueCrypt прекращена, а ее использование считается небезопасным. Найденные в ней бреши уже никем не будут исправлены. Если тебе интересно, можешь ознакомиться с этой страничкой: truecrypt.sourceforge.net.

Поэтому мне нужна была программа на замену TrueCrypt. Похоже, что ей теперь стала CyberSafe Top Secret.

Итак, давай рассмотрим, как создать зашифрованный виртуальный диск и как его использовать. Перейди в раздел «Виртуальный диск» (рис. 3) и нажми кнопку «Создать». В появившемся окне нужно ввести имя файла виртуального диска (рис. 4). Если нужно будет перенести этот диск на другую систему, просто скопируй на нее этот файл и вместо кнопки «Создать» используй кнопку «Открыть» для открытия файла виртуального диска.

3_opt

Рис. 4. Имя файла защищенного виртуального диска

Рис. 4. Имя файла защищенного виртуального диска

Далее нужно ввести пароль для доступа к диску, размер диска (по умолчанию 100 Мб), выбрать алгоритм шифрования и выбрать тип файловой системы (рис. 5).

Рис. 5. Параметры виртуального диска

Рис. 5. Параметры виртуального диска

Немного ждем, и наш виртуальный диск появляется в списке (рис. 6). Виртуальный диск пока не смонтирован, поэтому он недоступен в системе. Выдели его и нажми кнопку «Монтиров.». После чего нужно будет выбрать букву для нового диска (рис. 7) и ввести пароль, указанный при его создании (рис. 8).

Рис. 6. Диск пока не смонтирован

Рис. 6. Диск пока не смонтирован

Рис. 7. Выбор буквы для монтирования диска

Рис. 7. Выбор буквы для монтирования диска

Рис. 8. Ввод пароля для монтирования диска

Рис. 8. Ввод пароля для монтирования диска

После этого статус диска будет изменен на «смонтирован», а созданный диск появится в проводнике (рис. 9). Все, с виртуальным диском можно работать, как с самым обычным диском, то есть копировать на него файлы, которые будут автоматически зашифрованы. Помни, что, когда ты перемещаешь файл с виртуального диска на обычный, файл будет автоматически расшифрован.

Рис. 9. Созданный защищенный виртуальный диск в проводнике

Рис. 9. Созданный защищенный виртуальный диск в проводнике

Для завершения работы с виртуальным диском лучше вернуться в окно программы, выделить его и нажать кнопку «Демонтир.». Так ты точно убедишься, что будут сброшены все буферы и вся информация будет сохранена. Хотя при завершении работы программы автоматически размонтируются все смонтированные диски, лучше проконтролировать этот процесс явно.

О BitLocker, TrueCrypt и Top Secret 2

Поскольку мне очень нравилась программа TrueCrypt, то я не удержался, чтобы не сравнить ее и CyberSafe Top Secret 2. Вследствие использования алгоритма AES обе программы одинаково надежны. Однако все-таки нужно отметить, что исходный код TrueCrypt был открытым, код же CyberSafe Top Secret 2 открыт, но не полностью. Сам исходный код программы доступен на сайте для анализа, и ссылка на него есть на главной странице сайта разработчиков. Приведу ее еще раз: https://subversion.assembla.com/svn/cybersafe-encryption-library/.

Однако в состав программы входят несколько драйверов (NtKernel, AlfaFile), исходный код которых закрыт. Но это в любом случае лучше, чем программа с полностью закрытым исходным кодом.

Кстати, почему была закрыта разработка TrueCrypt? Поскольку его разработчики всегда высмеивали проприетарный BitLocker, а потом сами же рекомендовали на него перейти, мы подозреваем, что единственной весомой причиной закрытия проекта было давление на разработчиков. На данный момент ни одна из версий TrueCrypt не была явно скомпрометирована, поэтому закрытие проекта из-за взлома программы считаю маловероятным.

CyberSafe Mobile: приложение для Android

В последнее время все актуальнее становится шифрование данных на мобильном устройстве. Наиболее популярны среди мобильных устройств девайсы под управлением Android. Как раз для таких устройств и предназначена программа CyberSafe Mobile. Контейнеры, созданные в CyberSafe Mobile, могут быть использованы в CyberSafe Top Secret, и наоборот. Ссылка на приложение: https://play.google.com/store/apps/details?id=com.cybersafesoft.cybersafe.mobile

Выводы

Лично для меня программа CyberSafe Top Secret 2 стала заменой TrueCrypt. Хотя бы на время, пока эта программа будет поддерживаться разработчиками или пока не найду что-либо лучше. Необходимые мне функции для создания зашифрованного виртуального диска она вполне выполняет и вдобавок предоставляет дополнительные. Думаю, многим пользователям пригодятся функции по отправке зашифрованных файлов, по работе с сертификатами и электронными цифровыми подписями. Интерфейс программы прост и интуитивно понятен, поэтому не думаю, что у тебя возникнут проблемы с использованием остальных ее функций, хотя они и не рассмотрены в этой статье.

 



Первый эксплоит для уязвимости Shellshock
2014-10-03 15:00 Denis Mirkov

Через неделю после сообщения об уязвимости Shellshock в программе Bash (CVE-2014-6271) появился и первый эксплоит, который использует эту уязвимость. О выходе вредоносной программы сообщила компания Websense.

К сожалению, программа Bash исключительно популярна и поставляется с большинством дистрибутивов Linux, в том числе она работает на многих веб-сайтах. По информации специалистов Websense, эксплоит представляет собой Linux-бэкдор, способный осуществлять DDoS-атаки, брутфорсить пароли и получать команды от управляющего C&C-сервера. IRC-бот, написанный на языке программирования Perl, распространяется среди уязвимых веб-серверов, самостоятельно находя новые жертвы для заражения.

Websense сообщает, что обнаружила четыре варианта Linux-бэкдора и несколько версий IRC-бота. Командные серверы ботнета находятся по следующим адресам:

  • 208[.]118[.]61[.]44
  • 27[.]19[.]159[.]224
  • 89[.]238[.]150[.]154
  • 212[.]227[.]251[.]139

Что характерно, Websense наблюдала вредоносный трафик к данным серверам с 2012 года. Это может свидетельствовать, что кто-то узнал об уязвимости в Bash ещё несколько лет назад.

Уязвимость допускает удалённое исполнение кода на компьютере, где установлен Bash. Это связано с некорректной обработкой переменных окружения и определений функций. В текущих версиях Bash переменная окружения именуется так же, как функция, а определение функции начинается со знаков “() {”. Уязвимость связана с тем, что Bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют дальше. Таким образом, переменную окружения с произвольным именем можно использовать как носителя для доставки на компьютер жертвы нужных команд.

Кроме CVE-2014-6271, Websense обнаружила ещё пять уязвимостей в Bash.

CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187



«ZeroSecurity: A» – программа стажировки в области этичного хакинга для начинающих
2014-10-03 15:51 Anna Yakovleva

«Zero Security: A» — программа стажировки от PentestIT, в которой под руководством опытных инструкторов стажеры осваивают различный инструментарий для пентеста, изучают основы этичного хакинга. Стажировка проходит дистанционно и включает в себя уникальные практические занятия, в том числе по социальной инженерии. «Zero Security» — шаг в увлекательный мир ИБ и этичного хакинга!

Пример одного из заданий в «Zero Security: A

Пример одного из заданий в «Zero Security: A

Постоянно корректируя процесс обучения, мы делаем все возможное, чтобы сделать программу максимально качественной и комфортной. Принимая во внимание пожелания, мы реализовали абсолютно новый формат обучения, включающий уникальную теоретическую и практическую подготовку. Знания, полученные на вебинарах в рамках программы стажировки, закрепляются в специализированной CTF-лаборатории под руководством опытного куратора.

Специализированная площадка

Специализированная площадка

Специально разработанный «Личный кабинет» позволяет в любое время найти необходимую информацию о расписании, скачать «методическое пособие», пройти тестирование, и, по его результатам, получить именной сертификат. Основной акцент программы стажировки сделан на выполнении практических CTF-заданий в лаборатории, в которой каждая уязвимая система содержит флаг. В случае успешной атаки стажер получает флаг и заносит его в форму в «Личном кабинете», что делает процесс стажировки еще более динамичным и увлекательным.

Личный кабинет

Личный кабинет

«ZeroSecurity: A» даёт вам шанс научиться мыслить, как хакер, понимать его цель, помогает определиться в выборе дальнейшего направления развития в сфере ИБ, а самое главное – получить прекрасную возможность найти единомышленников и проникнуться удивительной атмосферой мира информационной безопасности. Ознакомиться с планом занятий и записаться на курс можно на сайте: www.pentestit.ru/study/zerosecurity-a.

 

На правах рекламы

 



Опубликован код программы для взлома ПК по USB
2014-10-03 16:20 Denis Mirkov

Два месяца назад хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) на конференции Black Hat рассказали о способах взлома компьютера по USB, а также показали несколько зловредов, которые они обнаружили за последние годы. Кроме того, они показали написанную ими программу BadUSB, которая устанавливается на периферийное устройство и полностью берёт под контроль компьютер при подключении к нему по USB.

На компьютере жертвы BadUSB может осуществлять различные действия, в том числе видоизменять файлы, которые устанавливаются в системе, перенаправлять интернет-трафик на произвольные адреса, изменив DNS-записи. Зловред всегда может выдать себя за клавиатуру и ввести произвольные команды.

Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить.

Карстен Нол и Якоб Лелл разработали эффективный способ взаимодействия между зловредом в системе и зловредом в прошивке. Установленная на компьютере программа может изменить прошивку по USB, а та, в свою очередь, может установить зловреда в системе. Эксперты высказывают мнение, что подобные инструменты уже используются спецслужбами.

Два месяца назад авторы не опубликовали исходный код программы, поскольку посчитали, что уязвимость является фундаментальной и её невозможно устранить. Теперь эта «ошибка» исправлена, так что отныне программой могут пользоваться не только спецслужбы.

Реверс-инжиниринг программы BadUSB провели специалисты по безопасности Адам Кодилл (Adam Caudill) и Брендон Уилсон (Brandon Wilson), результаты своей работы они показали на хакерской конференции Derbycon в Луисвилле (Кентукки).

Исходный код программы опубликован на Github.



Билл Гейтс высказался о перспективах Bitcoin
2014-10-03 17:45 Denis Mirkov

Во время интервью на телеканале Bloomberg TV вчера Билл Гейтс ответил на несколько вопросов о цифровой криптовалюте Bitcoin и о её перспективах, как он их видит.

Основатель Microsoft теперь работает техническим советником компании. Он также возглавляет благотворительный фонд Bill & Melinda Gates Foundation, а недавно вернул себе титул самого богатого человека в мире.

Билл Гейтс назвал Bitcoin «захватывающей» технологией, поскольку платёжная система позволяет осуществлять платежи с относительно низкой комиссией. «Bitcoin лучше, чем наличная валюта, в том смысле, что для передачи денег вам с получателем платежа не нужно находиться в одном и том же месте, а в случае крупных переводов использовать обычную валюту может быть неудобно».

В то же время, Билл Гейтс сказал, что, хотя миру нужна система с низкой комиссией за перевод, но он не считает Bitcoin лучшим вариантом для этого. По его мнению, Bitcoin не получит массового распространения по причине своей относительной анонимности. Из-за этого власти всегда будут считать эту платёжную систему средством для отмывания денег и орудием террористов.

«Мы говорим о пользователях, которые не стремятся быть анонимными, — сказал Билл Гейтс, — они хотят быть узнаваемыми, так что Bitcoin имеет значение, но нуждается в доработке: нужна похожая технология, где у людей будет достаточно средств для определения личности и где у людей не будет подозрений в связях с терроризмом и отмыванием денег».

Несмотря на частично негативное отношение, мнение Билла Гейтса отличается в положительную сторону от того, что он говорил раньше. В феврале этого года в интервью на сайте Reddit он вовсе отказался признавать пользу Bitcoin и сказал, что отдаёт предпочтение мобильной платёжной системе M-Pesa, которая работает в Кении.



Технологии Cisco для совместной работы на московской Cisco Connect – 2014
2014-10-03 18:05 Anna Yakovleva

Как уже сообщалось, 18-20 ноября в московском Центре международной торговли состоится конференция Cisco Connect. Отдельный тематический поток будет посвящен технологиям Cisco для совместной работы как одному из ключевых направлений деятельности компании.

В этом году Cisco уже в седьмой раз была названа лидером «Магического квадранта» Gartner в сегменте унифицированных коммуникаций (Unified Communications, UC), что вновь подтвердило первенство Cisco в данной области. Компания предлагает интегрированные сетевые решения для совместной работы в самых разных областях, от IP-коммуникаций до мобильных решений, систем CRM, организации веб-конференций, передачи сообщений, корпоративных социальных сетей и продуктов TelePresence.

На предстоящей конференции специалисты Cisco представят технологии, которые не просто соответствуют основным ИКТ-трендам, но сами задают вектор развития всей отрасли. Слушатели смогут ознакомиться с ключевыми компонентами данных решений,  особенностями их дизайна, внедрения и обслуживания.

В ходе Cisco Connect будут представлены новые видеотерминалы Cisco, в том числе не имеющие аналогов в мире. Данные решения — от самых доступных до максимально функциональных моделей — органично дополняют существующую линейку продуктов Cisco TelePresence. Инженер-консультант Cisco по технологиям для совместной работы Сергей Юцайтис расскажет о новых возможностях серверов телеприсутствия и сопутствующего программного обеспечения.

Особое внимание будет уделено практическим вопросам внедрения и построения общей системы унифицированных коммуникаций как в России, так и в мире. Инженер-консультант Cisco Михаил Барышев представит примеры развертывания систем UC, а также общую схему создания сети унифицированных коммуникаций для небольшой организации. А инженер-консультант Cisco Константин Грибах расскажет о  построении подобной сети и управлении ее адресным планом.

Все дни конференции будет функционировать демозона решений Cisco для совместной работы, где посетители смогут не только увидеть новинки Cisco в этой области, но и получить ответы на свои вопросы у ведущих специалистов компании.

Зарегистрироваться для участия в Cisco Connect можно на сайте http://cs.co/9003lhMd. Те, кто сделает это до 12 октября, получат 30-процентную скидку. Для участников образовательной программы Cisco Expo Learning Club разработаны специальные условия.

Добавим, что к настоящему времени статус медиапартнеров московской Cisco Connect получили 47 СМИ из Воронежа, Казани, Красноярска, Москвы, Нижнего Новгорода, Омска, Самары и Санкт-Петербурга. К объявленным ранее добавились еще 18 средств массовой информации:

  • интернет-портал 24smi.com (Красноярск)
  • alldatacenters.ru (Москва)
  • журнал «IT Tерра Воронеж»
  • журнал «IT Воронеж» (ITVRN)
  • новостной интернет-ресурс PRO.MSK.ru (Москва)
  • информационный портал SecurityLab (Москва)
  • портал SPTC (Самара)
  • деловой портал Tadviser (Москва)
  • проект ru (Москва)
  • специальное приложение к журналу «Системный администратор» — «БИТ. Бизнес & информационные технологии» (Москва)
  • журнал «Век качества» (Москва)
  • журнал «Инженерный вестник» (Москва)
  • журнал «Качество образования» (Москва)
  • журнал «Системный администратор» (Москва)
  • информационно-аналитическое издание «Техносфера Омск»
  • журнал «Фотон-экспресс» (Москва)
  • IT-журнал «Хакер» (Москва)
  • журнал ЦОДы.РФ (Москва).

 

На правах рекламы

 



Еженедельная распродажа от G2A.com!
2014-10-03 19:00 Anna Yakovleva

Пришла осень, похолодало… Но в G2A, как всегда, сезон жарких скидок!

  • Предзаказ на NBA 2K15 всего за 955 рублей. Новые игроки смогут ощутить то удовольствие, которое испытываешь при данке, а ветераны — узнать, что нового появилось в игре на этот раз.
  • Игру, выпущенную за деньги фанатов и ставшую уже довольно известной, — Wasteland 2. Почувствуй вкус жизни в постапокалиптической среде за 520 рублей.
  • Dead Rising 3 Apocalypse Edition за 560 рублей для тех, кто не боится столкнуться с полчищами зомби. Сможешь ли ты выбраться из города, кишащего этими монстрами?

Эти и другие игры ты можешь купить на https://www.g2a.com/weeklysaleru.

Также G2A.com продолжает акцию поддержки благотворительного фонда Save the Children. Тот, кто пожертвует для детей больше всего на этой неделе, получит коллекционный плакат The Witcher 3.

Facebook-witcher-3-RU



Mozilla выпустит 64-битный Firefox под Windows
2014-10-03 19:15 Denis Mirkov

У пользователей Windows, которые хотят установить 64-битную версию Firefox, сейчас есть два варианта: или взять 64-битную версию Nightly, или использовать версию от сторонней компании, такую как Pale Moon.

Однако, скоро 64-битный Firefox должен выйти в стабильной версии. Информация об этом недавно опубликована на официальном сайте. Выпуск 64-битной версии планировался и раньше, но в 2012 году компания отказалась от этих планов.

По словам разработчиков из Mozilla, решение возобновить выпуск принято в связи с полученной статистикой о том, что 50% пользователей Firefox под Windows работают на 64-битной версии операционной системы.

003

Выход 64-битного браузера запланирован в несколько этапов. Сначала появится 64-битный инсталлятор, затем — универсальный инсталлятор 32- и 64-битных версий браузера. В конце концов, разработчики активируют процедуру автоматического обновления. Первый этап состоится вместе с версией Firefox 37, которая запланирована на 31 марта 2015 года. Альфа-версия на канале Aurora и бета-версии появятся раньше. Их можно будет самостоятельно скачать с сайта Mozilla.

В отличие от Firefox, компании Microsoft и Google уже выпустили 64-битные версии своих браузеров (браузер Chrome пока в бета-версии, но выйдет в стабильном варианте с версией Chrome 37).



Обходим геоблокировку контент-сервисов на любых устройствах
2014-10-03 20:19 Джон Сноу

Netflix, Hulu, Pandora, Spotify… Ты наверняка не раз натыкался на эти названия. Магические сервисы, дающие за 8–10 долларов столько контента, сколько в тебя влезет. Давай посмотрим, как получить доступ к ним с любого устройства.

Как можно догадаться из объема этой статьи, использование таких сервисов в России — не самое простое занятие. Поэтому перед тем, как обречь себя на весь этот геморрой, неплохо бы понимать, зачем это делать.

Проще всего объяснить необходимость в Spotify и Pandora — у этих сервисов есть отличные рекомендации музыки любого жанра. Условно говоря, если я включаю радио в «Яндекс.Музыке», то почти для любого жанра 7 из 10 треков будут с альбома, в продвижении которого Яндекс в данный момент заинтересован больше всего. Включил блюз — получай Хью Лори, включил рок — слушай «Океан Эльзи». С Pandora мне почти каждый раз удавалось находить для себя что-то новое.

В случае с Hulu и Netflix все сложнее. Наивно ожидать, что на этих сервисах есть любой фильм или сериал, который тебе только придет в голову. Этим не могут похвастаться даже сервисы on demand, где за каждую запись нужно платить по отдельности. Профит Netflix в другом. Наверняка ты не раз оказывался в ситуации, когда компания сидит перед телевизором и полчаса тупит, решая, что же посмотреть. Этим достаточно унылым делом часто приходится заниматься и самому. В общем, свобода выбора не всегда благо, иногда хочется просто прокрутить меню, выбрать что-то из списка, кликнуть и тут же начать смотреть.

Конечно, тут возникает еще одно препятствие — весь контент на английском. Однако сам я предпочитаю смотреть кино и сериалы в оригинале и уверен, что я такой далеко не один. Hulu дает возможность еще и попробовать американское телевидение, совсем непохожее на наш зомбоящик. Ток-шоу с Конаном О’Брайном и другие late night show, скетчи Saturday Night Live и даже America’s Got Talent, выгодно отличающееся от наших аналогов масштабностью, эффектностью номеров и почти полным отсутствием фриков. Все это даже в торрентах не найти.

Хотя каждый наверняка хоть раз слышал об этих сервисах, имеет смысл рассказать подробно, чтобы ты понимал, на каком контенте специализируется каждый из них и в чем особенность их работы.

Видео

Netflix

Netflix

Когда-то Netflix занимался прокатом DVD, но успел вовремя трансформировать свой бизнес. Сейчас в США ему принадлежит до 90% рынка видеосервисов, работающих по подписке. Причина в огромном каталоге. Минус в том, что тут редко появляются совсем свежие серии. Выбор фильмов тоже немаленький, но сюда попадают в основном старые картины. Лучше, чем у какого-нибудь Ivi.ru, но все равно не сравнится с любым on demand сервисом вроде iTunes или Amazon Instant Video.

Hulu

Hulu

Еще один популярный видеосервис, занимающий оставшиеся десять процентов рынка. В Hulu сделали фокус на свежих сериях, и часто так получается, что последний сезон какого-либо сериала или шоу доступен только здесь, а весь остальной архив — на Netflix. Поэтому многим логично использовать эти два сервиса в связке. Недостаток в том, что большая часть контента в Hulu доступна только в браузерной версии и даже подписчики не имеют возможности посмотреть его на мобильном устройстве или ТВ-приставке. Также тут есть реклама — и для подписчиков тоже.

Видеосервисов меньше, чем музыкальных, но и тут дело не ограничивается двумя названиями. Есть еще набирающий популярность Amazon Prime, но он совместим с меньшим количеством устройств и требует годовой подписки. Профит скорее для тех, кто часто что-то покупает на Amazon, так как вместе с подпиской на Prime даются льготные условия доставки товаров.

Музыка

Pandora

Pandora

Один из первых сервисов, предложивших автоматическую генерацию подборки музыки для пользователей. Поскольку Pandora начинал еще до бума социальных сетей, разработчики сделали ставку на очень продвинутый алгоритм, способный выстраивать «родственные» связи между песнями и исполнителями по сотням параметров. На мой вкус, это работает намного лучше, чем сервисы, использующие для рекомендаций социальный граф. Минусы в том, что нельзя выбрать конкретную песню и нельзя пропускать больше определенного количества треков. Плюс в том, что Pandora бесплатна как в браузере, так и на устройствах.

Spotify

Spotify

Pandora — отличный инструмент для того, чтобы находить новую музыку. Сильная сторона Spotify — в том, как он позволяет слушать ту музыку, которую ты уже знаешь и любишь. В этом смысле здесь мало ограничений, и аудиотека сервиса почти в 20 раз больше, чем у главного конкурента. Также если у Pandora социальной составляющей почти нет, то в Spotify это одна из главных фишек. Еще у сервиса есть очень неплохие приложения для десктопа и мобильных устройств. Подписчики (10 долларов в месяц) могут составлять плей-листы и скачивать их на смартфон для офлайн-прослушивания.

Музыкальных сервисов намного больше — еще есть Rdio, Google Play Music, а скоро появится и iTunes Radio. Кроме того, есть и сервисы, прекрасно работающие в России (например, Zvooq, Deezer). Pandora в данном случае интересна действительно хорошим алгоритмом составления плей-листов — она часто подбирает неочевидные треки.

Тест в браузере

Шаг первый — попробовать все это дело в браузере. Это проще всего и не требует никаких финансовых вложений, а ты уже сможешь понять, нужно ли это тебе.

Самый простой способ — поставить расширение Media Hint для браузера. Поддерживаются Firefox и Chrome. Для пользователей других браузеров есть отдельный pac-файл, который прописывается в системных настройках или в браузере. После установки снова зайди на mediahint.com для того, чтобы убедиться, что все работает так, как нужно.

 

Netflix в кармане

Для того чтобы попробовать поставить все это дело на мобильные устройства, придется потрудиться. Естественно, на клиенты всех сервисов наложены географические ограничения. Проще всего в Android — достаточно воспользоваться VPN и зайти в Google Play. Самый простой вариант — TunnelBear. В iOS все сложнее — нужно создать американскую учетку, и, чтобы сделать это без привязки к американской банковской карточке, нужно пойти на хитрость.

tunnelbear

TunnelBear — ну очень милый VPN

Открой десктопный iTunes и зайди в раздел приложений. Выйди из своей учетки и найди любое приложение, требующее американской учетки. При попытке установить его тебя переключит на американский App Store, после чего ты сможешь завести новую учетку, не имеющую привязки к банковской карте. Дальше тебе нужно зайти в iTunes на своем устройстве и установить все нужные приложения. После этого можешь зайти обратно в свой обычный аккаунт. Каждый раз, когда будут выходить обновления для установленных «в обход» приложений, тебе просто будут предлагать ввести пароль для соответствующей учетки, так что никакого дополнительного геморроя.

На самом деле основной юзкейс для Hulu и Netflix на мобильном устройстве — возможность с удобством изучать каталог и составлять список для просмотра, который тут же синхронизируется с твоей учеткой. Также есть целый класс приложений, предоставляющих универсальный поиск по всем сервисам. Например, Fan для iOS, Fayve для iOS и Android

Fayve — удобный каталог, позволяющий искать сериалы и фильмы сразу по всем площадкам

Fayve — удобный каталог, позволяющий искать сериалы и фильмы сразу по всем площадкам

Однако для того, чтобы приложения заработали, придется еще помучиться. Тут есть два варианта — либо воспользоваться VPN с американским IP, либо подключить специальный DNS-сервис. Вариант с DNS лучше в том смысле, что нет никаких ограничений по трафику. Минус в том, что его нужно прописывать отдельно для каждой Wi-Fi-сети, а в мобильной сети этот трюк вообще не сработает. VPN-сервисы вроде TunnelBear, Hideman и Spotfluxнамного проще в использовании, но стоят денег. Но поскольку основной юзкейс тут — просмотр сериалов на планшете дома или в гостинице, логичнее выбрать DNS.

 

Трюк с DNS, естественно, не пройдет с мобильной сетью. Если хочешь слушать Pandora в машине, тебе придется заранее запустить приложение в Wi-Fi-сети либо использовать VPN

Я пробовал три разных DNS-сервиса. Бесплатный Tunlr дает доступ к Hulu, но не Netflix, а бесплатный Unlocator — наоборот. Впрочем, как я понимаю, у Unlocator проблема с Hulu лишь временная, так что, возможно, когда ты будешь читать эту статью, все заработает. Лучше всех себя показал сервис UnoDNS, но он обойдется в 5 долларов в месяц (то есть как VPN).

При желании можно настроить DNS прямо на роутере — тогда не придется заниматься отдельной настройкой каждого устройства. Но такое явно не каждому понравится

Итак, ты поигрался и решил, что тебе понравилось. Нужно платить. Тут возникает еще одна проблема — чаще всего карта российского банка к оплате не подойдет. Придется пойти на дополнительное ухищрение и завести виртуальную карточку QIWI. После регистрации ты сможешь пополнить счет со своей основной карты. Для регистрации в сервисах вводи данные, предоставленные QIWI, а также любой реальный американский адрес. Это легко найти в Google Maps, можешь просто выбрать случайный Apple Store.

Большой экран

Наконец, ты, вероятно, захочешь вывести картинку на телевизор. Конечно, можно развернуть обычный HTPC и пользоваться браузерными версиями, но удобства в этом мало (как минимум — нельзя пользоваться пультом). Самое подходящее устройство, которое можно найти в России, — это Apple TV. Стоит около 4500 рублей, совместимо с Hulu и Netflix. А главное — приставка позволяет выставлять произвольные DNS, что важно для наших целей.

Лучше всего в моем тесте сработал Apple TV

Лучше всего в моем тесте сработал Apple TV

Процедура довольно стандартна. Сначала нужно выбрать DNS-сервис (смотри выше). Затем ввести его данные в Apple TV. Единственное «но» — придется выйти из своего Apple ID. Лично у меня не удавалось войти даже под американской учеткой. Следовательно, не будет работать Home Sharing из других Apple-устройств и нельзя будет использовать iPhone в качестве пульта.

Обрати внимание, что настройки субтитров в Apple TV нужно выставлять не в приложении, а для самой приставки. Иначе при каждом запуске фильма в Netflix придется включать субтитры вручную

Если есть возможность, можешь купить в Штатах приставку Roku. Поддерживает все известные сервисы и имеет очень удобную функцию универсального поиска по всем контент-провайдерам, но, увы, DNS в ней не выставить. Придется прописывать прямо в роутере, а это не всем подходит. Также обрати внимание, что английские версии Roku отличаются прошивкой и с американскими сервисами несовместимы. Еще одна «всеядная» альтернатива — Google TV, который тоже придется ввозить из Штатов.

Hulu и Netflix совместимы с Xbox 360 и PlayStation 3. Я тестировал все это дело на X360. Консоль определяет местоположение пользователя как по IP, так и по адресу, указанному в информации о карте. Поэтому, если у тебя привязана к аккаунту карта, придется немного схитрить:

  1. Введи в настройки консоли данные DNS.
  2. Создай новую учетную запись.
  3. Войди в нее и зайди в раздел приложений.
  4. Поставь Hulu и Netflix.
  5. Вернись в свою учетную запись, зайди в приложения и введи данные учетных записей.

Вот и все. В моем случае, правда, Netflix жаловался на низкую скорость и занижал разрешение так, что на экране становились заметны артефакты. Кроме того, в случае с Xbox 360 потребуется платный аккаунт Xbox Live Gold (около 240 рублей в месяц), но у пользователей PS3 таких проблем нет.

Мой опыт я считаю удачным. Я остановился на бесплатной Pandora и подписке на Netflix, получив таким образом доступ к очень неплохой коллекции контента в HD по цене базового пакета каналов у какого-нибудь «Билайна» (или любого другого провайдера).

 



Бэкдор для OS X, который использует Reddit
2014-10-03 21:00 Denis Mirkov

Антивирусная компания Dr.Web сообщила о новом бэкдоре для операционной системы Mac OS X, который отличается весьма необычным способом получения списка адресов командных серверов. Эту информацию он берёт с популярного сайта Reddit.

Dr.Web обнаружила в сентябре 2014 года сразу несколько новых троянов для Mac OS X. Здесь речь идёт о многофункциональном бэкдоре, который добавлен в вирусные базы под названием Mac.BackDoor.iWorm.

Программа способна выполнять большой набор различных команд, поступивших от злоумышленников. По информации Dr.Web, заражено как минимум 17 000 уникальных персональных компьютеров. По крайней мере, именно столько зарегистрировано IP-адресов, передающих трафик с инфицированных «маков».

«При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, — пишет Dr.Web, — при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя Mac OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы. Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения. Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd».

002

«Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту Reddit для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Mac.BackDoor.iWorm способен выполнять два типа команд: различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты. Набор базовых команд бэкдора для Lua-скриптов позволяет выполнять следующие операции:

  • получение типа ОС;
  • получение версии бота;
  • получение UID бота;
  • получение значения параметра из конфигурационного файла;
  • установка значения параметра в конфигурационном файле;
  • очистка конфигурационных данных от всех параметров;
  • получение времени работы бота (uptime);
  • отправка GET-запроса;
  • скачивание файла;
  • открытие сокета для входящего соединения с последующим выполнением приходящих команд;
  • выполнение системной команды;
  • выполнение паузы (sleep);
  • добавление нода по IP в список «забаненных» узлов;
  • очистка списка «забаненных» нодов;
  • получение списка нодов;
  • получение IP-адреса нода;
  • получение типа нода;
  • получение порта нода;
  • выполнение вложенного Lua-скрипта.

Собранная специалистами компании «Доктор Веб» статистика показывает, что в бот-сети, созданной злоумышленниками с использованием Mac.BackDoor.iWorm, на 26 сентября 2014 года насчитывалось 17 658 IP-адресов зараженных устройств. Наибольшее их количество — 4610 (что составляет 26.1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7 %), третье место занимает Великобритания: здесь выявлено 1227 IP-адресов инфицированных компьютеров, что составляет 6.9% от их общего числа. Географическое распределение бот-сети Mac.BackDoor.iWorm по состоянию на конец сентября 2014 года показано на следующей иллюстрации в начале статьи».



«Небольшой» аудит безопасности дейтинг-ресурса
2014-10-04 10:33 Джон Сноу

Практически все знают, что желательно использовать уникальные пароли для каждого отдельного сервиса/сайта/компьютера, но почему-то многие на это забивают. И если рядовой пользователь, заводя всюду одинаковые пароли, рискует подарить свою учетку в соцсети нехорошим личностям, то администраторы ресурсов несут на своих плечах бремя ответственности не только за себя, но и за всех своих юзеров. Насколько хорошо они справляются с этими обязанностями? Пока не проверишь — не узнаешь. Вот как раз об этом и будет мой сегодняшний рассказ.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Знакомство с пациентом

День первый. Зима, отпуск, быстро надоевшее безделье — все это подстегивало и толкало к поискам очередной разминки для извилин. К счастью, от безделья устал и мой приятель и  попросил изучить на предмет безопасности один из дейтинг-сайтов, которыми занимаются его друзья. Пришедшие акционеры хотели понять, как обстоят дела с безопасностью, и дали полный карт-бланш на действия. Назовем этот сайт условно super-puper-dating.com, и расскажу я о том, как делал для него black box тестирование.

Окинув пациента беглым взглядом, я пришел к выводу, что сайт самописный и на нем активно используется mod_rewrite. К сожалению, поиск информации об ошибках в работе сайта через гугл ничего не дал — никаких warning’ов и ошибок мускула в выдаче не значилось.

Начав подставлять одинарные кавычки во все параметры, я убедился, что без регистрации ничего путного не выйдет. Хорошо, регаемся. После этого на почту упало стандартное письмо от веб-мастера с моим ником, пассом, кодом активации и ссылкой на остальные сайты в этой группе. Правда, остальные ресурсы интересовали меня меньше всего, так как до этого я уже успел побывать на замечательном сайте yougetsignal.com — простой, не требующий регистрации сервис, который, помимо прочего, предоставляет услугу Reverse ip domain check. Он выдал мне много интересной информации. Точность его показаний колеблется в районе 75–85%, чего, впрочем, вполне хватает.

Первые находки

К сожалению, хотя и вполне закономерно, 99% всех сайтов, находящихся на серваке, являлись одним движком, только с разными шкурами. Один ресурс представлял собой внутреннюю биллинг-систему для продажи услуг юзерам дейтинг-сайта. Бегло изучив «соседей» и не найдя ничего интересного, я решил залогиниться на сайт и продолжить свои попытки там. Перепробовав все что можно и не получив сколько-нибудь положительного результата, уже было собрался закрывать вкладку и переходить к следующему сайту знакомств, как в форме ответа на мессагу в форуме обнаружился баг. Он заключался в том, что при отправке ответа в ветку параметры не проверялись на наличие посторонних символов, в частности кавычки. Это был единственный найденный за это время баг, но он привел к получению всех, так нужных мне данных. Итак, подставив кавычку в запрос http://www.super-puper-dating.com/mega1forums/index.php?replyto=19335’&topic=true, я получил следующее:

Unknown column 'rsquo' in 'where clause' Topic Category:

и

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '; or parenttopic=19335') and forumlang='en' order by topicid' at line 1

что говорило о трудностях перевода для MySQL.

Ошибка при постановке кавычки в запрос

Ошибка при постановке кавычки в запрос

Подставив в запрос uninon select, я получил сообщение: The used SELECT statements have a different number, что, в свою очередь, указывало на несовпадение количества выводимых колонок в запросе. Всего их оказалось ровно 26, и часть из них выводилась на экран. Первым делом я решил проверить версию установленной СУБД:

http://www.super-puper-dating.com/megaforums/index.php?replytoid=-2+union+select+1,2,concat(user(),0x3a,version(),0x3a,database()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26&addtopic=false

Ответ меня очень порадовал — 5.1.61! Вот и все, осталось только узнать имена таблиц и колонок в них через information_schema. Недолго думая, я скомандовал: UNION SELECT 1,2,TABLE_NAME ,...,26 FROM INFORMATION_SCHEMA.TABLES. Увиденный результат меня крайне опечалил: CHARACTER_SETS. Данное значение говорило не только об идентификации набора символов для данного пользователя, но и о том, что записи в этом баге выводятся по одной. Хотя сам вывод данных, безусловно, был уже позитивным моментом. Короче говоря, классика.

Смотрим пользователя и версию СУБД

Смотрим пользователя и версию СУБД

К сожалению, пользователь, под которым крутилась эта база, не мог работать с файловой структурой, и поэтому возможность закинуть шелл и быстро слить базы отсутствовала. Ввиду ограниченности прав я не мог посмотреть и таблицу mysql.users. Что тоже очень печалило. Запущенный в фоне сканер папок и файлов обнаружил наличие директории phpMyAdmin на одном из сайтов на этом серваке, что давало призрачный шанс ускорить процесс получения базы. К пяти часам утра я уже знал о наличии таблиц с названиемbillingrecurring, ccbill и users. Последняя содержала в себе больше 200К записей, причем в открытом виде (кошмар!). А вот админок или каких бы то ни было CMS, использующих базу и позволяющих редактировать шаблоны, найдено не было. В общем-то, неплохой улов для одного дня, так что можно и отдохнуть, благо утро уже почти наступило.

Пользователи с паролями от MySQL-сервера

Пользователи с паролями от MySQL-сервера

Знакомимся с соседями

Наступил второй день, и я продолжил ковырять сайт. Как было сказано выше, был получен доступ к базам — и это уже можно было показать как результат работы, но хотелось дойти до конца! Вытягивать записи из БД по одной, конечно, можно, но это не оптимальный метод, и его хотелось бы оставить только на крайний случай. К тому же надпись в phpMyAdmin, гласящая «Доступ запрещен», честно говоря, немного напрягала.

С помощью who.is я решил посмотреть данные владельца ресурса super-puper-dating.com. Он оказался уже в другом домене — будем называть его puper-domain.com. По этим данным было легко найти его идентификатор на сайте (назовем его Иван) и через скулю вытащить пароль. Идея простая: можно попробовать использовать пароль для почтового ящика (как показывает практика, владельцы даже крупных проектов тоже люди и тоже любят одинаковые пароли). Если бы пароль подошел, то в ящике могут быть данные для подключения к super-puper-dating.com. Пароль у Ивана оказался довольно непритязательным — god5it (как видишь, он до жути прост и нарушает все существующие законы создания безопасного пароля). Пароль подошел и к почте! Но, войдя в почтовый ящик, я увидел лишь папочку Junk, где лежал спам и больше ничего :(.

Ну да ладно, у меня еще была куча возможностей в виде сервера с доменом puper-domain.com. В первую очередь я проверил, есть ли у него соседи. Таковых оказалось около сорока. Неплохо, где-то явно должен быть баг. Полазив по сайтам десять часов, я нашел какую-то самописную CMS, с наполовину интегрированным WYSIWYG-редактором, папкиwebmail и urchin. При заходе в папку webmail меня перебрасывало в панель управления, а незапароленный urchin показывал статистику посещений сайтов. Там же я нашел и обращения к папке editor_files, где лежали файлы WYSIWYG-редактора. Однако уязвимым оказался только скрипт dialog_frame.php, который выводил на экран содержимое.htaccess, но показывать содержимое файлов с расширением php или файлов, находящихся в вышележащих каталогах, он отказывался напрочь. При изменении языкового файла данный скрипт выдавал сообщение об ошибке, которое выражалось полным раскрытием пути, его я получил и при обращении к другим файлам этих сайтов, но никакого чтения/записи так получено и не было. На этом я приостановил занятия, так как пришло время катания на коньках.

Панель управления доменами

Панель управления доменами

В гостях у puper-domain.com

День третий. Повторный проход по сайтам ничего нового не принес. И тогда я решил попробовать пасс с дейтинга на FTP на puper-domain.com, благо к почте он подошел. Как я говорил, мне удалось получить полное раскрытие пути, как правило содержащее в себе и имя учетной записи, из-под которой происходит вызов скрипта. Ранее запущенный Nmap услужливо сообщил мне, что все интересующие любого хакера порты светятся, как зеленый сигнал светофора, и никаких ограничений по IP не предусмотрено. Так как у меня была одна учетная запись и один пасс, я скомандовал своему FTP-клиенту

open 3.1.3.37
user:ivan
pass:god5it

и в ответ получил всего два слова: Login successful. Это меня одновременно удивило и обрадовало.

Как правило, внутренняя защита подобных проектов практически сведена к нулю, и дело здесь вот в чем. Над проектом работает от одного до десяти человек, и все они нацелены на общий результат, а создавать несколько аккаунтов с разными паролями администраторам (владельцам сайтов) сервака, как это обычно бывает, — лень. В данном случае админ был один, а это оказался его тестовый сервер, где он создавал свои и чужие проекты. Вот так мы и получили, что хотели, — читается практически все, включая папку root. Быстренько закинув веб-шелл, я увидел свои права uid=80(apache) gid=80(apache) groups=80(apache). Полазив по файловой системе, нашел достаточное количество конфигов с пассами, записал их в один файл для дальнейшего аудита. Надо сказать, что на этом сервере крутились разные самописные магазины и, соответственно, конфиги для подключения к биллингу :). Перед самым уходом заглянул в папку к руту и в подпапке backup обнаружил дамп базы MySQL со всеми ее пятнадцатью пользователями.

Пароли с тестового сервера для управления доменами

Пароли с тестового сервера для управления доменами

Также не был забыт и файл passwd из каталога /etc. Все это было нужно для дальнейшего анализа, ведь данных для подключения к интересующему меня серверу на этом компе я не нашел. идем напролом

Завершив FTP-сессию, я запустил PasswordsPro, загрузил добытые MySQL-хеши, а также добавил новый пасслист, который содержал в себе все найденные мною на втором сервере пароли.

Для восстановления исходных пассов был выбран режим гибридной атаки по словарю. И уже через две минуты брутер открыл 2/3 расшифрованных пассов, в том числе и root-пароль:god5it123. Таким образом, у меня было уже около тридцати пассов, включая два пасса, созданных по маске, Dr@upa7132и Br@iti123.

Расколотые хеши — это, конечно, замечательно, но они были не от интересующей меня машины. Поэтому я решил сгенерировать новые пароли на основе уже найденных и применить их по назначению, то есть для попытки логина на машину с дейтинг-ресурсом. Генерация пассов с моей стороны заключалась в следующем: берем первые две буквы доменного имени (первую делаем заглавной), затем символ @, после этого еще три буквы доменного имени и в конце маска чисел 123 и 7132. Ну что же, тестовые пароли есть, осталось найти валидных пользователей с первого сервера. Учитывая, что оба сервака относились к одному хостинг-провайдеру, можно было предположить, что создание учетных записей на основной и дополнительной машине будет одинаковым. Поэтому я открыл/etc/passwd, взятый с puper-domain.com, и посмотрел список пользователей. Среди системных юзеров находились и пользователи, имена которых являлись названием сайтов, точно так же, как и та учетная запись, к которой подошел пароль god5it.

Файл /etc/passwd с целевой машины

Файл /etc/passwd с целевой машины

Теперь у меня появилась хоть и довольно призрачная, но теоретически обоснованная возможность проникновения на целевую машину. Открываю yougetsignal.com, вбиваюsuper-puper-dating.com, получаю список сайтов, убираю у всех доменную зону и получаю порядка сотни возможных учетных записей. Создав комболист и загрузив его в brutus, выставляю поиск пользователей по FTP. Сам же тем временем, не особо рассчитывая на удачу, начинаю искать хостинг-провайдера и регистратора доменов с интересующим меня имененм. Он нашелся довольно быстро. Это была компания, которая предоставляла не только регистрацию доменных имен, но и услуги хостинга. С третьей попытки логин оказался удачным, подошел рутовый пасс от мускуля тестовой машины. Как оказалось, Иван является VIP-клиентом этой конторы и имеет 205 доменов на борту.

Таблица с пользователями

Таблица с пользователями

В это время тихонько тренькнул brutus, сообщив мне, что свою часть работы он выполнил на отлично. Да, действительно, одна из предложенных мной комбинаций оказалась верной. Причем за реально существующее системное имя пользователя отвечал сайт биллинг-системы, что тоже выглядит вполне логичным. Остальное было уже делом техники: снова был залит r57shell, сервер был изучен и найдены конфиги для соединения с БД.

После этого послушный phpMyAdmin отдал мне полный дамп базы users в течение пяти минут. К этому моменту у меня были полные доказательства, что безопасность в текущем виде никуда не годится, на этом я прекратил все дальнейшие манипуляции и убрал за собой.

Мои помощники

Итак, давай подведем итог, что помогло мне проникнуть на сервер:

  1. Одинаковые пароли. Никогда не используй одинаковые пароли для FTP, SSH и прочих ресурсов, в том числе и тестовых. А уж оставлять свои реальные пароли на тестовом сервере я вообще считаю преступлением. В нашей истории пароль Ивана на сайте знакомств полностью совпал с учетной записью на FTP, поэтому в целях безопасности рекомендую тебе всегда использовать уникальные пароли, а не создавать их по маске.
  2. Вывод ошибок. В журнале уже неоднократно писалось о том, что раскрытие пути в некоторых ситуациях может скомпрометировать систему. Именно так и получилось в данном случае. Не зная единственной учетной записи, я не смог бы проникнуть внутрь, даже имея на руках валидный пароль.
  3. Хакер, пентестер, да и любой человек должен хорошо запомнить поговорку: один раз — случайность, два — закономерность. Знание таких базовых истин позволяет совершать большие дела. Именно выявление закономерности позволило мне сгенерировать корректный пароль.

Заключение

Как ты смог увидеть на примере этой истории, именно использование одинаковых паролей оказалось фатальной ошибкой, которая позволила мне получить доступ к данным более чем 200К пользователей сайта. Поэтому, регистрируясь где-либо, прими для себя за правило считать этот ресурс уязвимым и придумывать для каждого уникальный пароль. Проще всего это делать с помощью менеджера паролей, например, LastPass. И самое главное, помни, что за свою безопасность в Сети отвечаешь ты сам! Как бы нам ни хотелось обратного, но сейчас даже главы государств под колпаком, а что уж говорить про нас.

 




© Copyright Gameland

В избранное