Новости

Mozilla запустила файлообменник Firefox Send

13.03.2019

В качестве основного отличия Firefox Send от других файлообменников отмечается использование сквозного шифрования для защиты передаваемой информации, что делает новый сервис идеальным для передачи приватной информации.

 

Сервис использует технологию шифрования на основе браузера, которая шифрует ваши файлы перед их загрузкой на сервер Mozilla, который может быть расшифрован только получателями.

 

Размер файла не может превышать 1 гигабайта, однако для владельцев аккаунта Firefox этот лимит увеличен до 2,5 гигабайта. Пока что доступна только веб-версия сервиса, однако в скором времени должно появиться приложение для Android.

 

Вот основные особенности Firefox отправить:

  • • End-to-End Encryption- Firefox Send использует 128-битное шифрование AES-GCM через Web Crypto API для шифрования файлов в веб-браузере перед их загрузкой на сервер.
  • • Установка срока действия ссылки, вы можете выбрать диапазон времени от 5 минут до недели, после которой ваша ссылка на файл удалится.
  • • Ограничение количества загрузок. От 1 до 100 загрузок, после чего ссылка перестанет работать.
  • • Установка пароля на загрузку файла.

В WinRAR найдена 19-летняя уязвимость

26.02.2019

Один из самых загружаемых архиваторов в истории – WinRAR. Однако такая популярность часто делает его мишенью для хакеров: под угрозой оказались сотни миллионов владельцев копий знаменитого приложения.

 

Как сообщает 4PDA, эксперты компании Checkpoint Research, которая работает в сфере IT-безопасности, опубликовали отчет о найденной уязвимости в коде архиватора WinRAR.

 

Аналитики утверждают, что обнаруженный эксплойт позволяет злоумышленникам разместить вредоносный файл со склада архива формата ACE непосредственно в папку автозагрузки Windows, обходя при этом необходимость запуска приложения с повышенными привилегиями. "Слабым звеном" приложения оказалась библиотека UNACEV2.dll, которая не получала обновлений с 2005 года.

 

По данным портала ZDNet, поставщики эксплойтов уже проявили интерес к покупке уязвимостей в утилите сжатия файлов в прошлом году, предлагая заплатить до $100000 за инструмент удаленного выполнения кода в WinRAR, 7-Zip, WinZip (Windows) или tar (в Linux).

 

По словам аналитиков, в течение последних 19 лет риска заражению подверглось более 500 миллионов пользователей WinRAR.

 

Поскольку исходный код библиотеки оказался утерян, разработчики архиватора приняли решение отказаться от поддержки потенциально опасного формата и удалили соответствующие файлы в новой версии программы. Пользователям WinRAR рекомендуется перейти на версию 5.70 beta 1, доступную для скачивания на официальном сайте.

В RDP-клиентах для Windows и Linux нашли десятки уязвимостей

13.02.2019

Популярные RDP-клиенты для удаленного администрирования обладают уязвимостями, которые позволяют злоумышленникам проводить реверсивные атаки или получить несанкционированный доступ к файлам через общий буфер обмена. К такому выводу пришли ИБ-специалисты компании Check Point после проверки утилит с открытым кодом FreeRDP и rdesktop, а также встроенного приложения Windows для подключения к удаленному рабочему столу. Разработчики opensource-программ исправили выявленные недостатки, а Microsoft не признала обнаруженную проблему брешью своего RDP-клиента и не планирует выпуск заплатки.

 

Исследователи проверили возможность нападения на клиентское устройство со стороны сервера и выяснили, что программы FreeRDP и rdesktop допускают такой сценарий атаки. По мнению аналитиков, взяв под контроль целевую систему, злоумышленники могут выполнить вредоносный код на компьютере администратора, подключившегося к ней. Кроме того, используя эти недостатки, зловред способен атаковать ИБ-специалиста через RDP-сеанс с виртуальной машиной, которая используется в качестве песочницы.

 

В утилите rdesktop версии 1.8.3 были найдены 19 уязвимостей, десять из которых допускают удаленное выполнение кода, шесть приводят к отказу в обслуживании, а еще три могут служить причиной утечки данных. Исследователи выделили две основные проблемы в коде и разобрали одну из них на примере уязвимостей CVE-2018-20179, CVE-2018-20180 и CVE-2018-20181, связанных с переполнением буфера из-за плохой проверки передаваемых данных. Еще одну брешь аналитики проиллюстрировали при помощи CVE 2018-8795, которая позволяет выполнить вредоносный код на целевом устройстве через ошибку в обработке растровых изображений и связанное с ней контролируемое переполнение буфера.

 

Исследование исходников программы FreeRDP 2.0.0-rc3 выявило пять уязвимостей, влекущих удаленное выполнение кода и один баг, приводящий к состоянию отказа в обслуживании. Специалисты Check Point подготовили PoC, в котором запускают на машине администратора приложение по команде с удаленного RDP-сервера. Эксплойт связан с брешью CVE 2018-8786 и использует недостатки в обработке растровых изображений.

 

Как отметили аналитики, проприетарный клиент удаленного доступа, разработанный Microsoft, не содержит выявленных в rdesktop и FreeRDP недостатков, однако некорректно работает с общим буфером обмена, через который можно пересылать файлы между клиентом и сервером.

 

В отличие от утилит с открытым кодом, которые способны передавать при помощи этого инструмента только текст, программа mstsc.exe работает с несколькими форматами данных. Так, RDP-клиент Microsoft может помещать в буфер обмена сведения о расположении группы файлов через функцию CF_HDROP. Обратное преобразование этого формата может позволить серверу разместить объекты в произвольных каталогах клиента, например расположить вредоносный файл в папке автозапуска.

 

Исследователи сообщили о своей находке в Microsoft, однако представители компании отказались присваивать проблеме статус уязвимости, ссылаясь на правила поддержки своих продуктов. Разработчики rdesktop и FreeRDP закрыли выявленные баги релизами 1.8.4 и 2.0.0-rc4 соответственно.

 

По мнению специалистов, атаки с использованием RDP-соединения являются одним из главных каналов доставки вредоносных программ на целевые компьютеры. Злоумышленники используют слабые пароли или ошибки в настройке доступа, чтобы создать собственные аккаунты с правами администратора сервера и использовать их для установки зловредов.

В умных камерах, розетках и лампочках нашли серьезные бреши

02.02.2019

Специалисты компаний Dark Cubed и Pepper IoT провели анализ 12 устройств Интернета вещей и пришли к выводу, что многие из них имеют проблемы, связанные с безопасностью. В частности, аналитики отметили слабое шифрование данных, вшитые пароли по умолчанию и требование избыточных разрешений Android-приложениями для управления гаджетами. Эксперты не связывались с производителями уязвимых устройств до публикации и взяли на себя ответственность за достоверность обнародованных сведений.

 

 

 

Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:

  • • iHome
  • • Merkury
  • • Momentum
  • • Oco
  • • Practecol
  • • TP-Link
  • • Vivitar
  • • Wyze
  • • Zmodo

 

Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.

 

Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.

 

Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.

 

Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.

 

Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.

 

«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).

 

В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.

 

«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».

Во Франции оштрафовали Google на €50 млн

26.01.2019

Некорректное информирование пользователей при получении их согласия на обработку персональных данных стало причиной обвинений в сторону корпорации Google. Независимая административная организация Франции CNIL (Commission nationale de l'informatique et des libertés) приняла решение о взыскании штрафа в размере €50 млн. Свою позицию организация опубликовала на официальном сайте.

По мнению представителей CNIL, пользователи Google не достаточно информированы о том, как собирают, обрабатывают и хранят и персональные данные. В частности, вопрос о том, кто будет иметь доступ к этой информации, также остается открытым.

Дополнительный фактор, усиливающий обвинения – невозможность получить всю необходимую информацию об условиях обработки личных данных из одного документа.
Инициатором штрафа стали активисты из группы None of Your Business, которые на днях также выступили с подобными обвинениями в сторону YouTube, Netflix, Amazon, Apple, Spotify и Soundcloud.

Страницы