Новости «Безопасность»

Linux Kernel Runtime Guard (LKRG) ― это экспериментальный модуль ядра, обеспечивающий контроль целостности и обнаружение работы эксплоитов, направленных на пространство ядра.

Изменения с предыдущей версии:

• Исправлена ошибка первого рода, вызванная потенциальным состоянием гонки, когда дочерний процесс может быть быстрее чем родительский процесс во время вызова fork().
• Изменена логика и уровень протоколирования для сообщений, выводящихся в случае описанного состояния гонки в fork().
• Измененены значения вероятностей во время запуска процедуры контроля целостности.

Как и ранее, этот релиз разработан Адамом «pi3» Заброцки. На этот раз это своего рода стабильный релиз. Также, недавно Адам рассказал о внутренней работе LKRG на конференции CONFidence в Кракове, Польша.

>>> Слайды с презентации

>>> Подробности

Группа исследователей из нескольких университетов обнаружила новые варианты эксплуатации уязвимости Rowhammer в подсистеме ION (драйвер памяти) являющейся частью ОС Android, используемом в Android-устройствах начиная с версии 4.0 «Ice Cream Sandwich» (устройства. выпущенные с 2012 года).

RAMpage схожа с уже известной атакой DRammer, воздействующей на аппаратную уязвимость Rowhammer и заключается в вынужденном переключении состояния ячеек DRAM — из-за высокой плотности компоновки ячеек становится возможно спровоцировать переключение соседних ячеек постоянной перезаписью памяти, доступной атакующему процессу. Атака RAMpage r0 заставляет ION путем исчерпания области highmem размещать страницы памяти непрерывно и поместить страницу памяти атакующего приложения в область lowmem, где после может быть расположена таблица страниц ядра. На этом этапе осуществляется поиск уязвимых к bit flip областей и после этого память освобождается обратно, что косвенным образом заставляет ION поместить системную память на уязвимую область физической памяти, где и осуществляется атака. По мнению специалистов проведение атаки возможно выполнить на большинстве современных устройств с памятью LPDDR2, LPDDR3 и LPDDR4.

Для снижения риска эксплуатации был опубликован инструмент GuardION, суть которого заключается в добавлении промежутков в памяти между страницами, не позволяющими исполнить такой вариант атаки.

>>> PDF с описанием атаки и описанием механизма работы GuardION

>>> Подробности

Организация Electronic Frontier Foundation предоставила новую инициативу - STARTTLS Everywhere, в рамках которой они предлагают повсеместное использование шифрования для серверов электронной почты. Эта инициатива дополняет предыдущую - HTTPS Everywhere, запущенную ещё в 2011 году и направленную на защиту трафика между браузером и веб-сервером.

Так же EFF запустила сервис, позволяющий проверить, поддерживает ли сервер STARTTLS, и какие алгоритмы он поддерживает (устаревшие и небезопасные SSLv2/SSLv3 или TLS). Сервис проверяет валидность используемого сертификата - многие сервера используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

В рамках инициативы представлен инструмент Certbot для автоматического получения сертификата Let's Encrypt и быстрого конфигурирования сервера для его использования. Помимо этого, создана утилита для обновления списка серверов, уже поддерживающих STARTTLS, которая поможет избежать атак, связанных с использованием устаревшего ПО.

>>> Подробности

Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS (официальный релиз ожидается к концу 2018 года) готова представить нативную доменную систему Jacky Security System (JSS), полностью построенную на базе opensource-компонентов, таких как MIT Kerberos, OpenLDAP, SSSD. В процессе создания JSS разработчики, оценив многообразие инфраструктур на базе Linux, отказались от идеи создания самописного программного продукта в пользу описания концепции универсальной системы безопасного доступа. Это решение позволило максимально упростить процедуру внедрения JSS в любую существующую Linux-инфраструктуру независимо от её размера, а также дало возможность закрывать потенциальные уязвимости, обновляя пакетную базу штатными средствами операционной системы.

В архитектуру JSS легли такие парадигмы, как мульти-мастер репликация, высокая отказо- и катастрофоустойчивость, симметричное и двойное шифрование, горизонтальное масштабирование центров авторизации и аутентификации, использование существующих распространённых протоколов для интеграции с использующимися в Linux-среде программными продуктами.

Первая презентация системы пройдёт 25 июня на конференции HighLoad++ Siberia 2018. Участники конференции смогут пообщаться с экспертами и принять участие в митапах, посвящённых вопросам IT-безопасности. “Мы надеемся, что Jacky Security System внесёт свой вклад в повышение глобального уровня информационной безопасности и станет надёжным фундаментом для создания более совершенных методов борьбы с киберпреступлениями” - СТО TankOS Зайцев Петр (Энтроп).

Для широкой публики 25-26 июня будет организован открытый турнир CTF, где любой желающий сможет познакомиться с системой, попробовав обойти средства защиты. Результаты конкурса будут опубликованы организаторами в виде статистики отражённых атак, а в случае успешного проникновения разработчики компонентов и Linux-сообщества будут проинформированы о найденных уязвимостях.

>>> Подробности

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.

>>> Далее...

В пакете procps-ng версии 3.3.15, используемом многими дистрибутивами предоставляющими традиционные программы free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w, watch, а также библиотеку libprocps, было обнаружено несколько уязвимостей, худшая из которых позволяет непривелигированному пользователю исполнить код с правами пользователя, запускающего одну из уязвимых утилит (утилиты pgrep, pidof, pkill и w уязвимы с параметрами по умолчанию).

Уязвимости устранены разработчиками, исправления доступны в основных дистрибутивах.

>>> Qualys Security Advisory - Procps-ng Audit Report

(Это заявление касается лишь вопросов уязвимости OpenPGP, GnuPG и GPG4Win. Мы ничего не говорим здесь про S/MIME.)

Только что отдельные исследователи безопасности обнародовали статью, озаглавленную «Efail: Взлом шифрования S/MIME и OpenPGP с использованием приемов эксфильтрации». Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail [0][1].

Мы же по этому поводу сначала заявим три вещи, а затем и постараемся показать, почему мы правы:

1. Статья озаглавлена неверно.
2. Атака направлена на забагованные почтовые клиенты.
3. Авторы составили список таковых клиентов.

( читать дальше... )

>>> gnupg-users@gnupg.org

Авторитетный специалист в области компьютерной безопасности Себастиан Шинцель (Sebastian Schinzel) сообщил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME.

Проблемы настолько серьезны, что позволяют полностью дешифровать текст писем, в том числе и отправленных ранее писем.

Был создан специальный сайт посвящённый данной уязвимости, где описаны методы противодействия возможным атакам.

>>> https://efail.de/

>>> Подробности

Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.

Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.

Подробности:

https://www.kb.cert.org/vuls/id/631579

>>> Источник

OpenSSH — это реализация протокола SSH 2.0, включающая в себя sftp клиент и сервер.

В этом релизе прекращена поддержка некоторых очень старых реализаций SSH, включая ssh.com старше 2.* и OpenSSH старше 3.*. Эти версии были выпущены до 2001 года и на тот момент еще не было конечной версии RFC, следовательно прекращение поддержки не влияет на совместимые с RFC реализации SSH.

( читать дальше... )

>>> Подробности

Enigmail ― это расширение безопасности для Mozilla Thunderbird, позволяющее использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты.

Значимые изменения с прошлой версии:

• Поддержка Pretty Easy Privacy (p≡p), который включен по умолчанию для новых пользователей.
• Поддержка стандарта Autocrypt. Если Enigmail используется в классическом режиме (без p≡p), то Autocrypt включен по-умолчанию.
• Поддержка Web Key Directory. Теперь Enigmail будет пытаться скачивать недоступные ключи из WKD. Если используется GnuPG 2.2.x и почтовый провайдер поддерживает протокол Web Key Service, то можно также загрузить свои ключи в WKD через Enigmail.
• Теперь производится зашифровывание темы письма и замена его на «Encrypted Message».
• Ключи теперь автоматически запрашиваются через определенный интервал.
• Теперь при обновлении Enigmail более не будет требоваться перезапускать Thunderbird.

>>> Подробности

>>> Установить