Новости «Безопасность»

Группа разработчиков eQualit.ie представила первую тестовую версию своего протокола (n+1)sec, ориентированного на создание децентрализованных чатов с поддержкой end-to-end шифрования для произвольного количества участников. Основными преимуществами протокола являются: поддержка технологии perfect forward secrecy (PFS), не позволяющей использовать для расшифровки перехваченного трафика сеансовый ключ, генерируемый с использованием долговременных ключей, даже если один или несколько из долговременных ключей будут скомпрометированы, и Deniable authentication, что не позволяет третьим лицам доказать авторство сообщений участников после выхода из чата. Также следует отметить такие особенности как проверка целостности чат-комнат и единый порядок сообщений.

Для тестов предлагается эталонная реализация библиотеки на C++, плагин для Pidgin, реализующий клиентский функционал, и тестовый набор EchoChamber. Исходные коды доступны по лицензии LGPL-3.0.

Описание протокола: https://learn.equalit.ie/wiki/Np1sec

Библиотека: https://github.com/equalitie/np1sec

Плагин для Pidgin: https://github.com/equalitie/np1sec-test-client

Тестовый набор: https://github.com/equalitie/EchoChamber

>>> Подробности

В качестве ответа на санкции Google Symantec продаёт свой бизнес другому коммерческому поставщику сертификатов — DigiCert. В результате сделки Symantec получит 950 миллионов долларов и треть акций DigiCert.

Продажа полностью завершится к концу 2018 года. К этому времени процесс выпуска сертификатов перейдёт на инфраструктуру DigiCert. До этого выпускаемые сертификаты будут проверяться сотрудниками DigiCert, чего и требует Google.

По результатам сделки, DigiCert соберёт под собой 5 брендов и почти в 7 раз увеличит количество обслуживаемых сертификатов. 5 крупнейших CA будут контролировать 97,4 % рынка, а доля каждого из их конкурентов не будет превышать 0,6 %.

>>> Подробности

Из-за многочисленных нарушений в подконтрольных компании Symantec центрах сертификации ранее уже рассматривались меры снижения доверия, однако тогда не обсуждался полный отказ в доверии (www.linux.org.ru/news/security/13311135).

Сегодня обсуждается уже полная «блокировка» сертификатов от подконтрольных Symantec центров: в Chrome ориентировочно с выпуска 66 (запланирован на 17 апреля 2018) предлагается отвергать сертификаты выпущенные ранее 1 июня 2016 и с 70 — полностью все; в Firefox несколько ранее — с декабря 2017 года, также поэтапно с полным отказом ориентировочно в выпусках 63 (16 октября 2018) или 64 (27 ноября 2018).

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/gn1i2JNVCnc

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Oaeqtddo_Cw

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности

В 58-м выпуске SDCast состоялось интервью с Павлом Одинцовым, разработчиком FastNetMon — свободной системы обнаружения DDoS-атак. В подкасте обсуждались как теоретические вопросы об их типах, целях и способах проведения, так и практические вопросы защиты и механизмы обнаружения на примере реализации в проекте Павла.

Скачать выпуск: mp3 (72 МиБ), ogg (56 МиБ).

>>> Прослушать и прочитать

Разработчик Canonical Крис Колсон сообщил об обнаружении критической уязвимости в системном менеджере systemd. Атакующий может удалённо спровоцировать переполнение буфера, что ведёт к выполнению произвольного кода.

Уязвимость, получившая идентификатор CVE-2017-9445, кроется в функции dns_packet_new из состава systemd-resolved. Особым образом сформированный DNS-ответ может привести к падению systemd-resolved, когда тот пытается получить ответ от DNS-сервера, контролируемого злоумышленником. В итоге, чрезвычайно большой ответ переполняет память, позволяя выполнить произвольный вредоносный код.

Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

Отслеживать появление патчей в Ubuntu и Debian можно по ссылкам:

https://www.ubuntu.com/usn/usn-3341-1/

https://security-tracker.debian.org/tracker/CVE-2017-9445

>>> Подробности

В почтовой рассылке Debian рассказали о критической уязвимости в работе Hyper Threading на процессорах Intel серий Skylake и Kaby Lake. Неисправность затрагивает как десктопные, так и серверные процессоры и не зависит от операционной системы.

Конкретных симптомов не называется, но в общих чертах — при срабатывании проблемы система может вести себя абсолютно непредсказуемо, показывать различные ложные ошибки как приложений, так и операционной системы, а также может привести к потере или повреждению данных.

Пользователям уязвимых процессоров настоятельно рекомендуется отключить Hyper Threading до тех пор, пока производитель их ПК не выпустит соответствующие обновления для микрокода. Настоятельно рекомендуется не включать его обратно до тех пор, пока вендор не выпустит обновление BIOS/UEFI, решающее проблемы KBL095, KBW095 или подобные.

Фикс для процессоров Skylake уже есть в репозиториях Debian в пакете intel-microcode. Для Kaby Lake на данный момент фикса нет.

>>> Подробности

Состоялся релиз Tails 3.0, основанный на Debian 9 (Stretch). Пользователям рекомендуется применить обновления как можно скорее.

The Amnesic Incognito Live System, или Tails, — дистрибутив GNU/Linux, созданный для обеспечения приватности и анонимности. Все исходящие соединения проходят через сеть Tor, а неанонимные соединения блокируются. Система предназначена для загрузки в live-режиме и не оставляет следов на копмьютере, где использовалась. Проект Tor является главным спонсором Tails. Данная ОС рекомендована Фондом свободной прессы, а также использовалась Эдвардом Сноуденом для разоблачения PRISM. Сообщество Tails тесно сотрудничает с Debian, помогая обнаруживать и исправлять проблемы безопасности.

( читать дальше... )

>>> Подробности

В сетевом программном обеспечении Samba обнаружена уязвимость, с помощью которой можно получить возможность удалённого выполнения кода.

Уязвимость появилась ещё 7 лет назад, но чтобы ей воспользоваться, необходим доступ к ресурсу на запись, что сильно ограничивает возможность эксплуатации.

Под атакой могут оказаться версии от 3.5.0 и до 4.6.4/4.5.10/4.4.14.

В Metasploit уже есть эксплоит, поэтому рекомендуется обновить все серверы, если они используют протокол SMB.

>>> Подробности

Компания Google сообщила об обновлении стабильного канала браузера Chrome, Chrome для Android и операционной системы ChromeOS, в связи с обнаружением 5 уязвимостей.

Одна из обнаруженных уязвимостей — критическая, и позволяет обойти все уровни защиты браузера и выполнить произвольный код за пределами sandbox-окружения.

( читать дальше... )

>>> Подробности

Представлен новый выпуск LibreSSL — форка OpenSSL от проекта OpenBSD.

( Основные изменения )

>>> Подробности

Разработчики Google Chrome рассматривают меры снижения доверия и постепенную блокировку сертификатов (через снижение срока их действия), выданных подконтрольными Symantec центрами сертификации. Недовольство и опасения вызвала политика выдачи сертификатов, которые компания проводила предыдущие несколько лет. Symantec недостаточно тщательно контролировала процесс выдачи сертификатов, что привело к снижению безопасности пользователей Google Chrome.

Такие «мягкие» меры объясняются тем, что подконтрольные Symantec центры занимают значительную долю: по разным данным 30-40% всех проверок касаются сертификатов выданных проблемными CA.

Предлагаемые меры:

• EV-сертификаты предлагается рассматривать как DV сроком на год. Если не будет предпринято мер по исправлению ситуации со стороны CA, политика снижения доверия продолжит действовать.
• В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21, и в итоге в Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

За это время CA подконтрольным Symantec (Symantec, Thawte, GeoTrust) предлагается заменить все «малодоверенные» сертификаты и устранить недостатки в процессах их выдачи.

>>> Подробности

Представлен новый выпуск OpenSSH — набора программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH.

( читать дальше... )

>>> Подробности

Во вторник в Flash Player было исправлено 7 уязвимостей, 6 из которых могут приводить к удалённому исполнению кода.

Компания Adobe заявила, что не располагает информацией об использовании уязвимостей злоумышленниками, но призывает пользователей Windows, macOS, GNU/Linux и Chrome OS установить обновления.

( читать дальше... )

>>> Подробности