Архив метки: NSA

По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм

По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм

По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм. А дело в ошибках допущенных специальными службами. Мол, проспали такие мощные приготовления и т.д.

🔹 Я не берусь судить о работе специальных служб, т.к. ничего в этом не понимаю. Я только обращаю внимание, что все эти приготовления где-то координировались. И задержанные уроды заявляют, что в Telegram. 🤷‍♂️

🔹 По поводу того, что тайна переписки важнее безопасности. Я не юрист и опять же мало в этом понимаю, но вот почему-то американцы после 11 сентября 2001 года решили, что недостаточный контроль за частными коммуникациями это ключевая проблема и приняли Patri­ot Act. А затем отслеживали сообщения в Hot­mail (Microsoft), Google Mail, Yahoo!, YouTube, Skype, AOL, Apple, Paltalk (и в ещё одной сверхпопулярной соцсети, которую я предпочту не называть) через программу PRISM. Вроде как это повысило эффективность работы NSA. Вот вы как считаете, американцам можно контролировать коммуникации, а нашим нельзя? Я вот считаю, что у наших должны быть средства контроля не хуже, чем у американцев.

🔹 Конечно есть отдельные западные диссиденты типа Ассанджа или Сноудена, которые эти американские программы критикуют. Я не западный диссидент и их идеалистическая позиция мне не близка. У меня претензия только в том, что к этим пользовательским данным имеют доступ американские специальные службы, а наши нет. Несправедливо. Но с другой стороны что удивляться, если это ИХ сервисы. Кто девушку ужинает, тот её и танцует.

🔹 В целом, я за то, чтобы у наших правоохранителей был весь нужный им арсенал средств для эффективной работы. Достаточен ли он сейчас? Не знаю, но надеюсь, что да. Если недостаточен, то мне кажется следует принимать меры, чтобы был достаточен. Я бы это приветствовал.

🔹 Можно возразить: ну, допустим, будет у злодеев не Телеграм, а какие-то супер-мега приватные приложения или даже что-то самописное работающее поверх традиционных каналов. Допустим. Но как и в ИБ цель не в том, чтобы сделать атаку невозможной, а чтобы максимально её усложнить, сделать как можно дороже. А приватные мессенджеры могут быть и фейковыми, как в случае с ANOM.

———

В завершение могу сказать только то, что я пишу здесь это моя личная рефлексия на произошедший ужас и кошмар. 😔😰 Кто уж как справляется, не судите строго.

Допускаю, что и сам мог быть на этом концерте Пикника, люблю эту группу. У них есть одна песня, текст которой звучит сейчас особенно жутко:

Из огня в огонь, из слова в слово
Душа душу зажигает.
В небесах охрипший ветер
Отпеванье начинает.

Ты огнем согреешь землю,
Все живое обновляя,
И в ночи рассвет разбудишь,
В небе солнце заменяя.
И познав все тайны жизни
Ты откроешь дверь вселенной…
Вспомню я свою молитву
За невинно убиенных.

Прошло 10 лет с утечки Сноудена

Прошло 10 лет с утечки Сноудена

Прошло 10 лет с утечки Сноудена. Она подтвердила как легко американскому государству удается устанавливать тайные отношения с американским бигтехом. Например, в рамках программы PRISM. Вполне ожидаемо было, что все сообщения пользователей бесплатных интернет-сервисов сливаются и анализируются понятно кем. А скептики-западники говорили, что доказательств нет и уважаемые американские компании на такое никогда не пойдут, т.к. это уничтожит их репутацию и бизнес. А потом вдруг доказательства этому появились. Ну надо же. 😏

Совершенно не удивлюсь, если американскому государству также легко договариваться с американскими IT/ИБ вендорами (с некоторыми ещё в рамках PRISM договорились). И из какой-нибудь будущей утечки мы узнаем об "уязвимостях", которые появились в некоторых продуктах не случайно, а в рамках какой-нибудь гипотетической программы ACCESS.

Сам Сноуден мне несимпатичен. Инсайдер, сливший документы работодателя. Никаких сантиментов к России не питал, пытался укрыться в Исландии, Китае, Германии, странах Латинской Америки, да где угодно ещё. Не вышло, в итоге получил убежище, а потом и гражданство здесь. При этом периодически позволял себе всякие критические политические заявления по поводу России, от которых вполне мог бы и воздержаться (см. хронологию в статье на wiki). В общем, такой себе персонаж, но определенную пользу он, безусловно, принёс.

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией? Имхо, это зависит от вашего отношения к утверждению, что Apple намеренно добавили уязвимость в iMes­sage.

1. Если это действительно так, то Apple это откровенно враждебный вендор и от всех их продуктов нужно планомерно и оперативно избавляться. Не только от айфонов, но и от mac-ов и т.д. Начиная, естественно с наиболее критичных мест.

2. Если же у вас есть основания полагать, что Apple здесь ни при чём, то тогда действуем как в любом кейсе с малварями. Мониторим подключения к C&C, проверяем iOS устройства с помощью утилиты от Kasper­sky, если заражены, то вайпаем их, iMes­sage от греха отключаем, ждём и форсим обновления Apple, сотрудникам выдаём общие рекомендации по кибергигиене.

У меня нет оснований не доверять тому, что было написано в пресс-релизе. Поэтому я, в целом, за первый вариант. Но, конечно же, хотелось бы видеть прямую рекомендацию от регуляторов. В бюллетене НКЦКИ такой рекомендации пока не было.

По поводу новости про малварь на Apple iPhone устройствах в России

По поводу новости про малварь на Apple iPhone устройствах в России

По поводу новости про малварь на Apple iPhone устройствах в России. Почитал исходный пресс-релиз.

1. Речь о заражениях ранее неизвестной малварью, использующей уязвимости iPhone. Т.е. видимо это не NSO Group Pega­sus, которая обычно в подобных новостях светится.
2. Утверждается, что уязвимости были намеренно "предусмотрены производителем", т.е. Apple.
3. Утверждается, что заражено несколько тысяч устройств.
3. Утверждается, что это операция АНБ.

Охотно верю, что так и было. Имхо, Apple это зло и их устройствами пользоваться нельзя. Тем более, что в этих устройствах нет никакой особой необходимости, чего, например, не скажешь о продуктах Microsoft или Google. Одна мнимая статусность и глупые привычки, сформированные маркетинговой истерией. Надеюсь, что одним пресс-релизом не ограничится и последуют конкретные запретительные меры. Как по мне, то у госслужащих и у работников связанных с КИИ никаких продуктов Apple быть в принципе не должно.

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском. На русском было тут.

Сделал видяшку с обзором Joint cybersecurity advisory (CSA) AA22-279A

Сделал видяшку с обзором Joint cyber­se­cu­ri­ty advi­so­ry (CSA) AA22-279A. Интересно будет ли фидбек от авторов документа. 😁

Joint advisory AA22-279A (4/4)

Joint advi­so­ry AA22-279A (4/4)

3. Продетектированные типы уязвимостей.

Remote Code Exe­cu­tion
Com­mand Injec­tion
Arbi­trary File Read­ing
Authen­ti­ca­tion Bypass
Path Tra­ver­sal

Как видим все уязвимости очевидно критичные за исключением одного "Path Tra­ver­sal":

Path Tra­ver­sal — Cit­rix Appli­ca­tion Deliv­ery Con­troller (CVE-2019–19781)

Описание уязвимости не оставляет никаких возможностей для детектирования другого типа:

"An issue was dis­cov­ered in Cit­rix Appli­ca­tion Deliv­ery Con­troller (ADC) and Gate­way 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Direc­to­ry Tra­ver­sal".

Этот же тип указывается в отчете AA22-279A: Cit­rix ADC CVE-2019–19781 Path Tra­ver­sal

И только в описании эксплоита мы можем видеть, что это по факту RCE: "This tool exploits a direc­to­ry tra­ver­sal bug with­in Cit­rix ADC (NetScalers) which calls a perl script that is used to append files in an XML for­mat to the vic­tim machine. This in turn allows for remote code exe­cu­tion."

Что ж, это очередное напоминание о том, что жестко фильтроваться по типу уязвимости нельзя и доверять описанию из nvd тоже нельзя. Тип уязвимости может уточняться со временем, а изменения в NVD никто не вносит.

В части случаев Vul­ris­tics может помочь более точно определить тип уязвимости:

AA22-279A: Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal
Vul­ris­tics: Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–41773)

Почему? Потому что в описании "If CGI scripts are also enabled for these aliased pathes, this could allow for remote code exe­cu­tion."

Но конечно Vul­ris­tics это не серебряная пуля и кроме ручного разбора публикаций об уязвимостях и эксплоитах тут ничего не придумаешь.

Также не могу не указать, что ещё для части уязвимостей Vul­risitcs определил типы уязвимостей более корректно в соответствии с описанием:

AA22-279A: Git­Lab CE/EE CVE-2021–22205 Remote Code Exe­cu­tion
Vul­ris­tics: Com­mand Injec­tion — Git­Lab (CVE-2021–22205) — Urgent [947]
"… which result­ed in a remote com­mand exe­cu­tion."

AA22-279A: Sitecore XP CVE-2021–42237 Remote Code Exe­cu­tion
Vul­ris­tics: Sitecore Expe­ri­ence Plat­form (XP) (CVE-2021–42237)
"… it is pos­si­ble to achieve remote com­mand exe­cu­tion on the machine."

AA22-279A: VMware vCen­ter Serv­er CVE-2021–22005 Arbi­trary File Upload
Vul­ris­tics: Remote Code Exe­cu­tion — VMware vCen­ter (CVE-2021–22005)
"…may exploit this issue to exe­cute code on vCen­ter Serv­er by upload­ing a spe­cial­ly craft­ed file."

AA22-279A: F5 Big-IP CVE-2022–1388 Remote Code Exe­cu­tion
Vul­ris­tics: Authen­ti­ca­tion Bypass — BIG-IP (CVE-2022–1388)
… undis­closed requests may bypass iCon­trol REST authen­ti­ca­tion"

AA22-279A: Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal
Vul­ris­tics: Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–41773)
"… this could allow for remote code exe­cu­tion."

AA22-279A: Apache CVE-2022–24112 Authen­ti­ca­tion Bypass by Spoof­ing
Vul­ris­tics: Remote Code Exe­cu­tion — Apache APISIX (CVE-2022–24112)
"… is vul­ner­a­ble to remote code exe­cu­tion."

AA22-279A: Buf­fa­lo WSR CVE-2021–20090 Rel­a­tive Path Tra­ver­sal
Vul­ris­tics: Authen­ti­ca­tion Bypass — Buf­fa­lo WSR (CVE-2021–20090)
"… allow unau­then­ti­cat­ed remote attack­ers to bypass authen­ti­ca­tion."

Поэтому не спешите доверять типу уязвимости из CISA Known Exploit­ed Vul­ner­a­bil­i­ties Cat­a­log и учитывать его при приоритизации.