Люди, которые вкушают слишком много радости, неизбежно тупеют

Маленький мальчик пришел на сисопку, ...

Линус Торвальдс поднял вопрос целесообразности расширенной защиты от Spectre v2
Tue, 20 Nov 2018 09:48:49 +0300

В ночные сборки Firefox добавлена поддержка Wayland
Sat, 17 Nov 2018 12:19:38 +0300

Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки
Fri, 16 Nov 2018 21:56:19 +0300

Время поддержки Ubuntu 18.04 увеличено до 10 лет
Thu, 15 Nov 2018 22:28:55 +0300

Представлена новая плата Raspberry Pi 3 Model A+
Thu, 15 Nov 2018 12:31:03 +0300

Подведены итоги выборов технического совета Linux Foundation
Thu, 15 Nov 2018 09:18:07 +0300

Debian запрещает использование в пакетах секции со специфичными для вендоров патчами
Wed, 14 Nov 2018 09:03:34 +0300

В Chrome развивается API для создания полноценных пользовательских приложений
Mon, 12 Nov 2018 23:58:04 +0300

Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
Mon, 12 Nov 2018 21:15:57 +0300

Red Hat перевёл проект Ceph под покровительство Linux Foundation
Mon, 12 Nov 2018 18:26:46 +0300

HTTP поверх протокола QUIC будет стандартизирован как HTTP/3
Mon, 12 Nov 2018 08:27:27 +0300

Опубликован стандарт параллельного программирования OpenMP 5.0
Fri, 09 Nov 2018 10:49:14 +0300

Свободный проект Manuel Bastioni Laboratory закрывается
Fri, 09 Nov 2018 10:11:44 +0300

Samsung опубликовал Linux-окружение для смартфонов и планшетов с адаптером DeX
Fri, 09 Nov 2018 08:33:53 +0300

GitHub преодолел рубеж в 100 млн репозиториев
Thu, 08 Nov 2018 19:13:13 +0300

Новости OPENNET
Новости

Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены в различных моделях маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:

  • ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.
  • Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

  • dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команды "rm -rf /*" для удаления данных в оставшихся ФС.

Обновлённый список оборудования, которое поражает VPNFilter:

  • Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U,
  • RT-N66U;
  • D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N,
  • DSR-1000, DSR-1000N;
  • Huawei HG8245;
  • Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
  • Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109,
  • CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
  • Netgear DG834, DGN1000,
  • DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50;
  • QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
  • TP-Link R600VPN, TL-WR741ND, TL-WR841N;
  • Ubiquiti NSM2 и PBE M5;
  • Upvel (конкретные модели не сообщаются)
  • ZTE ZXHN H108N.

Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузки основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.

В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу. Пока до конца не выяснено, используются для распространения VPNFilter только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация неизвестных 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки).

Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.

66.0081 75.3218 0.5851 9.507

НОВОСТИ: Подведены итоги выборов технического совета Linux Foundation Thu, 15 Nov 2018 09:18:07 +0300

Организация Linux Foundation подвела итоги выборов нового управляющего технического совета (Technical Advisory Board), состоящего из 10 представителей сообщества разработчиков ядра Linux. Совет представляет в организации интересы сообщества, связанные с ядром Linux, определяет программу будущего развития, решает проблемы, которые негативно влияют на процесс разработки, и разбирают жалобы о нарушении кодекса разработчиков ядра (Code of Conduct).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome