IT в России и мире в реалиях мирового кризиса

Цитата: Oleg K. от 28.06.2017 19:05:10Если RSA не очень длинный (1024 бита, может 2048) - можно его взломать (вычислить закрытую часть по открытой).
Нет информации, какая там блина?

В Microsoft блоге говорят про 800 бит.

ЦитатаБлогерам предлагают хорошие деньги за критику Роскомнадзора.

Неведомый заказчик кинул клич на одном из популярных ресурсов по поиску удаленной работы: «Срочно требуются блогеры». Тема заявленной PR-кампании нетривиальна. Среди перечисленных тезисов блокировка мессенджера Telegram как «произвол Роскомнадзора и конец свободного интернета в России», поиск и описание примеров некомпетентности сотрудников надзорного ведомства и разбор различных способов обхода действующих блокировок. Оплату за статьи обещают сдельную, но хорошую.

https://polit.info/3…a-v-rossii

Цитата: Podli от 28.06.2017 20:46:53В Microsoft блоге говорят про 800 бит.

Тогда странно, что его не взломали. Жаль, я не помню, какой длины ключ мы взламывали на лабе по криптографии. Java апплет за ночь справлялся с нужными вычислениями (2006-й год примерно) - вот этот, насколько я помню мы брали. Даже программировать не пришлось (именно эту задачу).
Правда, может быть и небольшие числа у нас были - цель ведь была сравнить скорость взлома...

Цитата: Oleg K. от 28.06.2017 19:05:10Если RSA не очень длинный (1024 бита, может 2048) - можно его взломать (вычислить закрытую часть по открытой).

Если можно взломать- что ж вы до сих пор не подали заявку на премию, объявленную за взлом RSA-1024? Ради $100,000  наклоняться лень? :) Про то, что у каждого зараженного компа свой собственный ключ RSA, а у каждого зашифрованного на этом компе файла - свой собственный ключ AES, я даже как-то стесняюсь напомнить

Цитата: k0t0b0i от 29.06.2017 00:33:01Если можно взломать- что ж вы до сих пор не подали заявку на премию, объявленную за взлом RSA-1024? Ради $100,000  наклоняться лень? :) Про то, что у каждого зараженного компа свой собственный ключ RSA, а у каждого зашифрованного на этом компе файла - свой собственный ключ AES, я даже как-то стесняюсь напомнить

Не могли бы вы ссылку дать на конкурс? А то я первоисточник не видел, а по слухам ЕМНИП там уже надо RSA-2048 взломать, а который 1024 уже того...
Если у каждого компа свой RSA  - то зачем городить огород с шифрованием ключа AES? - ведь тогда приватную часть всё равно злоумышленнику нужно передать - проще тогда уже просто сгенерить случайный AES ключ, отправить его себе на сервак и дело в шляпе.

Тут ведь (как я понял) логика в том - чтобы вирус мог работать и без "интернета" (точнее без канала связи со злоумышленником), поэтому
1) злоумышленник сгенерил пару  открытый-закрытый ключ
2) в вирус зашил открытый ключ
3) на каждом зараженном компе генерит случайный ключ AES
4) шифрует все файлы
5) шифрует ключ AES открытым ключом (который зашит и всем известен), сохраняет его (зашифрованный) в ридми.тхт
6) удаляет ключ AES

обратите внимение, что от пункта 2 до 6 интернет (точнее канал связи) не нужен (потому что по каналу могут отследить злоумышленника.

теперь, если ему заплатят, то
7) как-то он должен понять, за какой именно ключ (из пункта 5) ему заплатили. это я не знаю, как он сделает - может быть "комментарием в платежке" должно быть указано. с помощью приватного ключа (пункт 1) он дешифрует ключ (из пункта 5), восстанавливая ключ из пункта 3
9) публикует этот ключ (расшифрованный) где-то, откуда его сможет получить жертва

Пункты 7 (оплата) и 9 (публикация ключа) являются самыми опасными для злоумышленника (т.к. деанонимизируют его).

Теперь. По вашим словам. Если приватный ключ RSA всегда разный - то после пункта 3 - нужно этот приватный ключ как-то передать злоумышленнику. Иначе он никак не сможет расшифровать. Это может вскрыть злодея. В итоге добавляется ещё один опасный пункт

3а) отправить ключ (RSA) на сервер злоумышленника

Зачем ему так делать? К тому же проще уж тогда отправить сразу ключ AES. Его, кстати, и генерировать намного проще, чем RSA-шный.

P.S. Ещё один момент добавлю:  канал связи в пункте 3а ещё сильно отличается от каналов 7 и 9 тем, что он должен быть включен постоянно. А в таком спрятаться сложнее намного (это вам не "выйти разок из ТОР браузера на форум через цепочку тунеллей").

Цитата: Oleg K. от 29.06.2017 00:53:33Не могли бы вы ссылку дать на конкурс? А то я первоисточник не видел, а по слухам ЕМНИП там уже надо RSA-2048 взломать, а который 1024 уже того...

Взломан в 2010 году 768-битный RSA. На 1024-битный ни сил ни средств замахнуться пока ни у кого нет. Все сообщения о взломах 1024 бит касаются конкретных реализаций с грубейшими ошибками. Чуть не на грани бэкдоров, если не всё пытаться объяснять человеческой глупостью.

Цитата: k0t0b0i от 29.06.2017 07:34:23В Пете используется уникальный ключ AES для каждого раздела диска каждой инфицированной машины, но ключ AES шифруется на едином ключе RSA-2048 (https://blogs.technet.microsof…abilities/).

О, там хоть настоящий скриншот есть

А то я никак не мог понять, что за байду все публикуют, и как из 320-битного ID они собираются ключ восстанавливать.

Цитата: k0t0b0i от 29.06.2017 07:34:23А возможность "деанонимизации" благодаря использованию C&C-серверов создателей ботнетов ваще не парит. В качестве таких серверов используются предварительно взломанные машины, взаимодействие - через Tor, и можете деанонимизировать их до посинения

На данный момент от хороших заработков писателей шифровальщиков останавливает только отсутствие стабильного защищенного канала связи с клиентом. В данном конкретном случае - просто блочат email, указанный для связи и всё, платить просто нет смысла. Данные ты уже никак не восстановишь.
Соорудить надежный инструмент связи, "работать" честно - т.е. предоставлять ключи для дешифрации всем заплатившим - и деньги таки потекут. После этого подобные атаки станут намного более частыми.

Цитата: k0t0b0i от 29.06.2017 07:34:23В Пете используется уникальный ключ AES для каждого раздела диска каждой инфицированной машины, но ключ AES шифруется на едином ключе RSA-2048 (https://blogs.technet.microsof…abilities/). А вот в wannaCry использовалась та схема, которую я описал - уникальный RSA для каждой машины, уникальный AES для каждого файла, передача ключей на C&C-сервер через Tor (https://ru.wikipedia.org/wiki/WannaCry).

Вот это (RSA-2048) уже совсем другой разговор
По поводу деанонимизации... ну кто-то лучше защищается, кто-то хуже. Всё равно если есть стабильный канал связи - отследить проще, чем сели его нет Я же не говорю - "легко".
С уникальным RSA тяжелее конечно будет расшифровывать...

Цитата: Podli от 28.06.2017 12:44:15Петр Алексеевич под псевдонимом Petya.A просит денег



Слежу за развитием событий по Петьке, в этом посте соберу компиляцию информации.


Распространение.

Тут самое интересное, ибо распространяется оно по нескольким каналам.


Старт.
Старт - шикарен!

После попадания в сеть - рассылка инфицированных .pdf, .docx файликов по списку рассылки. Именно по этому каналу оно разбегается в сети, инфицируя новые предприятия и компьютеры обычных пользователей. Зацепило Россию, Беларусь, европу, есть уже случаи заражения в США. Возможно есть и другие каналы распространения.


В общем, WannaCry 2.0, но в отличие от предшественника - не поделка на коленке, совсем не поделка. Низкоуровневая работа с MBR, избирательная шифрация, разнообразные методы распространения... Работа профессионалов. Не удивлюсь, если увижу еще парочку волн эпидемии.

Французский автогигант Renault стал первой крупнейшей компанией- автопроизводителем кому не посчастливилось столкнуться с массированной мировой хакерской атакой, произошедшей в прошлую пятницу. Об этом сообщил общественности информационный портал Automotive News.
  
Помимо французского Renault убытки понес и японский компаньон по альянсу- Nissan. Он также попал под атаку.
 
В результате нападения Renault прекратила производство на нескольких европейских заводах поскольку данные на рабочих компьютерах были полностью зашифрованы. Простой производства продолжался до тех пор, пока не был заплачен выкуп, об этом сообщил представитель компании Renault в беседе с Automotive News.

от предыдущей версии вставали заводы Хонды
и это студенты? щаз

Цитата: k0t0b0i от 29.06.2017 11:59:35Да, перехват админских кредов - это интересная фишка. Зацепившись за один комп, при определенных условиях можно захватить все компы организации, даже если на них стоят нужные обновления безопасности. И все же управляемый вирус с тем же набором возможностей мог бы наворотить гораздо больше, чем неуправляемый :)

Сетевые шары шифруются вовсю, некоторые шифровальщики не делают разницы между физическими дисками и шарами. Мы регулярно с этим сталкиваемся у крупных корпоративных заказчиков. Тот еще геморрой шары вычищать.

Насчет "закрытых" локальных сетей - не переоценивайте их закрытость. За почти 20 лет в ИБ (аудит/пентест/консалтинг, так что локалок повидал дофига) я еще не видел ни одной действительно изолированной несекретной пользовательской локалки. Даже в секретных локалках порой берешь случайным образом пяток АРМов - ой, а что это у нас в истории браузера светится регулярное посещение VK и Одноклассников Ну а вирусы в "закрытых" банкоматных сетях - вообще рядовой случай

Ну, тут стоит таки разделять направленную атаку на конкретную сеть с массовой эпидемией.
Для массовой эпидемии какое-либо управление нужно только для мылваря, бьющего в обычные пользовательские компы и всяческих там троянов и ботоферм. Там да, чуть менее чем у всех есть прямой доступ в интернет и можно во время распространения эпидемии выкатывать обновления вирусни.
В случае целенаправленной атаки на корпоративные сети, как было с петькой, я бы делал именно так, как оно реализовано - полностью автономная штука, лезущая внутрь сети. Не игрища в попытке обхода антивирусов онлайн - а массированная единовременная атака, ставящая целью зацепить как можно больше еще до того, как антивирусные компании и админы смогут среагировать.
Тут важнее всего первые часы и реализованы они были великолепно - первичная атака через сломанные сервера обновлений медка обеспечили великолепный старт с заражением большого количества сетей с последующим быстрым распространением инфы через копоративне контакты. Думаю, что до появления первого требования денег (40 минут до перезагрузки после заражения) были инфицированы уже десятки сетей.
Ну а "закрытые" банковские и всяческие секретные сети - это отдельная тема. Там множество проблем с безопасностью, которые не починить без нарушения законов о безопасности 

Цитата: k0t0b0i от 29.06.2017 11:59:35

Скрытый текст

Да, перехват админских кредов - это интересная фишка. Зацепившись за один комп, при определенных условиях можно захватить все компы организации, даже если на них стоят нужные обновления безопасности. И все же управляемый вирус с тем же набором возможностей мог бы наворотить гораздо больше, чем неуправляемый :)

Сетевые шары шифруются вовсю, некоторые шифровальщики не делают разницы между физическими дисками и шарами. Мы регулярно с этим сталкиваемся у крупных корпоративных заказчиков. Тот еще геморрой шары вычищать.

Насчет "закрытых" локальных сетей - не переоценивайте их закрытость. За почти 20 лет в ИБ (аудит/пентест/консалтинг, так что локалок повидал дофига) я еще не видел ни одной действительно изолированной несекретной пользовательской локалки. Даже в секретных локалках порой берешь случайным образом пяток АРМов - ой, а что это у нас в истории браузера светится регулярное посещение VK и Одноклассников Ну а вирусы в "закрытых" банкоматных сетях - вообще рядовой случай

Stuxnet генезис ... кибербоевик 

Цитата: Vediki977 от 29.06.2017 12:31:55Дважды за последний месяц кибероружие, похищенное из арсенала Агентства национальной безопасности (АНБ), было обращено против партнеров США, среди которых Великобритания и Украина, а также многие другие страны мира, отметила газета The New York Times.
Пока вирус Petya «ходит по планете», АНБ продолжает молчать, не признавая своей роли в разработке оружия. Чиновники Белого дома также уклонились от ответа на многие вопросы, заявив, что основное внимание должно быть уделено самим хакерским атакам, а не производителю кибероружия, указала The New York Times.
Но тишину соблюдать все труднее, когда на фоне эскалации жертвами нападения с использованием кибероружия, разработанного АНБ, становятся больницы, многие американские предприятия и даже ядерный объект, констатирует издание.  Теперь все больше растет обеспокоенность, что спецслужбы США слишком поспешили создать цифровое оружие, которое они не могут защитить от врагов, либо отключить, когда оно попадает в чужие руки.   
В среду вечером призывы к АНБ рассказать о своей роли в последних атаках стали звучать громче, так как жертвы вируса, среди которых много также технологических компаний, возмущены до предела.   
Так, конгрессмен от демпартии, бывший офицер ВВС Тед Лиу настоятельно призвал АНБ помочь остановить вирусные атаки и прекратить накапливать знания об уязвимостях компьютера, на базе которых используется кибероружие. В ответ, представитель Совета национальной безопасности в Белом доме Майкл Антон отметил, что правительство и без того, «на высоком, межведомственном уровне принимает решения о раскрытии «уязвимостей» в программном обеспечении… в отличие от любой другой страны мира».
Антон отметил, что администрация «с большой ответственностью соблюдает баланс интересов национальной, общественной и безопасности в целом». Однако комментировать заявления о происхождении новой вредоносной программы, известной как Petya, он отказался.
Кроме того, правительство указывает на других виновных. Две недели назад Департамент внутренней безопасности США заявил о наличии доказательств, что за волну хакерских атак в мае с помощью вируса WannaCry стоит КНДР. Тогда вирусная атака серьезно нарушила работу множества больниц, железнодорожных перевозок и производственных компаний.
«Атака, начатая во вторник, первой жертвой которой стала Украина, а затем и угроза быстро распространились по всему миру, - скорее всего, дело рук российских хакеров, хотя ответственные лица официально до сих пор не установлены», - подчеркнула NYT.
В обоих случаях: и с вирусом WannaCry, и Petya злоумышленникам удается осуществить взлом, благодаря использованию этими программами различных уязвимостей программного обеспечения Microsoft. Так что, сомнений, что, весь этот инструментарий был украден из АНБ, остается все меньше, резюмировало издание.
Ссылка

Цитата: Podli от 29.06.2017 09:43:09На данный момент от хороших заработков писателей шифровальщиков останавливает только отсутствие стабильного защищенного канала связи с клиентом. В данном конкретном случае - просто блочат email, указанный для связи и всё, платить просто нет смысла. Данные ты уже никак не восстановишь.
Соорудить надежный инструмент связи, "работать" честно - т.е. предоставлять ключи для дешифрации всем заплатившим - и деньги таки потекут. После этого подобные атаки станут намного более частыми.

> просто блочат email, указанный для связи
Именно так. Поскольку это один из видов шантажа, шантажируемым жертвуют. Чтобы шантаж не имел опоры. Гораздо важнее выйти на шантажиста и его локализовать, чем обеспечить права шантажируемого. Насколько бы это не было важно шантажируемому. Включая самое для него сокровенное и значимое. Хе-хе-хе...
Кстати, а что насчет *никсов? Пострадал хоть кто-нибудь, кто не пользуется технологиями Микрософт?

Цитата: Podli от 29.06.2017 23:02:59Конечно же не пострадал. Вирус полностью завязан на винду. Представьте себе реакцию линуха на команду типа "создать файлег C\:Windows\virusname" :D

вайн запросто создаст из-под юзера:-) и запустит, кстати. И ничего с этим не поделать – без планшетов и смартфонов с гуглояндексмапами прожить можно, а без SAS.Planets никак.

Цитата: Podli от 29.06.2017 23:02:59Конечно же не пострадал. Вирус полностью завязан на винду. Представьте себе реакцию линуха на команду типа "создать файлег C\:Windows\virusname" :D

Вот только не надо на линух наговаривать. Всё нормально создается - только что проверил:
user@dev4:~$ cd Documents/
user@dev4:~/Documents$ echo "Привет, Мир!" > 'C\:Windows\virusname'
user@dev4:~/Documents$ ls -la
итого 8
drwxr-xr-x  2 user user   33 июн 30 11:19 .
drwxr-xr-x 20 user user 4096 июн 30 11:19 ..
-rw-r--r--  1 user user   22 июн 30 11:19 C\:Windows\virusname
user@dev4:~/Documents$ cat C\\\:Windows\\virusname
Привет, Мир!
P.S. Просто для линухи - "C\:Windows\virusname" - вполне себе нормальное имя файла. Даже символ * - тоже (на этом кстати, многие файловые менеджеры ломаются)

Цитатавайн запросто создаст из-под юзера:-) и запустит, кстати. И ничего с этим не поделать – без планшетов и смартфонов с гуглояндексмапами прожить можно, а без SAS.Planets никак.

Вот поэтому wine крайне не рекомендуется к установке в основную систему (я про рабочие места) - давно намного проще создавать виртуалки (VMWare, VirtualBox), если надо что-то в винде делать. Ну и на серверах wine не ставится.
Касательно безопасности - в линухе тоже есть дыры (и да, в том числе и удаленного рута можно получить иногда, и даже за пределы виртуального контейнера выйти). Только там это чаще всё-таки именно ошибки в программах, а не ошибки в архитектуре. Например, чего стоит загрузка вордом dll-ки при открытии документа из папки, где лежит документ, а не сам ворд. И это традиция, а не ошибка, которую спешат исправить.

Цитата: Oleg K. от 30.06.2017 10:27:45P.S. Просто для линухи - "C\:Windows\virusname" - вполне себе нормальное имя файла. Даже символ * - тоже (на этом кстати, многие файловые менеджеры ломаются)

Ну, в никсах запрещено всего 2 символа - / и null
Отсюда получаются весьма жестокие вещи типа разрешенных символов табуляции и прочих извращений в именах файлов. /me знает множество извращений, с помощью которых можно издеваться над людьми просто созданием файликов и папок. И не только лишь все линух админы смогут быстро справиться с последствиями таких страшных команд как touch, cd и mkdir 
Машинки под вайном таки могут запускать виндовые вирусы, но какого-либо заметного повреждения от них ждать не стоит. Методы расползания в сети - тоже не будут работать по понятным причинам.

уже говорят, что функция расшифровки  в нем просто не предусмотрена

https://geektimes.ru/post/290623/

Цитата: maca- от 30.06.2017 11:33:39уже говорят, что функция расшифровки  в нем просто не предусмотрена

https://geektimes.ru/post/290623/

Предусмотрена, но реализована с ошибкой.

Цитата: ахмадинежад от 29.06.2017 11:51:43Французский автогигант Renault стал первой крупнейшей компанией

Скрытый текст

- автопроизводителем кому не посчастливилось столкнуться с массированной мировой хакерской атакой, произошедшей в прошлую пятницу. Об этом сообщил общественности информационный портал Automotive News.
  
Помимо французского Renault убытки понес и японский компаньон по альянсу- Nissan. Он также попал под атаку.
 
В результате нападения Renault прекратила производство на нескольких европейских заводах поскольку данные на рабочих компьютерах были полностью зашифрованы.

Простой производства продолжался до тех пор, пока не был заплачен выкуп, об этом сообщил представитель компании Renault в беседе с Automotive News.

от предыдущей версии вставали заводы Хонды
и это студенты? щаз

Выделенное в общем то противоречит тому, что почта была заблокированна...И тому, что не работает раскодеровщик....
Не находите?
Или... кто то вводит в заблуждение?
Так как из этой новости следует
1)выкуп заплатили
2)им прислали шифры. Данные раскодированы.
3) и это видимо было сделано не 1 раз и на приличные суммы... Завод то большой.

Цитата: maca- от 30.06.2017 11:33:39уже говорят, что функция расшифровки  в нем просто не предусмотрена
https://geektimes.ru/post/290623/

"Ничего не понимаю"(с)
Было описано два механизма работы шифровальщика. Первый в режиме непрерывного сетевого подключения, когда случайный ключ симметричного шифрования и случайный ID пользователя через защищённую сеть анонимайзеров отправлялись на базовый сервер вымогателя. На атакованном компьютере сохранялся ID, и по предъявлению "чека оплаты" по этому ID искался и пересылался ключ расшифрования. Этот случай иллюстрируется скриншотом 1 (примерно 320 бит случайной информации в качестве идентификатора пользователя):

Второй не требовал сетевого подключения, случайный ключ симметричного шифрования зашифровывался открытым ключом алгоритмом RSA с длиной модуля 2048 бит и в зашифрованном виде сохранялся на атакованном компьютере. Переслать его вымогателю для расшифровки должен был сам пользователь. Этот случай иллюстрируется скриншотом 2 (2048 бит шифртекста в кодировке BASE64):

-------------------------------------------------------------------------------------------------------------
Кошелёк и e-mail в обоих случаях одни и те же, но принципиально разные способы функционирования и передачи ключа.
Вариант 1 - я запутался и нифига не понимаю, что происходит. Буду благодарен, если мне кто-нибудь объяснит.
Вариант 2 - существует несколько разновидностей "Пети" с разным механизмом функционирования.
Вариант 3 - инет наполнен фейковыми скриншотами, не имеющими отношения к недавней атаке, а "специалисты и аналитики"^тм бездумно перепечатывают чужие статьи, точно так же не имеющие отношения к происходящему.
Серьёзно, считаю первый вариант базовым, и если мне объяснят, что я дурак, ничуть не обижусь. Сам то, что я вижу, в голове утрясти не могу.