Exploitų kainos paviešintuose Hacker Team laiškuose

Prieš pusantro mėnesio buvo nulaužta Italijos kompanija Hacking Team ir paviešintas jos laiškų archyvas. Hacking Team buvo ne šiaip kompanija — ji gamindavo kompiuterių nulaužimo įrangą ir pardavinėdavo ją valstybinėms teisėsaugos institucijoms. Kompanija susilaukdavo didelės kritikos, nes ji klientų nesirinkdavo. Pardavinėdavo bet kam, kas tik sumokėdavo pinigų, įskaitant įvairius diktatorius. Pardavinėdavo net Somaliui, kuriam šiaip jau buvo įvestos prekybos sankcijos.

Hacking Team was hacked
Hacking Team was hacked

Šį laiškų archyvą dabar nagrinėja kas netingi. Microsoft ir Adobe jau užlopė keletą iki tol nežinomų skylių, kurios buvo paminėtos laiškuose.

Lietuviškų klientų Hacking Team’as neturėjo. Lietuvos Vidaus Saugumo Departamentas bei Kriminalinė Policija domėjosi šiomis įsilaužimo programomis, tačiau nieko nepirko dėl aukštos kainos, kuri siekė šimtus tūkstančių ir netgi milijonų. Pirkimui taip pat trukdė įvairūs lietuviški tarpininkai, kurie bandė iš tokių stambių pirkimų uždirbti nemenką procentą.

Šiandien radau įdomią saugumo eksperto Vlado Tsirklevičiaus analizę apie Hacking Team’o nusipirktus zero-day exploitus. Hacking Team’as pats exploitų nerašydavo, o įsigydavo juos iš hakerių, kurie rašydavo exploitus, bet patys nieko nenulaužinėdavo. Už Exploitus mokėdavo nuo 40 000 USD iki 200 000 USD. Iš laiškų matyti, kad labai brangių exploitų nepajėgdavo įsigyti. Ieškodavo visokios piguvos, derėdavosi kiek įmanoma. Beje, patys brangiausi buvo Apple iPhone exploitai. Jie kainuodavo net iki pusės milijono USD. Pigiausi — Adobe Flash, Explorerio exploitai. Kartais Hacking Team’as ir prašaudavo, nusipirkę ne exploitų, o neveikiančio šlamšto.

Acceptance testing: For their first purchase, Hacking Team had a three-day evaluation period during which a Flash 0day could be tested to make sure it reliably worked against the advertised targets. Hacking Team originally proposed to fly Vitaliy to Milan to be present for the testing; however, he assumed good faith on their part and allowed them to test the exploit remotely. They continued this arrangement for their future sales.

Payment structure: The payment terms for Vitaliy’s first two exploits followed approximately a 50%/25%/25% split. He would be paid 50% upfront, and then 25% for the next two months, assuming the vulnerability was not patched. Before he sold his third exploit he intended to change his payment model so that he would be paid 100% up-front and provide a replacement exploit if his sale was patched within two months.

Nuorodos.
Hacking Team WikiLeaks laiškų archyvas: https://wikileaks.org/hackingteam/emails/
Vlado Tsirklevičiaus analizė: https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

Tsirklevičiaus tekstą labai rekomenduoju paskaityti, rasite daug įdomių dalykų apie hakerių verslą.

Nemokamas bevielis internetas

Lietuvoje nemokamas bevielis internetas yra įprastas dalykas. Tačiau likusioje pasaulio dalyje (ir netgi JAV) nemokamo interneto beveik nebūna.

WiFi ekspertas Keithas Parsonas agituoja, kad JAV bevielis internetas būtų nemokamas kaip liftai, eskalatoriai ar šiukšliadėžės.

free-wifi

Free should mean just that. No cost. No exchanges. Nothing traded. Just plain free. Businesses don’t charge every time you ride an escalator, or every time you throw something in a waste bin, or every time a security guard keeps a shopping mall safe from pickpockets. So why is it even thinkable to charge for accessing another public service? You don’t charge a per use fee for availing oneself of restroom facilities, or even force someone to watch an advertisement before you let them ride an elevator. Don’t do it with Wi-Fi as well!

Kaip smagu gyventi pažangių technologijų šalyje!

Nuoroda: http://www.wlanpros.com/public-wi-fi-fast-free-easy-3/.

Kuo saugumo ekspertai skiriasi nuo eilinių vartotojų?

Prieš keletą metų dalyvavau Google organizuotoje saugumo specialistų apklausoje. Buvau apie ją visiškai pamiršęs, bet prieš porą dienų Google paviešino tyrimo rezultatus. Jie palygino saugumo specialistų atsakymus su eilinių vartotojų atsakymais.

Įdomu, kad saugumo specialistai prie pagrindinių saugumo priemonių antvirusinės net nepaminėjo, o paprastiems vartotojams antivirusinė yra saugumo priemonė nr 1. Specialistai ne tik nenaudoja (ar bent jau nesureikšmina) antivirusinės, bet ir beveik nekeičia slaptažodžių. Užtai jie naudoja 2 faktorių tapatybės patvirtinimą ir kiekvienai savo paskyrai sukuria po atskirą unikalų slaptažodį. Slaptažodžių specialistams atsiminti nereikia — šį darbą už juos atlieka slaptažodžių valdymo sistema.

Didžiausi skirtumai
Didžiausi skirtumai

Paprastai vartotojai priešingai — pernelyg sureikšmina antivirusinės programos teikiamą apsaugą. Kiti jų naudojami apsisaugojimo metodai taip nėra labai veiksmingi.

Didžiausi skirtumai
Didžiausi skirtumai: atnaujinimai ir antivirusinė

Nuoroda į Google tyrimą: https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ion.pdf

Paslaptingas Google switchas

Niekas nesiginčija, kas yra didžiausias pasaulyje switchų gamintojas. Cisco pagamina virš 60% visų parduodamų switchų. Tačiau mažai kas žino, kad antras pagal dydį switchų gamintojas yra Google. Ši informacija neįtraukiama į statistiką, nes Google savo switchų neparduoda, juos gamina tik savo reikmėms.

Google switcho neįprasti portai
Google Planet Pluto switcho neįprasti portai

Vieną kartą mįslingų switchų partija netyčia buvo pristatyta ne tuo adresu — į kompiuterių firmą, įsikūrusią netoli Google. Switcho portai buvo Ethernetiniai, bet jungtis neįprasta, nes Google sukūrė savo 10Gbps jungtį. Switchas vadinasi Google Planet Pluto Switch. Viduje — Broadcom mikroschema Scorpion. Taip Google slapti switchai buvo paviešinti. Be switchų, Google dar gamina savo duomenų saugyklas, serverius, spintas ir kt. įrangą.

Kas yra „debesis“?

Pastaruosius keletą metų straipsniuose apie technologijas debesys minimi vis dažniau ir dažniau. Bluebridge netgi turi blogą pavadintą įdebesis.lt, kuriame nuobodžiai pristato technologijų naujienas ir apžvalgas. Tačiau debesis buvo ne terminas, o beprasmis žargono žodeliukas, kuris galėjo reikšti bet ką: internetą, serverį, virtualių serverių fermą, duomenų centrą, paskirstytą programą, nuotolinę failų saugyklą ar bet ką kita.

Laris Elisonas, Oracle vadovas, išgirdęs klausimą apie debesį, pasiuto:

Šiandien pirmą kartą aptikau bandymą apibrėžti debesį, t.y. paversti šį žodį terminu. Ir man šis bandymas visai patiko. Cituoju JAV Standartų Instituto siūlomą debesies apibrėžimą:

Esminės savybės

  • Savitarna: kliento užsakyta paslauga įjungiama automatiškai, resursai suteikiami be žmogaus įsikišimo.
  • Neribota tinklo prieiga: visos paslaugos pasiekiamos per tinklą iš bet kokių įrenginių: kompiuterių, telefonų ir t.t.
  • Resursų dalinimas: sistema paskirsto resursus (serverius, tinklą, saugyklą ir pan.) klientams, kurie nežino nei kur tie resursai yra, nei kiek kitų klientų juos naudoja tuo pačiu metu.
  • Greitas ir lankstus pateikimas: pagal poreikį paslauga yra greitai išplečiama ar sumažinama tokiu mastu, kad klientams resursai gali atrodyti begaliniai.
  • Viskas išmatuojama: paslaugos kokybė ir naudojamų resursų kiekis yra stebimi ir tiksliai matuojami, ataskaitos prieinamos tiek tiekėjui, tiek klientams.

Paslaugos modeliai

  • Programų paslauga, Software as a Service (SaaS): klientas naudoja programą, pasiekiamą per web sąsają arba per API, pvz, Gmail paštas. Klientas neturi prieigos prie tinklo, serverių, duomenų ir kt. infrastruktūros, bet gali keisti programos parametrus.
  • Platformos paslauga, Platform as a Service (PaaS): klientas įsidiegia ir naudoja savo programą. Jis neturi prieigos prie tinklo, serverių, duomenų ir kt. tiekėjo infrastruktūros, bet gali keisti programos diegimą įtakojančius parametrus.
  • Infrastruktūros paslauga, Infrastructure as a Service (IaaS): klientas valdo jam suteiktą infrastruktūrą (dažnai virtualią): tinklus, serverius, duomenų saugyklas, užkardas, tačiau neturi prieigos prie tiekėjo valdomos infrastruktūros.

Diegimo modeliai

  • Privatus debesis: kompanija įdiegia ir naudoja debesį savo reikmėms.
  • Bendruomenės debesis: kelios organizacijos naudoja debesį savo narių reikmėms. Debesį gali valdyti jos pačios arba trečia šalis.
  • Viešas debesis: tiekėjas įdiegia ir siūlo naudoti debesį savo klientams.
  • Hibridinis debesis: mišri privataus, bendruomenės ir viešo debesų kombinacija.

Nuoroda į NIST standartą: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

IPv6 plėtra Lietuvoje tik 0,2%, Estijoje — 8,6%

APNIC skelbia kas savaitę atnaujinamą interaktyvų IPv6 plėtros žemėlapį. Lietuva jame beviltiškai atsilieka nuo daugumos kitų šalių — tik 0,2% interneto vartotojų turi prieigą prie IPv6. Iš visų tiekėjų labiausiai yra pažengęs LITNET tinklas – 14,9% vartotojų naudoja IPv6. Antroje vietoje – UAB Marsatas su 1,7% vartotojų.

IPv6 plėtra 2015
Lietuvoje su IPv6 plėtra neskubama

Estijoje IPv6 naudoja 8,6% interneto vartotojų, Latvijoje — tik 0,1%.
Pasaulyje pirmauja Belgija — 40,9% interneto vartotojų naudoja IPv6.

IANA regioniniams registrams IPv4 adresų jau nebedalina, adresai baigėsi. Regioniniai registrai (Europoje — RIPE NCC) dalina paskutinius IPv4 adresus vietiniams interneto tiekėjams. Panašu, kad Lietuvos interneto tiekėjai turi nemažas IPv4 adresų atsargas, nes su IPv6 plėtra niekas nesiskubina. Lauksime paskutinės minutės?

Nuoroda: http://stats.labs.apnic.net/ipv6.

Ar BitTorrent failai skleidžiami iš altruizmo ar iš godumo?

Google Scholar neseniai išleido 2010-2014 metų mokslinių straipsnių statistiką. Pasižvalgiau ir radau straipsnį įdomiu pavadinimu: „Ar BitTorrent failai skleidžiami iš altruizmo ar iš godumo?

Straipsnio autoriai ištyrė 55 000 įvairaus turinio torentų žinomiausiose BitTorrent svetainėse Mininova ir The Pirate Bay. Tyrėjai nustatė, kad absoliuti dauguma turinio į BitTorrent tinklą yra įkeltą vos saujelės torentų skelbėjų. Apie 100 skelbėjų įkelia apie 2/3 visų torentų, kurie sudaro apie 3/4 visų atsiuntimų. Dauguma vartotojų tik downloadina, bet tie 100 didžiausių skelbėjų elgiasi priešingai: jie beveik nieko nedownloadina, tik uploadina.

Šie skleidėjai buvo panagrinėti atidžiau. Buvo nustatyta, kad jie priklauso dviems skirtingoms grupėms. Pirmoji skelbėjų grupė įkelia falšyvą turinį: virusais apkrėstą arba neveikiantį turinį. Tai — daugiausiai prieš piratavimą kovojančios firmos ir įvairūs piktavaliai. Antroji grupė įkelia normalų veikiantį turinį. Tai — pelno siekiantys skelbėjai.

Pirmoji grupė — prieš piratavimą kovojančios įmonės ir piktavaliai. Jie įkelia apie 30% turinio, kuris sudaro apie 25% visų atsiuntimų. Šis turinys geriausiu atveju yra tiesiog neveikiantis šlamštas (sugadinti filmai ir pan.), blogiausiu — apkrėstas kenkėjiškomis programomis. Nors ši grupė skelbia daug turinio, tačiau sudaro palyginus mažai atsiuntimų, nes torentų svetainės, gavusios vartotojų skundus, greitai pašalina falšyvus torentus.

Antroji grupė – pelno siekiantys skelbėjai. Jie įvairiais būdais uždirba iš savo veiklos. Skelbdami populiarų turinį jie pritraukia milijonus lankytojų. Jie įkelia apie 30% turinio, kuris sudaro apie 40% atsiuntimų. Tyrėjai mano, kad šių skelbėjų svetainės vidutiniškai per dieną uždirba apie 50 USD. Tačiau yra tokių svetainių, kurios uždirba net virš tūkstančio USD per dieną. Daugiausiai uždirbanti svetainė uždirba 3700 USD per dieną. Jos uždirba iš reklamos ir iš VIP prieigos, leidžiančios greičiau siųstis turinį.

pinigų srautai BitTorrent versle
pinigų srautai BitTorrent versle

Didžiausi skelbėjai (falšyvi ir pelno siekiantys) sudaro tik nedidelę visų skleidėjų dalį. Likę 97% yra maži altruistiniai skleidėjai. Jie skleidžia normalų veikiantį turinį nesiekdami pelno, dažniausiai iš savo namų ar darbo kompiuterių.

Straipsnio autoriai sukūrė svetainę, kurioje sudėjo tyrimui naudotus duomenis. Iš tų duomenų galima ištraukti informaciją apie, pavyzdžiui, didžiausius e-knygų skleidėjus, arba kenkėjiškos programinės įrangos skleidėjus. Tiesa, man nepavyko iš svetainės gauti jokios informacijos. Galbūt todėl, kad thepiratebay.org domenas buvo neseniai pakeistas (atimtas)?

Logjam: dar viena SSL ataka

OpenSSL šiemet sunkūs metai. Kai nurimo aistros dėl Heartbleed, buvo rasta dar viena SSL ataka — Logjam. Info iš vieno iš kūrėjų apie atakos veikimą:

  1. Prieš užmegzdami SSL sesiją klientas su serveriu suderina keletą sesijos parametrų, įskaitant DH rakto ilgį. Šiais laikais saugiu laikomas 2048 bitų ilgio raktas, bet dažnai naudojamas ir 1024 bitų raktas.
  2. Dauguma serverių palaiko ir archajiškus 512 bitų ilgio raktus, nors jų ir nenaudoja.
  3. Parametrų derinimo metu klientas ir serveris netikrina gaunamų paketų vientisumo, jie tai padaro tik kai parametrų derinimas būna baigtas.
  4. Piktavalis gali kliento vardu serveriui nusiųsti prašymą naudoti 512 bitų ilgio raktą.
  5. Piktavalis gali kliento vardu pabaigti parametrų derinimą su serveriu, o serverio vardu — su klientu. Nei klientas, nei serveris nežinos, kad sesijos parametrus derino ne su tuo.
  6. Piktavalis taip pat gali užlaikyti parametrų derinimo pabaigą kelioms minutėms. Per tą laiką dešifruojamas sesijos raktas.
  7. Paprastai 512 bitų sesijos rakto dešifravimas su vienu procesoriumi užtruktų keletą metų, o su keletu tūkstančių procesorių — keletą savaičių. Bet piktavalis naudoja keletą triukų.
  8. Dešifravimas susideda iš dviejų dalių: išankstinio skaičiavimo, kuris priklauso tik nuo pirminio komponento, ir rakto radimo. Turint didelę procesorių fermą išankstinis skaičiavimas trunka keletą savaičių, o rakto radimas vos minutę.
  9. Jei pirminis komponentas būtų kas kart naudojamas vis kitoks, išankstinis skaičiavimas nepadėtų, tačiau paprastai dauguma (92%) serverių kiekvienai SSL sesijai naudoja tą patį pirminį komponentą.
  10. Galutinė įvykių seka: piktavalis atlieka išankstinius skaičiavimus, priverčia serverį naudoti 512 bitų ilgio raktą, užlaiko apsikeitimą parametrais minutę ar dvi ir per tą laiką dešifruoja sesijos raktą.
  11. Autoriai mano, kad JAV NSA turi pakankamus pajėgumus dešifruoti 768 ar netgi 1024 bitų ilgio raktus. Todėl saugu naudoti tik 2048 bitų ilgio raktus.
Logjam: daugumai raktų dešifruoti pakanka poros minučių
Logjam: daugumai raktų dešifruoti pakanka poros minučių

Rekomenduoju paskaityti originalų straipsnį, jame labai aiškiai ir lengvu stiliumi paaiškintos visos detalės: http://blog.cryptographyengineering.com/2015/05/attack-of-week-logjam.html

Ką ir kaip galima sekti mobiliuose telefonuose

Kanados saugumo specialistai Citizen Lab išleido paprastą ir aiškią atmintinę ką ir kaip galima sekti mobiliuose telefonuose.

Mobilaus telefono identifikatoriai
Mobilaus telefono identifikatoriai

Some of these identifiers are personally identifiable and ‘baked in’ to the devices we carry around with us, while others are created as we use apps or browse the Internet. Moreover, many of these identifiers are transmitted and collected without notification to users, ending up with third parties, including app developers and advertising partners.

Nuoroda: https://citizenlab.org/2015/05/the-many-identifiers-in-our-pocket-a-primer-on-mobile-privacy-and-security/