Mainisime LastPassi lugu paar nädalat tagasi lõpus, kuid üksikasju oli endiselt pisut vähe. Loodeti, et LastPass avaldab läbipaistvamat teavet juhtunu ja juurdepääsu kohta. Kahjuks näeb välja 22. detsembri pressiteade on kõik, mida me saame. LastPassi kasutajate jaoks on aeg teha mõned otsused.
Kokkuvõtteks kasutas ründaja 2022. aasta augustis toimunud rikkumise teavet, et võtta sihikule LastPassi töötaja sotsiaalse manipuleerimise nipiga. See õnnestus ja ründajal õnnestus pääseda juurde LastPassi varukoopiatele, täpsemalt kliendikontode andmebaasile ja kliendihoidlatele. Ametlikult pole teada, kui paljude kasutajate andmed kaasati, kuid viitab sellele, et see oli kogu andmestik. Ja mis veelgi hullemaks teeb, on krüptitud varahoidla ainult osaliselt krüptitud. Salvestatud URL-id avaldati ründajale lihttekstina, kuigi kasutajanimed ja paroolid krüpteeritakse endiselt teie peaparooliga.
Mida peaks LastPassi kasutaja nüüd tegema? See sõltub. Võime eeldada, et see, kellel on LastPassi varahoidla andmed, viskab praegu sinna kõik saadaolevad parooliloendid. Kui kasutasite nõrka parooli – mis tulenes mis tahes keeles olevatest sõnadest või mis on varem rikutud –, siis on aeg muuta kõik hoidlas olevad paroolid. Neid põletatakse.
Kas jääte LastPassi juurde või kasutate mõnda muud lahendust, on vaid aja küsimus, millal teie varahoidla mõraneb. Asja teeb hullemaks see, et mõned vanad Lastpassi kontod kasutavad ainult 5,000 PBKDF2 (paroolipõhise võtme tuletamise funktsioon) räsimist. Uued kontod on seadistatud kasutama üle 100,000 XNUMX iteratsiooni, kuid mõned vanemad kontod võivad siiski kasutada vana seadet. Tulemuseks on see, et rünnak krüpteeritud varahoidla vastu kulgeb palju kiiremini. Iteratsioonide arv on peaaegu kindlasti varastatud andmetes, nii et tõenäoliselt testitakse neid kontosid kõigepealt. Kui olete pikaajaline kasutaja, muutke kõiki hoidlas salvestatud paroole.
On häid uudiseid. Võlvid kasutavad paroolide lisamiseks soola – lisaandmeid, mis volditakse PBKDF2 funktsiooni. See tähendab, et parooli murdmise protseduur tuleb läbi viia iga kasutaja kohta eraldi. Kui olete lihtsalt üks ebahuvitav kasutaja, ei pruugi teid kunagi murda. Kui aga võite olla huvitav või kui teil on huvitavad URL-id, on tõenäoliselt suurem tõenäosus, et teid sihitakse. Ja kahjuks olid need lihttekstid.
Kuidas siis matemaatika kuhjub? Meil on palju õnne, [Wladimir Palant] jooksis meie eest numbrid. Minimaalse keerukusega parool, mis kasutab LastPassi parooli 2018. aasta reegleid, annab 4.8 × 10^18 võimalikku paroolikombinatsiooni. RTX 4090 suudab kontol säilitada 1.7 miljonit arvamist sekundis, kasutades ainult 5,000 PBKDF2 iteratsiooni või 88,000 44,800 arvamist sekundis korralikult kaitstud kontol. See on 860,000 4090 aastat ja XNUMX XNUMX aastat varahoidla avamiseks, eeldades, et selle kallal töötab üks RTXXNUMX. Väga karm matemaatika kolmetähelise agentuuri andmekeskuse suurus viitab sellele, et ühe sellise andmekeskuse kogu ülesandele pühendamine murrab vähem turvalise varahoidla vähem kui nelja kuuga. Täielikke turvasätteid kasutava konto puhul tõuseb see peaaegu kuue aastani. Pidage meeles, et see lähenemisviis on ründaja jaoks parim stsenaarium ja see tähendab 4 miljardi dollari suuruse andmekeskuse pühendamist sellele ülesandele pikema aja jooksul. Kuid see eeldab ka, et valisite parooli juhuslikult.
Kuid siin on probleem: kui risk on piisav, et sundida teid tegutsema, ei piisa LastPassi parooli muutmisest. Olenemata sellest, kas jääte LastPassi juurde või liigute mõnele muule lahendusele, peate esmalt muutma põhiparooli ja seejärel läbima kurnava protsessi, muutes iga LastPassi hoidlas oleva parooli. Kogu see segadus oli kindlasti LastPassi ebaõnnestumine ja nende intsidendijärgne aruandlus jätab kindlasti soovida mõningast läbipaistvust. Iga salvestatud parooliga seotud krüptimata URL-id on kahetsusväärsed. Kuid tundub, et keskne põhimõte, et isegi LastPass ei pääse teie salvestatud paroolidele juurde, on vastu pidanud.
Bitcoini häkkeri häkkimine
Luke Dashjr on Bitcoin Core'i arendaja, tarkvara Bitcoin Knots peamine allkirjastaja ja on kannatanud suure turvarikkumise all. See võib olla järgnev juhtum novembri füüsiline rünnak, kus kellelgi õnnestus oma asukohaga server mälupulgalt taaskäivitada ja paigaldada tagauks. See tabati ja pahavara näiliselt eemaldati. Luke kaotas kokku umbes 200 bitcoini nii oma aktiivsest (kuuma) kui ka võrguühenduseta (külma) rahakotist. Ta käsitleb seda täieliku kompromissina ja on hoiatanud, et ka tema PGP-võti peaks olema kahtlane. See tähendab, et ka Bitcoin Knotsi hiljutised väljaanded peaksid olema kahtlased.
Levinud on mitmeid teooriaid, alates „paadiõnnetusest”, et vältida maksukohustust, kuni teadaoleva probleemini juhuslike arvude genereerimisega tema kasutatavas Talos süsteemis (CVE-2019-15847). Ükski neist ei tundu nii tõenäoline kui idee, et tegemist oli rikutud serveri juurkomplektiga, ja külgsuunaline liikumine tagasi [Luke'i] koduvõrku. Mõlemal juhul on see kohutav segadus ja loodetavasti ootame positiivset lahendust.
PyTorchi öine kompromiss
PyTorchi ööpakett oli tabas sõltuvussegaduse rünnak, aktiivne 25. ja 30. detsembri vahel. Probleem on selles, et PyTorch hostib a torchtriton
paketi osana selle igaöisest repost ja selle paketi nime ei taotletud PyPis. Niisiis, keegi pidi vaid tulema ja sellenimelise paketi üles laadima ning enne, kui PyTorch-nightly uus pip-installimine haaras PyPi versiooni. Pahatahtlik pakett kogub süsteemi andmed, nagu praegused nimeserverid, hostinimi, kasutajanimi, töökataloog ja keskkonnamuutujad, ning saadab need aadressile h4ck[dot]cfd (Arhiivi link). See pole nii halb, kuigi keskkonnamuutujad sisaldavad kindlasti autentimislubasid. Kicker on see jama ajalugu, /etc/hosts
, /etc/passwd
, ~/.gitconfig
, ~/.ssh
, ja ka esimesed 1000 faili kodukataloogis on kõik kokku pakitud ja üles laaditud. Kaasaegses süsteemis on passwd
fail ei sisalda tegelikult parooliräsi, kuid .ssh
kaust võib väga hästi sisaldada privaatseid SSH-võtmeid. Jah.
Nüüd, selle võltspaketi taga olev arendaja on leitud, ja väidab, et see oli mõeldud turvauuringuks, ning lubab, et kõik andmed kustutatakse. Väideti, et varastatud andmed olid ohvri positiivseks tuvastamiseks, arvatavasti kahjutasude kogumise eesmärgil. Sellel on usutavus, kuid see ei oma tähtsust, kuna kõik selle juhtumi käigus lekkinud saladused tuleb sellest hoolimata tühistada. Hõbedane on see, et pahatahtlikku koodi ei käivitata lihtsalt paketi installimisega, vaid Pythoni skript peab tegema selgesõnalise import triton
kasuliku koormuse käivitamiseks. PyTorchi projekt on paketi ümber nimetanud pytorch-triton
ja reserveeris selle projekti nime PyPis, et vältida kordumist.
Haavatavate Citrixi installide kaardistamine
Hiljuti on Citrix ADC-s ja Citrix Gateways parandatud paar kriitilist turvaauku, millest üks ajendas NSA-lt teatise, et APT (Advanced Persistent Threat) ohustab aktiivselt süsteeme selle veaga. Fikseeritud versiooninumbrid on teada ja see pani NCC Groupi kuuluva Fox Iti teadlased imestama. Kas on võimalik väljalaskeversiooni kindlaks teha Citrixi seadme autentimiseelsest HTTP vastusest? Spoiler: On. The /vpn/index.html
lõpp-punkt sisaldab räsi, mis näib olevat versioonide lõikes erinev. Ainus trikk, mis jäi, oli leida kiire viis räsi uuesti versioonile kaardistamiseks.
Sisenege Google'i Cloud Marketplace'i, kus on ühe klõpsuga võimalus uue Citrixi virtuaalmasina loomiseks. Üks SSH-seanss kinnitas hiljem versiooni ja vastava räsi. See on üks alla. Google'i teenuse osaks on ka ZIP-fail, mis sisaldab teavet vanemate versioonide kohta, sealhulgas piltide nimesid, mida saab kasutada eelmiste versioonide allalaadimiseks. qcow2
virtuaalse ketta kujutis – piisavalt lihtne, et sealt haarata räsi ja versiooninumber. Nende piltide ja Citrixi allalaadimislehe vahel tuvastati üsna palju teadaolevaid räsi, kuid kummalisel kombel on looduses täheldatud mõningaid räsi, mis ei paistnud ühtivat teadaoleva versiooniga. Kui leiate konkreetse kirjutuskaitstud faili, millele on juurdepääs ka eemalt, on võimalik saada täpne ajatempel konkreetse püsivara loomise kohta. See täidab teadaolevate versiooninumbrite lüngad ja võimaldab neil täpselt välja selgitada, millised versioonid looduses ilmusid.
Kuna räsi oli osa skannimisteenuste (nt Shodan) kogutud andmetest, on võimalik vaadata nii installitud versioonide ajalugu kui ka praegust olekut. Juurutatud versioonides on väga märgatav muudatus, mis vastab kenasti NSA hoiatusele. Isegi sel juhul on palju juurutatud Citrixi servereid, mis näivad endiselt töötavat haavatava püsivaraga, kuigi juurutamise üksikasjad võivad tähendada, et need ei ole otseses ohus. See on väga huvitav pilk sellele, kuidas me sellise statistikani jõuame.
Bitid ja baidid
Synology VPN-server sellel on kriitiline haavatavus CVE-2022-43931, mis annab CVSS-i skooriks 10 ja võimaldab autentimata ründajal täita suvalisi käske. Saadaval on paigatud versioonid. Viga ise on kaugtöölaua teenuse piiridest väljas olev kiri, seega on lootust, et see haavatav teenus ei ole avatud Internetis laialdaselt kokku puutunud.
Siin on ärakasutamine, mida te ei teadnud, et vajate, murda välja Lua tõlgist, et saada shellkood hukkamine. Siin on trikk selles, et kodeerida shellkood numbritena, seejärel petta käitusaeg joondamata juurdepääsuks, mis hüppab programmi täitmise andmetesse. Veel üks lõbus trikk on see, et sihtmärgiks olev Lua tõlk võimaldab teil käivitada Lua baitkoodi ja usaldab seda nagu tavalist Lua koodi. Mis on selle kõige eesmärk? Mõnikord on lõbus reisil.
Mida saate, kui tüdinud turvauurijad otsustavad elektritõukerataste mobiilirakenduse poole torgata? Palju müstiliselt müksavaid ja vilkuvaid rollereid. Ja kui need samad teadlased tõstavad end üles ja üritavad autosid mürama panna? Tõeliselt muljetavaldav nimekiri kaughaavatavustest kõikide markide sõidukites. Alates reaalajas GPS-jälgimisest kuni tulede sisselülitamiseni, uste avamiseni ja isegi sõidukite kaugkäivitamiseni – [Sam Curry] ja tema lõbusate häkkerite bänd tegid selle teoks. Paljude mõjutatud müüjate kiituseks tuleb öelda, et peaaegu iga haavatavus lõpeb sõnadega "nad parandasid selle kohe".
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://hackaday.com/2023/01/06/this-week-in-security-lastpass-takeaway-bitcoin-loss-and-pytorch/
- 000
- 1
- 10
- 100
- 2018
- 2022
- 4090
- 7
- a
- MEIST
- juurdepääs
- pääses
- juurdepääsetav
- konto
- Kontod
- täpne
- tegevus
- aktiivne
- aktiivselt
- tegelikult
- Täiendavad lisad
- edasijõudnud
- arenenud püsiv oht
- vastu
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- ja
- Teine
- app
- ilmuma
- lähenemine
- APT
- seotud
- rünnak
- AUGUST
- Auth
- saadaval
- tagasi
- tagauks
- varukoopiaid
- Halb
- BAND
- sisse lööma
- taga
- on
- vahel
- Miljard
- Natuke
- Bitcoin
- bitsüki tuum
- Bitcoini sõlmed
- BleepingComputer
- Igav
- rahasid
- brändid
- rikkumine
- Murdma
- Bug
- putukad bounties
- ehitatud
- autod
- püütud
- kesk-
- kindlasti
- võimalus
- muutma
- muutuv
- Joonis
- väitis
- nõuete
- Sulgemine
- Cloud
- kood
- Kollektsioneerimine
- kombinatsioonid
- Tulema
- keerukus
- kompromiss
- Kompromissitud
- kompromiteeriv
- KINNITATUD
- segadus
- sisaldab
- tuum
- põhiarendaja
- Vastav
- võiks
- Paar
- pragu
- krediit
- kriitiline
- Praegune
- Praegune olek
- Praegu
- klient
- OHT
- andmed
- andmebaas
- Datacenter
- Detsember
- otsused
- Sõltuvus
- sõltub
- lähetatud
- kasutuselevõtu
- Tuletatud
- lauaarvuti
- detailid
- Määrama
- arendaja
- seade
- Ei tee
- uksed
- DOT
- alla
- lae alla
- ajam
- iga
- kumbki
- Starter
- Töötaja
- krüpteeritud
- Lõpp-punkt
- lõppeb
- Inseneriteadus
- piisavalt
- Kogu
- tervikuna
- keskkond
- Isegi
- KUNAGI
- kõik
- täpselt
- täitma
- täitmine
- Ekspluateeri
- avatud
- kiiremini
- vähe
- fail
- Faile
- leidma
- leidmine
- esimene
- fikseeritud
- välklamp
- vilkuv
- viga
- edasi
- Alates
- täis
- lõbu
- funktsioon
- värav
- põlvkond
- saama
- GitHub
- antud
- Go
- läheb
- hea
- GPS
- rüütama
- Grupp
- häkker
- häkkerid
- juhtuda
- juhtus
- hash
- räsimine
- Held
- siin
- rohkem
- ajalugu
- Avaleht
- lootus
- loodetavasti
- KUUM
- Kuidas
- HTML
- HTTPS
- idee
- tuvastatud
- pilt
- pildid
- muljetavaldav
- in
- juhtum
- sisaldama
- lisatud
- Kaasa arvatud
- näidustus
- Üksikult
- info
- paigaldama
- paigaldamine
- huvitav
- Internet
- probleem
- IT
- kordused
- ise
- teekond
- hüppab
- hoidma
- Võti
- võtmed
- Teadma
- teatud
- keel
- LastPass
- vastutus
- Tõenäoliselt
- joon
- nimekiri
- elama
- Vaata
- otsin
- välimus
- kaotus
- masin
- tehtud
- peamine
- tegema
- Tegemine
- malware
- juhitud
- palju
- kaart
- turul
- meister
- matemaatika
- küsimus
- Oluline
- max laiuse
- vahendid
- mainitud
- Lustlik
- võib
- miljon
- meeles
- miinimum
- mobiilne
- mobiilirakenduse
- Kaasaegne
- kuu
- rohkem
- liikuma
- liikumine
- nimi
- nimed
- peaaegu
- Vajadus
- vaja
- võrk
- Uus
- uudised
- Pressiteade
- November
- number
- numbrid
- ametlik
- offline
- Vana
- ONE
- avatud
- valik
- et
- pakend
- osa
- Parool
- paroolid
- PBKDF2
- periood
- füüsiline
- tavaline
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Müks
- positiivne
- võimalik
- ilus
- eelmine
- varem
- esmane
- era-
- Probleem
- protsess
- Programm
- projekt
- Lubadused
- korralikult
- eesmärk
- Lükkama
- Python
- pütorch
- Kiire
- juhuslik
- tagasivõtmine
- hiljuti
- hiljuti
- Sõltumata sellest
- regulaarne
- vabastama
- Pressiteated
- kauge
- Eemaldatud
- kordama
- Aruandlus
- esindab
- teadustöö
- Teadlased
- reserveeritud
- resolutsioon
- vastus
- kaasa
- Tulemused
- Tõuseb
- Oht
- voorud
- rtx
- eeskirjade
- jooks
- jooksmine
- sool
- Sam
- sama
- skaneerimine
- Napp
- Teine
- kindlustama
- tagatud
- turvalisus
- turvalisuse uurijad
- tundub
- teenus
- Teenused
- istung
- komplekt
- kehtestamine
- seaded
- mitu
- peaks
- Silver
- lihtsalt
- SIX
- SUURUS
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- tarkvara
- lahendus
- mõned
- Keegi
- konkreetse
- eriti
- Spin
- Kestab
- Käivitus
- riik
- statistika
- jääma
- kepp
- Veel
- varastatud
- ladustatud
- Lugu
- süsteem
- süsteemid
- Talos
- sihtmärk
- suunatud
- Ülesanne
- maks
- .
- Vault
- oma
- Seal.
- sel nädalal
- oht
- Läbi
- Viskamine
- aeg
- ajatempel
- et
- märgid
- liiga
- Summa
- Jälgimine
- läbipaistvus
- läbipaistev
- ravimisel
- vallandada
- Usub
- Pööramine
- all
- kahetsusväärne
- avamine
- laetud
- us
- kasutama
- Kasutaja
- Kasutajad
- Vaakumi
- võlvkelder
- võlvid
- Sõidukid
- müüjad
- versioon
- Ohver
- virtuaalne
- virtuaalne masin
- VPN
- Haavatavused
- haavatavus
- Haavatav
- Rahakotid
- hoiatus
- webp
- nädal
- nädalat
- M
- kas
- mis
- kes iganes
- laialdaselt
- Metsik
- will
- sõna
- sõnad
- töö
- oleks
- kirjutama
- aastat
- Sinu
- sephyrnet
- Tõmblukk