С днем рождения, Недобрый Сказочник.

Желаю чтобы всего.
Но в меру.
Но всегда.
Но по желанию.
Но чтоб желание - взвешенное.
А весы свои и точные.
И чтоб без обвеса.
Даже с собой.
Не говоря уж о других.
С очередной датой, удивительный вы наш.

Ищем всюду, ищем везде

Собственно речь о сайте, на котором можно добавить себе поисковых плагинов.

http://mycroftproject.com/search-engines.html

Браузер - Mozilla Firefox
При желании можно написать и свой поисковый плагин.
Формат документирован.

Стандартная строка поиска поддерживает (внезапно!) прокрутку плагинов клавишами Ctrl+ArrowUp/ArrowDown, лучше об этом не забывать, если поиск по умолчанию адресует на какой-то странный сайт.

Метки для поиска на различных сайтах невероятно удобны, лучше использовать 2-3-буквенные сочетания (gg - google, ya - yandex и т. п.).

Для поиска прямо в строке ввода адреса как в Omnibar у Chrome можно поставить расширение instantfox.
http://www.instantfox.net/

Расширением Add to Search Bar можно добавить поиск с любого сайта.
https://addons.mozilla.org/ru/firefox/addon/add-to-search-bar/

Update TOR browser now

Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее до актуальной версии 6.0.5. Новая версия веб-браузера включает в себя исправление серьезной уязвимости Firefox с внутренним идентификатором ESR-45, которая позволяет атакующим, получившим в распоряжение действительный или фальшивый цифровой сертификат TLS для веб-сайта addons.mozilla.org, удаленно устанавливать вредоносное ПО через доставку вредоносного обновления для расширения NoScript.

This release features important security updates to Firefox including the recently disclosed extension update vulnerability. All users should upgrade as soon as possible.

Сама уязвимость (Tor Browser certificate pinning bypass for addons.mozilla.org) позволяет подготовленным атакующим организовать скрытную RCE-атаку на пользователей веб-браузера Tor на различных платформах, включая, Windows, Linux, и OS X.

That vulnerability allows an attacker who is able to obtain a valid certificate for addons.mozilla.org to impersonate Mozilla's servers and to deliver a malicious extension update, e.g. for NoScript. This could lead to arbitrary code execution. Moreover, other built-in certificate pinnings are affected as well. Obtaining such a certificate is not an easy task, but it's within reach of powerful adversaries (e.g. nation states).

Для эксплуатации уязвимости используются и другие слабые места Firefox, например, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса. Процесс атаки может состоять из следующих этапов.


  • Разработать вредоносное расширение с нужным для атакующих кодом, а затем подписать его у Mozilla.

  • Сгенерировать фальшивый цифровой сертификат для addons.mozilla.org, который может пройти проверку любого CA из хранилища Firefox (является весьма сложной задачей, но не является невыполнимой для state-sponsored атакующих).

  • Организовать MitM-атаку на трафик, проходящий между addons.mozilla.org и системой жертвы при обновлении NoScript.

  • Вредоносное расширение доставляется предполагаемой жертве вместо его легитимного обновления.


Пользователям рекомендуется  обновить свою копию веб-браузера до версии 6.0.5. Загрузить её можно здесь или на веб-странице с директорией дистрибутивов.

Firejail

Состоялся релиз проекта Firejail 0.9.42, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Для изоляции в Firejailиспользуется механизм пространств имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs. Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".

Особенности новой версии:

Добавлены собственные профили изоляции на базе AppArmor. Ранее AppArmor можно было применять в дистрибутивах с уже существующими профилями, например, в Ubuntu и Debian. При запуске c опцией "--apparmor" Firejail теперь использует собственный профиль, независимый от предлагаемого в дистрибутиве, который отличается задействованием расширенных возможностей ядер с патчами Grsecurity. В частности, блокируются утечки информации через /proc и /sys, разрешается запуск программ только из системных директорий (запрещён запуск из /home и директорий доступных на запись пользователю), отключается D-Bus. Для включения данной возможности следует собрать Firejail с опцией "--enable-apparmor";Встроена поддержка исполняемых файлов в формате AppImage, используемом для создания самодостаточных пакетов, работающих в различных дистрибутивах Linux. Например, можно сразу запустить в Firejail сборку Firefox-48.0.1.en.glibc2.3.3-x86_64.AppImage в отдельной директории, с изоляцией от остальной сетевой подсистемы и с собственным X-сервером;Начальная поддержка выполнения пакетов в формате Snap. Поддержка Flatpak пока не планируется (Snap использует похожий на Firejail подход к изоляции на основе фильтрации системных вызовов и использования компонентов окружения основной системы, в то время как Flatpak использует полноценный контейнер);Добавлены средства аудита активности в sandbox-окружении, позволяющие выявлять потенциальные проблемы с профилями изоляции. При запуске аудита Firejail формирует полноценный профиль изоляции для указанного приложения, но вместо самого приложения выполняет тестовый сценарий;Добавлены новые профили изоляции для таких программ, как Gitter, gThumb, mpv, Franz, LibreOffice, pix, audacity, xz, xzdec, gzip, cpio, less, Atom Beta, Atom, jitsi, eom, uudeview, tar (gtar), unzip, unrar, file, Skype, strings, inox, Slack, gnome-chess. Gajim, DOSBox;Новые опции: удаление переменных окружения (--rmenv), режим noexec (--noexec), чистка и повторное использование overlayfs (--overlay-clean, --overlay-named), включение отладки через gdb и strace (--allow-debuggers);Новые команды: "mkfile profile", "quiet profile" и "x11 profile";Новые настройки: включение overlayfs (overlayfs yes/no), подключение собственных правил пакетного фильтра (netfilter-default), включение белого списка (whitelist yes/no), перемонтирование /proc и /sys (remount-proc-sys yes/no), включение в chroot возможностей для запуска приложений рабочего стола (chroot-desktop yes/no).

Antiviruses vulnerabilities

Уязвимости в 15 антивирусах позволяют внедрить вредоносный код в любой процесс на системе

Большая часть проблем позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях.

Исследователи из компании EnSilo обнаружили шесть серьезных проблем с безопасностью в 15 антивирусных решениях от AVG, «Лаборатория Касперского», McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security. Все проблемы связаны с методами перехвата вызовов других процессов, используемыми антивирусами средствами виртуализации.

Уди Яво (Udi Yavo) и Томмер Биттон (Tommer Bitton) обнаружили http://blog.ensilo.com/intrusive-applications-6-security-to-watch-out-for-in-hooking уязвимости в процессе изучения вопроса, каким образом производители ПО используют технологию перехвата (hooking) для внедрения кода с целью перехвата, мониторинга и модификации системных вызовов. По словам исследователей, большая часть уязвимостей позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях и проэксплуатировать проблемы, которые в иных случаях могут быть труднодоступны или вовсе недоступны. Некоторые уязвимости позволяют злоумышленнику внедрить вредоносный код в любой процесс, запущенный на системе.

Метод перехвата используется антивирусами для отслеживания потенциально вредоносного поведения. Кроме того, hooking применяется для защиты от эксплоитов, виртуализации, мониторинга производительности и сэндбоксинга. Некоторые вредоносные программы используют перехват для осуществления MitB-атак.

Исследователи проинформировали о проблеме вышеуказанных производителей антивирусных решений. Некоторые из них уже выпустили соответствующие патчи. Более подробный доклад по данной теме эксперты представят на конференции Black Hat, которая пройдет в августе нынешнего года.


Q: Which software is affected?


  • Microsoft’s hooking engine, Detours. Quoting Microsoft.com: “Under commercial release for over 10 years, Detours is licensed by over 100 ISVs [independent software vendors] and used within nearly every product team at Microsoft.”

  • AVG

  • Kaspersky

  • McAfee

  • Symantec

  • A major AV vendor

  • BitDefender

  • Citrix XenDesktop

  • WebRoot

  • AVAST

  • Emsisoft

  • Vera

We have notified all these vendors throughout the past 8 months. Some of them fixed immediately, such as WebRoot, AVG and BitDefender, while others were slower to patch with a few releasing a fix only in the past month.

by http://www.securitylab.ru/news/483154.php

Lurk trojan downloaded from Ammyy Admin site

Банковский троян Lurk распространялся через сайт Ammyy Admin




Вредонос загружался на устройства пользователей вместе с официальным ПО от компании.

ИБ-исследователи «Лаборатории Касперского» обнаружили интересную особенность в распространении банковского вредоноса Lurk. Согласно данным экспертов, пострадавшие от Lurk пользователи также устанавливали на своем устройстве программу удаленного администрирования Ammyy Admin. Исследование подтвердило, что официальный сайт Ammyy Admin был скомпрометирован. Вредонос загружался на устройства пользователей вместе с официальным ПО от компании Ammyy Admin.

Размещенный на легитимном сайте установщик программы Ammyy Admin, используемой для удаленного доступа к Рабочему столу, не имел цифровой подписи и представлял собой NSIS-архив. После запуска этого архива во временном каталоге создавались и запускались на исполнение два файла: aa_v3.exe – установщик утилиты администрирования Ammyy Admin, подписанный цифровой подписью, и ammyysvc.exe – вредоносная программа-шпион Trojan-Spy.Win32.Lurk.

Согласно исследователям, загружаемый с официального сайта файл-установщик Ammyy Admin представляет собой троян-дроппер, предназначенный для скрытой установки в системе вредоноса, хотя внешне процесс выглядит, как установка легитимного ПО. Раздача дроппера совместно с легитимным ПО шла постоянно (с небольшими перерывами), по нескольку часов в будние дни, отметили эксперты.

Для успешной раздачи вредоносного ПО злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при запросе на скачивание пользователям выдавался вредоносный дроппер.

Злоумышленники не раз использовали сайт Ammyy Group для распространения Lurk. Специалисты ЛК несколько раз уведомляли компанию о кибератаках. Каждый раз проблема устранялась,но временно. С 1 июня содержимое дроппера изменилось. Вместо Lurk с сайта начал распространятся вредонос Trojan-PSW.Win32.Fareit, предназначенный для кражи персональной информации. Ammyy Admin уже уведомлена о проблеме.

by http://www.securitylab.ru/news/483164.php

Weird people

...
– Храм – это дом Бога. – сказал Нафан. – Он должен что-то символизировать.
– Кому должен, можно узнать?… – спросил Соломон язвительно. – Храм – это Храм. Бог живёт где захочет. Или ты думаешь, Он туда переедет, поставит на окошке георгины, курочек заведёт?…

"Книга Натаниэля"

Github blocked in Russia again

Github опять не доступен в России

7 июля 2016 года многие пользователи Github из России начали жаловаться на перебои с доступом к сайту.

Вот список некоторых проблемных адресов:

raw.githubusercontent.com/junegunn/vim-plug/master/plug.vim
151.101.36.133
help.github.com
github.io
pages.github.com
gist.github.com

Предположительно корни проблемы растут из IP 151.101.36.133 — это адрес сети доставки контента для «Гитхаба». Данный адрес внесен в список блокировки решением Октябрьского районного суда г. Ставрополя.

http://keinkeinkein.livejournal.com/102312.html

зайдя в консоль браузера, я обнаружил, что вся статика отвалилась по таймауту. Ok. Посмотрим, куда ведет assets-cdn.github.com:

$ host assets-cdn.github.com
assets-cdn.github.com is an alias for github.map.fastly.net.
github.map.fastly.net is an alias for prod.github.map.fastlylb.net.
prod.github.map.fastlylb.net has address 151.101.36.133


Ок. Поглядим внесен ли данный IP-адрес в единый реестр?


Да, похоже, что внесен!

О том же нам говорит и сайт Универсального сервиса проверки ограничения доступа к сайтам. http://blocklist.rkn.gov.ru/#anchor



Погодите-ка, 10 июня 2013? Что, решение суда дожидалось исполнения 3 года? 0_о

Реестр Роскомсвободы говорит, что да:



Немного погуглив по данному вопросу (и удивившись, что на хабраресурсах еще ничего не всплывало), нашел запись в ЖЖ с некоторыми дополнительными подробностями:

Судя по всему, этой же CDN пользовалось в 2013 году какое-то интернет-казино, и наша Роскомцензура в далеком 2013-м решила заблокировать не хосты интернет-казино, а одним росчерком пера IPv4-адрес всего дата-центра CDN. Д..., б...! То есть, власть нас спасла от того, чтобы мы не проигрывали последние деньги в казино, параллельно заблокировав и ненужный с ее духовно-скрепной точки зрения GitHub.


Оказывается, GitHub заблокирован на всей территории России Октябрьским районным судом Ставрополя. Районным судом, Карл! Получается, заблокировать любой сайт на всей территории РФ на DPI-оборудовании провайдеров теперь может абсолютно любой районный судья из любого субъекта РФ.


Еще нагуглилось небольшое обсуждение на VK-страничке Роскомсвободы, из которого можно, в частности попасть на текст решения суда, и на страничку судьи, его вынесшего («Очень грамотный, тактичный и доброжелательный, С ТОНКИМ ЧУВСТОМ ЮМОРА»).

В недрах комментариев к вышеуказанному ЖЖ-посту можно также найти решение данной проблемы (ну, кроме очевидных — использовать прокси или ssh-тоннель): гитхабовские CDN также имеют IP адрес 151.101.12.133, который в реестр не внесен. Таким образом, можно прописать его в /etc/hosts и радоваться жизни. Ну… Только по той же CDN раздаются еще аватарки, имеющие разные доменные имена, и, в чем самая подстава — некоторые страницы GitHub Pages. На момент написания этой статьи в моем /etc/hosts были:

151.101.12.133 assets-cdn.github.com
151.101.12.133 avatars2.githubusercontent.com
151.101.12.133 avatars0.githubusercontent.com
151.101.12.133 avatars1.githubusercontent.com
151.101.12.133 avatars3.githubusercontent.com

151.101.12.133 google.github.io
151.101.12.133 kangax.github.io
151.101.12.133 eslint.org


Наверное, все-таки придется включать VPN…

Если у вас нет денег на покупку VPN в Сингапуре / Австралии / Новой Зеландии / США, можете временно прописать в /etc/hosts следующие строки:
151.101.12.133 assets-cdn.github.com
151.101.12.133 avatars0.githubusercontent.com
151.101.12.133 avatars1.githubusercontent.com
151.101.12.133 avatars2.githubusercontent.com
151.101.12.133 avatars3.githubusercontent.com
151.101.12.133 avatars4.githubusercontent.com
151.101.12.133 avatars5.githubusercontent.com
151.101.12.133 avatars6.githubusercontent.com
151.101.12.133 avatars7.githubusercontent.com
151.101.12.133 avatars8.githubusercontent.com
151.101.12.133 avatars9.githubusercontent.com
151.101.12.133 help.github.com
151.101.12.133 pages.github.com
151.101.12.133 raw.githubusercontent.com

Еще нужно добавить 151.101.12.133 camo.githubusercontent.com.
А также каждый поддомен на .github.io, который вам нужен, например, 151.101.12.133 facebook.github.io.

Kovter use drive-by-download attack and posing as firefox update

Вредоносное ПО распространяется с помощью атак drive-by-download.

Исследователи компании Barkly сообщили о новой разновидности трояна Kovter, маскирующейся под легитимные обновления для Firefox. Вредонос распространяется с помощью атак drive-by-download: когда пользователь посещает зараженный сайт, ему предлагается установить поддельное обновление для браузера.

По словам исследователей, последний вариант Kovter обходится без файлов и, похоже, использует легитимный сертификат, выпущенный Comodo. Эксперты уже уведомили компанию о проблеме, и сертификат вскоре будет отозван.

Вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО. После выполнения на системе жертвы вредонос записывает встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий.

Проанализировав ключ реестра, исследователи нашли еще одну зашифрованную программу PowerShell. «В итоге мы обнаружили, что PowerShell используется для внедрения в систему шелл-кода», - сообщили эксперты.

Пользователям рекомендуется воздержаться от установки каких-либо патчей для Firefox, выпущенных не в соответствии со стандартным циклом выпуска обновлений компании Mozilla.
by http://www.securitylab.ru/news/483058.php