Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде. Таким же образом из памяти можно извлекать фрагменты другой важной информации, например тексты недавней переписки или цифры из корпоративных баз данных. Разработчики KeePass быстро нашли довольно оригинальное решение проблемы, но в большинстве других приложений пароли в памяти хранятся в открытом виде, поэтому она всегда является «слабым местом» в общей системе безопасности.

Атака на память кажется экзотической и сложной, но на практике осуществить ее достаточно легко, если администраторы компьютера не предпримут специальных мер защиты.

Как можно изучить память компьютера?

Участки оперативной памяти, используемые разными приложениями, в значительной мере изолированы друг от друга средствами ОС и гипервизора. Поэтому просто вдруг прочитать фрагмент памяти, в котором работает постороннее приложение, не получится. Впрочем, на это способны процессы с привилегиями ядра (system в Windows, root в *nix). А способов повышения привилегий до нужного уровня существует немало — чаще всего для этого используются различные уязвимости в ОС или драйверах устройств.

Еще один вариант того, как можно добраться до памяти работающего компьютера, — DMA-атаки. Они основаны на том, что высокоскоростные интерфейсы (USB 4.0, Thunderbolt, Firewire и другие) ради ускорения процессов ввода-вывода имеют прямой доступ к памяти. Специально спроектированное устройство может злоупотреблять этой особенностью для считывания любых фрагментов памяти. Это не гипотетическая угроза, известны реальные случаи подобных атак (FinFireWire).

Таких файлов в Windows несколько:

  • временный файл подкачки (pagefile.sys);
  • файл сохранения для режима гибернации (hiberfil.sys);
  • аварийные и отладочные дампы памяти (memory.dmp, minidump). Генерацию таких файлов можно запустить вручную.

В Linux подкачка и гибернация используют выделенный раздел диска, общий для этих нужд.

Чтобы изучить один из этих файлов, как правило, нужно иметь физический доступ к компьютеру, но при этом не обязательно знать реквизиты доступа и вообще включать машину. Можно просто вытащить жесткий диск и считать его на другом компьютере.

 

Посмотреть статью полностью

Опубликовано
22 hours ago, KL FC Bot said:

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде.

Стас, ёклмн!!! У ЛК была ровно эта же проблема: https://t.me/mydaybug/440! Я обнаружил это поведение и у KeePass, и у ЛК ещё 3-го февраля. Но в KeePass просто не стал сообщать (т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении), а вот в ЛК написал.

И что в итоге? Сначала ЛК не признавали проблему, а затем оценили на 4.2. Тогда как KeePass оценил проблему на 7.5 https://nvd.nist.gov/vuln/detail/CVE-2023-32784

 

Ладно, мне важно, что проблему признали и пообещали исправить. Мораторий на публикацию истёк ещё в мае, но просто из уважения к ЛК я не стал раскрывать деталей, не стал выкладывать видос с демонстрацией. Решил просто забыть об этом, будто и не было ничего.

 

Но тут приходит Стас и начинает, прошу прощения, мочиться себе на голову. То есть он думает, что обсыкает конкурента (абсолютно бесплатного, с открытым исходным кодом, обращаю внимание), но на самом деле попадает на своего же работодателя. Вот просто кто тебе мешал не приводить в пример конкретно KeePass? Выбери вообще любой другой продукт, который не конкурирует с ЛК и я бы мимо прошёл. Но вот этим набросом фекалий на вентилятор ты попал на своих.

  • Like (+1) 1
Опубликовано
23 минуты назад, Umnik сказал:

(т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении)

Можно номер версии и подробности как настроить предупреждение?

Опубликовано

Предупреждение на сайте написано. KeePassXC у меня. Где-то то ли в FAQ, то ли просто где-то в описании. В общем, нашёл за минуту его и успокоился. О, пока пишу эти слова, вспомнил, что у них даже ишуя была в багтрекере, ща найду.

 

Нашёл, вот: https://github.com/keepassxreboot/keepassxc/issues/7335 они честно признаются, что вот такие дела и мы не можем с этим ничего поделать. И здесь же описание, как можно прочитать пароль. Если у атакующего нет прав администратора, то он не сможет достать пароль. На чтение файла подкачки тоже нужны права администратора. Ну или если злоумышленник не может загрузиться с флешки и банально скопировать файл подкачки.

 

Вот часть моего письма, где я описываю сотруднику ЛК, что кипас тоже подвержен проблеме:

 

Quote

Добавлю ещё от себя. Вы не единственные, кто имеет эту проблему. Я проверил ещё и keepass и keepassxc — они оба подвержены этой же проблеме. Однако у них есть механизм снижения опасности, даже несколько:

1. Оба они позволяют использовать не только мастер пароль. Я использую и мастер-пароль, и ключевой файл (а ещё не Windows, но это дело пятое).
Использовал бы и свисток свой, но SoloKey не поддерживается, к сожалению. В целом вот ишуя, где показан альтернативный способ извлечения мастер пароля: https://github.com/keepassxreboot/keepassxc/issues/7335

2. Дополнительно к этому keepass, который классический, имеет механизм Secure Desktop, который вообще поднимает запрос мастер пароля в другом сеансе. В итоге в памяти мастер-пароля не остаётся https://keepass.info/help/kb/sec_desk.html Вам стоит подрезать эту функциональность себе, она очень полезна. Тем более что авторы признают, что из-за дотнета они не могут вычистить мастер пароль из памяти:
https://keepass.info/help/base/security.html#secmemprot

Вообще, если сделаете аналог secure desktop, тем более что вам не нужно работать на ОС ниже Win2k, атакующему делать будет уже нечего. А если планируете KPM делать компонентом какого-то корпоративного решения, то к этому времени нужно подготовиться точно.

 

Вся проблема в выбранных языках. Это безопасные языки с автоматическим управлением памятью и так называемым "сборщиком мусора" (grbage collector). Во всех случаях проблема в том, что пароль, когда он уже не нужен, продолжает висеть в памяти до тех пор, пока этот сборщик мусора не решит, что пора бы мусор почистить. В моих экспериментах GC не приходил около получаса. То есть ещё полчаса после разблокировки KPM мастер паролем я мог достать этот пароль из памяти. Временные интервалы для кипасов не замерял, мне было нужно лишь понять, только ли у ЛК проблема.

 

ЛК оценила опасность на 4.2 (низкая опасность) по моему репорту, потому что требуются права Администратора. Кипасс при тех же самых условиях (повторю - это тоже самое, одинаковое) оценили на 7.5 (высокая опасность).

  • Like (+1) 1
Опубликовано

А если keepass на винде запускаю с правами админа, влияет это как нибудь на уяявимость?

Опубликовано

Дело не в том, как запускается KeePass или KPM. Права админа должны быть у вредоносного ПО, потому что чтение памяти другого процесса требует этих прав. А если в целом, то не надо запускать Кипас от админа, как и вообще любое ПО не надо запускать без крайней нужды. Это в целом плохое поведение.

Опубликовано
15 часов назад, Umnik сказал:

Стас, ёклмн!!! У ЛК была ровно эта же проблема

Была, значит уже исправлена и всё хорошо?

Опубликовано

Не знаю. Мне обещали, что будут деражать в курсе, но после того обещания новых писем не было. Я просто не стал проверять.

Опубликовано
37 минут назад, Umnik сказал:

Не знаю. Мне обещали, что будут деражать в курсе, но после того обещания новых писем не было. Я просто не стал проверять.

Скажи пожалуйста, если я сижу за компом от имени администратора, то и КПМ запускается всегда от имени администратора? Или по умолчанию он запускается без админских прав? 

Опубликовано
5 часов назад, Umnik сказал:

то не надо запускать Кипас от админа

Где то читал рекомендовали от админа запускать, мотивировали тем что тогда ПО запущенное без прав админа не сможет что то сделать, как то так

Опубликовано
2 hours ago, Mrak said:

если я сижу за компом от имени администратора,

Если UAC включен, то нет. По умолчанию ты сидишь, на самом деле, под пользователем. А вот чтобы получить админские права, ты нажимаешь "Разрешить" в запросе UAC. В этом случае запускается НОВЫЙ процесс от ДРУГОГО пользователя и вот он уже имеет админские права. Ты можешь сделать простой эксперимент - открыть командную строку и увидишь, что она работает в таск менеджере под твоим пользователем. Зачем запустить ещё одну и она тоже будет под твоим именем. А затем запустить третью, но от имени администратора, и увидишь, что третья работает уже не от твоего имени.

 

Чтобы работать реально с админскими правами в Windows Vista и новее, нужно выключать UAC или лоигинться под учётной записью, которая называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль. И продолжать работать под своей рабочей юзерской учёткой. И при попытке выполнить действие от администратора, у тебя будет запрошен пароль той, новой учётки. По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

  • Спасибо (+1) 1
Опубликовано
2 минуты назад, Umnik сказал:

называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль.

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная? 

2 минуты назад, Umnik сказал:

По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

Что значит просто так? Каждый запрос означает, что я скачал какую-то программу и запускаю. Думаешь, необходимость вводить пароль, остановит меня от запуска программы? Но в таком случае зачем я её качал? Очевидно, в любом случае запущу, раз Касперский Плюс на неё не ругается.

Опубликовано
33 minutes ago, ska79 said:

Где то читал рекомендовали от админа запускать

Нельзя так делать. Во-первых приучаешь себя к плохому поведению - запускать всё подряд от админа, во-вторых ошибка в самом ПО может привести к серьёзным проблемам. Грубо говоря, попытка удалить файл по неправильному пути от админа и от юзера может привести к разным результатам.

35 minutes ago, ska79 said:

ПО запущенное без прав админа не сможет что то сделать

Оно и так не особо может. Ну может прибить процесс, который запущен от этого же пользователя. Прибитый процесс - не страшно и палевно. А вот чтобы прочитать данные другого процесса - уже нужны права админа.

Само предложение, видимо, основано на поведение Unix-подобных систем, где ПО изолируется через пользователей. Это вообще шикарно, но Windows архитектурно на это не ориентирован. Нужно потратить много сил, чтобы добиться похожего поведения.

 

К примеру, вот три процесса рядом и все три работают от разных пользователей у меня:

image.png.417979d3376676a0efc09ab752efcf41.png

1 minute ago, Mrak said:

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная?

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

3 minutes ago, Mrak said:

Думаешь, необходимость вводить пароль, остановит меня от запуска программы?

А ты попробуй. Мне помогло. Вдруг и тебе поможет пересмотреть подход.

  • Спасибо (+1) 1
Опубликовано
4 минуты назад, Umnik сказал:

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

То есть это разные админские права? Встроенная учётка - более крутой админ, чем тот, о создании которого ты говоришь?

Опубликовано

Админ, который создаётся - это вообще не админ. Это пользователь, которому, так и быть, можно дёргать за рукав настоящего (встроенного) админа в системе. Это что-то вроде использования sudo.

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Как вы думаете, при восстании машин какого представителя «умной» бытовой техники стоит опасаться больше всего? Блендера, чайника, а может быть, робота-пылесоса? Моя ставка — на роботов-газонокосилок, и, готова поспорить, после прочтения этой статьи вы тоже начнете их опасаться. В ней пойдет речь о свежей работе независимого исследователя безопасности Андреаса Макриса, который на момент публикации своего исследования следил за шестью тысячами газонокосилок бренда Yarbo. Более того, при желании он мог получить полный контроль над любым из этих устройств: включать и выключать робота, управлять им на расстоянии, делать снимки встроенной камерой и многое другое. Подробнее о том, как это у него получилось, читайте в нашей статье.
      Что представляют собой роботы-газонокосилки Yarbo
      Называть устройства Yarbo простыми газонокосилками — значит не отдавать им должное. На деле продвинутые роботы Yarbo — это автономные мини-тракторы, которые могут решать массу разнообразных задач. Их можно использовать не только для ухода за газоном, но также для уборки снега и опавших листьев, транспортировки грузов, патрулирования территории и других задач. Для разных видов хозяйственной деятельности производитель предусмотрел целый набор различных насадок.
      Yarbo — модульный робот для ухода за участком. В зависимости от установленной насадки он может работать как газонокосилка, триммер, снегоуборщик, воздуходувка для листьев или маленький грузовик. Источник
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов. Возникающие проблемы варьируются от временной недоступности сервисов из-за технических сбоев и полного отключения нужных моделей (как это недавно произошло с Fable 5) до неожиданной блокировки некоторых вариантов использования (прощай, OpenClaw) или гигантского перерасхода отведенного бюджета (как узнал в этом году Uber).
      Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям. Пользователь прописывает в своем ИИ-агенте или открывает в браузере адрес выданного ему сервера (API-прокси) и начинает получать ответы нейросети, к которой вместо него обратился этот прокси.
      Одни платформы на этом рынке в первую очередь предлагают широкий выбор моделей и удобный учет ресурсов, а также балансировку нагрузки между официальными API. Другие строят свой маркетинг на радикальном снижении стоимости. Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов. Разумеется, за скобками остаются серьезнейшие риски, затрагивающие эффективность, надежность и безопасность подобных решений.
      Как работают серые ИИ-прокси
      Согласно недавнему исследованию Oxford China Policy Lab, бизнес-модель дешевых посредников строится на создании ферм аккаунтов. На множестве компьютеров регистрируются учетные записи, доступ к ним подтверждается подделанными или купленными у граждан в бедных странах документами. В подписках могут использовать бесплатный пробный период (или фиксированную сумму «API-кредитов» на пробное использование), а могут и покупать дорогую премиум-подписку за $100–200. Доступ к ней потом автоматически распределяется между несколькими пользователями.
      Экономика таких сервисов часто носит криминальный характер. Сверхнизкие цены объясняются не только максимальным использованием лимитов в аккаунтах, но и кражей учетных данных у добросовестных пользователей, а также массовым использованием краденых банковских карт для оплаты подписок. Сервисы такого рода автоматизированы, и, как только поставщик ИИ-модели блокирует подозрительный аккаунт, отработанная учетная запись заменяется на новую.
      Для пользователей сервисов проблема заключается не только в том, что посредник получает доступ нечестным путем. API-прокси видит полный обмен данными между конечным пользователем и моделью: запросы, цепочка рассуждений, ответы. Более того, прокси может менять любые данные в запросах и ответах. Вот какие риски это создает.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      К сожалению, на обман и фишинговые атаки ведутся не только простодушные люди — оказаться в числе жертв сейчас может буквально кто угодно. Злоумышленники годами оттачивают свои тактики, чтобы обеспечить себе успех, и пользуются сложными психологическими манипуляциями, которые зачастую трудно распознать. Такие манипуляции в мире кибербезопасности даже удостоились отдельного термина — социальная инженерия.
      В этой статье рассказываем, какие психологические уловки используют злоумышленники, чтобы обманывать своих жертв, на какие «красные флаги» стоит обратить внимание и, наконец, что делать, если вы обнаружили, что вас пытаются обмануть.
      На каких эмоциях играют злоумышленники
      Социальная инженерия работает именно потому, что бьет по нашим эмоциям. Когда жертва взволнована, напугана или охвачена азартом, она принимает решения быстро и почти не думает о последствиях. Именно это злоумышленникам и нужно.
      Поэтому в тот момент, когда вы разговариваете или переписываетесь с кем-то, остановитесь на секунду и спросите себя: что именно я чувствую прямо сейчас? А какие ощущения у меня были мгновение назад? Не пытается ли мой собеседник как-то воспользоваться моим эмоциональным состоянием?
      Чаще всего злоумышленники пытаются надавить на следующие эмоции:
      страх, тревога; азарт; стыд, вина; удивление, шок.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Наша команда Kaspersky Global Emergency Response Team и сервис MDR за последний год расследовали множество инцидентов в компаниях самого разного профиля. Выявленные в ходе этой работы техники, тактики и инструменты атакующих легли в основу глобального отчета Анатомия ландшафта киберугроз 2026. Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.
      Кейс № 1. Одна учетная запись — и все данные зашифрованы
      Что произошло
      В одной латиноамериканской компании атакующие получили доступ к SMTP-серверу через компрометацию учетной записи локального администратора. Ничего сложного — просто каким-то образом украли пароль, а дальше — классическая эскалация:
      Злоумышленники, используя утилиту Mimikatz, сделали дамп хешей паролей, а далее, применяя технику Pass-the-Hash, с помощью утилиты Invoke-TheHash получили привилегии пользователей. Затем они использовали еще один инструмент для повышения привилегий через уязвимый драйвер и распространили шифровальщик на конечные устройства корпоративной сети. Почему это произошло
      Большинство компаний до сих пор защищаются, пытаясь отслеживать явные вредоносные действия, а не легитимные действия, производящиеся под легитимными учетными записями. Схема действий злоумышленников хорошо прослеживается по статистике из вышеупомянутого отчета «Анатомия ландшафта киберугроз». Сначала злоумышленники компрометируют учетную запись. Вот статистика по конверсии техник злоумышленников в реальные атаки:
      Password guessing — 34,8%. Valid account abuse — 34,5%. Захватив одну учетку, злоумышленник создает себе запасной аэродром внутри скомпрометированной инфраструктуры:
      Local account creation — 34,7%. Account manipulation — 32,0%. Далее атакующие начинают сканировать сетевые сервисы.
      Network service discovery — 31,2%. Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.
      Кейс № 2. Когда сервер мониторинга становится троянским конем
      Что произошло
      Произошла атака шифровальщика BlackNevas. Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись. Сканируя внутреннюю сеть, атакующие обнаружили сервер PRTG (Paessler Router Traffic Grapher) — решение для мониторинга инфраструктуры. Через него злоумышленники попали в общую сеть, нашли ESXi-серверы и зашифровали виртуальную среду целиком.
      Почему это произошло
      Были допущены две классические ошибки:
      Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным. Была скомпрометирована учетная запись. Кейс № 3. Когда патч выпустили, а вы его не поставили
      Что произошло
      В этом кейсе атакующие применили не обычный шифровальщик, а вайпер, при атаке которого данные уже не восстановить. Злоумышленники использовали уязвимость в сервере SAP NetWeaver для первоначального доступа. Через нее установили веб-шелл на серверах периметра. Затем применили атаку password spraying для получения доступов более привилегированных пользователей.
      Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функциональностью вайпера. Вредоносный объект подгрузили через уязвимости в Microsoft Defender и ПО для работы с электронными книгами. Используемый вайпер полностью зашифровал маленькие файлы с помощью криптостойкого RSA, в файлах среднего размера использовал RSA только для заголовков, для остального применил AES, большие файлы обрезал до 5 Мбайт, остальное занулил. С учетом приведенного алгоритма работы вайпера полное восстановление поврежденных файлов было невозможно.
      Почему это произошло
      View the full article
    • Dzmitry
      Автор Dzmitry
      Описание с магазина
       
      О Внешний аккумулятор с встроенными кабелями
      Зарядное устройство с функцией беспроводной зарядки для смартфона и часов. Увеличенный объем батареи и быстрая зарядка по MagSafe позволят забыть об ограниченности аккумулятора. Кроме того, больше не надо носить с собой моток проводов, ведь кроме беспроводной зарядки устройство имеет встроенные type-c и lightning кабели с еще большей выходной мощностью.
      ∙ Материал: АВS, металл
      ∙ Цвет: чёрный
      ∙ Размер: 115х70х22 мм
      ∙ Ёмкость: 10000 mAh
      ∙ Вход: Type-C
      ∙ Выход: USB, Type-C
      ∙ Встроенные кабели Lightning и Type-C
      ∙ Встроенная подставка для смартфона
      ∙ Индикатор зарядки
      ∙ MagSafe беспроводная зарядка 15 Вт Зарядное устройство 2.5 Вт для Apple Watch QC2.5W + PD20W быстрая зарядка
       
       
      В описании ничего не написано про модель пауэрбанка, даже гугл по картинке не смог найти эту модель.
      По результатам использования:
      Хороший компактный поуэрбанк, который всё время под рукой. Для меня самое главное – поддержка быстрой зарядки. Вес 212г , аналогичный от xiaomi весит 214г
      Из минусов хочу отметить тонкие зарядные провода и невозможность зарядки отдельных моделей смартфонов на подставке (huawei pura 80)
       

       

       

       

       

       

       

       

       

       

       

       

       

       

       

×
×
  • Создать...