مُردن حملات CSRF؟
تقریبا ۵ ماه پیش گوگل از نسخه ۸۰ مرورگر کروم، بطور پیشفرض برای سایتهایی که مشخصه SameSite رو به کوکی کاربران اختصاص نداده باشه، یه SameSite=Lax اضافه میکنه. این به این معنیه که درخواستهای خارج از محدودهی دامنه وبسایت (cross-origin) نمیتونن کوکیها رو حمل کنن. در نتیجه، حملات CSRF دیگه به ظاهر معنی نداره. انواع دیگهای از آسیبپذیریها هم تحتالشعاع چنین سیاستی از مرورگر کروم میشن اما مهمترین کلاس آسیبپذیری در بین حملات سمت مرورگر همون XSS هست که هنوز به قوت خودش باقیه. پیکربندیهای نادرست CORS هم همون سایتاییان که به قصد SameSite رو مقدار خطرناکی (*) دادن یا محدودههای قابل اکسپلویتی برای هکرها تعریف کردن که اینم بدیهتا با سیاست جدید کروم مشکلی نداره. اما جالبه بدونید که این محدودیت کروم روی متد GET کار نمیکنه و از این راه هم میتونید CSRF بزنید. در آخر قابل توجهه که حتی اگر در کروم چنین آسیبپذیریهایی محدودیت داشته باشه، در مروگرهای دیگه چنین خبری نیست و این شاید برای کاشفان باگ در ازای جایزه خبر خوبی تلقی بشه.
@offsecmag
تقریبا ۵ ماه پیش گوگل از نسخه ۸۰ مرورگر کروم، بطور پیشفرض برای سایتهایی که مشخصه SameSite رو به کوکی کاربران اختصاص نداده باشه، یه SameSite=Lax اضافه میکنه. این به این معنیه که درخواستهای خارج از محدودهی دامنه وبسایت (cross-origin) نمیتونن کوکیها رو حمل کنن. در نتیجه، حملات CSRF دیگه به ظاهر معنی نداره. انواع دیگهای از آسیبپذیریها هم تحتالشعاع چنین سیاستی از مرورگر کروم میشن اما مهمترین کلاس آسیبپذیری در بین حملات سمت مرورگر همون XSS هست که هنوز به قوت خودش باقیه. پیکربندیهای نادرست CORS هم همون سایتاییان که به قصد SameSite رو مقدار خطرناکی (*) دادن یا محدودههای قابل اکسپلویتی برای هکرها تعریف کردن که اینم بدیهتا با سیاست جدید کروم مشکلی نداره. اما جالبه بدونید که این محدودیت کروم روی متد GET کار نمیکنه و از این راه هم میتونید CSRF بزنید. در آخر قابل توجهه که حتی اگر در کروم چنین آسیبپذیریهایی محدودیت داشته باشه، در مروگرهای دیگه چنین خبری نیست و این شاید برای کاشفان باگ در ازای جایزه خبر خوبی تلقی بشه.
@offsecmag
🔺خیلی فوری: سازمانها و شرکتهای ایرانی حواسشون باشه که یه آسیبپذیری با درجه خطر ۱۰ از ۱۰ در سرویس DNS ویندوز پیدا شده که روی ویندوز سرورهای ۲۰۰۳ تا ۲۰۱۹ جواب میده! اونقدر خطرناکه که ممکنه تمام زیرساختتون رو با دسترسی Domain Admin به مهاجم تقدیم کنه. همین حالا بهروزرسانیهارو انجام بدید.
@offsecmag
@offsecmag
“People thought, ‘Hey, George W. Bush will sign this,’ but he didn’t,” said a former official. CIA officials then believed, “‘Obama will sign it.’ Then he didn’t.” “Then Trump came in, and CIA thought he wouldn’t sign,” recalled this official. “But he did.”
https://news.yahoo.com/secret-trump-order-gives-cia-more-powers-to-launch-cyberattacks-090015219.html
https://news.yahoo.com/secret-trump-order-gives-cia-more-powers-to-launch-cyberattacks-090015219.html
Yahoo
Exclusive: Secret Trump order gives CIA more powers to launch cyberattacks
The Central Intelligence Agency has conducted a series of covert cyber operations against Iran and other targets since winning a secret victory in 2018 when President Trump signed what amounts to a sweeping authorization for such activities, according to…
پولی که امشب هکرها از هک حسابهای مهم توییتری در اوردن تا این ساعت بیشتر از ۱۴ برابر مقداریه که خود توییتر در برنامه جایزه کشف باگ میداده!
@offsecmag
@offsecmag
هکرهای سازمان یافته منتسب به جمهوری اسلامی، به اشتباه؟ فایلهایی رو از عملیاتهاشون روی یک سرور قرار داده بودن که هوستی از دامنههای دیگر حملاتشون بوده. توی این فایلها ۴۰ گیگ فیلم آموزشی/poc از استخراج دادههای ایمیل نظامیهای ردهبالای نیروی دریایی امریکا و یونان بوده که نشون میده حملاتشون موفقیتآمیز بوده. بقیهش اسامی و شمارههای مورد استفادهی ایرانی و اطلاعات حملات ناموفق فیشینگ به خیرین ایرانی-امریکایی و مقامات وزارت خارجه امریکا و سفارت مجازی ایران در امریکا بوده. این حملات ۳ ماه پیش اتفاق افتاده!
اهداف این گروه در سال ۲۰۱۸ بیشتر آژانسهای نظارتی مالی/هستهای و محققینشون بودهن، در سال ۲۰۱۹ بیشتر به سمت سیاستمدارهای امریکا و مقامات دولت امریکا رفتهن و در سال ۲۰۲۰ نهادهای دارویی امریکا.
این گزارشی از شرکت IBM بود که فایلها رو پیدا کرده.
@offsecmag
اهداف این گروه در سال ۲۰۱۸ بیشتر آژانسهای نظارتی مالی/هستهای و محققینشون بودهن، در سال ۲۰۱۹ بیشتر به سمت سیاستمدارهای امریکا و مقامات دولت امریکا رفتهن و در سال ۲۰۲۰ نهادهای دارویی امریکا.
این گزارشی از شرکت IBM بود که فایلها رو پیدا کرده.
@offsecmag
براساس تحقیقی از گوگل، جالبه بدونید که Security Key (یه چیزی مثل Cloud Password تلگرام) از تمام راهحلهای دیگر مقابله با حملات مختلف بدستگیری حسابهای کاربری، قابلاتکاتر و در یک کلام بهترین راهکاره.
@offsecmag
@offsecmag
Forwarded from آفسک - هکرهای ایران
🔺 آسیبپذیریهای زیرساختهای ابری (گزارش جدید آژانس امنیت ملی امریکا)
هرچند که زیرساخت ابری در ایران بسیار جوان و نابالغه و بسیاری از تکنولوژیها و خدمات به اسم «ابری»، در واقعیت امر فروش سرور مجازی و همون میزبانی و فضای کلاسیک اشتراکیه، اما بهرحال حالا که شرکتهای ایرانی قدم به توسعه و انتقال به این زیرساخت برداشتن، خوندن این گزارش جدید از NSA بسیار مفیده و بایستی بدونید که ما در آفسک، در این زمینه هم مشاوره میدیم. پس cert@offsec.ir رو یادتون باشه.
اول گفته اصلا زیرساخت ابری چیه؟ که در واقع اجزاش رو خیلی سرراست و خلاصه میگه: «مدیریت دسترسی»، «پردازش»، «شبکه» و «فضا»
مدیریت دسترسی: به این اشاره داره که هر مشتری تا چه حد به منابعش دسترسی داره.
پردازش: منابع هر مشتری قراره با چه تکنولوژیای محاسبه و پردازش بشه (Virtualization یا Containerization)
پردازش بصورت مجازیسازی: تمام اجزای زیرساخت ابری در یک سری محیطهای ایزوله پردازش، نگهداری و شبکه میشه.
پردازش بصورت کانتینرسازی: منابع مشتری (و نه خود زیرساخت ابری) در یک سری محیط های ایزوله قرار میگیرن و نسبت به تکنولوژیهای مجازیسازی ناامنترن چون خاصیتهای کرنل رو به اشتراک میذارن برای هر مشتری.
شبکه: ایزوله کردن شبکههای مشتری در یک سرویس ابری بسیار مهمه. در این زمینه تهدیداتی برای هر زیرساخت ابری وجود داره که بایستی نسبت بهش با تکنولوژیهایی مثل SDN مقاومت بشه.
فضا: تمام دادههای مشتری بایستی در یک زیرساخت ابری، از گره ابری سایر مشتریها جدا باشه و به هیچ عنوان افشای دادهای صورت نگیره. اینم تهدید دیگری برای سرویسهای ابریه.
طبق تصویر اولی که گذاشتیم، میتونید ببینید که هرچقدر به سمت تکنولوژیهای زیرساخت بعنوان یک سرویس (IaaS) میریم، به جهت ایزوله بودن دیگر اجزای زیرساخت، تنها امنیت سرویس «مجازیسازی» در معرض خطر از سمت تامینکنندهست و امنیت بقیه اجزا پای مشتریه. در پلتفرم بعنوان یک سرویس (PaaS) وزنهی مسئولیت امنیت بیشتر به پای تامینکننده میره و فقط امنیت «پیکربندی و داده/برنامه» پای مشتریه. در مدل نرمافزار بعنوان یک سرویس (SaaS)، بغیر از پیکربندی، مسئولیت امنیت تمام دیگر اجزای زیرساخت ابری با تامینکنندهست و اگر چنانچه مدیریت آسیبپذیری توی این سرویس از سمت تامینکننده نقص داشته باشه مشتری بیچارهست.
این گزارش به معمولترین و مطرحترین انواع آسیبپذیریهای هر زیرساخت ابری میپردازه که بسته به سرویسی که ارائه میشه، هم تامینکنندهش میتونه این آسیبپذیریها رو بوجود بیاره و هم مشتری. که این آسیبپذیریها رو در چهار نوع ذکر میکنه:
۱. پیکربندی نادرست ۲. کنترل دسترسی ناقص ۳. آسیبپذیریهای اشتراکات نرمافزاری و سختافزاری ۴. آسیبپذیریهای زنجیره تامین
دو مورد اول «بسیار» اتفاق میافته و بسیار هم تقریبا اکسپلویتشون «آسونه». دو مورد دوم اما، «کم» اتفاق میافته و اکسپلویتشونم بسیار «سخته». میتونید جزئیاتش رو خودتون در گزارش بخونید.
@offsecmag
هرچند که زیرساخت ابری در ایران بسیار جوان و نابالغه و بسیاری از تکنولوژیها و خدمات به اسم «ابری»، در واقعیت امر فروش سرور مجازی و همون میزبانی و فضای کلاسیک اشتراکیه، اما بهرحال حالا که شرکتهای ایرانی قدم به توسعه و انتقال به این زیرساخت برداشتن، خوندن این گزارش جدید از NSA بسیار مفیده و بایستی بدونید که ما در آفسک، در این زمینه هم مشاوره میدیم. پس cert@offsec.ir رو یادتون باشه.
اول گفته اصلا زیرساخت ابری چیه؟ که در واقع اجزاش رو خیلی سرراست و خلاصه میگه: «مدیریت دسترسی»، «پردازش»، «شبکه» و «فضا»
مدیریت دسترسی: به این اشاره داره که هر مشتری تا چه حد به منابعش دسترسی داره.
پردازش: منابع هر مشتری قراره با چه تکنولوژیای محاسبه و پردازش بشه (Virtualization یا Containerization)
پردازش بصورت مجازیسازی: تمام اجزای زیرساخت ابری در یک سری محیطهای ایزوله پردازش، نگهداری و شبکه میشه.
پردازش بصورت کانتینرسازی: منابع مشتری (و نه خود زیرساخت ابری) در یک سری محیط های ایزوله قرار میگیرن و نسبت به تکنولوژیهای مجازیسازی ناامنترن چون خاصیتهای کرنل رو به اشتراک میذارن برای هر مشتری.
شبکه: ایزوله کردن شبکههای مشتری در یک سرویس ابری بسیار مهمه. در این زمینه تهدیداتی برای هر زیرساخت ابری وجود داره که بایستی نسبت بهش با تکنولوژیهایی مثل SDN مقاومت بشه.
فضا: تمام دادههای مشتری بایستی در یک زیرساخت ابری، از گره ابری سایر مشتریها جدا باشه و به هیچ عنوان افشای دادهای صورت نگیره. اینم تهدید دیگری برای سرویسهای ابریه.
طبق تصویر اولی که گذاشتیم، میتونید ببینید که هرچقدر به سمت تکنولوژیهای زیرساخت بعنوان یک سرویس (IaaS) میریم، به جهت ایزوله بودن دیگر اجزای زیرساخت، تنها امنیت سرویس «مجازیسازی» در معرض خطر از سمت تامینکنندهست و امنیت بقیه اجزا پای مشتریه. در پلتفرم بعنوان یک سرویس (PaaS) وزنهی مسئولیت امنیت بیشتر به پای تامینکننده میره و فقط امنیت «پیکربندی و داده/برنامه» پای مشتریه. در مدل نرمافزار بعنوان یک سرویس (SaaS)، بغیر از پیکربندی، مسئولیت امنیت تمام دیگر اجزای زیرساخت ابری با تامینکنندهست و اگر چنانچه مدیریت آسیبپذیری توی این سرویس از سمت تامینکننده نقص داشته باشه مشتری بیچارهست.
این گزارش به معمولترین و مطرحترین انواع آسیبپذیریهای هر زیرساخت ابری میپردازه که بسته به سرویسی که ارائه میشه، هم تامینکنندهش میتونه این آسیبپذیریها رو بوجود بیاره و هم مشتری. که این آسیبپذیریها رو در چهار نوع ذکر میکنه:
۱. پیکربندی نادرست ۲. کنترل دسترسی ناقص ۳. آسیبپذیریهای اشتراکات نرمافزاری و سختافزاری ۴. آسیبپذیریهای زنجیره تامین
دو مورد اول «بسیار» اتفاق میافته و بسیار هم تقریبا اکسپلویتشون «آسونه». دو مورد دوم اما، «کم» اتفاق میافته و اکسپلویتشونم بسیار «سخته». میتونید جزئیاتش رو خودتون در گزارش بخونید.
@offsecmag
یکی از دلایلی که فرمت PDF و Parse کردنش پیچیدهست و اگر یه وقت خوبی براش گذاشته بشه از محصولات PDF خوان باگهای مهمی میشه دراورد:
https://pdf-insecurity.org
@offsecmag
https://pdf-insecurity.org
@offsecmag
هوش مصنوعی و تشخیص تهدیدات درحالتحول
با فراگیری مدلهای یادگیری ماشین، شرکتهای مختلف فناوری به سمت بهرهگیری از این مدلها در عملیاتها و فعالیتهای روزانه و خصوصا در مقیاس بالا هستند. مثلا چند روز پیش شرکت اسنپ (آمریکا) فناوریهای معرفی کرد که بر روی دستگاه کاربران، دادههای حساس بدون تعامل با سرور اسنپ پردازش میشوند و مدلهای جدیدی را بصورت توزیعشده از سرور دریافت میکنند. کاربرد این توزیعپذیری مدلها در مواردی مثل تشخیص حملات فیشینگ میتواند پدیدار شود. یا امروز مایکروسافت مدلی از تلفیق شبکههای عصبی همگشتی با یک معماری از شبکه عصبی بازگشتی معرفی کرد که نمونه بدافزارهای زنجیرهای همچون Bondat را تشخیص میدهد و نسبت به الگوهای مشابه آن هشدارهای لازم را به تیم SOC ارسال میکند.
@offsecmag
با فراگیری مدلهای یادگیری ماشین، شرکتهای مختلف فناوری به سمت بهرهگیری از این مدلها در عملیاتها و فعالیتهای روزانه و خصوصا در مقیاس بالا هستند. مثلا چند روز پیش شرکت اسنپ (آمریکا) فناوریهای معرفی کرد که بر روی دستگاه کاربران، دادههای حساس بدون تعامل با سرور اسنپ پردازش میشوند و مدلهای جدیدی را بصورت توزیعشده از سرور دریافت میکنند. کاربرد این توزیعپذیری مدلها در مواردی مثل تشخیص حملات فیشینگ میتواند پدیدار شود. یا امروز مایکروسافت مدلی از تلفیق شبکههای عصبی همگشتی با یک معماری از شبکه عصبی بازگشتی معرفی کرد که نمونه بدافزارهای زنجیرهای همچون Bondat را تشخیص میدهد و نسبت به الگوهای مشابه آن هشدارهای لازم را به تیم SOC ارسال میکند.
@offsecmag
یه خبر خوب: اعطای جایزه در ازای بازنویسی کد امن!
مجموعهای پژوهشی به اسم Fish in a Barrel در اقدامی خداپسندانه برنامهای راه انداخته که در ازای بازنویسی کدهای متنبازی که منجر به کمینه کردن آسیبپذیریهای تخریب حافظه میشن «پول» میده که یا ۵۰۰ دلار یا ۱۰۰ دلاره. در حال حاضر این برنامه، این پروژهها رو پشتیبانی میکنه:
- افزدون الحاقیهای که کتابخونههای نرمافزاری رو برای زبانهای Rust و Swift قابل استفاده کنه.
- تعویض بخشی یا تمامی یک پروژه به یک زبان با ایمنی حافظه (مثل Rust ولی محدودیتی در این زمینه وجود نداره)
نکتهی بعدی اینه که مثل همیشه کشور عزیز ایران در لیست مشکلات قانونی و تحریمهای این برنامهست ولی بقیهشو خودتون باید بدونید.
@offsecmag
مجموعهای پژوهشی به اسم Fish in a Barrel در اقدامی خداپسندانه برنامهای راه انداخته که در ازای بازنویسی کدهای متنبازی که منجر به کمینه کردن آسیبپذیریهای تخریب حافظه میشن «پول» میده که یا ۵۰۰ دلار یا ۱۰۰ دلاره. در حال حاضر این برنامه، این پروژهها رو پشتیبانی میکنه:
- افزدون الحاقیهای که کتابخونههای نرمافزاری رو برای زبانهای Rust و Swift قابل استفاده کنه.
- تعویض بخشی یا تمامی یک پروژه به یک زبان با ایمنی حافظه (مثل Rust ولی محدودیتی در این زمینه وجود نداره)
نکتهی بعدی اینه که مثل همیشه کشور عزیز ایران در لیست مشکلات قانونی و تحریمهای این برنامهست ولی بقیهشو خودتون باید بدونید.
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
پروژه جدید Brandon Falk قشنگه!
بطور همزمان وقتی فازری روی برنامهای برای کشف باگ اجرا میشه، این میاد نقاطی که از کد برنامه، پوشش داده میشه رو به تصویر میکشه (visualize به فارسی چی میشه؟)
اینطوری میشه فازرهای مختلف و کاراییشون رو بهتر مقایسه کرد و برای بهبودشون اقدامات لازم رو انجام داد.
@offsecmag
بطور همزمان وقتی فازری روی برنامهای برای کشف باگ اجرا میشه، این میاد نقاطی که از کد برنامه، پوشش داده میشه رو به تصویر میکشه (visualize به فارسی چی میشه؟)
اینطوری میشه فازرهای مختلف و کاراییشون رو بهتر مقایسه کرد و برای بهبودشون اقدامات لازم رو انجام داد.
@offsecmag
دست داشتن یک ایرانی در هک توییتر
واسه قضیه هک توییتر فهمیدید که از طریق مهندسی اجتماعی (گول زدن کارمندان توییتر) بوده؟ FBI یه فرد ۱۷ ساله در ایالت فلوریدا رو بعنوان سرکرده گروهی که توییتر رو هک کردن بازداشت کرده. ولی یه جوون ۲۲ ساله ایرانی به اسم «نیما فاضلی» از ایالت ارلاندو هم همراهش دستگیر و به ۵ سال زندان و پرداخت ۲۵۰ هزار دلار محکوم شده. داستانش رو اینجا بخونید.
@offsecmag
واسه قضیه هک توییتر فهمیدید که از طریق مهندسی اجتماعی (گول زدن کارمندان توییتر) بوده؟ FBI یه فرد ۱۷ ساله در ایالت فلوریدا رو بعنوان سرکرده گروهی که توییتر رو هک کردن بازداشت کرده. ولی یه جوون ۲۲ ساله ایرانی به اسم «نیما فاضلی» از ایالت ارلاندو هم همراهش دستگیر و به ۵ سال زندان و پرداخت ۲۵۰ هزار دلار محکوم شده. داستانش رو اینجا بخونید.
@offsecmag
احتمالا این تحقیق هم بدرد مهاجمین میخوره هم اونایی که دستشون تو کار امنیته. با شیوهها و فرکانس استفاده از پیلودهای مختلف حملات XSS میشه آشنا شد و استراتژیهای بهتری برای حمله/امنیت اتخاذ کرد.
@offsecmag
@offsecmag
شگفت انگیزه که در جایی که به ظاهر اکسپلویت شدنی نیست و مهاجم روش حساب باز نمیکنه، یه امکان یا پروتکلی وجود داره که احتمالا مهاجم ازش خبر نداره و میتونه با اون، به اهداف خودش برسه. در این جا، اون چیزی که ظاهرا اکسپلویتشدنی نیست یه آسیبپذیری از یه افزونهی پروتکل از راهدور انتقال WebRTC هست (پروتکلی که مثلا باهاش تماس تصویری یا تلفنی نظیر به نظیر انجام میدید) و اون امکان یا پروتکلی که میشه این آسیبپذیری رو از طریق پیغامهای ضمنیش اکسپلویت کرد، STUN نام داره. این سلسله پست جدید از پروژه صفر گوگل در مورد نحوه اکسپلویت کردن پیامرسانهای اندرویدی از جنس این آسیبپذیریهاست.
@offsecmag
@offsecmag
مایکروسافت در یک سال گذشته نزدیک به ۱۴ میلیون دلار جایزه به پاس کشف آسیبپذیری به محققین داده. این عدد تقریبا یک سوم کل پرداختی برنامههای هکروان در سال ۲۰۱۹ بوده. مایکروسافت این جوایز رو در قالب ۱۵ برنامه میده و حتی برنامهای جدید برای امنیت هوش مصنوعی هم راه انداخته.
@offsecmag
@offsecmag
امشب بخش بزرگی از کدهای شرکت اینتل افشا شد! و یه نفر توشون این کامنت رو پیدا کرده! معنی خاص (و احتمالا منفیای) نداره ولی جالب و قابل توجهه 😅
@offsecmag
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
حمله جدید شنود مکالمات در ارتباطات نسل چهارم (LTE)
سرویس مکالمه روی بستر نسل چهارم (VoLTE) یه نقصی داره که میشه تماسهای رمزنگاریشدهش رو با پیادهسازی یک حمله بازیابی کرد و اون رو از طریق بکارگیری دوبارهی کلیدها با فنّ XOR کردن، رمزگشایی کرد. هر دو اپراتور عمدهی ایران این قابلیت رو پشتیبانی میکنن.
@offsecmag
سرویس مکالمه روی بستر نسل چهارم (VoLTE) یه نقصی داره که میشه تماسهای رمزنگاریشدهش رو با پیادهسازی یک حمله بازیابی کرد و اون رو از طریق بکارگیری دوبارهی کلیدها با فنّ XOR کردن، رمزگشایی کرد. هر دو اپراتور عمدهی ایران این قابلیت رو پشتیبانی میکنن.
@offsecmag
امشب گزارشی از NSA و FBI منتشر شد که از بدافزاری روسی پردهبرداری میکرد که برروی سیستمها و سرورهای مبتنی بر لینوکس عمل میکنه و خودش رو تکثیر میده. این گزارش دست کم برای سازمانها و شرکتهای ایرانی هم مفیده چون روسیه فقط امریکا رو تهدید نمیکنه.
@offsecmag
@offsecmag