Một nhóm các nhà nghiên cứu về an ninh mạng đã tiết lộ một lỗ hổng nghiêm trọng mới ảnh hưởng đến hầu hết các hệ điều hành giống Linux và Unix, bao gồm FreeBSD, OpenBSD, macOS, iOS và Android, có thể cho phép ‘kẻ tấn công mạng liền kề’ (network adjacent attackers) từ xa theo dõi và giả mạo VPN được mã hóa kết nối.

Lỗ hổng, được theo dõi là CVE-2019-14899, nằm trong ngăn xếp mạng của các hệ điều hành khác nhau và có thể được khai thác đối với cả hai luồng TCP IPv4 và IPv6.

Do lỗ hổng không phụ thuộc vào công nghệ VPN được sử dụng, cuộc tấn công hoạt động chống lại các giao thức mạng riêng ảo được triển khai rộng rãi như OpenVPN, WireGuard, IKEv2/IPSec và hơn thế nữa, các nhà nghiên cứu xác nhận.

Lỗ hổng này có thể bị kẻ tấn công mạng khai thác – kiểm soát điểm truy cập hoặc kết nối với mạng của nạn nhân – chỉ bằng cách gửi các gói mạng không được yêu cầu đến một thiết bị được nhắm mục tiêu và do thám lời đáp, ngay cả khi chúng được mã hóa.

Theo giải thích của các nhà nghiên cứu, mặc dù có các biến thể cho từng hệ điều hành bị ảnh hưởng, lỗ hổng cho phép kẻ tấn công:

• xác định địa chỉ IP ảo của nạn nhân được chỉ định bởi máy chủ VPN,
• xác định xem có kết nối hoạt động với một trang web nhất định không,
• xác định chính xác số seq và ack bằng cách đếm các gói được mã hóa và/hoặc kiểm tra kích thước của chúng và
• tiêm dữ liệu vào luồng TCP và hijack kết nối.

“Điểm truy cập sau đó có thể xác định IP ảo của nạn nhân bằng cách gửi các gói SYN-ACK đến thiết bị nạn nhân trên toàn bộ không gian IP ảo”, nhóm nghiên cứu cho biết trong lời khuyên của mình.

“Khi một SYN-ACK được gửi đến đúng IP ảo trên thiết bị nạn nhân, thiết bị sẽ phản hồi bằng RST; khi SYN-ACK được gửi đến IP ảo không chính xác, kẻ tấn công không nhận được gì.”

Trong khi giải thích các biến thể trong hành vi của các hệ điều hành khác nhau, như một ví dụ, các nhà nghiên cứu cho biết cuộc tấn công không hoạt động đối với các thiết bị macOS / iOS như mô tả.

Thay vào đó, kẻ tấn công cần “sử dụng cổng mở trên máy Apple để xác định địa chỉ IP ảo”. Trong thử nghiệm của họ, các nhà nghiên cứu sử dụng “cổng 5223, được sử dụng cho iCloud, iMessage, FaceTime, Game Center, Photo Stream và thông báo đẩy, v.v.”

Các nhà nghiên cứu đã thử nghiệm và khai thác thành công lỗ hổng chống lại các hệ điều hành và hệ thống init sau đây, nhưng họ tin rằng danh sách này có thể còn dài hơn khi các nhà nghiên cứu kiểm tra lỗ hổng trên nhiều hệ thống hơn.

• Ubuntu 19.10 (systemd)
• Fedora (systemd)
• Debian 10.2 (systemd)
• Arch 2019.05 (systemd)
• Manjaro 18.1.1 (systemd)
• Devuan (sysV init)
• MX Linux 19 (Mepis+antiX)
• Void Linux (runit)
• Slackware 14.2 (rc.d)
• Deepin (rc.d)
• FreeBSD (rc.d)
• OpenBSD (rc.d)

Các nhà nghiên cứu cho biết: “Hầu hết các bản phân phối Linux mà chúng tôi đã thử nghiệm đều dễ bị tấn công, đặc biệt là các bản phân phối Linux sử dụng phiên bản systemd được kéo sau ngày 28 tháng 11 năm ngoái, đã tắt tính năng lọc đường ngược”.

“Tuy nhiên, gần đây chúng tôi đã phát hiện ra rằng cuộc tấn công cũng hoạt động chống lại IPv6, do đó, việc lọc đường dẫn ngược lại không phải là một giải pháp hợp lý.”

Để giảm thiểu có thể, các nhà nghiên cứu đề nghị bật tính năng lọc đường ngược, thực hiện lọc bogon và mã hóa kích thước và thời gian gói để ngăn chặn kẻ tấn công thực hiện bất kỳ suy luận nào.

Mặc dù các nhà nghiên cứu chưa tiết lộ chi tiết kỹ thuật về lỗ hổng, họ đang lên kế hoạch xuất bản một phân tích chuyên sâu về lỗ hổng này và những hệ lụy liên quan của nó, sau khi các nhà cung cấp bị ảnh hưởng, bao gồm Systemd, Google, Apple, OpenVPN, WireGuard và các bản phân phối Linux khác nhau phát hành giải pháp thỏa đáng và các bản vá.

Nguồn vietsunshine

Lỗi được phát hiện vào đầu năm nay bởi một chuyên gia của Apple có tên Bob Gendler.

Tới nay, lỗi này vẫn không được khắc phục, mặc dù Gendler đã nói với công ty về vấn đề này hồi tháng 7.

Lỗi xảy ra do tính năng cho phép Siri cung cấp thông tin về các số liên lạc theo yêu cầu của người dùng.

Theo Gendler, Siri sử dụng một quy trình gọi là “suggest” để quét các ứng dụng khác nhau để lấy thông tin liên hệ. Bất cứ thứ gì tìm thấy, Siri sẽ lưu trữ bên trong tệp snippets.db để sử dụng khi cần đưa ra gợi ý về số liên lạc.

Gendler phát hiện ra rằng nếu người dùng đã cấu hình Apple Mail để gửi và nhận email được mã hóa, Siri sẽ thu thập phiên bản dạng plaintext của các email, lưu trữ chúng trong cơ sở dữ liệu này.

“Đây là một vấn đề lớn đối với các chính phủ, tập đoàn và những người thường xuyên sử dụng email được mã hóa và luôn cho rằng thông tin của mình sẽ được bảo vệ”, Gendler nói trong một bài đăng trên blog được công bố trong tuần này.

“Thông tin mật hoặc tuyệt mật, những bí mật kinh doanh… sẽ bị lộ lọt bằng cách này, trong cơ sở dữ liệu này”
Gendler nói rằng lỗi xuất hiện trên tất cả các phiên bản macOS từ Sierra đến Catalina mới nhất.
Chuyên gia nói rằng việc vô hiệu hóa Siri sẽ không có tác dụng gì cả, vì quy trình “gợi ý” sẽ tiếp tục lấy các email để có thể sẵn sàng vào lần tiếp theo Siri được kích hoạt.

Cách duy nhất để ngăn Siri tiếp cận các email được mã hóa là yêu cầu nó không đọc nội dung từ Apple Mail.

Có 3 cách để vô hiệu hóa các quá trình này:

1) Vào System Preferences → Siri → Siri Suggestions & Privacy, sau đó bỏ chọn Apple Mail.

2) Chạy từ Mac Terminal lệnh sau (như một người dùng bình thường, không cần quyền truy cập quản trị viên) :defaults write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail

3) Triển khai cấu hình System-Level (cho tất cả người dùng) để tắt Siri khỏi việc lấy dữ liệu từ Apple Mail.

Gendler cho biết tùy chọn thứ ba là vĩnh viễn, vì một bản cập nhật hệ điều hành trong tương lai sẽ không vô tình kích hoạt lại việc lấy nội dung email của Siri.

Bước cuối cùng, là xóa tệp snippets.db. Việc để Siri ngừng quét nội dung Apple Mail không có nghĩa tệp này tự động xóa, vì vậy người dùng sẽ cần phải tự làm điều đó. Tệp được đặt trong “/Users/(username)/Library/Suggestions/”.

Nguồn whitehat.vn

Theo một hiệp ước sắp ký kết, Facebook và WhatsApp phải cho cảnh sát Anh quyền truy cập vào tin nhắn mã hóa.  Hiệp ước mới liên quan đến nhiều nền tảng truyền thông xã hội có trụ sở tại Mỹ. Các công ty phải chia sẻ thông tin để thuận lợi cho việc điều tra tội phạm, khủng bố hoặc ấu dâm.

Hiệp ước mới sẽ được hoàn tất vào tháng 10. Cả hai bên cam kết không điều tra công dân của nhau. Điều này có nghĩa Mỹ không được sử dụng thông tin thu từ công dân Anh, thậm chí trong những vụ án có phán quyết tử hình.

Các quan chức ở hai nước đều lập luận đặt mã hóa không thể bẻ khóa đồng nghĩa với việc che giấu tội phạm. Họ nói những “cửa sau” (back door) hay cổng truy cập bí mật nên được thiết lập ở những hệ thống này để dễ tiến hành điều tra. Dù vậy, có nhiều ý kiến lo lắng việc này sẽ tạo điều kiện cho kẻ xấu.

Tháng 12 năm ngoái, Úc thông qua quy định buộc các hãng công nghệ phải giúp quan chức thực thi pháp luật truy cập các cuộc hội thoại nếu có nghi ngờ là của tội phạm. Đây là nơi đầu tiên áp dụng lệnh này.

Tại Mỹ, những người ủng hộ quyền riêng tư đang buộc chính phủ giải mật ở vụ kiện về mã hóa liên quan đến Tòa án Tối cao và Facebook. Hồi 2018, phán quyết buộc FBI không được ép mạng xã hội này nghe lén cuộc gọi đã được mã hóa trên Facebook Messenger. Hầu hết nhà hoạt động nói điều này có ý nghĩa quan trọng trong tương lai về quyền riêng tư và sự giám sát từ chính phủ.

Hồi tháng 6, Apple, Google, Microsoft, WhatsApp và nhiều công ty khác đã từ chối đề nghị của cơ quan tình báo Anh (GCHQ). Nước này yêu cầu các hãng cung cấp cho cảnh sát quyền truy cập tin nhắn mã hóa riêng tư mà không cần bẻ khóa. Bên cạnh đó, GCHQ còn đề xuất hình thức tiếp cận bằng cách âm thầm thêm các nhà hành pháp vào những nhóm trò chuyện để điều tra.

Tuy nhiên, hầu hết các hãng công nghệ đều từ chối vì hành vi này là xâm phạm an ninh mạng và quyền con người.

Facebook đã đưa phản hồi về vụ việc: “Chúng tôi tin con người có quyền trò chuyện trực tuyến riêng tư. Mã hóa đầu cuối giúp bảo vệ quyền này và là tiêu chuẩn của giá trị chúng tôi cung cấp cho hàng tỷ người mỗi ngày. Công ty phản đối những nỗ lực tạo cửa sau vì việc này làm giảm sự riêng tư và bảo mật. Chúng tôi mong đợi các nhà hành pháp vẫn tiếp tục bảo vệ mọi người an toàn. Các chính sách như Đạo luật CLOUD cho phép các công ty cung cấp thông tin có sẵn khi nhận được yêu cầu pháp lý hợp lệ, nhưng không yêu cầu các công ty tạo ‘cửa sau’ ”.

Nguồn techsignin.com

Nói đơn giản thì mã hóa EFS trên Windows cũng là dạng mã hóa tập tin, thư mục theo dạng đặt mật khẩu nhưng cao cấp hơn thế rất nhiều. So với việc đặt mật khẩu thì EFS tối ưu hóa hơn về bảo mật cũng như có khả năng mã hóa dữ liệu trực tiếp kể cả khi mật khẩu không còn tác dụng. Hơn thế nữa, đây cũng là một tính năng đính kèm miễn phí trong Windows nên chúng ta không cần phải đi đâu xa để tìm kiếm một phần mềm tuyệt với như vậy.

Mình sẽ hướng dẫn bạn cách làm thế nào để sử dụng tính năng mã hóa EFS cho thư mục và tập tin trên Windows 10, mời bạn đọc cùng tham khảo.

Bước 1: Nhấp phải chuột vào thư mục, tập tin cần mã hóa và chọn Properties.

Bước 2: Chọn vào hộp thoại Advanced.

Bước 3: Sau khi chọn vào hộp thoại Advanced thì đánh dấu tùy chọn vào “Encr contents to secure data” và nhấn OK để lưu lại.

Bước 4: Nhấn Apply > OK để hoàn thành quá trình.

Dữ liệu mã hóa sẽ có biểu tượng ổ khóa kèm theo biểu tượng phân loại dữ liệu. Bước tiếp theo bạn cần làm chính là thiết lập mật khẩu mở khóa cho chúng.

Khởi tạo và sao lưu khóa giải mã dữ liệu đã được mã hóa EFS trên Windows 10 May 2019

Các dữ liệu mã hóa khi đem sang máy tính khác sẽ hoàn toàn không thể xem được, cũng như chỉnh sửa được. Và để có thể thao tác với chúng, bạn cần một khoá giải mã dữ liệu, và sau đây sẽ là cách tạo, cũng như lưu trữ chúng.

Bước 1: Nhấp vào biểu tượng EFS ở khay hệ thống và nhấp chọn “Back up now”.

Bước 2: Nhấn Next ở cửa sổ hiển thị tiếp theo.

Bước 3: Giữ nguyên các lựa chọn ở cửa sổ tiếp theo và chọn Next.

Bước 4: Đặt mật khẩu bạn muốn sử dụng làm mã mở khóa cho dữ liệu và chọn Next.

Bước 5: Ở giao diện kế tiếp, chọn vị trí bạn muốn lưu khóa giải mã dữ liệu. “Ở đây mình chọn Desktop cho dễ thấy”.

Bước 6: Bạn hãy kiểm tra lại các thiết lập. Nếu đã hợp lý, nhấn Finish để hoàn tất thao tác.

File sau khi được mã hóa sẽ có biểu tượng ổ khóa ở trên. Ở màn hình Desktop các bạn sẽ thấy file “File-test” đó là khóa giải mã dữ liệu EFS mà mình đã tạo ở trên.

Rất là đơn giản phải không? Chỉ cần vài bước đơn giản thôi mình đã có thể mã hóa thư mục mà không cần tới bên phần mềm thứ 3.

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Biến thể Ryuk Ransomware mới này được phát hiện vào ngày hôm qua bởi MalwareHunterTeam. Các nhà nghiên cứu bảo mật đã nhận thấy rằng biến thể mới được ký bởi một chứng chỉ kỹ thuật số. Sau khi mẫu ransomware này được kiểm tra kỹ lưỡng bởi nhà nghiên cứu bảo mật Vitali Kremez, người ta đã phát hiện ra rằng có một vài thay đổi quan trọng đã được áp dụng đối với biến thể mới, vốn không được tìm thấy trong các phiên bản trước đó.

Mã độc tống tiền Ryuk

Vitali Kremez đã nhận thấy rằng với biến thể mới, Ryuk Ransomware sẽ được bổ sung thêm khả năng kiểm tra dữ liệu đầu ra của arp -a cho các chuỗi địa chỉ IP cụ thể và nếu những chuội IP này được tìm thấy, nó sẽ không mã hóa máy tính nạn nhân.

Các chuỗi địa chỉ IP cục bộ được mã độc tìm kiếm bao gồm: 10.30.4, 10.30.5, 10.30.6 hoặc 10.31.32.

Chuỗi địa chỉ IP cục bộ được mã độc tìm kiếm

Ngoài danh sách đen địa chỉ IP, biến thể Ryuk mới này cũng sẽ có khả năng so sánh tên máy tính mục tiêu với các chuỗi “SPB”, “Spb”, “spb”, “MSK”, “Msk” và “msk”. Nếu tên máy tính mục tiêu chứa bất kỳ chuỗi nào trong số này, Ryuk sẽ không tiến hành mã hóa máy tính đó.

Các chuỗi ký tự so sánh

Mục đích thực sự đối với tình năng mới này của mã độc tống tiền Ryuk đã đặt ra khá nhiều thắc mắc cho các nhà nghiên cứu bảo mật. Câu trả lời nhận được nhiều ý kiến đồng tình nhất cho đến thời điểm hiện tại đó là nhằm tránh mã hóa “nhầm” những hệ thống máy tính tại một khu vực hoặc quốc gia cụ thể nào đó, chẳng hạn như ở Nga – nơi đặt các máy chủ chỉ huy và kiểm soát (C&C) của mã độc này.

Mặc dù Ryuk Ransomware đã cố gắng “bỏ qua” các hệ thống máy tính sử dụng tiếng Nga, tiếng tiếng Ukraina hoặc tiếng Belarus, nhưng vẫn không loại trừ khả năng những máy tính có trụ sở ở Nga vẫn có thể bị lây nhiễm “nhầm”.

Ví dụ, kẻ tấn công có thể nhắm mục tiêu vào những hệ thống máy tính đặt tại Hoa Kỳ, nhưng chuyên gia bảo mật Vitali Kremez cho rằng sau khi sử dụng “EternalRomance exploit và phương thức lây lan SMB, chúng hoàn toàn có thể sử dụng cobalt strike để tấn công vào các hệ thống đặt tại Nga”.

Bằng cách kiểm tra các chuỗi “MSK” (có thể là viết tắt của Moskow và “SPB”, nghĩa là St. Petersburg), mã độc sẽ tránh được khả năng lây nhiễm cho các máy tính thuộc khu vực Cộng đồng các Quốc gia Độc lập (CIS).

Mã hóa như thông thường

Nếu hệ thống máy tính mục tiêu không chứa những đặc điểm trùng theo tiêu chí kiểm tra của mã độc, nó sẽ vẫn bị mã hóa như bình thường. Ryuk Ransomware sẽ nối phần đuôi mở rộng .RYK vào các tệp đã bị nó mã hóa thành công.

Tệp đã bị Ryuk Ransomware mã hóa

Trong khi mã hóa tập tin, mã độc cũng sẽ tạo ra các file RyukReadMe.html với nội dung là ghi chú tiền chuộc có chứa cụm từ “balance of shadow universe”, và một vài địa chỉ email để nạn nhân liên hệ thanh toán tiền chuộc.

Cụm từ “balance of shadow universe” (tạm dịch: sự cân bằng của vũ trụ bóng tối) nghe khá “ngầu” nhưng hiện các nhà nghiên cứu bảo mật vẫn chưa thực sự nắm được ý nghĩa ẩn chứa sau nó là gì. Trong khi đó, các địa chỉ email hiện đang được sử dụng trong ghi chú tiền chuộc là sorcinacin@protonmail.com và neyhyretim@protonmail.com

Ghi chú của Ryuk Ransomware.

Vẫn như mọi khi, chúng tôi khuyên bạn không nên trả tiền chuộc nếu có thể và thay vào đó, hãy khôi phục lại dữ liệu quan trọng từ các bản sao lưu.

Bảo vệ máy tính trước sự lây lan của Ryuk Ransomware

Về bản chất, mã độc tống tiền chỉ thực sự gây hại trong trường hợp bạn hoàn toàn không có cách nào để khôi phục lại lượng dữ liệu đã bị mã hóa của mình. Do vậy, điều quan trọng là luôn phải sở hữu một bản sao lưu đáng tin cậy đối với những dữ liệu quan trọng, đồng thời tự xây dựng cho mình kế hoạch sao lưu định kỳ sao cho hợp lý nhất.

Bên cạnh đó, các bản sao lưu tài liệu quan trọng cũng nên được lưu trữ ngoại tuyến và khiến cho ransomware không thể truy cập được.

Mặc dù phần mềm ransomware này không được phát tán qua thư rác như nhiều mã độc tống tiền nổi tiếng khác, nhưng rất có thể nó đang được cài đặt bởi các Trojan. Như vậy, điều quan trọng tiếp theo là tất cả người dùng trong hệ thống máy tính đều phải được đào tạo, cũng như bổ sung kiến thức về cách xác định chính xác thư rác độc hại và không được mở bất kỳ tệp đính kèm nào mà chưa xác định rõ ràng các câu hỏi như chúng được gửi từ đâu và tại sao lại được gửi.

Cuối cùng, điều quan trọng nhất là phải đảm bảo rằng hệ thống mạng của bạn không làm cho các dịch vụ Remote Desktop Service có thể truy cập được công khai qua Internet. Thay vào đó, bạn nên đặt nó phía sau tường lửa và thiết lập chỉ có thể truy cập được thông qua VPN.

Nguồn quantrimang.com

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA