Представлен способ извлечения RSA-ключей за 1 секунду

Fri, 24 Aug 2018 08:55:00 +0700

Любопытная новость пришла.

«Способ базируется на анализе электромагнитных волн, излучаемых устройством во время операции по шифрованию.

Группа исследователей представила новый метод извлечения ключей шифрования из электронных устройств, работающий намного быстрее по сравнению со всеми другими известными на сегодняшний день методами.

В рамках конференции Usenix, проходившей на прошлой неделе в Балтиморе (США), команда специалистов Государственного университета Джорджии продемонстрировала способ получения ключей шифрования с помощью электромагнитного излучения, исходящего от устройства во время выполнения операций по шифрованию и дешифрованию.

Сама по себе идея использовать электромагнитное излучение для извлечения ключей шифрования далеко не нова. Однако способы, представленные в 1990-х и 2000-х годах, практически невыполнимы из-за необходимости взламывать устройство. Представленные в 2010 годах методы также нецелесообразны — они занимают слишком много времени, так как прежде чем извлечь ключ, атакующий должен собрать большой объем данных.

Разработанная специалистами Государственного университета Джорджии техника позволяет получить заветный ключ за несколько секунд. Атака базируется на анализе электромагнитных волн, излучаемых устройством во время одной-единственной операции по шифрованию.

По словам исследователей, с помощью нового метода они смогли извлечь RSA-ключи в 95,7-99,6% случаев. Атака заняла всего 1 секунду, и ученым удалось полностью восстановить ключ, используя собственный алгоритм. В качестве объектов для атак исследователи выбрали смартфоны Alcatel Ideal и Samsung Galaxy Centura, а также встраиваемое устройство под управлением дистрибутива Linux.

Минус нового метода заключается в том, что для извлечения ключа необходимо находиться вблизи атакуемого устройства. Однако данный недостаток несущественен, поскольку атакующий может спрятать прибор для извлечения ключей, к примеру, под зарядным устройством общественного пользования или под столом заведения с общественным Wi-Fi.»

Найден новый метод атаки на любые версии Windows

Sat, 09 Dec 2017 16:45:52 +0700

Просто процитирую новость, на мой взгляд очень любопытно. Взято отсюда.

На лондонской конференции Black Hat Europe 2017 представлена новая методика инъекции кода Process Doppelgänging (создание двойников процессов). Методика позволяет обходить большую часть сегодняшних продуктов безопасности и работает на всех версиях Windows.

Транзакции NTFS

Эксперты компании enSilo продемонстрировали на Black Hat Europe 2017 новую методику инъекции кода, которая работает под всеми версиями Windows и позволяет обходить большую часть современных средств безопасности.

Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS.

«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск. Затем мы используем недокументированные аспекты механизма загрузки процессов для загрузки модифицированного исполняемого файла, но не раньше, чем откатим внесенные нами изменения. В результате этой процедуры запускается процесс именно из измененного исполняемого файла, который при этом не перехватывают защитные средства», — говорится в описании методики.

Антивирусы не видят

Речь идет о бесфайловой атаке: вредоносный код не записывается на диск и потому для большинства антивирусов не виден. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского».

Атаку не могут обнаружить даже такие продвинутые средства ретроспективного анализа как Volatility. Цель атаки — позволить вредоносному ПО запускать произвольный (опять же, вредоносный) код на машине жертвы в контексте легитимного процесса.

Атака очень похожа на методику Process Hollowing, однако, как пояснили исследователи, ключевой задачей для них было не использовать никаких «подозрительных» процессов или операций с памятью типа SuspendProcess или NtUnmapViewOfSection.

«Чтобы достичь этой цели мы используем транзакции NTFS. Мы перезаписываем легитимный файл в контексте транзакции. Затем мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами невозможно (некоторые даже подвисают), а поскольку мы откатываем в итоге транзакцию, наши действия не оставляют никаких следов», — пишут эксперты enSilo.

То есть, с точки зрения антивирусов, вредоносный процесс легитимен и безопасен, в то время как запустившие его злоумышленники могут совершать уже любые действия на атакованной машине.

Атака не для всех

Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно сложна в исполнении. Потенциальным злоумышленникам придется знать множество «незадокументированных аспектов», связанных с созданием процесса, указывают исследователи.

С другой стороны, выпуск патча против этой проблемы невозможен, поскольку методика эксплуатирует не уязвимости, а фундаментальные функции и механизмы запуска любых процессов в Windows.

«По-видимому, эта методика будет использоваться только наиболее продвинутыми специалистами, деятельность которых оплачивают крупные коммерческие структуры и государства, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Маловероятно, чтобы среднестатистический хакер будет обладать необходимыми знаниями. А вот для высокопрофессиональных кибершпионов данная методика выглядит весьма многообещающе»

Копытов Иван: заметки с тегом уязвимость

Представлен способ извлечения RSA-ключей за 1 секунду

Найден новый метод атаки на любые версии Windows

Просто процитирую новость, на мой взгляд очень любопытно. Взято отсюда.