Не секрет, что в любом бизнесе наиболее привлекательным заказчиком являются государственные структуры. Не исключением оказался и рынок эксплойтов для 0day уязвимостей. По данным Forbes, правительственные агентства готовы заплатить хакерам от $5,000 до $250,000 за подробную информацию о методах атак популярного программного обеспечения.

На днях журналист Forbes Энди Гринберг опубликовал примерную стоимость эксплойтов для популярных программных продуктов. Так, оказалось, что наиболее дорогой является информация о методах атак для операционной системы iOS, разработки компании Apple. По словам хакера, предоставившего эти данные, сумма недавней сделки с одним государственным подрядчиком составила $250,000. Такая стоимость обусловлена сложностью атаки, поскольку система безопасности iOS является наиболее неуязвимой, по сравнению, например, с тем же Android.

Следующими в списке по прибыльности являются эксплойты к обозревателям Chrome, Internet Explorer, Firefox и Safari. Далее следуют продукты софтверного гиганта Microsoft (Windows и Word), а также плагины Flash и Java. Если удастся взломать их систему безопасности, то в среднем за эксплойт можно получить $100,000. Естественно, стоимость может варьироваться в зависимости от уникальности атаки и популярности продукта.

Но возникает вопрос: почему, например, не продать эту информацию самим же производителям и не способствовать гонке вооружений? Ведь обычно, если исследователь обнаружил брешь в системе безопасности он сообщает напрямую разработчику, тем самым помогает совершенствованию продукта. Но в данном случае действует другой закон. О передаче информации об уязвимостях кому бы то ни было не может быть и речи, поскольку обязательным условием сделки такого рода является то, что производитель не должен знать о наличии уязвимости.

Группа хакеров под руководством Vilko сумела произвести реверс-инжиниринг всех модулей программы Skype 5.5 и опубликовали полностью деобфусцированную версию.

Skype 5.5 представляет собой некий гибрид графического интерфейса, написанного на Delphi, и встроенных библиотек DLL с «ядром». Ядро программы — полностью независимая структура на уровне бинарного кода: блоки кода, блоки данных, импорт. Для компиляции программы использовался компилятор Visual C++ (присутствуют следы библиотек VC). В коде ядра нет абсолютно никаких отсылок к внешнему коду/данным, написанным на Delphi. Другими словами, можно очень легко сделать полностью альтернативный интерфейс Skype-клиента, который ничем на уровне ядра не будет отличаться от нативной программы.

В рамках проекта Skype Open Source в июне 2011 года был проведён обратный инжиниринг протокола Skype, исходный код которого тоже опубликован в открытом доступе.

Скачать:
http://depositfiles.com/files/fubowpxeq

https://github.com/downloads/skypeopensource/skypeopensource/skype55.zip

Немецкие исследователи в области безопасности обнаружили уязвимость в системе безопасности обозревателя Safari для мобильных утройств. В случае ее успешной эксплуатации хакеры могут заполучить приватные данные пользователя.

Судя по описанию, исследователи обнаружили ошибку в исполнении некоторых сценариев JavaScript, что потенциально может позволить провести фишиновую атаку и стать причиной кражи данных или перенаправить пользователя на заранее заданный ресурс. По мнению специалистов, уязвимость заключается в неправильной обработке функции javascript window.open().

Для демонстрации исследователи создали поддельную станицу легитимного ресурса (в качестве примера была выбрана «www.apple.com») и разместили ее на другом сервере, а также разработали экспериментальный образец эксплойта. После некоторых манипуляций, набрав в адресной строке ссылку легитимного ресурса, мобильный обозреватель открыл в новом окне поддельную страницу сайта Apple, размещенную на другом сервере, но при этом сохранился адрес легитимной страницы.

По мнению экспертов, данный дефект может быть использован для получения конфиденциальных данных и пользователь даже не заподозрит подвоха, так как в адресной строке отображается оригинальная ссылка. Единственной возможностью отличить поддельный ресурс от легитимного — это неаккуратность в реализации страницы. Однако если нужная страница будет аккуратно реализована, успех гарантирован.

Изъян в системе безопасности был обнаружен в последних версиях обозревателя Safari 5.1 для iPhone 4, iPhone 4S, iPad 2 и iPad 3, но вполне возможно, ошибка может быть и в других сборках.

В конце января эксперты из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Тогда сообщалось, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, хакеры внедряют жертве в папку Uploads файл HTML с редиректом на страницу с эксплойт-паком Phoenix Exploit Kit. Хакеры используют их просто в качестве красивых URL, чтобы было проще обойти спам-фильтры, и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

Сейчас появилась дополнительная информация по поводу этой атаки. Оказывается, после успешного выполнения эксплойта на компьютер жертвы устанавливается троян Cridex (Carberp или Dapato). Троян умеет подделывать веб-формы для 137 банков разных стран. Управление клиентской части программы осуществляется через сеть Fast-flux, так что трафик к командным C&C-серверам выглядит нетипично. Генерация доменных имён, используемых при этом, происходит по специальному алгоритму.

Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye: сбор приватной информации, логинов и паролей — и отправка на удалённый сервер. Однако, Carberp специализируется именно на финансовых транзакциях.

В Metasploit добавлен эксплоит к уязвимости в RDP (CVE-2012-0002), которая была устранена корпорацией Microsoft в бюллетене безопасности MS12-020. По всей видимости, эксплоит, о котором идет речь, является тем же самым, который был похищен у корпорации Microsoft и 15 марта был выложен на ряде китайских форумов. Речь идет именно о ddos-модуле эксплойта MS12-020.

Один из участников группы разработчиков Metasploit Тод Бердсли (Tod Beardsley) отмечает, что разработка эксплойта CVE-2012-0002 еще не завершена. Через некоторое время хакер надеется на добавление полно функционального эксплоита, который позволит выполнить произвольный код на целевой системе.

Отметим, что представители Microsoft заявили, что ожидают появления функционального эксплоита на протяжении 30 дней после публикации MS12-020, то есть в середине апреля.