Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




EasySSH - The SSH Connection Manager To Make Your Life Easier

easyssh_5_screenshot3.png

easyssh_4_screenshot.png

A complete, efficient and easy-to-use manager. Create and edit connections, groups, customize the terminal, with multiple instances of the same connection.


Developing and Building
If you want to hack on and build EasySSH yourself, you'll need the following dependencies:
Run meson build to configure the build environment and run ninja test to build and run automated tests
meson build --prefix=/usr
cd build
ninja test
To install, use ninja install, then execute with com.github.muriloventuroso.easyssh
sudo ninja install
com.github.muriloventuroso.easyssh

Install with Flatpak
Install:
flatpak install flathub com.github.muriloventuroso.easyssh
Run:
flatpak run com.github.muriloventuroso.easyssh

Дата: 2018-08-21 13:12:12

Источник: https://www.kitploit.com/2018/08/easyssh-ssh-connection-manager-to-make.html



WaveSense предложила повысить безопасность автомобилей при помощи георадаров

Исполнительный директор WaveSense Тарик Болат (Tarik Bolat) объявил, что радары, лидары и камеры не обеспечивают полноценную безопасность самоуправляемых автомобилей. В дождь, снег и туман датчики могут не распознать дорожные знаки или разметку и ошибиться при построении маршрута. Чтобы решить эту проблему, он предложил прокладывать путь по картам подземных объектов.

Новый датчик для беспилотных автомобилей

Для ориентирования по подземной карте предлагается использовать георадары. Они оснащены 12-элементными антенными решетками для передачи высокочастотных магнитных импульсов. Волны проникают на глубину до трех метров ниже земной поверхности и отражаются от подземных объектов: труб, камней и корней деревьев. Полученные сигналы сверяются с подземной картой WaveSense и помогают системе автопилота определить местоположение автомобиля.

Технология была разработана в Лаборатории Линкольна при Массачусетском технологическом институте. Она была предназначена для военной техники, применяемой в регионах с плохими дорогами без дорожных ориентиров.

Эффективность системы доказали в 2016 году. Георадар был установлен на спортивный грузовик, и в метель автомобиль оставался на своей полосе движения с погрешностью не более 4 см.

Глава WaveSense признал, что технология не способна полностью заменить радары, лидары и камеры. Ее предлагается использовать как дополнение к существующим датчикам, работающим в условиях плохой видимости. При всех своих преимуществах система WaveSense сложна в развертывании, так как каждая дорога нуждается в индивидуальном сканировании.

Ошибка системы автопилота может привести к серьезным последствиям. В марте 2018 года из-за недостаточной видимости беспилотный автомобиль Uber сбил женщину насмерть.

Источник: Venturebeat

Рамис Ганиев

Дата: 2018-08-21 13:01:28

Источник: https://tproger.ru/news/wavesence-auto-safe/



Исследователь изучил остававшийся более 2 лет незамеченным вредонос

Вредоносный файл был распознан 6 из 60 антивирусов.

Исследователь безопасности Марко Рамили (Marco Ramilli) проанализировал вредоносное ПО, которому удавалось более двух лет оставаться незамеченным.

По словам специалиста, при создании вредоноса использовалось множество уровней обфускации и языков программирования. Во время анализа всего лишь несколько антивирусов (6 из 60) смогли «обнаружить» образец, распознав его как нежелательный файл.

Образец представляет собой файл JAR. В ходе анализа и расшифровки специалисту удалось добраться до исходного кода, написанного на языке JavaScript.

Основной целью вредоноса является хищение файлов и личной информации жертв путем загрузки ПО AdWind/JRat.

«Использованные в образце техники указывают на то, что он был создан с использованием специального ПО Malware builder», - заключил специалист.

Дата: 2018-08-21 12:47:04

Источник: http://www.securitylab.ru/news/495207.php



Microsoft сорвала кибероперацию APT28

Компания «угнала» несколько подконтрольных группировке доменов.

Как сообщает компания Microsoft, прошлой ночью ей удалось успешно сорвать кибероперацию группы APT28 (она же Fancy Bear и Strontium), связываемой с российскими спецслужбами.

По словам главы Microsoft Брэда Смита, подразделение компании по борьбе с киберпреступностью выполнило предписание суда, обязывающее захватить контроль над шестью доменами, используемыми хакерами. Список доменов:

my-iri.org

hudsonorg-my-sharepoint.com

senate.group

adfs-senate.services

adfs-senate.email

office365-onedrive.com

Первый домен хакеры, очевидно, выдавали за сайт, принадлежащий Международному республиканскому институту, а второй – за сайт американской исследовательской организации Hudson Institute. Остальные четыре домена APT28 пыталась выдать за часть IT-инфраструктуры Сената США.

Судя по всему, вышеупомянутые домены являлись частью операции по рассылке писем для целенаправленного фишинга. Специалистам Microsoft удалось перехватить контроль над ними до того, как преступники успели ими воспользоваться.

Это уже двенадцатый случай использования судебного ордера для «угона» доменов, предположительно подконтрольных APT28. По словам Смита, за последние два года компании удалось перехватить 84 домена из инфраструктуры группировки.

Как сообщает агентство «Интерфакс», Россия отрицает какую-либо причастность к атакам на американские организации. «О ком именно идет речь, что является доказательствами и на основании чего делаются выводы такой категории, мы не понимаем, такие данные отсутствуют» –сообщил агентству пресс-секретарь президента РФ Дмитрий Песков.

Международный республиканский институт – некоммерческая организация, провозглашающая своей целью оказание помощи отдельным странам в строительстве демократии. Работает в тесном сотрудничестве с Государственным департаментом США и некоторыми фондами, занимающимися финансированием про-американских политических сил в мире.

Дата: 2018-08-21 12:23:18

Источник: http://www.securitylab.ru/news/495206.php



«Умные дома» можно легко взломать через незащищенные серверы MQTT

Проблема заключается в некорректной настройке серверов MQTT.

Исследователи безопасности из компании Avast обнаружили способ взлома «умного» дома с помощью протокола MQTT.

Message Queuing Telemetry Transport (MQTT) представляет собой протокол обмена сообщениями, который используется уже почти два десятилетия, главным образом для промышленной автоматизации. MQTT часто применяется для преодоления разрыва между различными протоколами, позволяя устройствам взаимодействовать друг с другом.

«Протокол работает как RSS-канал, вы подписываетесь на тему, и как только кто-то публикует что-то по этой теме, полезная нагрузка доставляется всем абонентам», - объяснили исследователи.

Для успешной атаки необходим сервер MQTT (брокер) со встроенными возможностями безопасности, который служит «посредником» между всеми компонентами, «умный» центр, который организует все устройства и непосредственно различные MQTT-совместимые устройства, которые подключены к серверу/брокеру MQTT.

Проблема заключается в некорректной настройке серверов MQTT. Используя поисковую систему Shodan, исследователи обнаружили более 49 тыс. уязвимых MQTT-серверов. Из них почти 33 тыс. серверов не имеют защиты паролем, что позволяет злоумышленникам получить к ним доступ и похитить данные пользователей.

Дата: 2018-08-21 12:06:00

Источник: http://www.securitylab.ru/news/495205.php



Дайджест новостей по ИБ за 06 — 20 августа 2018г.

Статьи:

Обзор Disclose.io - опенсорсного фреймворка для публикации уязвимостей (англ.).

Документы:

Опубликован RFC 8446 (TLS версии 1.3)

Законодательство:

Приказ МВД России от 19 июня 2018 г. N 384 "Об утверждении Порядка проведения идентификации личности человека по отпечаткам пальцев (ладоней) рук в режиме реального времени и Перечня категорий лиц, в отношении которых обязательная государственная дактилоскопическая регистрация не проводится в случае идентификации их личности в результате проверки по отпечаткам пальцев (ладоней) рук в режиме реального времени".

Программное обеспечение/сервисы:

social_mapper - инструмент для поиска людей в социальных сетях по имени и картинке (см. описание).

Ресурсы:

Материалы с "DefCon 26".

Дата: 2018-08-21 11:57:11

Источник: https://ser-storchak.blogspot.com/2018/08/06-20-2018.html



На BIS Summit 2018 обсудят, как привить ИБ-культуру главам компаний

14 сентября в Москве пройдет 11-й саммит по безопасности деловой информации #BISSummit2018.

14 сентября 2018 года ассоциация по защите деловой информации BISA проведёт в Москве 11-й саммит по безопасности деловой информации #BISSummit2018. В программе помимо пленарной сессии заявлены 3 секции, темы которых организаторы постарались сделать особенно острыми и привлекательными. Вся конференция будет крутиться вокруг процесса конвергенции в информационной безопасности. Так вот, вторая секция будет посвящена конвергенции ИБ-культуры! О чем планируется поговорить:

По мере того, как государство, общество и бизнес становятся все более ИТ-зависимыми, ИТ-инфраструктура перестает быть пассивом, становясь активом компании. В этих условиях существенно возрастает зависимость от качества сервисов, решений и услуг информационной безопасности. С одной стороны, значение ИБ-департаментов возрастает, но с другой, то, как видят свое развитие и приоритеты службы ИБ, и, то, что от них ожидает бизнес, не всегда одно и тоже. В секции будут предложены вниманию выступления руководителей бизнеса и государства с рассказом о том, как ИБ-культура способна изменить качество бизнеса и уровень жизни граждан.

В рамках данной темы, кроме всего прочего, примечателен вот какой аспект: некоторые эксперты считают, что в формировании ИБ-культуры в компании особенно важна роль первых лиц как лидеров, способных своим примером повести за собой рядовых сотрудников. Но возникает вопрос – как сподвигнуть самих глав к неукоснительному следованию той самой ИБ-культуре? Ведь далеко не все владельцы российских компаний сами являются продвинутыми в вопросах цифровой гигиены – что уж говорить о среднем звене. Как можно решить эту проблему? Какие рецепты существуют? Организаторам важно услышать ваше мнение – приходите и озвучьте его на секции «Конвергенция ИБ-культуры» BISS 2018!

Мероприятие пройдёт при поддержке генерального партнёра ГК InfoWatch , а также компаний «Лаборатория Касперского» , «Гарда Технологии» , Check Point , ООО «Атом Безопасность» , Аванпост и др. Стратегическим медиа-партнёром саммита выступит Аналитический центр Anti-Malware.ru , ведущими информационными партнёрами – BIS Journal , BIS TV , SecurityLab.ru , D-Russia.ru

Следите за новостями саммита на сайте мероприятия: http://www.bissummit.ru

И да, регистрация уже открыта! http://www.bissummit.ru/request

Дата: 2018-08-21 11:00:26

Источник: http://www.securitylab.ru/news/495201.php



Security Week 31: Пятьдесят оттенков небезопасности в Android

f8xze5vbx8eljxwpwokvjfnswec.jpegДавно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright, пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным Google, ускорилась.

Но не то чтобы стало совсем хорошо. Недавно мы писали про необычный Android-смартфон, притворяющийся десятым айфоном, в котором какая-либо защита данных пользователя вовсе отсутствует. Но это экзотика. А вот компания Kryptowire проанализировала (новость) прошивки множества обычных смартфонов, которые продаются по всему миру. В 25 разных моделях были обнаружены серьезные прорехи в безопасности.

Это понятный, но все же довольно свежий взгляд на безопасность Android. Одно дело, когда уязвимость найдена в исходном коде Android: ей, как правило, подвержены все устройства, но поэтому и закрывается она быстро. Другое дело — проблема, привнесенная в ходе модификации стокового Android конкретным производителем: она может сидеть в прошивке годами.

Что в итоге нашли? Большинство уязвимостей относятся к сценарию «вредоносное приложение получает доступ туда, куда не следовало». Например, на телефоне LG G6 приложение без особых привилегий может заблокировать устройство так, что поможет только сброс до заводских настроек (иным способом разблокировка возможна, если заранее был включен отладочный интерфейс ADB). Там же была найдена возможность получения доступа к системным логам и отправки таковых через Интернет. В телефоне Essential Phone любое приложение может стереть абсолютно всю информацию с устройства. На Asus ZenFone 3 Max есть возможность выполнения команд с системными привилегиями из любого приложения.

Ну и так далее. В презентации компании на DEF CON было отмечено, что это ослабление норм изоляции приложений вызвано именно особенностями конкретной реализации Android. В эталонном стоковом варианте ОС таких проблем нет. Это, конечно, не так эпично, как 100+ смартфонов с активным бэкдором, но, кажется, впервые исследования безопасности пошли дальше по цепочке разработки, не ограничиваясь только анализом кода самого Android. Будь он хоть сто раз неуязвим, его модифицируют для работы на конкретном железе, у конкретного оператора, с конкретным софтом. Этим занимаются люди, и они могут совершать ошибки.

Кстати, про цепочку. Компания Check Point там же, на DEF CON, рассказала (новость, исследование) про атаку типа Man in the Disk. Это такое модное название для в общем-то банальной ситуации: когда одно приложение складывает данные во внешнюю память, а другое их модифицирует. Для примера исследователи взяли приложения Google Translate, Яндекс.Переводчик и Xiaomi Browser.

Про это вроде бы безобидное действие сам Google в рекомендациях по защите приложений в Android пишет, что валидность данных, считываемых из внешней памяти, надо проверять, а исполняемые файлы там желательно не хранить. Все потому, что доступ к этой внешней памяти (грубо говоря, к карте microSD) возможен из любого другого приложения.

Так вот, в переводчиках Гугла и Яндекса исследователям удалось вызвать сбой приложения, подменив хранящиеся в общей памяти служебные данные. Само по себе это не так страшно, но в других программах теоретически возможны и перехват управления, и кража данных. Например, в Xiaomi Browser, — там удалось подменить само приложение на вредоносную копию, а все из-за того, что браузер хранит во внешней памяти временные файлы.


Еще один секьюрити-армагеддон, связанный с Android, ожидается благодаря разработчику онлайновой игры Fortnite. Во-первых, версия для Android до сих пор в разработке, хотя для iOS игра доступна. Это уже привело к появлению множества веб-страниц и видеороликов, где рассказывается, как скачать и установить игру на Android-смартфон, — естественно, с каким-нибудь трояном и кражей данных в конце. Во-вторых, компания Epic Games решила не выкладывать игру в магазин приложений Google Play, чтобы не платить Гуглу ощутимый процент от всех покупок пользователей. В результате даже тех, кто добросовестно ищет приложения только в официальном аппсторе, будут мотивировать поискать где-то еще, и хорошо, если они сразу пойдут на сайт разработчика. А если нет? Впрочем, это будет довольно легко отследить по количеству детектов вредоносных программ. По данным «Лаборатории» за первые три месяца этого года защитным ПО на Android было заблокировано 1 322 578 вредоносных приложений. Кстати, это меньше, чем в предыдущем квартале. Продолжаем наблюдение.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Дата: 2018-08-21 10:17:38

Источник: https://habr.com/post/420809/



Патч для Spectre вывел из строя суперкомпьютеры

Августовское исправление для Spectre 1.1 от Red Hat вызвал сбой в работе файловой системы Lustre.  

Пользователи высокопроизводительных компьютеров вынуждены исправлять хаос, вызванный новым патчем для Spectre-подобной уязвимости от компании Red Hat.

Напомним, в прошлом месяце стало известно об уязвимости Spectre 1.1 (CVE-2018-3693). Red Hat включила исправления для нее в свой набор обновлений, вышедший 14 августа, и вскоре операторы высокопроизводительных машин столкнулись с тем, что файловая система Lustre перестала работать.

Первыми о проблеме сообщили специалисты Стэнфордского исследовательского компьютерного центра. Они описали ошибку в LustreNet – реализации Lustre поверх InfiniBand, использующей RDMA для скоростной передачи файлов и метаданных. Ошибка оказалась катастрофической – система была не способна даже пинговать себя, не говоря уже о формировании файловых систем или обмене данными с другими узлами.

В качестве временного решения проблемы Red Hat рекомендовала сделать откат ядра до версии 3.10.0-862.11.5.el7. Похоже, ошибка связана не с самой Lustre, а с RDMA. «Решение данной проблемы является первостепенной задачей. Пока что откатите до 3.10.0-862.11.5.el7», - сообщил специалист Red Hat по RDMA Дон Дьютил (Don Dutile). По словам эксперта, ошибка продублирована в баге 1616346.

Как сообщил изданию The Register представитель Red Hat Кристофер Робинсон (Christopher Robinson), проблема будет исправлена в версии ядра 3.10.0-862.13.1, которая в настоящее время тестируется командой Red Hat Enterprise Linux Engineering. До выхода новой версии Робинсон посоветовал пострадавшим пользователям откатить ядро до предыдущей работающей версии. В случае экстренной необходимости они могут запросить экстренное исправление, связавшись с сервисами поддержки Red Hat Global Support Services.

Lustre – распределенная файловая система массового параллелизма, используемая обычно для крупномасштабных кластерных вычислений.

Удаленный прямой доступ к памяти (RDMA) – аппаратное решение для обеспечения прямого доступа к оперативной памяти другого компьютера.

Дата: 2018-08-21 10:09:50

Источник: http://www.securitylab.ru/news/495204.php



Dark Tequila Añejo

Dark Tequila is a complex malicious campaign targeting Mexican users, with the primary purpose of stealing financial information, as well as login credentials to popular websites that range from code versioning repositories to public file storage accounts and domain registrars.

A multi-stage payload is delivered to the victim only when certain conditions are met; avoiding infection when security suites are installed or the sample is being run in an analysis environment. From the target list retrieved from the final payload, this particular campaign targets customers of several Mexican banking institutions and contains some comments embedded in the code written in the Spanish language, using words only spoken in Latin America.

Most of the victims are located in Mexico. The campaign has been active since at least 2013, so it is a very ‘añejo’ (mature) product. There are two known infection vectors: spear-phishing and infection by USB device.

The threat actor behind it strictly monitors and controls all operations. If there is a casual infection, which is not in Mexico or is not of interest, the malware is uninstalled remotely from the victim’s machine.

(Translation for “Abrir la carpeta para ver los archivos” – “Open folder to see files”. The word “Archivos” is used by Spanish speakers from Latin America only)

The Dark Tequila malware and its supporting infrastructure are unusually sophisticated for a financial fraud operation. The malicious implant contains all the modules required for the operation and, when instructed to do so by het command server, different modules decrypt and activate. All stolen data is uploaded to the server in encrypted form.

This campaign modules are as follows:

The campaign remains active. It is designed to be deployed in any part of the world, and attack any targets according to the interests of the threat actor behind it.

Reference hashes:

4f49a01e02e8c47d84480f6fb92700aa091133c894821fff83c7502c7af136d9
dce2d575bef073079c658edfa872a15546b422ad2b74267d33b386dc7cc85b47

Reference C2s:

https://46[.]17[.]97[.]12/website/
https://174[.]37[.]6[.]34/98157cdfe45945293201e71acb2394d2
https://75[.]126[.]60[.]251/store/

For more information about this campaign, please contact us at financialintel@kaspersky.com

Дата: 2018-08-21 10:00:22

Источник: https://securelist.com/dark-tequila-anejo/87528/