Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




В сеть утекли исходные коды операционной системы Windows 10

image

По информации портала theregister.co.uk недавно произошла массивная утечка приватных билдов ОС Windows 10 и фрагментов ее исходных кодов.

Массив из 32 терабайтов данных (в архивированном виде — 8 терабайт), состоящий из официальных и приватных образов, закрытой технической документации и исходных текстов, оказался загруженным на ресурс betaarchive.com

Предполагается, что конфиденциальные данные в этом дампе были нелегально скопированы из внутреннего хранилища Microsoft приблизительно в марте 2017 года.

По сообщениям людей, успевших ознакомиться с материалами внушительного архива, утекшие исходные коды в нем относятся к Microsoft's Shared Source Kit. Этот набор включает в себя исходники базовых драйверов Windows 10, стеков Wi-Fi,USB и PnP, драйверов систем хранения и ARM-версии ядра OneCore.

На данный момент имеются все предпосылки того, что инцидент окажется не менее значительным, чем в свое время утечка исходных кодов Windows 2000.

image

В довершение этого «праздника», в утекшем массиве среди вполне официальных билдов Windows 10 и Windows Server 2016 были обнаружены и секретные экземпляры, которые никогда не предназначались для публичного доступа, а использовались инженерами компании для поиска багов и экспериментального тестирования.image

По мнению Криса Уильямса, редактора theregister, Internet ждет новая волна эксплоитов и вирусов, использующих ранее неизвестные уязвимости в коде новейших версий Windows.

Источник утечки и обстоятельства произошедшего пока не ясны. Представители компании Microsoft на момент публикации никак не про комментировали ситуацию.

Дата: 2017-06-23 23:53:40

Источник: https://habrahabr.ru/post/331534/



ОТП Банк предлагает выгодный кредит «Отличный»

ОТП Банк предлагает новый кредитный продукт – кредит «Отличный» на сумму от 300 до 750 тысяч рублей. Срок кредита – от 12 до 60 месяцев. Заявку на кредит можно подать как в офисе банка, так и на сайте, заполнив простую онлайн-анкету.

Ставка по кредиту зависит от срока и суммы кредита. При условии своевременной и надлежащей оплаты ежемесячных платежей в течение первых 4-12 месяцев (в зависимости  от срока кредита) применяется пониженная процентная ставка 12,5%.

Кредит можно погасить досрочно, полностью или частично, без комиссий.

В поддержку кредита банк запустил рекламную кампанию, которая продлится до августа 2017 года в пяти регионах присутствия банка – Омске, Челябинске, Тюмени, Казани и Уфе.
В рамках кампании состоится размещение на ТВ и радио, а также предусмотрена наружная реклама и реклама в интернете.

Марина Пушкарева, начальник Управления бизнес-развития и проектов ОТП Банка: «Мы рады предложить нашим клиентам новый кредит «Отличный» на очень привлекательных условиях – одних из лучших на рынке на сегодняшний день.  Креативная составляющая рекламной кампании, построенная на принципе семейных ценностей, эмоционально вовлекает зрителя, делает сюжет ярким, динамичным и запоминающимся. Уверены, что новый продукт будет по достоинству оценен и востребован нашими клиентами».

Дата: 2017-06-23 22:17:04

Источник: http://www.iso27000.ru/Members/nik6252/otp-bank-predlagaet-vygodnyi-kredit-otlichnyi



ShellStack - A PHP Based Tool That Helps You To Manage All Your Backdoored Websites Efficiently


ShellStack is a PHP based backdoor management tool. This Tool comes handy for "HACKERS" who wish to keep a track of every website they hack. The tool generates a backdoor file which you just have to upload to the site and put the backdoor URL in the shells.txt present in the tool's directory.


With ShellStack You can

How To Use
  1. git clone https://github.com/Tuhinshubhra/shellstack
  2. cd shellstack
  3. php shellstack.php
  4. generatebd and exit the tool use CTRL + C - This will generate a backdoor file in the same directory as of the tool in a file named backdoor.php
  5. Upload The Backdoor File To The Victim website
  6. Copy The Backdoor URL and paste it in the shells.txt file present in the tool's directory and save it (Each backdoor is separated by a new line)
  7. php shellstack.php
  8. Enter The Serial No Assigned To The Backdoor
  9. Rest is pretty Self explanatory
Watch The Video Here: https://youtu.be/umk3ZNZ5Y1I

Requirements

php
curl 

Example
root@R3D_MACH1N3:/home/redhaxor/Desktop/shellstack# php shellstack.php


________________________________________________________________________________
_______ _     _ _______               _______ _______ _______ _______ _     _
|______ |_____| |______ |      |      |______    |    |_____| |       |____/
______| |     | |______ |_____ |_____ ______|    |    |     | |_____  |    \_
________________________________________________________________________________

                    Simple Backdoor Management System
                    Coded By R3D#@x0R_2H1N A.K.A Tuhinshubhra 
                    Shout Out: LulZSec India  
================================================================================



List Of Backdoors:

0. http://localhost/backdoor.php
=============================================

[#] Enter Either Of These (Backdoor No.|help|generatebd) : 0

[+] Shell Selected: http://localhost/backdoor.php
[+] Validating Backdoor: Backdoor Found!

List Of Actions
================
[1] Import PHP Shells
[2] Server Details
[3] Remove Backdoor
[4] Remote File Upload
[5] Exit

[#] Select Option(1|2|3|4|5):2

[+] Server Info
[i] Sending Request And Getting Response...
[i] Server: Linux R3D_MACH1N3 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-1kali1 (2017-06-06) x86_64
[i] Server IP: 127.0.0.1


Press Enter To Continue


List Of Actions
================
[1] Import PHP Shells
[2] Server Details
[3] Remove Backdoor
[4] Remote File Upload
[5] Exit

[#] Select Option(1|2|3|4|5):1


List Of Shells
===============
[1] Dhanush shell {User & Pass : shellstack123}
[2] B374K shell {Pass : shellstack123}
[3] Kurama shell V.1.0 {Pass : red}
[4] WSO shell {Pass : shellstack123}
[5] MiNi shell {User & Pass : shellstack123}

[#] Select Shell To Import(1-5):1


[i] Importing Shell...
[i] Sending Request And Getting Response...
[R] Dhanush Shell Imported Successfully To /var/www/html/dhanush.php


Press Enter To Continue


List Of Actions
================
[1] Import PHP Shells
[2] Server Details
[3] Remove Backdoor
[4] Remote File Upload
[5] Exit

[#] Select Option(1|2|3|4|5):5
root@R3D_MACH1N3:/home/redhaxor/Desktop/shellstack# 

Release(s)
Version 1.0 On 14-06-2017

Screenshot

Дата: 2017-06-23 19:41:48

Источник: http://www.kitploit.com/2017/06/shellstack-php-based-tool-that-helps.html



Security Week 25: В *NIX реанимировали древнюю уязвимость, WannaCry оказался не доделан, ЦРУ прослушивает наши роутеры

Земля, 2005 год. По всей планете происходят загадочные события: Nokia выводит на рынок планшет на Linux, в глубокой тайне идет разработка игры с участниками группы Metallica в главных ролях, Джобс объявил о переходе Маков на платформу Intel.

Тем временем на конференции CancSecWest Гаэль Делалло из Beijaflore представил фундаментальный доклад об уязвимостях системы управления памятью в разнообразных NIX-ах, и проиллюстрировал свои находки эксплойтами для Apache. Все запатчились. Прошло несколько лет.

2010 год. Рафаль Войтчук продемонстрировал эксплуатацию уязвимости того же класса в сервере Xorg. В том же году Йон Оберайде опубликовал пару забавных сообщений о своих невинных играх с никсовым стеком ядра. Все снова запатчились.

2016 год. Гуглевский Project Zero разродился исследованием эксплуатации уязвимостей стека ядра под Ubuntu. Оберайде передает в комментах привет. Убунта запатчилась.

2017 год. Никогда такого не было, и вот опять. Qualys научилась мухлевать со стеком юзермода в любых никсах, согласно идеям Делалло.

Эксплойты стека юзермода основаны на простом вопросе – если динамическая область (heap) и стек будут расти навстречу друг другу, то что будет, когда они встретятся? Однако не надо думать, что ядра никсов разрабатывают дураки! Они, конечно же, подумали о таком развитии событий (ну, к нашему времени точно уже додумались). И во всех современных юниксоподобных операционках стек юзермода огорожен специальной страницей памяти, попытка доступа к которой вызывает исключение или завершение процесса.

Но вот что странно. Внезапно оказалось, что эту сторожевую страницу можно успешно обойти, для чего есть много способов. И об этом рассказывал еще Делалло в 2005 году. Все опять патчатся, весело и с песней.

Принцип эксплуатации этого бородатого бага основан на увеличении объема стека без записи в него. Это делается по-разному в разных ОС, например, с помощью рекурсивного вызова процедуры, или многомегабайтными аргументами командной строки. Указатель стека перемещается на его начало (нижний адрес), стек резко наращивается, и – хоп, – указатель стека оказывается уже за сторожевой страницей. Доступа к самой сторожевой странице не происходит, ошибки нет. Получается, что область стека перекрывается с динамической областью.

Это позволяет подменить в стеке адрес возврата из функции и таким образом запустить произвольный код с повышенными правами.

Qualys испытали эту методику лишь локально, но теоретически подобный трюк можно провернуть удаленно, ну или, как минимум, это будет полезно троянцам для повышения собственных привилегий. Исследователи видят два пути исправления этой уязвимости: фантастический и реалистический. Фантастический заключается в раздувании сторожевой страницы как минимум до 1 Мб, а лучше больше. А реалистический – это всего-то перекомпилировать весь код пространства пользователя с опцией -fsatack-check в GCC, после чего указатель стека уже не сможет перепрыгивать сторожевую страницу без записи в нее. А в FreeBSD еще стоит хотя бы включить эту самую сторожевую страницу – по умолчанию она там не задействуется.

Исследователь предположил преждевременные роды WannaCry

Роковой для многих троянец WannaCry то ли сделан кривыми руками, то ли вырвался на волю до того, как его доделали. Такую любопытную теорию высказал Джейк Вильямс из Rendition InfoSec, после глубокого анализа новостей кода EternalBlue и WannaCry. По его мнению, создатели рансомвары допустили несколько «ошеломляющих ошибок».

Для начала, очень странным выглядит хардкодинг биткойн-адреса для выплаты выкупа. Мало того, что это позволило кому-то предприимчивому урвать себе малую толику, перебив в хекс-редакторе адрес, так еще и контролировать выплату становится невозможно – как справедливо подметил Вильямс, попробуй разберись, кому именно из жертв принадлежат падающие в кошелек транзакции. И еще, проследить дальнейшую судьбу денег с одного адреса не так уж сложно (миксеры не всегда спасают), то есть проблемы с выводом суммы обеспечены.

Гораздо практичнее генерить собственный адрес для каждого заражения, или хотя бы для нескольких заражений, это сразу сняло бы большинство проблем. Собственно, опытные рансомварщики так и делают. Но не авторы WannaCry. Всего в пойманных семплах насчитывается три варианта адреса, и вполне вероятно, что изначальным злоумышленникам принадлежит лишь один из них.

Туда же, в копилку ляпов – знаменитый «рубильник» WannaCry, домен, при обнаружении которого в Сети троянец прекращает работу. Само по себе это вполне общепринятая практика, но, помилуйте, что мешало сделать чуть более сложную проверку, чем код состояния 200? В случае многих других ботов обмен с сервером управления шифруется и троянец выключается только по команде.

С гипотезой, что вонакрай – детище криворуких «скрипт-киддис», не вяжется ряд признаков, указывающих на северокорейское происхождение этой эпидемии. Группа Lazarus, которую подозревают в связи с WannaCry, не давала повода обвинить ее в непрофессионализме. Поэтому Вильямс предложил другое объяснение. По его мнению, недоделанный WannaCry попросту случайно вырвался из тестовой среды и дальше пошел распространяться неконтролируемо.

Это чертовски похоже на правду, хотя не очень понятно, что помешало создателям вовремя дернуть за рубильник, зарегав стоп-домен, пока распространение троянца не успело принять характер эпидемии. И еще – забавно будет, если окажется, что захардкоденный биткойн-адрес представляет собой лишь плейсхолдер, и не соответствует никакому реальному кошельку. По крайней мере, списаний с известных кошельков WannaCry пока не было.

ЦРУ годами следит за нашими роутерами

На Wikileaks опубликованы подробности программы ЦРУ по мониторингу трафика, проходящего через роутеры D-Link, Linksys, 3Com и Panet Tec. Поэтично названная Cherry Blossom, программа включает в себя создание особых прошивок, которые прошиваются на роутеры удаленно. Прошивка выглядит как настоящая, но только выдирает из трафика и передает на свой сервер имейл-адреса, имена, встречающиеся в чатах, MAC-адреса, номера VoIP. А в случае необходимости может даже перенаправлять трафик «куда надо».

Единственным более-менее сложным этапом операции выглядит внедрение прошивки на ничего не подозревающий роутер. Однако, что получается у Mirai, точно по плечу детищу ЦРУ – для роутеров агентство разработало эксплойты Tomato и Surfside. Работают они не везде, и для прочих случаев в документации рекомендовано внедрять прошивку оперативным путем. То есть внедриться в компанию-поставщика и втихаря прошить все роутеры на складе. Романтика шпионской работы, как она есть. Все-таки жив в ЦРУ дух старой школы!

Древности


«Justice»

Очень опасен, поражает COM-файлы при обращении к ним функциями DOS 43h, 4Bh, 3Dh, 56h. Записывается в конец файлов и изменяет 5 байт их начала (NOP; NOP; JMP Loc_Virus). COMMAND.COM заражается по алгоритму вируса «Lehigh». Периодически направляет записываемую на диск информацию в сектор с другим номером. Содержит текст «AND JUSTICE FOR ALL». Перехватывает int 13h и int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 72.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Дата: 2017-06-23 18:40:17

Источник: https://habrahabr.ru/post/331524/



InfoWatch проанализировала утечку данных 80% избирателей США

Персональные данные около 200 млн избирателей США находились в открытом доступе в течение 14 дней в июне 2017 года, утечку допустила аналитическая компания Deep Root Analytics, работавшая по контракту с Республиканской партией США. Базу данных объемом 25 Тбайт мог скачать любой пользователь из облачного хранилища файлов компании Amazon.

Ущерб

База данных компании Deep Root Analytics содержит имена, даты рождения, электронную почту, физические адреса, религиозные и политические пристрастия, а также расовую принадлежность 61% населения США — 198 млн американцев. Более того, в базе содержится смоделированные данные о вероятных позициях избирателя по самым «горячим» вопросам: от «насколько вероятно, что он проголосовал за Обаму в 2012 году», согласны ли они с внешней политикой Трампа «America First» до отношения к ношению оружия и запрету абортов.

Позиция пострадавшей стороны

Компания Deep Root, работавшая по контракту с Республиканской партией США, подтвердила свою причастность к базе, но утверждает, что ИТ-инфраструктура компании не была взломана, а утечка данных произошла из-за уязвимости в системе безопасности. В заявлении основателя Deep Root Алекса Ландри (Alex Lundry) говорится, что компания несет полную ответственность за эту ситуацию. По его словам, база данных содержит конфиденциальную информацию, а также общедоступные сведения об избирателях, предоставляемые государством. «Мы обновили настройки доступа для предотвращения дальнейшего доступа к файлам», — сказал Ландри.

История вопроса

Похожие крупные утечки случались ранее.

  1. В 2015 году эксперт по информационной безопасности Крис Викери (Chris Vickery) обнаружил в сети Интернет базу данных, содержащую информацию о 191 млн американских избирателей.
  2. В апреле 2016 года, за месяц до президентских выборов, на Филиппинах произошла утечка личной информации 70 млн избирателей в результате атаки на Филиппинскую комиссию по выборам (Comelec).
  3. Также в 2016 году утечка из правительственных сервисов в Турции привела к компрометации личных данных 50 млн граждан. Файл объемом 1,4 гигабайта разместил в интернете анонимный хакер, сопроводив его сообщением: «Кто бы мог подумать, что отсталые идеологии, кумовство и растущий религиозный экстремизм в Турции приведут к разрушающейся и уязвимой технической инфраструктуре?»

Во всех случая скомпрометированными оказывались персональные данные и другая чувствительная информация большинства граждан.

  1. Во время утечки в 2015 году в общедоступном пользовании оказалась информация, которую американские граждане обязаны предоставить при первой регистрации на выборах: имя и фамилия, домашний и почтовый адрес, дата рождения, пол, этническая принадлежность, номер телефона, партийная принадлежность, адрес электронной почты, идентификационный номер избирателя штата.
  2. На Филиппинах утекла информация о 70 млн жителей, в том числе паспортные данные и отпечатки пальцев избирателей. По мнению экспертов в области информационной безопасности, каждый зарегистрированный избиратель на Филиппинах в настоящее время подвержен мошенничеству и другим рискам.
  3. В Турции анонимный хакер опубликовал в интернете файл, который содержал личные данные о 50 миллионах граждан страны, включая их имена, адреса, фамилии родителей, дату и место рождения, национальный идентификационный номер, используемый турецким правительством. Пострадавшими стали более половины жителей государства.

Как правило, о таких масштабных утечках критичной информации официальные лица говорят либо неохотно, либо не говорят вовсе.

  1. Официально происхождение базы данных американских избирателей, обнаруженной в 2015 году, не было установлено, однако Крис Викери считает, что база или ее часть могла принадлежать онлайн-сервису NationBuilder (SaaS-платформе, которая позволяет кандидатам создать предвыборный сайт за несколько минут), или их клиентам. Вывод сделан на основании уникальных меток в полях данных. В компании ответили, что IP-адрес, с которого произошла утечка, им не принадлежит.
  2. Ответственность за утечку на Филиппинах взяла на себя хакерская группа Anonymous Philippines. Своей целью они назвали попытку выявить уязвимости в системе Comelec, в том числе при использовании автоматизированных машин для голосования. Comelec утверждает, что чувствительная информация в результате утечки не пострадала.
  3. Правительство Турции прокомментировало утечку персональных данных граждан страны как «старую историю», утверждая, что данные были украдены в 2008 году. «Это не заслуживает освещения в печати», — заявил турецкий министр связи Бинали Йилдирим. Одновременно он признал, что киберугрозы являются растущей проблемой и что правительство создаст совет для усиления защиты персональных данных страны.

Пояснения Аналитического центра InfoWatchinfo-icon

Общемировой объем утечек записей ПДн и финансовых данных в 2016 году увеличился в три раза и превысил 3 млрд единиц, из которых более 125 млн записей были скомпрометированы из организаций, работающих в России.

Причины такого роста во многом объясняются спецификой развития технологий анализа больших данных. Если раньше не стояло задачи обеспечивать полноту базы данных – включать в нее дополнительную информацию из-за отсутствия средств обработки таких объемов данных, то с развитием технологичеких возможностей машинной обработки больших массивов данных, заинтересованные организации стали собирать буквально всю информацию о своих пользователях, которую только могут извлечь. В этом смысле Big Data можно рассматривать уже не просто как объект, а как подход, идеологию использования информации. Такой подход предполагает неограниченный рост количества параметров в базах данных, объема баз.

С удешевлением технологий анализа больших данных информация приобрела реальную ценность. Использование больших данных становится серьезным орудием — достаточно вспомнить подробности последнего избирательного цикла в США, где анализ данных избирателей позволил штабу Трампа разработать детальные целевые сообщения (месседжи) для отдельных сегментов аудитории — недостижимый ранее уровень политической технологии.

Те же подходы, очевидно, применимы в массовом маркетинге, в позиционировании продуктов, в прогнозировании спроса и оценке рынков.

Объем и детализация баз данных растет, а средства защиты, которые всегда появляются вслед за развитием технологий, не успевают за новыми угрозами. В результате «революции» в области обработки и анализа данных, критического роста ценности агрегированной информации, мы имеем ситуацию, когда объекты защиты, условно говоря, «живут» в постинформационной эре, а средства защиты не могут выйти за рамки подходов и приемов, характерных для предыдущей — информационной эры.

Число крупных утечек информации (в том числе детализированных, объемных баз агрегированных данных) будет расти — к этому есть все предпосылки, и пока нет ни одного реализованного фактора, который может воспрепятствовать этому росту.

Многомиллионные утечки персональных данных избирателей по всему миру, безусловно, относятся к классу «мега-утечек».

В 2016 году мы зарегистрировали 44 «мега-утечки» данных. В результате каждой из «мега-утечек» скомпрометированы более 10 млн записей о персональных данных. Годом ранее таких утечек было в два раза меньше – в 2015 году зафиксирован 21 подобный случай.

И дело не столько в растущем объеме скомпрометированных данных. Сам по себе количественный рост не несет критической угрозы, так как у киберпреступников сегодня есть довольно ограниченный набор способов использования сведений о физлицах. Например, существует не так много возможных способов использования «кражи личности» — это может быть мошенничество с налоговыми декларациями и вычетами, подделка личных документов и прочие типовые схемы, противодействие которым легко масштабировать. В этом смысле со стороны защиты разница между утечкой одной или миллиона записей состоит только в количестве типовых действий.

Подлинная угроза, связанная с утечками больших (свыше 10 млн) объемов информации, связана как раз не с количественными, а с качественными изменениями. Современные средства анализа позволяют извлекать из больших объемов информации такие выводы, которые, на первый взгляд, не содержатся в исходном наборе данных. Это может быть сделано как постфактум самим злоумышленником при наличии базы в несколько миллионов записей, так и заранее легитимными владельцами данных, как это сделали в компании Deep Root Analytics.

На наш взгляд, следует говорить не только о проблеме обеспечения конфиденциальности данных, но и об использовании больших данных – задуматься о необходимости и способах регулирования этого вопроса на уровне национального законодательства или международного договора.

Практически двукратный ежегодный рост числа «мега-утечек» означает, что рано или поздно у киберпреступников всех мастей появятся сведения обо всех жителях Земли, включая потребительские предпочтения, сексуальную ориентацию, платежеспособность, кредитную историю, сведения о судимости и т.д. Список ограничен только фантазией, поскольку практически  любые сведения можно будет вывести из уже имеющихся данных (если не по конкретному человеку, то по социальной группе). Добавим сюда историю платежей, историю поиска в интернете, данные геолокации, логи «умных устройств» Интернета вещей, и получим всеобъемлющее жизнеописание любого жителя планеты. Причем это могут быть не только статистические сведения, но и база для прогнозных исследований — где окажется человек в следующую минуту, что купит в магазине, что прочитает в интернете — на все эти вопросы появятся ответы. Очевидно, что проблема такого масштаба требует выработки новых норм регулирования на глобальном уровне.

Поэтому уже сейчас нужно начинать разговор о том, что делать с утекающими данными, как урегулировать использование больших массивов информации. 

Дата: 2017-06-23 16:52:25

Источник: https://www.anti-malware.ru/news/2017-06-23/23249



Обама внедрил цифровую бомбу в инфраструктуру России

Бывший президент США Барак Обама в 2016 году одобрил размещение кибероружия в системах российской инфраструктуры, сообщает Washington Post. В ходе собственного расследования журналисты выяснили, что это оружие является "цифровым эквивалентом бомбы" и может сработать в случае критического обострения отношений с Россией.

Подразумевалось, что его запуск должен одобрить лично действующий президент. Как рассказал газете один из бывших американских чиновников, разработанное оружие может нарушать работу стратегически важных российских сетей. Технология была создана Агентством национальной безопасности США и может применяться дистанционно.

Как отмечает газета, администрация Обамы долго выбирала ответные меры на якобы имевшее место "российское вмешательство" во внутренние дела страны, опасаясь, что какие-либо санкции приведут к обратному эффекту. Они также не хотели повлиять на результат предвыборной кампании и "омрачить" ожидаемую победу Клинтон, пишет ria.ru.

По информации Washington Post, кибероперация сейчас находится на ранней стадии, поскольку ее разработка замедлилась после избрания Дональда Трапма президентом США. На тот момент чиновники сфокусировались на подготовке мер, которые помешают Трампу отменить инициативы предшественника.

Ранее The New York Times сообщала, что Обама поставил условием применения Вашингтоном кибервооружений соблюдение принципа "эскалационного доминирования". Речь шла о потенциальном гарантировании США возможности прекратить конфликт на своих условиях.

Кроме того, весной сайт WikiLeaks опубликовал секретные документы ЦРУ, в которых описаны инструменты для взлома компьютеров, мобильных телефонов и телевизоров. Согласно его данным, сотрудники ЦРУ используют целый набор секретных инструментов. Они включают программы для взлома, вирусы, а также вредоносные программы, против которых еще не разработаны защитные механизмы.

Дата: 2017-06-23 16:18:48

Источник: https://www.anti-malware.ru/news/2017-06-23/23248



ПД более 122 000 пользователей социальных сетей под угрозой

Вирусные аналитики компании «Доктор Вебinfo-icon» обнаружили в каталоге Googleinfo-icon Play несколько потенциально опасных приложений, которые несут угрозу главным образом пользователям на территории Украины. Эти программы позволяют обойти блокировку сайтов «ВКонтакте» и «Одноклассники», но делают это небезопасным способом.

Они передают через сторонние серверы и в незашифрованном виде логины и пароли от учетных записей, а также весь трафик при работе в социальных сетях, что может привести к утечке конфиденциальной информации.

В мае текущего года на территории Украины указом президента был ограничен доступ к услугам и сервисам ряда российских компаний, среди которых оказались социальные сети «ВКонтакте» и «Одноклассники». Это привело к росту популярности средств обхода блокировки, таких как браузер Tor, VPN и анонимайзеры. Кроме того, стали появляться новые программы, предоставляющие аналогичный функционал, однако далеко не все из этих новинок безопасны.

Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, которые позволяют работать с заблокированными сайтами «ВКонтакте» и «Одноклассники». Для доступа к этим социальным сетям владельцам Androidinfo-icon-устройств предлагается указать свой логин и пароль, после чего программы выполняют вход в учетную запись пользователя в обход ограничения. Специалисты «Доктор Веб» выявили 8 таких программ, которые распространяются разработчиками JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab и simon faiz.

 

 

Все эти приложения выглядят очень похожими. Они устанавливаются на мобильные устройства как программы с именами «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» и «ВК Украина VPN»» и имеют схожие значки. В общей сложности их скачали более 122 000 пользователей, каждый из которых рискует столкнуться с утечкой персональных данных.

 

 

Проблема состоит в том, что для обхода блокировки сайтов социальных сетей это ПО перенаправляет трафик через один из онлайн-анонимайзеров. Анонимайзеры – это специализированные серверы, которые пропускают через себя сетевые запросы, а также скрывают информацию о компьютере или мобильном устройстве для обхода ограничения на посещение заблокированных интернет-ресурсов. Такие сервисы востребованы, например, среди пользователей из корпоративных сетей, где системные администраторы на уровне шлюза запретили доступ к доменам социальных сетей.

Введенные в программах логин и пароль передаются серверу-анонимайзеру в незашифрованном виде, поэтому ничто не мешает его владельцам использовать полученную информацию в незаконных целях. Например, они могут зайти в социальную сеть от имени пользователя и без его ведома рассылать сообщения, добавлять друзей, вступать в группы, читать переписку, просматривать фотографии и т. п. При этом пользователь не знает, что авторизуется в социальной сети через сторонний домен, так как в приложениях не отображается адресная строка. Дальнейшая работа с сайтами «ВКонтакте» и «Одноклассники» через это ПО также происходит без шифрования, что позволяет контролировать все выполняемые в этих социальных сетях действия, пишет drweb.ru.

Даже если предположить, что такой безответственный подход к защите конфиденциальных сведений со стороны владельцев анонимайзера и авторов приложений продиктован ошибкой или элементарным незнанием основ информационной безопасности, нет никакой гарантии, что незашифрованный сетевой трафик не перехватят злоумышленники.

Поскольку использование указанных программ может привести к утечке персональной информации, антивирус Dr.Web детектирует их как потенциально опасные приложения Program.PWS.1. Вирусные аналитики «Доктор Веб» проинформировали компанию Google о том, что указанное ПО несет угрозу раскрытия конфиденциальных сведений, однако на момент публикации этого материала программы все еще были доступны для загрузки.

Во избежание риска пользователям заблокированных онлайн-ресурсов следует избегать сомнительных приложений и сервисов для обхода ограничений доступа. На рынке существуют более безопасные решения, которые предоставляют достаточный уровень защищенности. Среди них – коммерческие и бесплатные VPN (Virtual Network Provider или частные виртуальные сети), а также Proxy-серверы.

Дата: 2017-06-23 16:11:45

Источник: https://www.anti-malware.ru/news/2017-06-23/23247



InfoWatch открыла офис дочерней компании в Иннополисе

Сегодня группа компаний (ГК) InfoWatchinfo-icon открыла офис дочерней компании «ИнфоВотч-Волга» в Особой экономической зоне «Иннополис». В торжественной церемонии открытия «ИнфоВотч-Волга» приняли участие мэр Иннополиса Руслан Шагалеев, генеральный директор АО «Особая экономическая зона «Иннополис» Игорь Носов,  ректор Университета Иннополис Александр Тормасов и президент ГК InfoWatch Наталья Касперская.

Компания «ИнфоВотч-Волга» была создана в составе Группы компаний InfoWatch с целью разработки перспективных модулей для систем контроля информационных потоков организации, а также продвижения в регионах присутствия современных подходов к защите предприятий от киберугроз. 

«Открытие офиса InfoWatch в Иннополисе стало очередным этапом реализации стратегии регионального развития компании, направленной на расширение представленности российской технологичной продукции в области информационной безопасности предприятий в субъектах страны, — отметила глава ГК InfoWatch Наталья Касперская. — Мы убедились, что льготные условия, которые получают ИТ-разработчики в рамках Особой экономической зоны «Иннополис», делают участие в ней экономически целесообразным не только для начинающих стартапов, но и для крупных вендоров. Рассчитываем, что «ИнфоВотч-Волга» станет важным элементом в реализации договоренностей с руководством республики, направленных на создание центра информационной безопасности федерального значения».

Напомним, что ГК InfoWatch готовит проект создания в Республике Татарстан единой системы контроля информационных потоков государственных и муниципальных учреждений, который включает создание центра компетенций по защите автоматизированных систем управления (АСУ), мониторингу информационных атак в СМИ и социальных медиа, а также выявлению уязвимостей и угроз информационной безопасности.

«В Татарстане создана вся необходимая производственная и социальная инфраструктура для комфортного проживания и работы в Иннополисе, — говорит руководитель по развитию регионального бизнеса ГК InfoWatch в РФ и СНГ, генеральный директор «ИнфоВотч-Волга» Амир Даутов. — Эти условия уже оценили наши разработчики и специалисты по тестированию, которые показали высокую эффективность за время пилотной работы офиса. Статус резидента особой экономической зоны создает предпосылки для дальнейшего расширения производства в Иннополисе. В частности, планируем увеличить штат экспертов в области информационной безопасности, выстроить сотрудничество с Университетом Иннополис, а также профильными российскими и зарубежными организациями».

ГК InfoWatch является резидентом ОЭЗ «Иннополис» в соответствии с решением Минэкономразвития России от 2 сентября 2016 года. Ранее проект ГК InfoWatch по разработке перспективных модулей к системе защиты конфиденциальных данных InfoWatch Traffic Monitorinfo-icon для контроля корпоративной информации и оперирующих ею сотрудников получил одобрение Наблюдательного совета ОЭЗ «Иннополис», который прошел в июне 2016 года под председательством Президента Республики Татарстан Рустама Минниханова. 

Дата: 2017-06-23 16:06:09

Источник: https://www.anti-malware.ru/news/2017-06-23/23246



spoilerwall - Avoid being scanned by spoiling movies on all your ports!


Spoilerwall introduces a brand new concept in the field of network hardening. Avoid being scanned by spoiling movies on all your ports!
Firewall? How about Fire'em'all! Stop spending thousand of dollars on big teams that you don't need! Just fire up the Spoilers Server and that's it!

Movie Spoilers DB + Open Ports + Pure Evil = Spoilerwall

Set your own:

  1. Clone this repo
$ git clone git@github.com:infobyte/spoilerwall.git
  1. Edit the file server-spoiler.py and set the HOST and PORT variables.
  2. Run the server
$ python2 server-spoiler.py
The server will listen on the selected port (8080 by default). Redirect incoming TCP traffic in all ports to this service by running:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 1:65535 -j DNAT --to-destination {HOST}:{PORT}
Change {HOST} and {PORT} for the values set in step (2). Also, if the traffic is redirected to localhost, run:
sysctl -w net.ipv4.conf.eth0.route_localnet=1
Using this config, an nmap scan will show every port as open and a spoiler for each one.
View the live demo running in spoilerwall.faradaysec.com
~ ❯❯❯ telnet spoilerwall.faradaysec.com 23

Trying 138.197.196.144...

Connected to spoilerwall.faradaysec.com.

Escape character is '^]'.

Gummo

Fucked up people killing cats after a tornado

Connection closed by foreign host.
Browse in Shodan (but beware of the Spoilers!):
https://www.shodan.io/host/138.197.196.144
Be careful in your next CTF - you never know when the spoilers are coming!

Дата: 2017-06-23 15:11:15

Источник: http://www.kitploit.com/2017/06/spoilerwall-avoid-being-scanned-by.html



Cisco патчит XXE, DoS, RCE

Компания Cisco закрыла три серьезные бреши в своих продуктах; их эксплуатация грозит отказом в обслуживании, крэшем или даже удаленным исполнением кода. Согласно бюллетеням, опубликованным в среду, все эти уязвимости оценены как высокой степени опасности.

Одна из уязвимостей относится к классу XXE (XML eXternal Entity, использование внешних сущностей, ссылающихся на сторонние файлы, для записи спецсимволов в XML-документах). Она присутствует в веб-интерфейсах пользователя ПО Prime Infrastructure выпусков с 1.1 по 3.1.6 и Evolved Programmable Network Manager (EPNM) релизов 1.2, 2.0 и 2.1.

Чтобы воспользоваться этой брешью, атакующему придется обманом заставить администратора импортировать вредоносный XML-файл. В случае успеха аутентифицированный злоумышленник получит удаленный доступ на чтение и запись к данным, хранящимся в уязвимой системе, или выполнить код. Хотя эксплойт требует наличия действительных идентификаторов пользователя, разработчик настоятельно рекомендует установить патч.

Второй тип уязвимостей (переполнение буфера) был обнаружен в WebEx Network Recording Player, клиентском приложении, предназначенном для воспроизведения записей конференц-связи в формате ARF. Эти уязвимости нельзя использовать в ходе WebEx-конференции, эксплойт возможен, если пользователь откроет вредоносный файл ARF, который может быть прислан по электронной почте или подан в виде URL. Отработка эксплойта чревата отказом плеера, а иногда исполнением произвольного кода.

Еще два бага содержатся в ПО Virtualized Packet Core−Distributed Instance (VPC−DI) Software, работающем на Cisco StarOS, а конкретнее, в обработчике входящих UDP-пакетов. Эти уязвимости вызваны некорректной обработкой данных, вводимых пользователем.

Эксплойт может осуществляться подачей вредоносных UDP-пакетов, способных создать условие «необрабатываемая ошибка». Это приведет к перезагрузке экземпляров функции управления (CF) и в итоге к перезагрузке всей VPC, то есть к «разъединению всех подписчиков и состоянию DoS уязвимой системы». Данную брешь можно использовать лишь через IPv4-трафик и на определенных версиях StarOS.

Совокупно Cisco устранила порядка двух дюжин различных багов, в том числе XSS, а также возможности для угона сессий и раскрытия информации.

Дата: 2017-06-23 13:22:15

Источник: https://threatpost.ru/cisco-patches-xxe-dos-code-execution-vulnerabilities/21729/