Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Oracle устранила серьезные уязвимости в своих продуктах

В общей сложности производитель исправил 308 уязвимостей, 165 из них могут быть проэксплуатированы удаленно.

Компания Oracle представила плановый выпуск обновлений своих продуктов, устраняющих в общей сложности 308 уязвимостей, причем 165 проблем в 90 решениях могут эксплуатироваться удаленно.

В выпуске Java SE устранены 32 уязвимости, 28 из них могут эксплуатироваться удаленно без проведения аутентификации. 10 уязвимостям присвоен критический уровень опасности (CVSS 9.0 и выше).

В Solaris устранено 8 уязвимостей (максимальный уровень опасности 9.8), в том числе проблема CVE-2017-3632, позволяющая удаленному злоумышленнику выполнить произвольный код с правами суперпользователя. Проэксплуатировав остальные уязвимости, атакующий может осуществить DDoS-атаку или модифицировать данные.

В комплексе Oracle E-Business Suite исправлено более 120 уязвимостей, 118 из них могут эксплуатироваться удаленно. Также устранено 30 уязвимостей в Oracle MySQL, 9 из них могут быть проэксплуатированы удаленно без аутентификации.

Кроме того, компания исправила 37 проблем в решении Oracle Financial Services Applications (для 14 из них возможна дистанционная эксплуатация), и 4 уязвимости в Oracle FLEXCUBE (максимальная степень опасности 8.1), но только одна из проблем может эксплуатироваться удаленно.

Oracle - американская корпорация, специализирующаяся на производстве систем управления базами данных, программного обеспечения для организаций, а также бизнес-приложений. Наиболее известным продуктом компании является объектно-реляционная система управления базами данных Oracle Database.

Дата: 2017-07-19 09:45:55

Источник: http://www.securitylab.ru/news/487435.php



Solar Dozor защищает Банк «Санкт-Петербург» от внутренних угроз

Проект был реализован за четыре месяца – от предпроектного обследования до настройки политик безопасности. Партнером выступила компания «Инфосистемы Джет».

До этого в банке на протяжении нескольких лет использовалась DLP-система «Дозор-Джет». Она успешно решала классические задачи по защите от утечек конфиденциальной информации и персональных данных. В первую очередь, это обеспечивалось за счет мониторинга и анализа сообщений, пересылаемых по различным каналам, и возможности заблокировать нелегитимную отправку чувствительной информации. Кроме того, «Дозор-Джет» автоматизировал работу сотрудников службы информационной безопасности банка при расследовании инцидентов безопасности.

«Мы были удовлетворены возможностями «Дозор-Джет» – система решала задачу по защите от утечки коммерческой тайны, управленческой отчётности и других сведений, критичных для развития бизнеса. Но Solar Dozor 6 не просто находится на новом технологическом уровне, а предлагает принципиально новые инструменты, серьезно расширяющие возможности использования DLP-системы», – комментирует Анатолий Скородумов, заместитель директора, начальник управления по обеспечению информационной безопасности ПАО «Банк «Санкт-Петербург».

Помимо классической задачи защиты от утечек данных, Solar Dozor 6 решает еще одну ключевую задачу офицера безопасности: выявление внутренних угроз, способных нанести организации финансовый и репутационный ущерб, – корпоративного мошенничества, конфликтов интересов и аффилированности сотрудников.

При разработке Solar Dozor 6 акцент был сделан на создании инструментов анализа коммуникаций и поведения сотрудников, выявления аномалий. Они позволяют обнаружить угрозы безопасности на ранней стадии и предпринять необходимые меры до того, как компания пострадает от действий внутренних злоумышленников.

«Решение исповедует подход People Centric Security, поэтому в Solar Dozor 6 фокус сделан на людях и их поведении. DLP Solar Dozor накапливает информацию о действиях сотрудников, на базе которой создаются профили их стандартного поведения, чтобы затем система могла выявить аномалии и оперативно уведомить о них офицера безопасности», – рассказывает Василий Лукиных, менеджер по развитию бизнеса компании Solar Security.

Дата: 2017-07-19 09:41:35

Источник: http://www.iso27000.ru/press-relizy/solar-dozor-zaschischaet-bank-sankt-peterburg-ot-vnutrennih-ugroz



Национальная платежная система Узбекистана использует «КИБ СёрчИнформ» для защиты от утечек информации

«UZCARD» сегодня обеспечивает взаимообслуживание карточек, эмитированных 26 банками-участниками платежной системы. Колоссальное количество конфиденциальной информации требует использования самых современных технологичных решений защиты, которые должны соответствовать государственным и международными стандартам по обеспечению информационной безопасности. Специалисты ЕОПЦ провели тестирование нескольких систем и остановили свой выбор на «Контуре информационной безопасности СёрчИнформ» (КИБ, «КИБ СёрчИнформ»).

«Мы высоко оценили многофункциональность КИБ, гибкость настройки и широкие возможности перехвата данных по различным каналам связи, – объясняет выбор начальник управления информационной безопасности ЕОПЦ Азиз Гафуров. – Принципиальным вопросом было соответствие возможностей системы стандарту Payment Card Industry Data Security Standard (PCI DSS), учреждённому международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. КИБ удовлетворил этим требованиям и уже на этапе тестирования продемонстрировал комплексный подход к обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в нашей инфраструктуре».

Сегодня «Контур информационной безопасности СёрчИнформ» успешно решает следующие задачи ЕОПЦ:

«При помощи «КИБ СёрчИнформ» данные о держателях платёжных карт стали одним из самых надежно контролируемых типов данных в системе «UZCARD», – добавляет Азиз Гафуров. – Особому контролю мы подвергаем email-переписку сотрудников; голосовые и текстовые сообщения, а также переданные файлы; информацию, отправленную на облачные сервисы или принятую с них; посты на форумах и комментарии в блогах; внешние устройства и документы, отправленные на печать. Аналитика ведется в режиме реального времени, но многое решает возможность ретроспективного анализа. Ведь система информационной безопасности в ЕОПЦ, как и в любой организации, не законченный продукт, а итеративный и постоянно совершенствующийся процесс».

«Защита информации в любой области имеет свою специфику. И чем точнее ее учитывает реализованная система безопасности, тем она эффективнее, – комментирует внедрение заместитель коммерческого директора «СёрчИнформ» Евгений Матюшенок. – Тесное сотрудничество с клиентами из финансовой сферы позволило нам хорошо адаптировать возможности DLP-системы под решение специфичных для этой отрасли задач. Сотрудничество с ЕОПЦ в очередной раз доказывает это и обещает быть полезным для обеих сторон».

О компании ЕОПЦ

ЕОПЦ сегодня объединяет платежные системы 26 коммерческих банков; создана межбанковская платежная система безналичных расчетов по пластиковым карточкам, которая обеспечивает взаимообслуживание карточек, эмитированных банками-участниками межбанковской платежной системы «UZCARD». На 2017 год выпущено и обслуживается около 19 миллионов карт МПС «UZCARD». ЕОПЦ обслуживает коммерческие банки в процессинговом, эмиссионном центре и центре массовых платежей, а также предоставляет услуги по сервису и ремонту терминалов, банкоматов и инфокиосков. Одна из главных задач ЕОПЦ – организация комплексного и целенаправленного продвижения передовых банковских информационных технологий и электронных платежных инструментов на финансовый рынок Узбекистана.

Сайт: uzcard.uz

О компании «СёрчИнформ»

ООО «СёрчИнформ» входит в тройку ведущих разработчиков DLP-решений на рынке России и стран СНГ. Флагманский продукт компании – «Контур информационной безопасности СёрчИнформ» – первая российская DLP-система, прошедшая сертификацию на совместимость с ОС Astra Linux Special Edition. «КИБ СёрчИнформ» внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных. В 2015 году компания выпустила новый продукт – систему учета рабочего времени TimeInformer, в 2016 году – собственную SIEM-систему. «СёрчИнформ» – резидент Инновационного центра «Сколково».

Сайт: searchinform.ru

Дата: 2017-07-19 09:33:16

Источник: http://www.iso27000.ru/press-relizy/nacionalnaya-platezhnaya-sistema-uzbekistana-ispolzuet-kib-syorchinform-dlya-zaschity-ot-utechek-informacii



The NukeBot banking Trojan: from rough drafts to real threats

This spring, the author of the NukeBot banking Trojan published the source code of his creation. He most probably did so to restore his reputation on a number of hacker forums: earlier, he had been promoting his development so aggressively and behaving so erratically that he was eventually suspected of being a scammer. Now, three months after the source code was published, we decided to have a look at what has changed in the banking malware landscape.

NukeBot in the wild

The publication of malware source code may be nothing new, but it still attracts attention from across the IT community and some of that attention usually goes beyond just inspecting the code. The NukeBot case was no exception: we managed to get our hands on a number of compiled samples of the Trojan. Most of them were of no interest, as they stated local subnet addresses or ‘localhost/127.0.0.1’ as the C&C address. Far fewer samples had ‘genuine’ addresses and were ‘operational’. The main functionality of this banking Trojan is to make web injections into specific pages to steal user data, but even from operational servers we only received ‘test’ injections that were included in the source code as examples.

Test injections from the NukeBot source code

Test injections from the NukeBot source code

The NukeBot samples that we got hold of can be divided into two main types: one with plain text strings, and the other with encrypted strings. The test samples typically belong to type 1, so we didn’t have any problems extracting the C&C addresses and other information required for analysis from the Trojan body. It was a bit more complicated with the encrypted versions – the encryption keys had to be extracted first and only after that could the string values be established. Naturally, all the above was done automatically, using scripts we had developed. The data itself is concentrated in the Trojan’s one and only procedure that is called at the very beginning of execution.

A comparison of the string initialization procedure in plain text and with encryption.

A comparison of the string initialization procedure in plain text and with encryption.

Decryption (function sub_4049F6 in the screenshot) is performed using XOR with a key.

Implementation of string decryption in Python

Implementation of string decryption in Python

In order to trigger web injections, we had to imitate interaction with C&C servers. The C&C addresses can be obtained from the string initialization procedure.

When first contacting a C&C, the bot is sent an RC4 key which it uses to decrypt injections. We used this simple logic when implementing an imitation bot, and managed to collect web injections from a large number of servers.

Initially, the majority of botnets only received test injects that were of no interest to us. Later, however, we identified a number of NukeBot’s ‘combat versions’. Based on an analysis of the injections we obtained, we presume the cybercriminals’ main targets were French and US banks.

Example of 'combat-grade' web injections

Example of ‘combat-grade’ web injections

Of all the Trojan samples we obtained, 2-5% were ‘combat-grade’. However, it is still unclear if these versions were created by a few motivated cybercriminals and the use of NukeBot will taper off soon, or if the source code has fallen into the hands of an organized group (or groups) and the number of combat-grade samples is set to grow. We will continue to monitor the situation.

We also managed to detect several NukeBot modifications that didn’t have web injection functionality, and were designed to steal mail client and browser passwords. We received those samples exclusively within droppers: after unpacking, they downloaded the required utilities (such as ‘Email Password Recovery’) from a remote malicious server.

Kaspersky Lab products detect the banking Trojans of the NukeBot family as Trojan-Banker.Win32.TinyNuke. Droppers containing this banking Trojan were assigned the verdict Trojan-PSW.Win32.TinyNuke.

MD5

626438C88642AFB21D2C3466B30F2312
697A7037D30D8412DF6A796A3297F37E
031A8139F1E0F8802FF55BACE423284F
93B14905D3B8FE67C2D552A85F06DEC9
A06A16BD77A0FCB95C2C4321BE0D2B26
0633024162D9096794324094935C62C0
9E469E1ADF9AAE06BAE6017A392B4AA9
078AA893C6963AAC76B63018EE4ECBD3
44230DB078D5F1AEB7AD844590DDC13E
FAF24FC768C43B95C744DDE551D1E191
8EBEC2892D033DA58A8082C0C949C718
6DC91FC2157A9504ABB883110AF90CC9
36EB9BDEFB3899531BA49DB65CE9894D
D2F56D6132F4B6CA38B906DACBC28AC7
79E6F689EECB8208869D37EA3AF8A7CA
9831B1092D9ACAEB30351E1DB30E8521

Дата: 2017-07-19 09:20:56

Источник: https://securelist.com/the-nukebot-banking-trojan-from-rough-drafts-to-real-threats/78957/



Уязвимость SambaCry используется в атаках на сетевые хранилища

С помощью SambaCry хакеры устанавливают бэкдор-троян SHELLBIND.

Неизвестные злоумышленники эксплуатируют уязвимость SambaCry для установки бэкдоров на Linux-устройствах, использующих старые версии файлообменного сервера Samba.

Подробности об уязвимости SambaCry, также известной как EternalRed (CVE-2017-7494), были раскрыты в мае текущего года. Спустя две недели после ее публичного раскрытия хакеры стали эксплуатировать уязвимость для заражения Linux-серверов майнером криптовалюты EternalMiner. Теперь эксперты Trend Micro обнаружили , что в атаках с эксплуатацией SambaCry также используется вредоносное ПО SHELLBIND.

SHELLBIND представляет собой простой бэкдор-троян, позволяющий удаленно открывать оболочку на инфицированных устройствах. Вредонос изменяет политики локального межсетевого экрана и открывает TCP-порт 61422, благодаря чему атакующий может подключаться к взломанному устройству. SHELLBIND сообщает своему оператору об успешном заражении, пингуя сервер 169[.]239[.]128[.]123 через порт 80. Атакующий извлекает новые IP-адреса из журнала сервера и вручную подключается к каждому инфицируемому хосту через порт 61422. Доступ к оболочке трояна защищен паролем, вшитым в код вредоноса.

В отличие от EternalMiner, инфицирующем в основном Linux-серверы, SHELLBIND был обнаружен преимущественно на сетевых хранилищах данных (NAS), хотя он заражал и другие устройства «Интернета вещей» (IoT).

Дата: 2017-07-19 07:57:41

Источник: http://www.securitylab.ru/news/487432.php



«Дьявольская» уязвимость ставит под угрозу тысячи IoT-устройств

В библиотеке gSOAP обнаружена уязвимость Devil's Ivy.

Исследователи компании Senrio обнаружили уязвимость в библиотеке gSOAP, ставящую под угрозу тысячи устройств «Интернета вещей» (IoT). Уязвимость CVE-2017-9765, получившая название Devil's Ivy, позволяет вызвать переполнение буфера, однако экспертам удалось с ее помощью выполнить код на уязвимой камере безопасности.

Проблема была обнаружена во время анализа прошивки камер безопасности Axis M3004. Когда исследователи уведомили о ней производителя, представители Axis сообщили, что уязвимость затрагивает 249 из 252 выпускаемых компанией моделей камер безопасности. Производитель уже выпустил обновления для своих продуктов. Разработчик библиотеки Genivia исправил уязвимость в версии gSOAP 2.8.48, вышедшей 21 июня текущего года.

По данным, указанным на сайте gSOAP, библиотека была загружена более 1 млн раз. Согласно подсчетам Senrio, Devil's Ivy затрагивает тысячи устройств.

gSOAP – библиотека с двойным лицензированием (бесплатная и коммерческая), широко используемая в разработке прошивки для встроенных устройств. Библиотека разработана компанией Genivia и позволяет производить продукты в соответствии с новейшими промышленными стандартами XML, XML Web services, WSDL и SOAP, REST, JSON, WS-Security, WS-Trust с SAML, WS-ReliableMessaging, WS-Discovery, TR-069, ONVIF, AWS, WCF и пр.

Дата: 2017-07-19 06:39:12

Источник: http://www.securitylab.ru/news/487430.php



Улучшенный эксплоит АНБ может атаковать практически любую версию Windows

ETERNALSYNERGY — это один из инструментом из хакерского арсенала АНБ, похищенный у спецслужб группой The Shadow Brokers и опубликованный в открытом доступе в апреле 2017 года. Согласно техническому анализу специалистов Microsoftinfo-icon, эксплоит способен выполнить произвольный код на Windows-машине, если SMB открыт для внешних соединений, эксплуатируя уязвимость CVE-2017-0143.

При этом ETERNALSYNERGY работал лишь для Windows 8. Исследователи Microsoft отмечали, что ряд изменений в безопасности ядра не позволяют вредоносу влиять на более новые версии ОС.

Тайский исследователь Воравит Ван (Worawit Wang) сумел модифицировать ETERNALSYNERGY таким образом, чтобы эксплоит представлял опасность и для более новых версий Windows. Специалист пишет, что в его версии инструмент по-прежнему атакует ту же уязвимость, но использует другую методику атак, пишет xakep.ru.

Ван уверяет, что доработанная версия эксплоита не вызывает краха системы, ведь, в его понимании, это совершенно недопустимо. Напомню, что во время эпидемии WannaCry эксплоит ETERNALBLUE демонстрировал успешное срабатывание преимущественно на компьютерах под управлением Windows 7, тогда как Windows XP часто «падала» во время работы инструмента.

ETERNALSYNERGY Вана был успешно протестирован и работает для;

По сути, это означает, что теперь для уязвимости CVE-2017-0143 существуют три актуальных эксплоита: ETERNALSYNERGY, ETERNALROMANCE и версия Вана. Сочетая эти инструменты, атакующий сможет скомпрометировать практически любую систему из семейства Windows, не считая разве что Windows 10. Разумеется, если пользователь не установил патч MS17-010.

Дата: 2017-07-19 05:45:35

Источник: https://www.anti-malware.ru/news/2017-07-19/23459



В Китае по делам о краже личных данных задержали около 5 тысяч человек

Власти Китая за последние четыре месяца задержали 4800 человек по делам о краже персональных данных в сети интернет, сообщило министерство общественной безопасности КНР.

В заявлении ведомства отмечается, что в последние годы в связи с быстрым развитием интернет-технологий традиционные преступления все активнее распространяются и во всемирной сети, заметно участились случаи утечки личной информации и кража данных для последующего их использования в мошеннических схемах и для вымогательства.

За последние четыре месяца в ходе спецопераций по всей стране правоохранительным органам Китая удалось раскрыть более 1800 дел, связанных с хакерскими взломами и хищением персональных данных, пишет ria.ru.

Согласно информации министерства общественной безопасности КНР, все чаще источниками утечек становятся сотрудники крупных компаний и общественных организаций, они незаконно получают информацию и продают ее заинтересованным лицам, также участились случаи хищения информации непосредственно у интернет-провайдеров.

Дата: 2017-07-19 05:32:33

Источник: https://www.anti-malware.ru/news/2017-07-19/23458



Хакер из Иванова атаковал сайт Курской области

Киберпреступнику грозит лишение свободы на срок до четырех лет.

Сотрудники УФСБ по Ивановской области задержали местного жителя по подозрению в организации кибератаки на сайт Курской области в начале текущего года.

Как считают следователи, в январе 2017 года подозреваемый загрузил из интернета вредоносное ПО для уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации. 9 января с ее помощью злоумышленник атаковал государственный информационный ресурс, а именно – официальный сайт Курской области.

Против подозреваемого было заведено уголовное дело по ч. 1 ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». За вменяемые ему преступления жителю города Иванова грозит наказание в виде четырех лет лишения свободы и штраф в размере до 200 тыс. руб.

Напомним , на днях был вынесен приговор 36-летнему жителю Тамбова, попытавшемуся атаковать сайт одного федеральных министерств.

Дата: 2017-07-19 05:25:00

Источник: http://www.securitylab.ru/news/487425.php



Иностранные компании смогут платить «налог на Google» за юрлиц и ИП

В ФНС активно обсуждают изменения нормативного регулирования.

В Федеральной налоговой службе (ФНС) РФ обсуждают возможность предоставить право иностранным поставщикам электронных услуг уплачивать «налог на Google» за юридических лиц и индивидуальных предпринимателей. Сейчас такие компании после регистрации в ФНС могут платить налог только за физлиц.

Летом 2016 года закон о введении НДС для электронных услуг (так называемый «налог на Google») был подписан президентом РФ Владимиром Путиным. Согласно ему, зарубежные сервисы, предоставляющие электронные услуги на территории России, должны регистрироваться как налоговые резиденты и уплачивать НДС в размере 15,25%. При этом иностранные компании должны платить налог только за услуги физлицам. Российские фирмы и ИП, приобретающие услуги у зарубежного сервиса, должны платить налог самостоятельно. Теперь же иностранным компаниям может быть предоставлена возможность платить за всех своих российских клиентов.

«Это было бы удобно и для участников рынка, и для государства. К примеру, ИП и организации, которые применяют специальные налоговые режимы не должны уплачивать НДС. Но сейчас они вынуждены выполнять функцию налогового агента, а значит - сдавать декларации, уплачивать налог и т.д.», - приводят «Известия» комментарий представителей ФНС.

Дата: 2017-07-19 05:03:04

Источник: http://www.securitylab.ru/news/487424.php