Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Mac на службе у хакера. Часть 6 – Настройка менеджера пакетов Homebrew

Половина пути по настройке Mac для нужд пентестера уже пройдена, и теперь, после ознакомления с основами Git, настало время научиться использовать менеджер пакетов.

Автор: Barrow

Половина пути по настройке Mac для нужд пентестера уже пройдена, и теперь, после ознакомления с основами Git, настало время научиться использовать менеджер пакетов.

Без помощи менеджера пакетов в среде Linux/Unix вы будете делать много дополнительной работы. То есть, если вы захотите опробовать новую утилиту, то придется выполнять компиляцию исходников. Конечно, можно воспользоваться Mac App Store, однако большинство нужных нам утилит с открытым исходным кодом, которыми пользуются хакеры и профессионалы по безопасности, там отсутствуют.

Чтобы приложение появилось в Mac App Store разработчик должен заплатить деньги, а код утилиты пройти проверку со стороны сотрудников Apple, что, как вы понимаете, вносит дополнительные сложности. В общем, нам нужен альтернативный менеджер пакетов для загрузки и установки свободного программного обеспечения такого как Hydra, Aircrack-ng, GNU Coreutils (если вы, как и я, тяготеете больше к Linux, чем к Unix) или некоторые зависимости для утилит, которые размещаются на GitHub.

Почему без менеджера пакетов жизнь становится сложнее

Если бы я захотел скомпилировать Aircrack-ng из исходных текстов на моей машине с macOS, то вначале мне нужно было бы удостовериться, что присутствуют в нужных местах и работают корректно все необходимые зависимости. Затем мне потребовалось бы загрузить и сконфигурировать Aircrack-ng, выполнить компиляцию и попутно решить все возникающие проблемы.

Через несколько месяцев мне потребовалось бы обновить скомпилированное приложение. То есть нужно было бы удалить ранее установленное приложение, проверить, все ли библиотеки последних версий и повторить процесс заново.

атем проверить, есть ли зависимости, которые больше не используются (пришлось бы отслеживать, что установлено ранее).

В случае с менеджером пакетов, все вышеупомянутые операции выполняются в автоматическом режиме.

Выбор подходящего менеджера пакетов

Существует несколько менеджеров пакетов для macOS (например, Macports и Nix), но я предпочитаю Homebrew, поскольку у этого приложения интуитивно понятный синтаксис, высокая скорость и хорошая поддержка пакетов. Кроме того, Homebrew больше использует стандартные библиотеки, встроенные в macOS, вместо установки новых. Еще одно удобство: можно работать от имени обычного пользователя, и нет необходимости в использовании sudo. И самый главный плюс: Homebrew хранит всю информацию внутри своей песочницы в папке /usr/local.

При скачивании исходных текстов и бинарных файлов этот менеджер пакетов попутно скачивает все необходимые зависимости. Далее Homebrew отслеживает все, что установлено, и в какой директории. Кроме того, отслеживается информация о конфигурации. Короче говоря, поддержка программного обеспечения сильно упрощается.

Вначале я буду искать нужный мне пакет в резпозитории Homebrew прежде чем клонировать с GitHub и компилировать исходные тексты. Если пакет не найден через Homebrew, можно попробовать создать новую формулу для отсутствующего пакета. Хотя в резпозитории Homebrew не особо много приложений, используемых пентестерами, однако много библиотек и других полезных утилит с открытым исходным кодом.

Шаг 1: Установка Homebrew

Первый шаг – скачать Homebrew с сайта http://brew.sh. Перед установкой нелишним будет проверить исходный код установочного скрипта. В целом, я не очень люблю пользоваться скриптами из интернета, но в случае с Homebrew я доверяю коду, который хранится в репозитории. Во-первых, исходники хранятся на GitHub и доступны для изучения. Во-вторых, у автора нет доступа к внутренней кухне GitHub, и нет возможности поиска и подключения к каналам, используемым cURL.

Откройте iTerm и выполните следующую команду:

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Появится запрос на ввод пароля.
clip_image002.jpg
Рисунок 1: Установка Homebrew

Шаг 2: Создание токена доступа

Если вы выполняете поиск в репозитории brew достаточно часто, вам понадобится токен доступа поскольку GitHub API имеет ограничение на количество запросов.

clip_image004.jpg
Рисунок 2: Ошибка при поиске в репозитории, связанная с ограничением количества запросов

Чтобы настроить токен, нужно перейти по ссылке из терминала, залогиниться на GitHub и удостовериться, что сняты все флажки, поскольку нам нужен только токен.

clip_image006.jpg
Рисунок 3: Настройка нового токена

В самом низу страницы нажмите на «Generate Token». Далее нужно добавить созданный токен в Homebrew.

Шаг 3: Добавление токена

Чтобы добавить созданный токен, нужно отредактировать файлы .bashrc и .bash_profile, которые находятся в вашей домашней директории. Файл .bash_profile представляет собой персональный файл для инициализации, используемый во время авторизации в шелле (через SSH или консоль), в то время как .bashrc используется при каждом открытии нового экземпляра шелла после авторизации.

Мы можем один раз связать .bash_profile с .bashrc и затем все настройки перенести в .bashrc. В этом случае, если, например, мы подключимся к системе через SSH, то будем иметь среду с теми же настройками, что и в локальном терминале.
Для редактирования файлов я буду использовать Vim, однако вы можете работать с любым привычным вам текстовым редактором, либо стандартным редактором, если в терминале введете команду open ~/filename.

Чтобы использовать Vim, откройте новое окно с iTerm или введите команду cd для перехода в домашнюю директорию, и запустите следующую команду (если .bashrc отсутствует, для создания этого файла введите команду touch .bashrc):

Далее в режиме вставки добавьте в конец файла следующую строку. Для добавления после курсора введите символ a, для добавления перед курсором – символ i.

Строку YOUR_TOKEN_HERE необходимо заменить на созданный токен.
clip_image008.jpg
Рисунок 4: Содержимое файла .bashrc

Далее нажмите Esc для переключения в обычный режим и введите :wq для сохранения файла. Двоеточие означает начало команды, символы wq – сохранить изменения и завершить работу.
Затем необходимо отредактировать файл .bash_profile. Вводим следующую команду (если .bash_profile отсутствует, для создания этого файла введите команду touch .bash_profile):

В конце файла добавьте следующую строку (схожим образом используйте символы a и i для добавления после и до курсора):

clip_image010.jpg
Рисунок 5: Содержимое файла .bash_profile

После завершения редактирования нажмите Esc и введите команду :wq для сохранения изменений и выхода из редактора.

Далее укажем Bash, что нужно выполнить команды из файла .bashrc, как если бы эти команды запускались из командной строки:

Настройка токена завершена. Переходим к работе непосредственно с Homebrew.

Шаг 4: Использование Homebrew

Homebrew во многом схож с другими менеджерами пакетов, используемыми в Linux. Перед началом работы ознакомимся со справочной информацией при помощи следующей команды:

clip_image012.jpg
Рисунок 6: Справочная информация о Homebrew

Очень простой менеджер пактов. Если вы знакомы с APT, то, возможно, найдете много общего между этими двумя приложениями.

Теперь попробуем установить какой-нибудь пакет. Я выбрал популярную утилиту Hydra, которая предназначена для брутфорса паролей. Вначале проверяем, есть ли этот пакет в репозитории, при помощи следующей команды:

Далее смотрим информацию о найденном пакете, чтобы удостовериться, что это именно то приложение, которое мы ищем:

clip_image014.jpg
Рисунок 7: Поиск и получение информации о пакете Hydra

Затем при помощи следующей команды устанавливаем пакет (я выбрал установку с графическим интерфейсом):

После завершения установки приложение готово к работе:

clip_image016.jpg
Рисунок 8: Графическая оболочка для приложения Hydra

Как вы могли убедиться, прочитав справку, обновление, удаление и другие операции с утилитами интуитивно понятны.

Заключение

Установка и поддержка пакетов при помощи Homebrew не составляет труда, особенно если у вас есть опыт работы с Linux. Перед установкой приложения с открытым исходным кодом я практически всегда вначале ищу в репозитории для Homebrew. Если пакет отсутствует, я скачиваю исходный текст с GitHub. Большинство нужд, связанных с приложениями, можно решить при помощи этих двух методов.


Дата: 2018-04-23 12:33:00

Источник: http://www.securitylab.ru/analytics/492845.php



Роскомнадзор опроверг сообщения о блокировке Google и YouTube

Из-за блокировки сервиса re:Captcha от Google продажи электронного ОСАГО упали в четыре раза.

В воскресенье, 22 апреля, российские пользователи столкнулись с проблемами при попытках получить доступ к поисковику и ряду других сервисов Google. Сообщалось, будто операторы связи получили от регулятора выгрузку из реестра, содержащую несколько предназначенных для блокировки IP-адресов Google. Тем не менее, сегодня, 23 апреля, Роскомнадзор официально опроверг сообщения о внесении таких сервисов от Google, как Gmail, YouTube, Google Play и Google Диск в реестр запрещенных.

«В связи с публикацией сообщений об ограничении доступа к сетевым ресурсам компании Google информируем, что IP-адреса Gmail и YouTube в реестр запрещенной информации не вносились и на блокировку операторам связи не направлялись», - сообщает Роскомнадзор.

Тем не менее, как сообщалось ранее, регулятор все-таки заблокировал сервис re:Captcha от Google. Блокировка сервиса привела к падению продаж электронного ОСАГО. Как сообщает ТАСС со ссылкой на источник в Российском союзе автостраховщиков (РСА), в понедельник уровень продаж снизился в четыре раза по сравнению со средним показателем.

Из-за блокировки возникли проблемы с авторизацией в модуле для обращения граждан и подсистеме Е-Гарант, обеспечивающий переадресацию между сайтами страховщиков через ресурс РСА. С каждым часом ситуация становится хуже, сообщает источник. Так, с 12 до 13 часов по Москве в понедельник было продано 49 полисов, хотя как правило в это время продается в среднем 300 полисов.

Дата: 2018-04-23 12:16:30

Источник: http://www.securitylab.ru/news/492841.php



Автогол. Тестируем защиту от DDoS-атак

dils9k2go8dgm3tckmisjle9nda.png

Тема DDoS-атак, их типов и способов защиты уже неоднократно поднималась нашими авторами в прошлом. Мы внимательно следим за пожеланиями наших читателей и поэтому сегодня продемонстрируем услугу по защите от DDoS на живом примере. В этой статье мы разберем подобную задачу: сделаем тестовое веб-приложение, организуем стресс-тест, симулирующий DDoS-атаку, и сравним статистику загрузки сети с защитой и без неё.

Под катом много изображений и гифок.

О типах DDoS-атак и способах защиты от них мы уже писали в нашем предыдущем материале. Помимо базовых решений по контролю и фильтрации сетевого трафика, Selectel предоставляет услугу по расширенной защите от DDoS-атак. Подобный уровень защиты добавляет в комплекс очистки трафика дополнительную ступень в виде специального прокси-сервера, настроенного под конкретные приложения.

В этой статье мы рассмотрим случай атаки, нацеленной на перегрузку полосы пропускания, а конкретно используем метод DrDOS (Distributed Reflection Denial of Service), использующий технику отражения запросов. Подобный метод интересен тем, что позволяет многократно усиливать объем атаки по сравнению с пропускной способностью зараженной машины, и был выбран нами поскольку наглядно показывает масштаб возможной атаки.

План действий


Демонстрацию услуги по защите от DDoS-атак мы проведем с помощью эксперимента, целью которого будет сравнение работоспособности веб-сервера, находящегося под DDoS-атакой, с подключенной услугой и без неё. Для этого мы организуем два стресс-теста с одинаковыми параметрами атаки на заранее подготовленный веб-сервер в VPC через защищенный и прямой IP-адрес. Степень влияния услуги по защите от DDoS-атак на фильтрацию нежелательного трафика мы оценим с помощью метрик загрузки процессора и сетевого устройства. Кроме того, используем инструмент мониторинга сервисов для определения доступности веб-сервера в разных локациях.

Веб-сервер:


Инструменты мониторинга:
Инструмент для стресс-теста:
В результате проведения испытаний ожидается, что при подключенной услуге по защите от DDoS-атак работоспособность сервиса нарушена не будет. В следующей части мы рассмотрим создание и настройку приложения в VPC и процесс подключения услуги. Затем проведем стресс-тесты и сравним показания метрик.

Настройка приложения и подключение услуги по защите от DDoS


В качестве среды для размещения веб-сервера мы выбрали виртуальное приватное облако за возможность быстрого создания виртуальной машины и подключения публичной подсети:

t2rsc60juxowagiraqwetu6teyu.png

В состав выделенных ресурсов мы также включили публичную подсеть — для работы с услугой по защите от DDoS плавающий IP-адрес не подходит:

x9bvbutpfuczpo9pfdfa1tptzxy.png

Далее создадим сервер внутри проекта, используя в качестве источника для установки системы готовый образ Ubuntu 16.04. В разделе настройки сети необходимо выбрать подключение через зарезервированную ранее публичную подсеть, а также выбрать и записать публичный IP-адрес: он понадобится нам позже.

8r5-ylxpzu939p0jccgdnflmpw8.png

После установки сервера настроим Wordpress, используя стандартный LAMP-стек:

in6qqrqut9llmxscodlsiyia_za.png

Убедившись в работоспособности приложения, перейдем к заказу услуги по защите от DDoS.

Подключение услуги Базовая защита от DDoS


Заказ услуги осуществляется в разделе Сети и услуги в личном кабинете Selectel:

vcg9vxayd5chrkqqi0a7rmcrx4g.png

Выберем пункт Базовая защита от DDoS 10 Мбит/с и произведем оплату услуги:

4vpgdt5iq1kmyeymf31yh6qc7gi.png

После подключения услуги будет создан тикет в техническую поддержку для настройки защиты под ваше приложение. Сотруднику техподдержки необходимо сообщить IP-адрес и тип приложения. После получения всей необходимой информации будет произведена настройка защиты. Дополнительные сведения о подключенной защите и сервисах будут в ответном сообщении службы поддержки:

g12vrb0yewr79r1lbiwyjseeihu.png

Нам был выделен защищенный IP-адрес, который мы настроим далее, а также указаны данные для доступа к сервису статистики атак. Кроме того, как видно из сообщения, необходимо настроить приложение для работы с новым выделенным защищенным IP-адресом, поскольку трафик, поступающий на первоначальный IP-адрес не будет фильтроваться.

Настройка алиасов немного различается в различных системах, в нашем примере мы используем Ubuntu, где это осуществляется следующей командой:

$ sudo ifconfig eth0:0 95.213.255.18 up

На данном этапе остается протестировать работу и доступность сервиса через защищенный IP-адрес:

0uv0quwoxyqfesupkkfs5f0w4fq.png

Стресс-тест на незащищенный IP-адрес


Перейдем к стресс-тесту системы на незащищенный IP-адрес со следующими настройками атаки:

uuzje38rlrvnbzbfk7k75eayo8a.png

В качестве целевого хоста указан адрес, который при реальном использовании услуги необходимо будет скрывать — трафик, идущий на него не будет фильтроваться и приведет к отказу работоспособности системы.

Начнём первый стресс-тест:

vigfxm9xzd1hc9x0vhqy2uks7-q.gif

Видно, что почти мгновенно происходит перегрузка процессора и объем принимаемого трафика стремится к 3Гбит/с:

hfqnspcchzigwlpmdr5yzh83q04.gif

Теперь оценим доступность и время отклика сервиса в разных географических точках:

2z0rzvdxekcmovw5azaftcz3mi0.gif

Большая часть точек проверок показала недоступность указанного сервиса и большое время отклика, что говорит об успешном проведении стресс-теста и уязвимости текущей конфигурации перед DDoS-атаками транспортного уровня.

Резюмируя полученные результаты, очевидно, что веб-сервер полностью принял на себя весь объем тестовой атаки, а в случае увеличения нагрузки произошел бы отказ работоспособности приложения. Далее мы протестируем доступность веб-сервер с подключенной услугой по защите от DDoS атак, однако в реальных системах крайне желательно провести дополнительные мероприятия по обеспечению безопасности приложения на программном уровне.

Стресс-тест на защищенный IP-адрес


Используя полностью аналогичные параметры для атаки кроме IP-адреса, запустим стресс-тест:

fxjyprlva-gqt7exvbir6e0iisu.gif

Видно, что регистрируемый объем входящего трафика составляет около 120 Мбит/с, а нагрузка на процессор составляет около 20%:

xjvg1hlimpfryrsxfkerfk5kpd8.gif

Теперь перейдем к тестированию доступности и времени отклика веб-сервера через инструмент мониторинга:

4y6lae0lklxp4lp-ksewttrbk5u.gif

Уже сейчас можно сказать, что использование подобной услуги по защите от DDoS-атак обеспечивает определенный уровень безопасности веб-сервера.

Мониторинг атак и статистика


Как только начинается атака на защищенный адрес, служба Servicepipe уведомляет клиента об этом по email:

yy1uvdpyopesunxl0exarcmoqn4.png

Для просмотра информации об атаках в реальном времени доступен веб-интерфейс:

ge-zngy2wzeuaaxglhnrnrw7oge.png

В нем содержится более подробная информация о поступающем трафике:

ysqixdkpimz7_2xrjd0nksaolac.png

А также можно увидеть источники трафика по странам:

bjd4rwbkv_mods3cny4k4v4d3jg.png

Вывод


Проведенный опыт показал сохранение работоспособности веб-сервера под тестовой DDoS-атакой при подключенной услуге по защите от DDoS. Кроме того, использование сервиса Servicepipe позволяет отслеживать в реальном времени поступающие DDoS-атак без дополнительных настроек рабочих систем и оперативно реагировать на них.

В пространство дальнейших исследований можно включить создание более сложных стресс-тестов и использование не только базовой защиты, но и расширенной с более совершенными инструментами фильтрации трафика.

Ознакомиться с типами защит и успешным опытом наших клиентов можно на странице услуги.

Дата: 2018-04-23 11:23:11

Источник: https://habrahabr.ru/post/354112/



Energetic Bear/Crouching Yeti: attacks on servers

no-image

Energetic Bear/Crouching Yeti is a widely known APT group active since at least 2010. The group tends to attack different companies with a strong focus on the energy and industrial sectors. Companies attacked by Energetic Bear/Crouching Yeti are geographically distributed worldwide with a more obvious concentration in Europe and the US. In 2016-2017, the number of attacks on companies in Turkey increased significantly.

The main tactics of the group include sending phishing emails with malicious documents and infecting various servers. The group uses some of the infected servers for auxiliary purposes – to host tools and logs. Others are deliberately infected to use them in waterhole attacks in order to reach the group’s main targets.

Recent activity of the group against US organizations was discussed in a US-CERT advisory, which linked the actor to the Russian government, as well as an advisory by the UK National Cyber Security Centre.

This report by Kaspersky Lab ICS CERT presents information on identified servers that have been infected and used by the group. The report also includes the findings of an analysis of several webservers compromised by the Energetic Bear group during 2016 and in early 2017.

Attack victims

The table below shows the distribution of compromised servers (based on the language of website content and/or the origins of the company renting the server at the time of compromise) by countries, attacked company types and the role of each server in the overall attack scheme. Victims of the threat actor’s attacks were not limited to industrial companies.

Table 1. Compromised servers

Country Description Role in the attack
Russia Opposition political website Waterhole
Real estate agency Auxiliary (collecting user data in the waterhole attack)
Football club Waterhole
Developer and integrator of secure automation systems and IS consultant Waterhole
Developers of software and equipment Auxiliary (collecting user data in the waterhole attack, tool hosting)
Investment website Auxiliary (collecting user data in the waterhole attack)
Ukraine Electric power sector company Waterhole
Bank Waterhole
UK Aerospace company Waterhole
Germany Software developer and integrator Waterhole
Unknown Auxiliary (collecting user data in the waterhole attack)
Turkey Oil and gas sector enterprise Waterhole
Industrial group Waterhole
Investment group Waterhole
Greece Server of a university Auxiliary (collecting user data in the waterhole attack)
USA Oil and gas sector enterprise Waterhole
Unknown Affiliate network site Auxiliary (collecting user data in the waterhole attack)

Waterhole

All waterhole servers are infected following the same pattern: injecting a link into a web page or JS file with the following file scheme: file://IP/filename.png.

Injected link with the file scheme

The link is used to initiate a request for an image, as a result of which the user connects to the remote server over the SMB protocol. In this attack type, the attackers’ goal is to extract the following data from the session:

It should be noted that the image requested using the link is not physically located on the remote server.

Scanned resources

Compromised servers are in some cases used to conduct attacks on other resources. In the process of analyzing infected servers, numerous websites and servers were identified that the attackers had scanned with various tools, such as nmap, dirsearch, sqlmap, etc. (tool descriptions are provided below).

Table 2. Resources that were scanned from one of the infected servers

Country
(based on the content)
Description
Russia Non-profit organization
Sale of drugs
Travel/maps
Resources based on the Bump platform (platform for corporate social networks) – non-profit organization, social network for college/university alumni, communication platform for NGOs, etc.
Business – photographic studio
Industrial enterprise, construction company
Door manufacturing
Cryptocurrency exchange
Construction information and analysis portal
Personal website of a developer
Vainah Telecom IPs and Subnets (Chechen Republic)
Various Chechen resources (governmental organizations, universities, industrial enterprises, etc.)
Web server with numerous sites (alumni sites, sites of industrial and engineering companies, etc.)
Muslim dating site
Brazil Water treatment
Turkey Hotels
Embassy in Turkey
Software developer
Airport website
City council website
Cosmetics manufacturer
Religious website
Turktelekom subnet with a large number of sites
Telnet Telecom subnet with a large number of sites
Georgia Personal website of a journalist
Kazakhstan Unknown web server
Ukraine Office supplies online store
Floral business
Image hosting service
Online course on sales
Dealer of farming equipment and spare parts
Ukrainian civil servant’s personal website
Online store of parts for household appliance repair
Timber sales, construction
Tennis club website
Online store for farmers
Online store of massage equipment
Online clothes store
Website development and promotion
Online air conditioner store
Switzerland Analytical company
US Web server with many domains
France Web server with many domains
Vietnam Unknown server
International Flight tracker

The sites and servers on this list do not seem to have anything in common. Even though the scanned servers do not necessarily look like potential final victims, it is likely that the attackers scanned different resources to find a server that could be used to establish a foothold for hosting the attackers’ tools and, subsequently, to develop the attack.

Part of the sites scanned may have been of interest to the attackers as candidates for hosting waterhole resources.

In some cases, the domains scanned were hosted on the same server; sometimes the attackers went through the list of possible domains matching a given IP.

In most cases, multiple attempts to compromise a specific target were not identified – with the possible exception of sites on the Bump platform, flight tracker servers and servers of a Turkish hotel chain.

Curiously, the sites scanned included a web developer’s website, kashey.ru, and resources links to which were found on this site. These may have been links to resources developed by the site’s owner: www.esodedi.ru, www.i-stroy.ru, www.saledoor.ru

Toolset used

Utilities

Utilities found on compromised servers are open-source and publicly available on GitHub:

In addition, a custom Python script named ftpChecker.py was found on one of the servers. The script was designed to check FTP hosts from an incoming list.

Malicious php files

The following malicious php files were found in different directories in the nginx folder and in a working directory created by the attackers on an infected web servers:

File name Brief description md5sum Time of the latest file change (MSK) Size, bytes
ini.php wso shell+ mail f3e3e25a822012023c6e81b206711865 2016-07-01 15:57:38 28786
mysql.php wso shell+ mail f3e3e25a822012023c6e81b206711865 2016-06-12 13:35:30 28786
opts.php wso shell c76470e85b7f3da46539b40e5c552712 2016-06-12 12:23:28 36623
error_log.php wso shell 155385cc19e3092765bcfed034b82ccb 2016-06-12 10:59:39 36636
code29.php web shell 1644af9b6424e8f58f39c7fa5e76de51 2016-06-12 11:10:40 10724
proxy87.php web shell 1644af9b6424e8f58f39c7fa5e76de51 2016-06-12 14:31:13 10724
theme.php wso shell 2292f5db385068e161ae277531b2e114 2017-05-16 17:33:02 133104
sma.php PHPMailer 7ec514bbdc6dd8f606f803d39af8883f 2017-05-19 13:53:53 14696
media.php wso shell 78c31eff38fdb72ea3b1800ea917940f 2017-04-17 15:58:41 1762986

In the table above:

https://github.com/wso-shell/WSO

Two of the PHP scripts found, ini.php and mysql.php, contained a WSO shell concatenated with the following email spamming script:

https://github.com/bediger4000/php-malware-analysis/tree/master/db-config.php

All the scripts found are obfuscated.

wso shell – error_log.php

Deobfuscated wso shell – error_log.php

One of the web shells was found on the server under two different names (proxy87.php and code29.php). It uses the eval function to execute a command sent via HTTP cookies or a POST request:

Web shell – proxy87.php

Deobfuscated web shell – proxy87.php

Modified sshd

A modified sshd with a preinstalled backdoor was found in the process of analyzing the server.

Patches with some versions of backdoors for sshd that are similar to the backdoor found are available on GitHub, for example:

https://github.com/jivoi/openssh-backdoor-kit

Compilation is possible on any OS with binary compatibility.

As a result of replacing the original sshd file with a modified one on the infected server, an attacker can use a ‘master password’ to get authorized on the remote server, while leaving minimal traces (compared to an ordinary user connecting via ssh).

In addition, the modified sshd logs all legitimate ssh connections (this does not apply to the connection that uses the ‘master password’), including connection times, account names and passwords. The log is encrypted and is located at /var/tmp/.pipe.sock.

Decrypted log at /var/tmp/.pipe.sock

Activity of the attackers on compromised servers

In addition to using compromised servers to scan numerous resources, other attacker activity was also identified.

After gaining access to the server, the attackers installed the tools they needed at different times. Specifically, the following commands for third-party installations were identified on one of the servers:

Additionally, the attackers installed any packages and tools for Python they needed.

The diagram below shows times of illegitimate logons to one of the compromised servers during one month. The attackers checked the smbtrap log file on working days. In most cases, they logged on to the server at roughly the same time of day, probably in the morning hours:

Times of illegitimate connections with the server (GMT+3)

In addition, in the process of performing the analysis, an active process was identified that exploited SQL injection and collected data from a database of one of the victims.

Conclusion

The findings of the analysis of compromised servers and the attackers’ activity on these servers are as follows:

  1. With rare exceptions, the group’s members get by with publicly available tools. The use of publicly available utilities by the group to conduct its attacks renders the task of attack attribution without any additional group ‘markers’ very difficult.
  2. Potentially, any vulnerable server on the internet is of interest to the attackers when they want to establish a foothold in order to develop further attacks against target facilities.
  3. In most cases that we have observed, the group performed tasks related to searching for vulnerabilities, gaining persistence on various hosts, and stealing authentication data.
  4. The diversity of victims may indicate the diversity of the attackers’ interests.
  5. It can be assumed with some degree of certainty that the group operates in the interests of or takes orders from customers that are external to it, performing initial data collection, the theft of authentication data and gaining persistence on resources that are suitable for the attack’s further development.

Appendix I – Indicators of Compromise

Filenames and Paths

Tools*

/usr/lib/libng/ftpChecker.py
/usr/bin/nmap/
/usr/lib/libng/dirsearch/
/usr/share/python2.7/dirsearch/
/usr/lib/libng/SMBTrap/
/usr/lib/libng/commix/
/usr/lib/libng/subbrute-master/
/usr/share/python2.7/sqlmap/
/usr/lib/libng/sqlmap-dev/
/usr/lib/libng/wpscan/
/usr/share/python2.7/wpscan/
/usr/share/python2.7/Sublist3r/

*Note that these tools can also be used by other threat actors.

PHP files:

/usr/share/python2.7/sma.php
/usr/share/python2.7/theme.php
/root/theme.php
/usr/lib/libng/media.php

Logs

/var/tmp/.pipe.sock

PHP file hashes

f3e3e25a822012023c6e81b206711865
c76470e85b7f3da46539b40e5c552712
155385cc19e3092765bcfed034b82ccb
1644af9b6424e8f58f39c7fa5e76de51
2292f5db385068e161ae277531b2e114
7ec514bbdc6dd8f606f803d39af8883f
78c31eff38fdb72ea3b1800ea917940f

Yara rules

rule Backdoored_ssh {
strings:
$a1 = “OpenSSH”
$a2 = “usage: ssh”
$a3 = “HISTFILE”
condition:
uint32(0) == 0x464c457f and filesize<1000000 and all of ($a*)
}

Appendix II – Shell script to check a server for tools

Shell script for Debian

cd /tmp
workdir=428c5fcf495396df04a459e317b70ca2
mkdir $workdir
cd $workdir
find / -type d -iname smbtrap > find-smbtrap.txt 2>/dev/null
find / -type d -iname dirsearch > find-dirsearch.txt 2>/dev/null
find / -type d -iname nmap > find-nmap.txt 2>/dev/null
find / -type d -iname wpscan > find-wpscan.txt 2>/dev/null
find / -type d -iname sublist3r > find-sublist3r.txt 2>/dev/null
dpkg -l | grep -E \(impacket\|pcapy\|nmap\) > dpkg-grep.txt
cp /var/lib/dpkg/info/openssh-server.md5sums . #retrieve initial hash for sshd
md5sum /usr/sbin/sshd > sshd.md5sum #calculate actual hash for sshd

Shell script for Centos

cd /tmp
workdir=428c5fcf495396df04a459e317b70ca2
mkdir $workdir
cd $workdir
find / -type d -iname smbtrap > find-smbtrap.txt 2>/dev/null
find / -type d -iname dirsearch > find-dirsearch.txt 2>/dev/null
find / -type d -iname nmap > find-nmap.txt 2>/dev/null
find / -type d -iname wpscan > find-wpscan.txt 2>/dev/null
find / -type d -iname sublist3r > find-sublist3r.txt 2>/dev/null
rpm -qa | grep -E \(impacket\|pcapy\|nmap\) > rpm-grep.txt
rpm -qa –dump | grep ssh > rpm-qa-dump.txt #retrieve initial hash for sshd
sha256sum /usr/sbin/sshd > sshd.sha256sum #calculate actual sha256 hash for sshd
md5sum /usr/sbin/sshd > sshd.md5sum #calculate actual md5 hash for sshd

 Energetic Bear/Crouching Yeti: attacks on servers

Дата: 2018-04-23 10:00:36

Источник: https://securelist.com/energetic-bear-crouching-yeti/85345/



Хакеры атаковали криптовалютную биржу OKex

Злоумышленники проэксплуатировали уязвимость в системе смарт-контрактов и похитили огромное количество криптовалюты BeautyChain.

Криптовалютная биржа OKex стала жертвой хакерской атаки, в ходе которой злоумышленники похитили 8 вигинтиллионов (число с 63 нулями) единиц криптовалюты BeautyChain.

Как сообщили исследователи из компании Peckshield, в ходе атаки злоумышленники проэксплуатировали ранее неизвестную уязвимость в системе смарт-контрактов, получившую название batchOverflow. По словам специалистов, batchOverflow представляет собой проблему целочисленного переполнения, при которой вычисленное в результате операции значение не может быть помещено в n-битный целочисленный тип данных.

«Уязвимая функция находится в batchTransfer. Локальная переменная ammount вычисляется как сумма cnt и _value. Второй параметр, а именно _value, может быть произвольным 256-битным целым числом, например 0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000 (63 нуля). Имея два _receivers, переданных в batchTransfer (), с подобным значением можно переполнить сумму и сделать ее равной нулю. При обнулении суммы злоумышленник может затем пройти проверки на работоспособность в строках 258-259 и сделать вычитание в строке 261 неактуальным», - отметили эксперты.

По данным специалистов, batchOverflow обнаружена в более чем десятке различных контрактов ERC20.

В настоящее время OKex приостановила все операции с криптовалютой BeautyChain.

Дата: 2018-04-23 09:51:09

Источник: http://www.securitylab.ru/news/492830.php



Восьмой день блокады. Роскомнадзор пытается блокировать Google. Госкомпании массово арендуют VPN

m7c4rv58rx4fv6qgjb6iqadxamy.png23 апреля 2018 года пошёл восьмой день блокады, которую Роскомнадзор организовал российским пользователям интернета. В результате веерной блокировки облачных сервисов Amazon, Google и Microsoft пострадали десятки российских сайтов. Итог первой недели боевых действий Роскомнадзора: заблокировано 33 856 российских доменов, в том числе 31 440 доменов в зоне .RU, 1856 в зоне.РФ, 560 в зоне .SU. Здесь приведена статистика, сколько доменов в каждой из зон указывают (A запись) на заблокированные подсети.

Телеграм-канал RKNSHOWTIME в автоматическом режиме публикует информацию о свежезаблокированных подсетях и IP-адресах из реестра (выгрузку предоставляет Неугомонный Фил — генеральный директор телекоммуникационной компании Diphost Филипп Кулин). По сообщениям в канале видно, что 22 апреля Роскомнадзор сменил тактику блокировок — и начал точечную работу по маленьким подсетям и отдельным IP-адресам. В основном, страдают Google, Microsoft и Amazon.
Читать дальше →

Дата: 2018-04-23 09:38:50

Источник: https://geektimes.ru/post/300223/



Honeypots and the Internet of Things

According to Gartner, there are currently over 6 billion IoT devices on the planet. Such a huge number of potentially vulnerable gadgets could not possibly go unnoticed by cybercriminals. As of May 2017, Kaspersky Lab’s collections included several thousand different malware samples for IoT devices, about half of which were detected in 2017.

The article is prepared jointly Vladimir KuskovMikhail KuzinYaroslav ShmelevIgor Grachev especially for Securelist.com

Statistics

We set up several honeypots (traps) that imitated various devices running Linux, and left them connected to the Internet to see what happened to them ‘in the wild’. The result was not long in coming: after just a few seconds we saw the first attempted connections to the open telnet port. Over a 24-hour period there were tens of thousands of attempted connections from unique IP addresses.

Number of attempted attacks on honeypots from unique IP addresses. January-April 2017

In most cases, the attempted connections used the telnet protocol; the rest used SSH.

Distribution of attempted attacks by type of connection port used. January-April 2017

Below is a list of the most popular login/password combinations that malware programs use when attempting to connect to a telnet port:

Here is the list used for SSH attacks. As we can see, it is slightly different.

Now, let’s look at the types of devices from which the attacks originated. Over 63% of them could be identified as DVR services or IP cameras, while about 16% were different types of network devices and routers from all the major manufacturers. 1% were Wi-Fi repeaters and other network hardware, TV tuners, Voice over IP devices, Tor exit nodes, printers and ‘smart-home’ devices. About 20% of devices could not be identified unequivocally.

Distribution of attack sources by device type. January-April 2017

Distribution of attack activity by days of the week

When analyzing the activities of IoT botnets, we looked at certain parameters of their operations. We found that there are certain days of the week when there are surges in malicious activity (such as scanning, password attacks, and attempted connections).

Distribution of attack activity by days of the week. April 2017

It appears Monday is a difficult day for cybercriminals too. We couldn’t find any other explanation for this peculiar behavior.

Conclusion

The growing number of malware programs targeting IoT devices and related security incidents demonstrates how serious the problem of smart device security is. 2016 has shown that these threats are not just conceptual but are in fact very real. The existing competition in the DDoS market drives cybercriminals to look for new resources to launch increasingly powerful attacks. The Mirai botnet has shown that smart devices can be harnessed for this purpose — already today, there are billions of these devices globally, and by 2020 their number will grow to 20–50 billion devices, according to predictions by analysts at different companies.

In conclusion, we offer some recommendations that may help safeguard your devices from infection:

  1. Do not allow access to your device from outside of your local network, unless you specifically need it to use your device;
  2. Disable all network services that you don’t need to use your device;
  3. If the device has a preconfigured or default password and you cannot change it, or a preconfigured account that you cannot deactivate, then disable the network services where they are used, or disable access to them from outside the local network.
  4. Before you start using your device, change the default password and set a new strong password;
  5. Regularly update your device’s firmware to the latest version (when such updates are available).

If you follow these simple recommendations, you’ll protect yourself from a large portion of existing IoT malware.

Дата: 2018-04-23 09:27:48

Источник: https://denismakrushin.com/internet-of-things-honeypot/



Роскомнадзор заблокировал сервис Google re:Captcha

На ряде российских сайтов перестали работать формы регистрации и авторизации.  

Система проверки пользователей re:Captcha от компании Google попала под блокировку Роскомнадзора. Об этом сообщил один из Telegram-каналов.

Сервис re:Captcha является популярным инструментом, позволяющим отличить реального пользователя от робота. Данная система используется на множестве сайтов, однако после блокировки Роскомнадзором ряда IP-адресов Google некоторые российские ресурсы столкнулись с проблемами в работе. В частности, на ряде сайтов перестали работать формы регистрации и авторизации.

Как следует из заявляения Роскомнадзора в соцсети "ВКонтакте", блокировка была осуществлена из-за невыполнения Google требований ведомства.

"Google на сегодняшний день не удовлетворила требования Роскомнадзора и в нарушение вердикта суда продолжает позволять компании Telegram Messenger Limited Liability Partnership использовать свои IP-адреса для осуществления деятельности на территории России.

В связи с этим Роскомнадзор внес в реестр запрещенной информации ряд IP-адресов Google, которые используются Telegram для осуществления деятельности в Российской Федерации", - следует из заявления.

Напомним, в июне 2017 года компания Telegram Messenger LLP согласилась передать необходимые данные для внесения мессенджера в реестр организаторов распространения информации (ОРИ). Согласно действующему в РФ антитеррористическому законодательству, ОРИ обязаны хранить и передавать по запросу спецслужб переписку пользователей, однако Telegram отказался выполнять данное требование, сославшись на его антиконституционность и невозможность реализации с технической стороны.

13 апреля 2018 года Таганский суд Москвы удовлетворил иск Роскомнадзора относительно ограничения доступа к мессенджеру на территории РФ. С 16 апреля операторы связи стали блокировать подсети, используемые мессенджером для обхода запрета. По словам экспертов, на данный момент в связи с блокировкой Telegram в реестр внесены около 18 млн IP-адресов. В частности, под блокировку попали пулы адресов, принадлежащие облачным сервисам Amazon, Google, Microsoft и пр.

Дата: 2018-04-23 09:19:00

Источник: http://www.securitylab.ru/news/492823.php



Обзор новой линейки домашних антивирусов Panda Dome

1puo4hh5tzaebba5wkw1tmdarnm.jpeg

Компания Panda Security выпускает новое комплексное решение безопасности Panda Dome для обеспечения легкой и надежной защиты домашних устройств с Windows, Mac и Android. Решение имеет гибкие тарифные планы (включая бесплатный тариф) и набор расширений, позволяющих выбрать требуемые модули в зависимости от текущих потребностей. Предлагаем вашему вниманию обзор нового Panda Dome.

Что такое Panda Dome


Компания Panda Security выпустила новый антивирус Panda Dome – это комплексное решение безопасности домашних устройств с поддержкой Windows, Mac и Android. Данное решение пришло на смену линейке домашних антивирусов Panda 2017. Решение основано на новом движке, включает ряд изменений и дополнений в опциях защиты, а также содержит новый модуль VPN. Все изменения были сделаны для того, чтобы еще повысить уровень защиты, производительность и удобство работы.

Основное отличие в концепции Panda Dome от предыдущей линейки домашних продуктов Panda 2017 заключается в том, что новое решение – это не линейка отдельных продуктов со своим функционалом, а единый продукт, т.е. единая платформа, которая в зависимости от выбранного тарифного плана предоставляет пользователю доступ к тем или иным модулям защиты и сервисам. Таким образом, Panda Dome – это гибкая структура, которая адаптирует свое поведение к специфическим потребностям пользователя. В результате этого пользователь может собрать продукт «под себя»: например, бесплатный Panda Dome Free + платное расширение Panda CleanUp для оптимизации работы ПК + платное расширение Panda VPN Premium и т.д.

Решение Panda Dome основано на новом движке следующего поколения. Основное отличие – это использование Больших данных и Искусственного интеллекта, что позволяет осуществлять непрерывный мониторинг абсолютно всех активных процессов и их взаимодействия между собой вне зависимости от того, являются ли эти процессы легитимными (надежными) или нет. Новый движок позволяет обеспечивать надежную защиту от новых, усовершенствованных и неизвестных угроз.

Кстати, это повлияло и на выбор названия. Dome в переводе с английского языка, среди прочих вариантов, означает купол, колпак. Таким образом, пользователь Panda Dome находится под прочным куполом, ограждающим его от цифровых угроз.

Итак, давайте перейдем от слов к делу и посмотрим, что такое Panda Dome на самом деле. В сегодняшней статье мы в основном будем говорить о Panda Dome для Windows как наиболее распространенной операционной системе. Однако обязательно упомянем о возможностях решения для защиты Android и Mac.

Установка на Windows


Panda Dome, как и предыдущие версии домашних антивирусов Panda, является очень легким продуктом, оправдывая тем самым свою «облачность». Если говорить про защиту для Windows, то для установки решения требуется процессор с тактовой частотой не ниже 300 МГц и не менее 128 МБ оперативной памяти, а также Windows XP (SP3, 32-бит), Vista, 7, 8 и 10 (32- и 64-бит). Как видите, такие скромные системные требования позволяют установить продукт практически на любой компьютер.

Дистрибутив Panda Dome мы скачали с глобального сайта www.pandasecurity.com. Это оказался небольшой онлайн-инсталлятор размером примерно в 2 МБ.

iyy7x9nblsqueex_dfp0pu6hoje.jpeg

В самом начале установки требуется указать код активации. Но если у вас его нет, то можете продолжить без него – в этом случае продукт будет установлен в бесплатной версии. После этого вам необходимо указать папку для установки (или согласиться с предлагаемой по умолчанию), а также выбрать язык интерфейса (по умолчанию берется из операционной системы) и указать настройку опций расширения Panda Safe Web для вашего браузера, который позволяет организовать более безопасный просмотр сайтов.

vzaugoad13rdrvgr-vnylginbua.jpeg

После этого онлайн-инсталлятор начинает процесс установки продукта на ваш компьютер, в ходе которого скачивает из облака все необходимые дополнительные файлы. Именно по этой причине для установки продукта необходимо Интернет-подключение.

h8m81s0ikjeaavquyqij4n72yoq.jpeg

Хотя в наличии имеются и стандартные оффлайн-дистрибутивы более 60 МБ, которые можно установить и без Интернета, но удобство онлайн-инсталлятора заключается еще в том, что при его использовании вы гарантированно получаете самую последнюю версию продукта.
Надо сказать, что установка прошла быстро и без каких-либо проблем. Кстати, если на вашем ПК установлена версия .NET Framework ниже 4.6, то при установке вам будет предложено обновить ее версию.

После установки продукта вас попросят указать ваш аккаунт Panda, который привязывается к адресу электронной почты. Вы можете либо сразу же создать новый аккаунт (если у вас его еще нет или требуется привязать лицензию к новому адресу электронной почты), либо указать существующий аккаунт и авторизоваться в нем.

m-31pajlrpaq6xemcqp1fc6vhfc.jpeg

Мы указали свой существующий аккаунт и привязали данный продукт к нему.

2kboxa3j_y06w84783neabsitm4.jpeg

yubzfrm180elqwvgaiodtvagfxc.jpeg

lfokm30w0klbyjsog2fvoahstby.jpeg

После установки вы также можете активировать ваш продукт кодом активации (если вы предварительно его приобрели), либо можно продолжить использование продукта в виде бесплатной триал-версии.

Т.к. мы привязали продукт к уже существующему аккаунту, то далее мы решили для активации Panda Dome использовать код активации от платного продукта Panda Global Protection 2017, а потому в итоге получили новый Panda Dome Complete с практически полным арсеналом защитных модулей и сервисов.

9enf6tpnbj0mlroh1vbt87pl5nk.jpeg

a_6casrdtdgc94ttounf3jrpbfm.jpeg

Интерфейс


Первое, на что сразу же обращаешь внимание в Panda Dome, — это новый современный дизайн, который, на наш взгляд, стал более удобным. И, несмотря на то, что в целом расположение элементов повторяет предыдущую линейку, в новом Panda Dome доступ к модулям и сервисам стал проще.

hwx896ikjjsbi7z5xyt96nhrtp0.jpeg

Например, все модули стали доступны прямо с главного окна.

j0o1z39hwj37ileggmldsmf3zei.jpeg

zbrsipfakao1fkugkhk60ne1dta.jpeg

В левом верхнем углу появилась стандартная кнопка с горизонтальными полосками для отображения сервисного меню вместо кнопки Пуск в прошлой линейке, которая смотрелась несколько неуместно и непонятно. А если вы находитесь внутри какого-то раздела, то в левом верхнем углу всегда показывается кнопка Назад для возврата в предыдущее окно.

wk2025gcorckirmxz2wh57betnk.jpeg

В верхней части окна по центру расположено название продукта Panda Dome, при нажатии на которое вы всегда можете сразу вернуться к главному окну интерфейса. В правом верхнем углу расположена иконка аккаунта, при нажатии на которую можно перейти в аккаунт или открыть раздел Мои продукты.

rveqhhs2rtvevjgfgtxe3rkgyj4.jpeg

Рядом с иконкой аккаунта расположена иконка с уведомлениями. Когда доступны новые уведомления, предупреждения или напоминания, то данная иконка сообщит вам об этом своим измененным внешним видом. При нажатии на иконку открывается окно с доступными уведомлениями.

В нижней части расположена бегущая строка с последними новостями из Медиа-центра Panda Security, при нажатии на которую вы переходите в окно с анонсами последних новостей по информационной безопасности.

Отдельно, конечно же, хочется сказать про фоновое оформление главного окна. Если все остальные окна решения остались в деловом и строгом дизайне, то в новом Panda Dome главное окно имеет красивый фон, который сразу обращает на себя внимание и старается передать вам самые приятные чувства. При этом в настройках продукта есть возможность изменить картинку фона и включить опцию автоматической смены фона приложения.

qyuikfeqhk_sgvr0g8mkjorihw4.jpeg

Кроме того, интерфейс создан на базе новых современных технологий, что позволяет ему работать более быстро, что действительно заметно по сравнению с предыдущей линейкой.

Основные модули защиты для Windows


Для написания данной обзорной статьи мы использовали тарифный план Panda Dome Complete (подробнее о составе планов мы расскажем в конце статьи), в рамках которого нам стали доступны практически все функциональные возможности нового решения.

Итак, вот основные модули защиты:

Антивирус – предлагает автоматическую защиту от всех видов угроз, включая вирусы, трояны, шифровальщики и прочие вредоносные программы

Файервол – обеспечивает защиту вашего компьютера от хакерских вторжений и атак

Защита данных – осуществляет контроль доступа тех или иных приложений к защищенным папкам и файлам, обеспечивая защиту от неизвестных шифровальщиков

Контроль приложений – позволяет настраивать разрешенные и запрещенные к запуску приложения

Безопасный просмотр – дополнительно защищает пользователя при просмотре сайтов в Интернете

Монитор процессов – анализирует активные на компьютере процессы

VPN – встроенная утилита, которая позволяет осуществлять доступ в Интернет через защищенные прокси-серверы, обеспечивая конфиденциальность и дополнительную защиту от хакеров и прочих злоумышленников

Антивирус


Данный модуль предлагает защиту от всех типов угроз, включая вирусы, трояны, шифровальщики и другие вредоносные программы, используя все доступные техники: облачная база знаний Коллективный разум, локальные сигнатуры, облачная эвристика, поведенческая защита, технология защиты от эксплойтов.

Самая первая иконка в главном окне позволяет открыть опцию проверки ПК по запросу.

tdlxyez6qlrwdsknmkfdvej_99u.jpeg

Panda Dome предлагает три типа сканирования:

Критические зоны для быстрой проверки памяти, текущих процессов, куков и т.д. Сканирование проходит достаточно быстро, позволяя проверить основные системные элементы, которые в большей степени могут быть подвержены заражению.

Полная проверка позволяет осуществить полную и комплексную проверку всего ПК

Выборочная проверка предназначена для проверки отдельных папок и файлов

wrird5x-mhvq7tbe3xyy7vmie-i.jpeg

При запуске проверки открывается соответствующее окно, в котором отображается информация о проверяемом объекте и общем количестве проверенных объектов и обнаруженных угроз. Вы можете в любой момент приостановить проверку или отменить ее. Также имеется опция для автоматического выключения компьютера после завершения проверки, что очень удобно, если вы, например, поставили проверять ПК на ночь и спокойно ушли спать. Опция «показать подробности» показывает дополнительную информацию с возможностью перехода к полному отчету.

rthcfncucvgvna7mzimpnfo7tl4.jpeg

4qm49ejukyxdx50tbhzksdciry4.jpeg

При нажатии в главном окне на иконке Антивирус открывается окно с краткой информацией о результатах последней проверки по запросу, наличию запланированных проверок, состоянию карантина. Также в этом окне представлена краткая статистика обнаружений разных видов угроз за текущий день, неделю, месяц или все время с возможностью перехода к подробному отчету.

ct5uxyw6eex7mgqa_66okytlj6i.jpeg

Антивирусный модуль позволяет управлять рядом настроек по обнаружению и блокировке угроз. В зависимости от выбранных вами настроек, Panda Dome может блокировать потенциально нежелательные программы, осуществлять анализ поведения приложений и процессов и блокировать их в зависимости от модели поведения. Также вы можете указать максимально допустимый интервал времени, в течение которого Panda Dome будет ожидать результат дополнительного анализа из облака перед тем, как разрешить запуск данного процесса.

6ray4bbstlhxl7n9he7wtvks1gg.jpeg

Кроме этого, вы можете настроить периодичность очистки карантина, а также указать файлы, папки и расширения, которые будут исключаться из антивирусных проверок. Если какие-то из них вы рассматриваете в качестве точно безопасных и надежных, то исключая их из проверки, вы сможете значительно сократить время глубокой проверки вашего ПК, хотя необходимо крайне осторожно подходить к настройке исключений, чтобы это не повлияло на снижение уровня безопасности. Здесь же можно управлять исключениями для восстановленных из карантина объектов.

afq_33crnuhhhsvkacsiixl5lro.jpeg

Файервол


Еще один крайне важный модуль защиты, без которого сложно обойтись – это файервол, обеспечивающий защиту вашего ПК от хакерских вторжений и атак.

Надо отметить, что подобно другим модулям защиты, файервол работает в автоматизированном режиме, а потому он крайне прост в использовании и настройке. Этот модуль позволяет вам настраивать правила файервола для каждого используемого приложения, разрешая или запрещая его соединения с использованием портов компьютера. Кроме того, файервол предлагает набор правил, рекомендованных производителем, хотя их приоритет в любом случае будет ниже, чем у правил пользователя.

1dkh1kkrnjofvt-y3vgvqcnst68.jpeg

По умолчанию файервол самостоятельно устанавливает права на входящие и исходящие соединения для каждого приложения в зависимости от степени его надежности, особенностям его работы и многим другим параметрам. Поэтому, если вы не являетесь продвинутым пользователем, то вполне можете положиться на настройки по умолчанию. В противном случае вы всегда можете самостоятельно настроить любое правило, добавить новое или удалить ненужное, а также расставить их по степени приоритетности.

p38j01o9qf7attvlf-x0cyrtaqi.jpeg

Кроме того, Panda Dome предлагает систему предотвращения вторжений на основе статических правил. По умолчанию, практически все эти правила включены, но вы всегда можете самостоятельно настроить включение или выключение каждого из правил (если вы в этом разбираетесь).

hepe-bn7vxwdgek_f1kyjckbemu.jpeg

Надо сказать, что данная защита от вторжений показывает высокую эффективность: все атаки, которые мы симулировали против компьютеров с установленным Panda Dome, были остановлены прежде, чем мы смогли заполучить контроль над устройствами.

Модуль Файервол также позволяет вам выбрать один из трех основных способов подключения к Интернету: дома, на работе или в публичном месте. В зависимости от этого могут меняться правила работы файервола, позволяя ему быть более агрессивным, например, при подключении к Интернету через бесплатный WiFi в кафе. Также модуль показывает статистику по заблокированным процессам и вторжениям с возможностью перехода в подробный отчет работы файервола.

h-tmm69c3qjeekubqq18yezxhc4.jpeg

Так что если вы боитесь хакеров и вам требуется приложение для защиты от них с возможностью очень простой настройки, то файервол в Panda Dome будет оптимальным вариантом.

Защита данных


Модуль Защита данных осуществляет контроль доступа тех или иных приложений к защищенным папкам и файлам, обеспечивая защиту от неизвестных шифровальщиков. Этот модуль действительно крайне эффективен: неизвестный шифровальщик, даже если он по каким-то причинам не будет заблокирован, просто физически не сможет получить доступ к вашему файлу с данными, а значит, и зашифровать его.

По умолчанию при установке Panda Dome данный модуль выключен, а потому мы крайне рекомендуем его активировать.

phl-htgze2wq-w9w5_vyqw7sc5s.jpeg

Настройки данного модуля позволяют вам указать папки с пользовательскими данными и расширения файлов, которые необходимо дополнительно защищать. Среди последних по умолчанию предлагаются практически все наиболее часто используемые типы пользовательских файлов (заархивированные форматы, документы MS Office, изображения, звуковые и видеофайлы), но у вас всегда есть возможность что-то добавить, изменить или удалить.

gpo8h-lmyopn0_fsogqjr0latgm.jpeg

Кроме этого, вы можете указать, какие приложения имеют право работать с защищенными объектами, а какие – нет. Как правило, такой список формируется автоматически, но у вас всегда есть возможность добавить, изменить или удалить.

oqyokbz4mognwwawi_lfgqt_tum.jpeg

Также имеется удобная опция по настройке модуля в отношении неизвестных приложений: в зависимости от настройки, когда неизвестное приложение пытается получить доступ к защищенным объектам, то Panda Dome может спрашивать у вас разрешение на доступ или автоматически блокировать такие попытки.

В дополнение к этому, модуль Защита данных показывает краткую статистику последних заблокированных попыток доступа к защищенным объектам с возможностью просмотра более детального отчета.

b_zkp8turl3vufglboxktqr48tu.jpeg

Контроль приложений


Еще один крайне полезный и эффективный модуль, обеспечивающий высокий уровень безопасности ПК. Он позволяет вам указать, каким приложениям разрешен запуск, а каким – нет. Также он позволяет защитить ваш ПК от неизвестных онлайн-программ, которые могут ему (а значит и вам) навредить. Когда вы впервые запускаете Panda Dome, то данный модуль по умолчанию выключен, хотя вы можете достаточно быстро и просто его включить. После этого модуль автоматически начинает свою работу, блокируя запрещенные приложения.

mbvtnf1npgdjkpfbx2ua_gyvfcc.jpeg

Список разрешенных и запрещенных приложений формируется различными способами, включая и автоматические механизмы формирования, но опять же у вас всегда есть возможность самостоятельно добавить или удалить требуемые приложения, а также изменить права у ранее настроенных приложений. Кроме того, вы всегда можете настроить работу модуля по отношению к неизвестным приложениям: в этом случае Panda Dome либо будет спрашивать ваше решение, либо автоматически запрещать их попытки запуска.

ozwz3rafb1ax09asw-jfunzgt60.jpeg

Для проверки мы решили запретить безобидный WordPad. После этого Panda Dome моментально отреагировал на попытку его запуска.

ygksm0iimproqrgbhwru-7fscie.jpeg

Модуль Контроль приложений также показывает краткую статистику последних заблокированных попыток запуска запрещенных приложений с возможностью просмотра более детального отчета.

zwrsqfcodokcrh0enyp6zrblnpa.jpeg

Безопасный просмотр


Еще одна простая в настройке, но очень полезная функция веб-защиты в Panda Dome, которая позволяет вам безопасно посещать различные веб-сайты. В том случае, если сайт заражен вредоносной программой или вирусами, то данный модуль автоматически заблокирует к нему доступ. Модуль Безопасный просмотр также защищает вас от фишинговых атак благодаря огромной базе данных фишинговых сайтов, которая обновляется в реальном времени из облака.

rmc4g34698ri5fvkqgthz4txt_k.jpeg

Данный модуль работает практически полностью в автоматическом режиме, предлагаю пользователю всего лишь возможность добавления разрешенных адресов и доменов.

cqcejzywfrt870s9is3bqbdbpva.jpeg

Монитор процессов


Наверняка, вам всегда было интересно, что же происходит в фоновом режиме, когда вы используете ПК. Panda Dome в рамках модуля Монитор процессов предлагает подробные отчеты по всем происходящим процессам. Он также осуществляет мониторинг тех процессов, которые представляют опасность для вашего компьютера. Все процессы разделены на несколько секций. Самые опасные процессы выделяются красным цветом и блокируются.

vkx3tynchejljzcdv__8ntbqqm4.jpeg

В подробном отчете по каждому процессу вы можете проверить его классификацию и статус с возможность его ручной блокировки / разблокировки, а также просмотреть все веб-адреса, к которым подключался данный процесс.

ihcctezewovwtlqef2nsmp3e4z4.jpeg

4nthfvywmwm3ky7j15nx_zi7nk4.jpeg

VPN


В домашних антивирусах Panda появился новый встроенный модуль VPN, который позволяет обеспечивать безопасность соединений и предотвратить возможность их перехвата как со стороны злоумышленников, так и контролирующих государственных органов. Этот модуль использует техники шифрования данных, а также возможность выбора безопасного прокси-сервера в одной из 20 представленных стран (в списке есть и российский прокси). Последняя опция работает только в том случае, если у вас подключена премиум-версия данного модуля. Наше тестирование показало очень высокую скорость работы без какого-либо заметного влияния на скорость открытия сайтов и скачивания.

qrtrunessb3yw1sjlukvv2aihpw.jpeg

По сути дела, единственный недостаток бесплатной версии этого модуля – ограничение на ежедневный объем трафика: 150 МБ в сутки. Понятно, что с таким объемом много не накачаешь и не наиграешь, однако для работы с соцсетями и просмотра веб-сайтов может оказаться вполне достаточно. Но в премиум-версии никаких ограничений на трафик нет.
Кстати, что интересно, даже при VPN-подключении через прокси-сервер, находящийся в России, все равно были доступны ресурсы и мессенджеры, которые заблокированы на территории страны.

Аналогично другим модулям защиты, VPN работает автоматически и предлагает пользователям всего несколько опций: включение VPN после перезагрузки ПК, автоматическая установка VPN-соединения при подключении к небезопасной WiFi-сети (рекомендуем ее использовать, т.к. иногда вы можете забыть или даже не заметить, что ваш ноутбук подключился к публичной сети), а при наличии премиум-версии – возможность выбора прокси-сервера, размещенного в той или иной стране.

5zv7no-aiufsyqwvkngkgcgio_m.jpeg

Дополнительный функционал


Комплексные решения безопасности тем и отличаются от бесплатных и платных базовых решений как раз наличием ряда дополнительных функциональных возможностей и сервисов. Panda Dome – не исключение:

• Защита USB
• Набор восстановления
• Защита WiFi
• Родительский контроль
• PC Cleanup
• Анти-вор
• Онлайн-бэкап
• Виртуальная клавиатура
• Уничтожитель файлов
• Шифровщик файлов
• Менеджер паролей
• Мои устройства
• Мои продукты
Попробуем вкратце рассмотреть данные функции.

Защита USB

Учитывая тот факт, что зачастую многие угрозы распространяются благодаря функции автоматического запуска подключаемых USB-устройств, а подавляющее большинство рядовых пользователей ПК никогда эту функцию не отключают (они не знают о том, где она расположена в Windows, а многие из них даже и не предполагают, что она может быть), то данный модуль воистину становится крайне полезным. Мы все пользуемся флэшками, и практически каждый из нас знает, что проблема флэшек для ПК сродни по своей важности вопросу безопасного секса. И здесь на помощь приходит модуль Защита USB.

Его основная функция – как раз простое и наглядное отключение автозапуска флэшек. Это позволяет практически полностью исключить возможность автоматического заражения системы с флэшки. Кроме этого, модуль способен предлагать дополнительную проверку каждой флэшки, подключаемой к ПК, перед ее открытием.

p-vzzbalm-n2sb3o06r6gfq6vaa.jpeg

Также модуль позволяет автоматически вакцинировать каждую флэшку, подключаемую к ПК, в результате чего такая вакцинированная флэшка не будет автоматически запускаться на любом другом ПК (не важно, какой там стоит антивирус и отключена ли опция автозапуска), а потому она в меньшей степени будет подвергаться риску оказаться зараженной. Если такой необходимости нет, то можно вакцинировать требуемую флэшку вручную:

exd_dca4lg1ezyxiaqdtnubnqlo.jpeg

Набор восстановления

Данный функционал позволяет восстановить работу Вашего ПК в случае непредвиденной аварийной ситуации, если произошло повреждение системы в результате попытки заражения или вредоносной атаки. Оставляем за скобками, насколько были удачны такие попытки, и какова их вероятность – как говорится, и палка раз в жизни стреляет, бывает всякое. В любом случае, нужно подстраховаться и иметь возможность не только предотвратить заражение, но и быстро ликвидировать ее последствия. Ведь тормоза придумали не для трусов, а для разумных людей.

qjifvxazl6nf4ohqrgxz52rm_u0.jpeg

Во-первых, в состав набора восстановления входит Panda Cloud Cleaner – это специальная утилита для обнаружения сложных вирусов и вредоносных программ, которые не всегда можно обнаружить с помощью стандартных техник и опций. Поэтому если у вас есть какие-то сомнения и вы думаете, что ваш ПК может быть заражен, то обязательно проведите глубокую проверку с помощью этой утилиты. Учтите, что процесс сканирования может осуществляться несколько часов.

Также данный модуль содержит опцию создания аварийной флэшки (аналог аварийного флоппи-диска или CD в прошлые годы – эх, какие были времена!). Такая флэшка может серьезно пригодится в том случае, если ваш ПК невозможно будет загрузить. В этом случае можно будет загрузить ПК с аварийной флэшки, выполнить глубокое сканирование ПК с помощью Panda Cloud Cleaner для удаления следов заражения, препятствующих нормальной загрузке системы.

Мы проверяли работу аварийной флэшки на некоторых заблокированных и поврежденных ПК. Результат был отличный: все ПК успешно загрузились после удаления вирусов и восстановления системы.

Защита WiFi

WiFi-соединения стали еще одним слабым звеном для мобильных устройств и ноутбуков, особенно если речь идет о беспроводных подключениях в общественных местах, где высока вероятность нарваться на атаку типа Man-on-the-Middle или подключиться к зараженному или взломанному хакером роутеру.

Panda Dome, естественно, имеет на сей счет модуль Защита WiFi, который проверяет и защищает беспроводные соединения.

pzxtb0ozrijhe3dxhquc0conqaw.jpeg

Данный модуль отображает все устройства, подключенные к Вашей WiFi-сети. Таким образом, у вас есть возможность проверить, есть ли в сети какие-либо «лишние» устройства или незваные гости.

Кроме того, данный модуль предоставляет следующие возможности:

Аудит WiFi.

Осуществляет проверку беспроводных сетей, выполняя поиск уязвимостей, и предоставляет рекомендации по повышению уровня безопасности. В рамках такого анализа проверяются следующие аспекты WiFi-сети:

• Сетевая авторизация и шифрование
• Соединения типа компьютер-компьютер (ad hoc network)
• Режим соединения
• Название сети во избежание общераспространенных названий
• Уровень сигнала
• Насыщенность канала

oi2w_-y4p0ylbyysmbehdahx29u.jpeg

История подключения.

Вы можете проверить, какие компьютеры были подключены к вашей сети в прошлом, даже если в настоящий момент они к ней не подключены. Это, в свою очередь, также помогает установить потенциальные вторжения.

qmq3puhajub5ejgjfnumhvynoyk.jpeg

— Возможность простой идентификации компьютеров по алиасу.
— Возможность блокировки доступа неизвестных компьютеров к вашему компьютеру.

u5a73bf_czei8sfn7z0vrwiysfm.jpeg

Родительский контроль

Важность данного модуля трудно переоценить, т.к. основная его цель вытекает прямо из его названия – защита наших с вами детей от многих опасностей Интернета. Хотя возможности продукта позволяют ограничивать доступ к тем или иным сайтам не только детей, но и нерадивых сотрудников малых предприятий.

o_n711jvo3o5vheed8vwn8ujyyu.jpeg

По умолчанию данный модуль отключен, но его очень просто включить. Для каждой учетной записи можно просмотреть общую и подробную статистику посещения веб-сайтов за день, неделю или месяц как по категориям сайтов, так и непосредственно по их адресам.

udalum9oo7sjsettkz71rzfv9x0.jpeg

При попытке доступа к запрещенному сайту всплывает окно с предупреждением, а также вместо содержимого сайта показывается стандартная «заглушка» с информацией о блокировке.

t7robxycd4pupgrm8nefqjh9hry.jpeg

Данный модуль также настраивается достаточно просто, т.к. он не перегружен всевозможными опциями, которые в большинстве случаев не используются. Для каждой учетной записи необходимо настроить, какие категории сайтов являются запрещенными. Для простоты настройки можно воспользоваться одним из предустановленных фильтров (для детей, для подростков, для сотрудников), либо создать персональный фильтр или вообще его не использовать.

ileurs0h2ifvdmebhhktt6imkrk.jpeg

Кроме того, можно указать, стоит ли запрещать доступ к неклассифицированным страницам, чья категория неизвестна. Также можно создать списки разрешенных и запрещенных доменов в качестве исключений к применяемому фильтру.

dcqvnnlsomz9cq8lrkkybkapjqw.jpeg

PC Cleanup

cybghqpcjcis_2ttp2t87vnc3sy.jpeg

Этот модуль позволяет вам оптимизировать работу вашего ПК, повысив скорость его работы за счет операции дефрагментации, а также высвободив пространство на вашем жестком диске за счет удаления ненужных файлов (временные файлы, временные Интернет-файлы, история просмотра сайтов и куки).

guv1172ig0pibj2i39rbqzvce_i.jpeg

Возможности Panda Dome позволяют запланировать расписание выполнения задач по очистке ПК.

0ko4i3kvfawn2tguhbpsw4wmbuy.jpeg

В дополнение к этому, данный модуль предоставляет вам следующие функции:

Диспетчер загрузки. Позволяет вам просматривать программы в автозагрузке и при необходимости отключать лишние. Panda Dome осуществляет непрерывный мониторинг компьютера и предупреждает вас в том случае, если какая-либо программы пытается добавить себя в автозагрузку

n_vozkinrzycuojbd8bde60raci.jpeg

Очистка реестра. Удаляет поврежденные и нежелательные ключи реестра, которые могут привести к сбою в работе операционной системы
Настройки системы очистки позволяют создавать точки восстановления системы перед выполнением задач по очистке, создавать файлы с расширенным отчетом, показывать различные предупреждения.

xvd8t-pkmja_yd1rfqzut_2oafq.jpeg

Анти-вор для устройств с Windows

Модуль Анти-вор позволяет вам удаленно находить и отслеживать ваши мобильные устройства с Windows, на которых установлена ваша лицензия Panda Dome, через модуль Анти-вор непосредственно в самом решении или через ваш аккаунт Panda.

cuafbnqctild8ljbbhengkboero.jpeg

Онлайн-бэкап

Данный модуль позволяет настроить автоматическое резервное копирование требуемых файлов и папок в безопасное онлайн-хранилище Mozy. В рамках лицензии Panda Dome предоставляется 2 ГБ пространства. Для удобства использования можно скачать на ПК небольшую утилиту, с помощью которой можно легко управлять бэкапом.

xnch0jchyxwyzxtushahzgju19g.jpeg

Виртуальная клавиатура

В последние годы получили широкое распространение атаки, которые используют кейлоггеры для отслеживания нажатия клавиш на вашем ПК. Представьте, что вы подключились к своему онлайн-банку, а хакер сумел отследить, какие клавиши вы нажимали при вводе пароля. В этом случае хакер сможет использовать данную информацию для подключения к вашему счету и кражи ваших денег.

_w5gjcymkokx8zhz9ihqdaxhdhw.jpeg

В этом случае использование виртуальной клавиатуры позволит практически полностью избежать отслеживания со стороны кейлоггеров.

Настройки виртуальной клавиатуры позволяют включить одновременное отображение нескольких курсоров, чтобы нельзя было отследить нажатие клавиш визуально, либо вообще не показывать нажатие клавиш.

9pc0w1is_0sqvcmztciay8r57m8.jpeg

Уничтожитель файлов

Данная утилита позволяет полностью физически удалять файлы с жесткого диска без возможности их восстановления.

lrhq7j_nloxwc9wzvdueozjjygc.jpeg

Шифровщик файлов

Относительно простая утилита для шифрования папок и файлов с помощью специальных алгоритмов. Эта функция будет особенно полезна для пользователей ноутбуков, т.к. в случае потери или кражи своего мобильного устройства, они смогут предотвратить доступ посторонних лиц к своей конфиденциальной информации. Зашифрованные файлы могут быть расшифрованы только с помощью данной утилиты и при условии, если известен пароль для расшифровки.

mhkz9dshjqbv1irqjzdthdq_nso.jpeg

При шифровании необходимо указать (и подтвердить) пароль, а также настроить дополнительные опции (требуется ли удалять оригинальные файлы, шифровать ли в виде самораспаковывающегося архива, сохранить ли пароль в менеджере паролей).

jx4it3oli8owqtrtsjgv-bbo1ck.jpeg

При этом есть возможность генерации случайного пароля с учетом ряда опций.

5zmkqhrpxlx8oteenljwtd-kuom.jpeg

Менеджер паролей

Еще одна очень полезная утилита, которая позволяет управлять паролями для всех ваших аккаунтов, предоставляя возможность автоматической авторизации. Не секрет, что крайне не рекомендуется использовать одинаковый пароль для доступа к различным онлайн-сервисам и аккаунтам, но, с другой стороны, крайне сложно запомнить все эти пароли. В этом случае вам поможет Менеджер паролей, при использовании которого вам необходимо будет запомнить только один мастер-пароль для доступа к этому модулю, а все остальные пароли он зашифрует и запомнит сам. Кроме того, с помощью данной утилиты вы сможете создавать любые, самые сложные пароли, которые невозможно будет подобрать в разумные сроки.

Мои устройства

Данный функционал позволяет вам подключаться к списку ваших мобильных устройств (Windows, Android, iOS), которые используют лицензии Panda Dome, привязанные к вашему аккаунту.

omlguwctnvrdg7pmctf5qobdzno.jpeg

В рамках данного интерфейса вы можете проверить статус работы данных устройств и их местоположение (с учетом геолокационной информации, предоставляемой провайдером, мобильным оператором, самим устройством), а в случае с устройствами Android можно выполнить ряд удаленных задач: делать фотографии, блокировать устройство, очищать информацию на устройстве, включать сигнализацию на устройстве, отвязывать устройство от лицензии.

Мои продукты

Данный раздел позволяет вам управлять вашими лицензиями:

• Список лицензий, привязанных к вашему аккаунту, с подробной информацией по каждой из них
• Возможность добавления новых лицензий
• Возможность изменения тарифного плана

8wwjopqtil655zxvm6gqet5kjyk.jpeg

Новости безопасности

В соответствующем разделе интерфейса Panda Dome (а также внизу интерфейса в виде бегущей строки) отображаются анонсы новостей из медиа-центра Panda по информационной безопасности: информация по угрозам, советы безопасности, новые технологии, новости и события, отчеты PandaLabs и многое другое.

Защита для Android

Panda Dome является мульти-платформенным решением, предлагая также очень легкую и функциональную защиту Android. Ранее этот продукт был известен как Panda Mobile Secuity.
Дизайн решения выполнен в фирменном стиле, едином с модулем защиты для Windows. Решение одинаково оптимизировано как для смартфонов, так и для планшетов, работающих под управлением Android.

wswagasvhynmra7fzh_v0lp8qu8.jpeg

Антивирус и антишпион

Проверяет установленные приложения перед их первым запуском. Также позволяет вам осуществлять антивирусную проверку карт памяти.

Аудитор конфиденциальности

Проверяет и отображает права доступа для установленных приложений.

Убийца задач

Осуществляет мониторинг активности приложений, установленных на вашем устройстве с Android, отображая их размер и уровень потребления CPU/ОЗУ. Предоставляет возможность блокировки требуемых приложений.

Защита Анти-вор

Анти-вор, включенный в Panda Dome, предлагает следующие функции:

Локатор устройства. Позволяет вам удаленно определять и отслеживать местоположение устройства из аккаунта Panda

Удаленная блокировка. Позволяет вам удаленно блокировать ваше устройство с помощью PIN-кода в случае его потери или кражи

Удаленная очистка. Позволяет вам удаленно уничтожить всю информацию с устройства, восстановив устройство до заводских параметров

Чтобы использовать функцию Анти-вор необходимо иметь аккаунт Panda.

Защита VPN

В Panda Dome для Android включен модуль VPN, полностью аналогичный тому, что присутствует в защите для Android. По умолчанию предлагается бесплатная версия с ограничением на 150 МБ/сутки и подключением только к ближайшему прокси-серверу, но имеется также премиум-версия без ограничений.

dy7mav4exj6zzi8zoxvtnwxdkqi.jpeg

Уведомление о краже

Делает фотографию с устройства после трех неудачных попыток разблокировки устройства и отправляет ее на ваш адрес электронной почты вместе с информацией о местонахождении устройства.

Противоугонная сигнализация

Включает на устройстве специальный звуковой сигнал в том случае, если кто-то пытается взять ваше устройство без вашего разрешения (в ресторане, на пляже, в транспорте, в других общественных местах…). Настройки продукта позволяют вам настроить сигнализацию, которая срабатывает при перемещении устройства.

Удаленная сирена

Позволяет вам удаленно из аккаунта Panda включать на устройстве звуковую сирену в том случае, если ваше устройство было потеряно или украдено. Кроме того, вы можете настроить текст, который будет показываться на экране устройства, указав, например, ваш другой контактный номер телефона. Сирена звучит на устройстве даже в том случае, если на нем отключен звук. Звучание сирены осуществляется на максимальном уровне громкости.

Удаленное фото

Позволяет вам удаленно из аккаунта Panda фотографировать с вашего устройства. Вы можете фотографировать по запросу или настроить эту функцию так, чтобы устройство фотографировали автоматически в тот момент, когда предполагаемый вор дотронется до экрана. В этом случае вы получите письмо с фотографией и данными о местоположении устройства.

Блокировка приложений

Данная функция позволяет вам ограничить доступ к определенным приложениям с помощью PIN-кода. В этом случае вы получаете следующие преимущества:

Защита конфиденциальности. Предотвращает несанкционированный доступ к приложениям для обмена сообщениями и сайтам социальных сетей (почтовые программы, Facebook, Twitter, WhatsApp, Skype, Instagram, LinkedIn), банковские приложения и пр

Родительский контроль. Ограничивает доступ детей к определенным приложениям, играм и пр.

Чтобы использовать эту функцию, вы должны установить PIN-код для разблокировки и выбрать те приложения, доступ к которым вы хотите заблокировать. Если вы забудете PIN-код, то вы сможете его сбросить в вашем аккаунте Panda.

o2zraatrinmcvktfeaw5urmfdbi.jpeg

Блокировка звонков

Вы можете добавить требуемые номера телефонов в черный список, чтобы оградить себя от нежелательных звонков. Данная функция требует определенных прав: доступ к телефону и контактам. Вы можете выбирать номера из своих контактов или списка звонков, либо добавлять их вручную. Также можно блокировать звонки от неизвестных и скрытых номеров.

Интеграция со смарт-часами с Android Wear

Panda Dome для Android позволяет вам привязать ваши смарт-часы под управлением Android Wear с вашим мобильным устройством с Android, защищенным с помощью Panda Dome. В этом случае вы сможете выполнять следующие действия:

• Запускать проверки по запросу
• Удаленно фотографировать с камеры устройства
• Включать сирену на устройстве
• Настраивать противоугонную сигнализацию таким образом, что при удалении ваших смарт-часов от вашего мобильного устройства на последнем сработает сирена.

Новости безопасности

Также как и в Panda Dome для Windows, защита для Android показывает анонсы новостей по информационной безопасности из медиа-центра Panda.

Защита для Mac

Panda Dome предлагает защиту и для компьютеров Mac, причем в новой версии пользователи уже получают продукт, на 100% разработанный в Panda Security. Дизайн защиты для Mac выполнен в традиционной фирменной «маковской» стилистике. В настоящий момент защита для Mac пока не имеет поддержки русского языка, однако в будущем планируется локализация интерфейса.

ntmwh_obas-kt9o4k19f3hqfhqa.jpeg

Антивирус и антишпион

Защита от вредоносных программ проверяет компьютер, обнаруживая и устраняя вредоносные инфекции. Решение использует различные техники обнаружения: облачную базу знаний Коллективный разум, локальные сигнатуры и облачные эвристические технологии.

Кроме этого вы можете запускать проверки по запросу. В этом случае вам доступны следующие типы сканирования:

Проверка критических зон. Проверяет те зоны компьютера, где чаще всего можно найти вредоносные программы (процессы в памяти, куки и пр.)

Полная проверка. Сканирует весь компьютер

Выборочная проверка. Позволяет вам выбрать папки и зоны, которые необходимо проверить.

Также есть возможность настройки расписания проверок (ежедневно, еженедельно, ежемесячно).

Безопасный просмотр

Как и в защите для Windows, здесь также присутствует модуль Безопасный просмотр, который выступает в роли веб-защиты. Данный модуль автоматически обнаруживает серверы, содержащие вредоносные программы, и фишинговые сайты.

Функции для iOS

Небольшой агент Panda Dome для iOS позволяет вам подключить функцию Анти-вор, правда, в достаточно усеченном варианте. В этом случае вы сможете получить только функцию локатора устройства, чтобы можно было удаленно из аккаунта Panda обнаруживать и отслеживать местоположение устройства.

Кросс-платформенные сервисы

Помимо непосредственно агентов защиты, устанавливаемых непосредственно на устройства с Windows, Android и Mac, пользователи решений Panda получают доступ к облачным кросс-платформенным сервисам: аккаунт Panda, Panda Cloud Drive и Panda Premium Services.

Аккаунт Panda

Это облачная консоль для домашнего пользователя, к которой привязываются ваши лицензии на все домашние продукты Panda. Благодаря этой консоли вы всегда можете видеть все ваши лицензии, продлевать их, скачивать самые свежие дистрибутивы доступных вам продуктов, использовать функции анти-вора с опциями удаленного управления мобильными устройствами, а также управлять своими регистрационными данными.

Доступ к аккаунту осуществляется как из продуктов Panda, так и непосредственно через браузер по ссылке: myaccount.pandasecurity.com.

y2ozaqzo1rma4ekm-ieep8kaiw0.jpeg

Panda Cloud Drive

Panda Cloud Drive – это сервис, доступный из аккаунта Panda, который предлагает пользователям 20 ГБ безопасного облачного пространства для резервного копирования, синхронизации файлов и их обмена с другими устройствами. Данный сервис доступен только для пользователей самого дорогого тарифного плана Premium.

Помимо вышеперечисленных преимуществ, с помощью Panda Cloud Drive вы также можете фотографии со своего смартфона автоматически делать доступными для всех ваших устройств и устройств ваших друзей, с которыми вы хотите ими поделиться.

Кроме того, помимо автоматического резервного копирования (бэкап) компьютерных файлов, вы также можете делать бэкапы ваших фотографий и контактов, хранящихся на вашем мобильном устройстве.

Чтобы воспользоваться данным сервисом, вам необходимо его включить в аккаунте Panda. Работатьь с этим сервисом можно с любого мобильного устройства под управлением Windows, Android, iOS, BlackBerry.

Премиум-сервисы

Пользователи премиального тарифного плана Panda Dome имеют доступ к премиум-сервисам Panda Premium Service, которые предоставляются высококвалифицированные инженерами, чтобы помочь пользователям настроить и оптимизировать работу своих устройств, обновить операционную систему, устранить неполадки, удалить вирусы, настроить устройства и WiFi, настроить конфиденциальность и опции безопасности в соцсетях.

Доступ к премиум-сервисам осуществляется как через аккаунт Panda, так и непосредственно из продукта. Правда, имейте в виду, что на текущий момент данные сервисы предоставляются только на английском языке.

Системные требования

Как мы уже говорили выше, Panda Dome в силу своей «облачности» является одним из самых легких продуктов, а потому имеет вполне доступные минимальные системные требования, что позволяет продукту незаметно работать на большинстве устройств, даже вполне старых.

Windows

• Операционная система: XP SP3 и выше (32 бит), Vista, 7, 8, 8.1 и 10 (32 и 64 бит)
• Процессор: Pentium 300 МГц и выше
• ОЗУ: 128 или 256 МБ
• Жесткий диск: 240 МБ свободного пространства
• Браузер: MS Internet Explorer 6 и выше

При использовании опции VPN, требуется Windows 7 и выше, а также NET.Framework 4.6 и выше.

Android

• Операционная система: Android 4 и выше
Mac
• Операционная система: Mac OS X 10.10 и выше
• Жесткий диск: 200 МБ свободного пространства
iPhone/iPad
• Операционная система: iOS 7 и выше

Поддержка

Пользователь Panda Dome может обратиться в службу технической поддержки различными способами: непосредственно из интерфейса продукта, через сайт, по телефону или по электронной почте.

_vfqmxytounmrdjo6l0apm1a9cs.jpeg

Контакты русскоязычной службы технической поддержки Panda Security:
• support@rus.pandasecurity.com
www.cloudav.ru/support
• +7 (495) 105-94-51

Тарифные планы

Как мы уже говорили, особенностью нового решения Panda Dome является то, что теперь пользователю предлагается единый продукт с единым дистрибутивом, но с различными тарифными планами и дополнительными расширениями (add-on).
Новые тарифные планы с продуктами из предыдущей линейки соотносятся следующим образом:

vovcbitifyyfm_wcvls-sbuthkk.jpeg

Ниже представлена полная таблица функционала продукта в зависимости от тарифного плана:

m46dbaxlup8awkukypxjm5sreno.jpeg

k1fnx95jegbjrrx8cizned8bowu.jpeg

m1q2rs-mi0acrnvaib2mjzeyo3m.jpeg

mycjjvlliy8hmaicl2k2jl4jt84.jpeg

Помимо стандартных тарифных планов доступны и дополнительные расширения (add-on), которые можно добавлять к своему тарифному плану:

Panda Cleanup – позволяет оптимизировать работу ПК c Windows (дефрагментация, очистка ненужных файлов, диспетчер загрузки, очистка реестра)

Panda VPN Premium – возможность выхода в Интернет через безопасные прокси-серверы по защищенному VPN –каналу с набором дополнительных преимуществ: безопасные WiFi соединения, анонимный просмотр сайтов, доступность заблокированного в стране Интернет-контента, анонимность IP-адреса, отсутствие Интернет-рекламы. Лицензия на 5 устройств

Panda Total Care – премиум-сервисы Panda Premium Services плюс круглосуточная техническая поддержка. Доступно для всех операционных систем Windows, Android, Mac iOS

Panda Passwords – предоставляет доступ к менеджеру паролей. Доступно для всех операционных систем Windows, Android, Mac iOS. Данный add-on будет доступен в ближайшее время

Panda Family – предоставляет доступ к родительскому контролю. Доступно для всех операционных систем Windows, Android, Mac iOS. Данный add-on будет доступен в ближайшее время

Продажи решения Panda Dome в России и станах СНГ начнутся в ближайший месяц. На текущий момент российские цены пока еще не определены, хотя, скорее всего, они будут примерно в тех же диапазонах, что и предыдущая линейка 2017 года: например, Panda Antivirus Pro, оснащенный антивирусом и файерволом, на 1 год на 3 устройства сейчас стоит 1200 рублей.

Заключение


Новое решение Panda Dome продолжает лучшие традиции предшествующих линеек домашних продуктов Panda, предоставляя легкую, эффективную и простую в использовании защиту.
Легкость устанавливаемого агента позволяет ему незаметно для пользователя работать даже на старых компьютерах с Windows XP.

Эффективность решения обусловлена высоким уровнем защиты от новых и неизвестных угроз. В частности, известные события 2017 года с новыми вирусами показали, что пользователи Panda были надежно защищены от Petya, WannaCry и других менее известных «сюрпризов».

Эффективность решения подтверждается и высокими результатами, которые Panda демонстрирует в сравнительных тестированиях, например, AV-Comparatives: на протяжении последних лет Panda каждый месяц показывает лучшие результаты в самом серьезном тестировании защиты в реальных условиях Real-World Protection Test, завоевав по итогам 2017 года золотую медаль.

kfgqb9_cj2ssebaspjc8fqbubr8.jpeg

Домашний антивирус Panda создан по принципу «Установил и забыл». В первую очередь, он предназначен для рядовых пользователей, которым не требуются сотни различных опций для тонкой ручной настройки – им нужен продукт, который будет обеспечивать легкую и надежную эффективную защиту, не требующую какого-то отдельного внимания и не мешающий заниматься своими делами (ходить по сайтам, смотреть фильмы, слушать музыку, работать с документами). В идеальном варианте пользователь вообще должен забыть о том, что у него установлен антивирус.

Так что если для Вас главное не шашечки, а ехать, то антивирус Panda – это, пожалуй, самый оптимальный вариант.

Дата: 2018-04-23 08:27:48

Источник: https://habrahabr.ru/post/354090/



Предупреждён – значит вооружён: от чего не спасает HTTPS

HTTPS — очень важная для интернета технология: она охраняет наш трафик и все веб-сайты в интернете должны использовать её. Есть ряд ограничений ко всем бонусам, которые предоставляет даже правильно настроенный HTTPS. В данной статье попробуем в этих ограничениях разобраться.

HTTPS работает только тогда, когда его используют

На практике основная ошибка в использовании HTTPS, приводящая к уязвимостям, заключается в том, что он работает не постоянно.

Указывайте https:// в каждом веб-адресе, включая документацию, почту, рекламу и т.д. Используйте HSTS, директивы Upgrade-Insecure-Requests и Block-All-Mixed-Content для того, чтобы избежать ошибок при вводе URL с HTTPS.

Смешанное содержимое — браузеры будут блокировать небезопасные скрипты и CSS (так называемое активное смешанное содержимое). В свою очередь, изображения и другое «пассивное смешанное содержимое» будет запрашиваться с сервера и появляться на экране.

Небезопасные ссылки — браузеры умеют бороться с активным и пассивным смешанным контентом на страницах, но большинство из них ничего не делает по поводу так называемого «латентного» смешанного контента — небезопасных ссылок на вполне себе безопасных страницах.

Ограничения приватности

SNI/IP-адрес — когда вы подключаетесь к серверу через HTTPS, URL остаётся в зашифрованном виде, и другие пользователи сети не смогут понять, что вы делаете. Однако эти пользователи вполне могут узнать IP-адрес, к которому вы подключились, и имя хоста, которое вы запрашиваете, например, используя расширение ClientHello.

TLS 1.3 предлагает средства для SNI-шифрования, но злоумышленник, скорее всего, сможет догадаться, к какому серверу вы подключены, исключительно по IP-адресу (если вы, конечно, не сидите через TOR).

Количество данных — когда вы подключаетесь к сереверу через HTTPS, данные, которые вы отправляете и получаете, зашифрованы, однако в большинстве случаев количество данных не маскируется. Пользуясь этим, злоумышленик, который знает, на каком сайте вы сидите, сможет понять тип передаваемых или получаемых данных. Протоколы вроде HTTP/2 имеют возможность формировать сдвиги для маскировки количества данных. Также некоторые сайты могут сами предпринимать меры для обеспечения приватности.

Для совершения подобных атак используется множество различных характеристик конкретно вашего трафика, чтобы определить, чем вы там занимаетесь. Злоумышленниками, кстати, зачастую выступают не только мошенники, но и целые государства: такие атаки лежат в основе так называемого «Великого Китайского Фаервола». Атаки, именуемые «BREACH», пользуются особенностью сжатия трафика в HTTP. Даже небольшая утечка способна полностью раскрыть содержимое передаваемых данных.

Заголовок Referer — по умолчанию браузер отправляет URL страницы через «Referer», когда перенаправляет с одной HTTPS-страницы на другую. В нём, как правило, содержится адрес сайта, с которого вы перешли, а также некоторая информация о вас. Обычно она используется серверным кодом сайта, на который вы перешли, для анализа ваших поисковых запросов и т.д. Такой URL в руках злоумышленника предоставит ему достаточно полную информацию о вашем трафике.

Ограничения, связанные с идентификацией сервера

Процедура  верификации сертификата — во время HTTPS-рукопожатия, которое используется для согласования данных сессии между клиентом и сервером, сервер предоставляет сертификат, позволяющий идентифицировать себя. Таких сертификатов существует множество, и самый популярный — сертификат с проверкой домена. Оно и неудивительно: процесс получения такого сертификата не занимает больше 10 минут и не требует никаких документов. От вас нужно только подтверждение того, что вы владеете конкретным доменом.

Такая простота проверки будущего владельца сертификата даёт возможность злоумышленнику получить сертификат верификации на сайт, который очень напоминает оригинал. Конечно, домен https://paypal.com он не сможет зарегистрировать, но https://paypal.co.com — вполне.

Для избежания таких вариантов развития событий существуют более сложные для получения сертификаты. Один из них — сертификат с расширенной проверкой. Их используют банки и системы оплаты. На сайтах с таким сертификатом адресная строка окрашивается в зелёный цвет и даёт понять всем пользователям, что вы заботитесь об их безопасности. Получение такого сертификата — очень трудоёмкий процесс, требующий предъявления документов и т.д.

Иногда злоумышленники пользуются отсутствием достаточной эрудированности пользователя. Наличие полей «логин», «пароль», «номер кредитки» на случайном сайте с похожим на оригинал интерфейсом иногда внушает доверие неопытному пользователю сети.

Одноуровневая безопасность — TLS зачастую делает безопасным соединение только на одном уровне. К примеру, давайте перейдём на сайт https://fiddlerbook.com. HTTPS в начале адреса внушает доверие, ура! Однако не всё так радужно. Вы вряд ли знали, что этот домен работает с бесплатным CDN от Cloudflare: и хоть ваше соединение с данным CDN вполне безопасное, связь сервера с CDN идёт через обыкновенный HTTP.

Проблема DOM — устанавливая соединение с https://www.example.com, вы обычно уверены, что верхний уровень страницы идёт непосредственно с сервера example.com. Но на практике запрашиваемые HTML-страницы часто используют различные сторонние сервисы, которые не всегда безопасны. Это особенно интересно на сайтах с упомянутыми выше сертификатами с расширенной проверкой. Вполне себе безопасные ресурсы содержат скрипты от сторонних сервисов с обычным сертификатом с проверкой домена или вообще без такового.

Компрометирование сервера — если случилось так, что сервер был скомпрометирован из-за бага, ошибки или чего-нибудь ещё, HTTPS не поможет. Более того, HTTPS даже не всегда даст понять вам то, что сервер был атакован.

Банальные баги — очевиден тот факт, что HTTPS не спасёт вас от багов в серверном коде:

За 10 лет не было более подходящей картинки для описания важности безопасности программного обеспечения

Ограничения со стороны клиента

Аутентификация клиента — в HTTPS есть поддержка клиентской аутентификации, которая заключается в предоставлении сертификата, подтверждающего «подлинность» клиента. На практике это практически нигде не используется.

Атака посредника — большинство разработчиков подразумевают, что данные, отправленные клиентом, исходят от этого клиента и не были подвергнуты никаким манипуляциям. Однако существует вероятность атаки человека посередине (Man-In-The-Middle), когда злоумышленник входит в канал связи между клиентом и сервером и проводит манипуляции с данными, удаляя или искажая информацию.

HPKP (HTTP Public Key Pinning) — механизм защиты, благодаря которому удаётся достигнуть снижения риска атаки человека в браузере (Man-In-The-Browser). Однако браузеры Chrome и Firefox отключают этот механизм, если полученный сертификат привязан к установленному пользователем корневому сертификату.

Иногда человек даже ни при чем в подобных атаках. HTTPS защищает данные, пока они в пути, но как только они достигают клиента, HTTPS ничего с ними не делает. Атака человека в браузере происходит, когда клиентская программа (браузер) была атакована вредоносным ПО, так что подмена данных или утечка происходит до шифрования или после дешифрования.

Ограничения в реализации

Усечённые данные — TLS помогает определить, когда данные не были полностью переданы для предотвращения получения неполных данных. На практике эти средства редко используются самими клиентами.

Переопределение ошибок — проблемы HTTPS настолько распространены, что у пользователя иногда появляется возможность переопределения ошибок, возникших во время проверки сертификата (истёкшие сроки сертификатов, несоответствие имён и т.д.). Разные клиенты отличаются друг от друга в том, насколько хорошо они предоставляют пользователю эти ошибки и не позволяют ему их проигнорировать.

Перевод статьи Understanding the Limitations of HTTPS

Никита Улыбин

Наши тесты для вас:
Тест на знание сленга веб-разработчиков.
Что вы знаете о работе мозга?
А вы точно программист?

Дата: 2018-04-23 08:11:40

Источник: https://tproger.ru/translations/https-limitations/