Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Экс-сотрудник Tesla обвинен в хищении конфиденциальных данных компании

Злоумышленнику удалось похитить несколько гигабайт информации, в том числе фотографии и видеозаписи.

Компания Tesla подала в суд на своего бывшего сотрудника Мартина Триппа (Martin Tripp), обвинив его в хищении большого объема конфиденциальных данных для дальнейшей передачи третьей стороне.

Как следует из материалов дела, житель штата Невада (США) Мартин Трипп работал на одном из заводов Tesla с октября 2017 года, однако плохо справлялся с рабочими обязанностями и в мае 2018 года был переведен на другую должность. Данная мера вызвала у мужчины недовольство, в отместку он «похитил конфиденциальную информацию, являющуюся коммерческой тайной, и раскрыл ее третьим сторонам».

По словам представителей Tesla, Трипп признался в заражении сетей компании вредоносным ПО, позволявшим пересылать данные компании сторонним лицам даже после того, как мужчина был уволен. В общей сложности Триппу удалось похитить несколько гигабайтов информации, в том числе фотографии и видеозаписи. Помимо этого, Трипп обвиняется в распространении заведомо ложных данных об использовании компанией бракованных аккумуляторов в автомобилях.

В настоящее время продолжается расследование по данному делу. Tesla требует от бывшего сотрудника компенсации, размер которой должен установить суд присяжных.

Дата: 2018-06-21 05:33:00

Источник: http://www.securitylab.ru/news/494036.php



[таблицы] МЭ, сертифицированные по новым требованиям

Свежие (текущие) требования к межсетевым экранам были утверждены ФСТЭК России 12 сентября 2016 г. Именно тогда официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов.

Кратко напомню (и сам для себя ещё раз зафиксирую, чтобы потом знать, где искать), какие типы межсетевых экранов c точки зрения ФСТЭК бывают:

C классами защиты ещё проще — чем выше класс (1 — самый высокий), (тем больше к ним требований и) тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.

Для удобства были введены идентификаторы профилей защиты в формате ИТ.МЭ.«тип»«класс».ПЗ Вот полная их таблица:

С момента утверждения новых требований прошло более полутора лет, но в реестре ФСТЭК присутствуют (на момент публикации) только 45 сертификатов с упоминанием профилей защиты ИТ.МЭ и только 23 из них выданы на серию, а не на ограниченную партию изделий.

Ниже приведены все доступные на сегодня сертифицированные по новым требованиям (и при этом серией) межсетевые экраны, сгруппированные по типам.

Межсетевые экраны типа «А»

Межсетевые экраны типа «Б»

Межсетевые экраны типа «В»

Межсетевые экраны типа «Г»

Межсетевые экраны типа «Д»

Класс защиты№ сертификата — Межсетевые экраны
ИТ.МЭ.Д1.ПЗне предусмотрен
ИТ.МЭ.Д2.ПЗне предусмотрен
ИТ.МЭ.Д3.ПЗне предусмотрен
ИТ.МЭ.Д4.ПЗпока нет
ИТ.МЭ.Д5.ПЗпока нет
ИТ.МЭ.Д6.ПЗпока нет

Как видно, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а например, МЭ типа Д и вовсе пока отсутствуют.

Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, есть возможность сертифицировать как МЭ типа А шестого класса защиты (ИТ.МЭ.А6.ПЗ) партии устройств Cisco:

 

Дата: 2018-06-21 05:29:32

Источник: https://zlonov.ru/2018/06/new-fstec-fw/



3 тыс. приложений могут привести к утечке данных из-за незащищенных серверов Firebase

ИБ-эксперты рассказали о новом варианте уязвимости HospitalGown.

Компания Appthority опубликовала результаты исследования нового варианта уязвимости HospitalGown, приводящей к утечке данных. Новый вариант связан с тем, что разработчики должным образом не защищают базы данных Google Firebase, к которым подключаются их приложения.

Специалисты Appthority обнаружили уязвимость HospitalGown еще в 2017 году. Проблема связана не с каким-либо кодом в приложении, а с отсутствием на серверах механизмов авторизации. Как ранее сообщал SecurityLab, из-за отсутствия защиты серверов Elasticsearch более 1 тыс. приложений могут привести к утечке 43 ТБ корпоративных данных.

Новый вариант уязвимости затрагивает серверы Firebase, где хранится такая персонально идентифицируемая информация, как данные о состоянии здоровья, незашифрованные пароли, токены авторизации в соцсетях и криптовалютных обменниках, данные по денежным транзакциям, номера транспортных средств и т.д.

Уязвимости подвержены 3 тыс. iOS- и Android-приложений (уязвимые Android-приложения были загружены свыше 620 млн раз), подключающихся к 2,3 тыс. незащищенным базам данных Firebase. 62% предприятий имеют хотя бы одно уязвимое приложение, сообщают эксперты.

Дата: 2018-06-21 04:47:36

Источник: http://www.securitylab.ru/news/494035.php



Mylobot: одетый с иголочки даунлоудер

Исследователи из ИБ-компании Deep Instinct обнаружили в сетях своего клиента новый, очень продвинутый Windows-зловред, основным назначением которого является загрузка других вредоносных программ.

По свидетельству экспертов, новобранец, нареченный ими Mylobot, вооружен разнообразными средствами предотвращения анализа и обнаружения. Так, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком; принудительно завершать процессы Windows Defender и Windows Update; блокировать дополнительные порты в брандмауэре Windows.

Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Данный зловред также владеет нестандартной техникой внедрения кода — process hollowing. Чтобы не выдать свое присутствие интернет-связью, обосновавшийся на компьютере бот выжидает две недели, прежде чем доложить об успешном заражении на C&C-сервер.

“Это уникальный набор самых современных техник, — заявил в комментарии для Dark Reading Арик Соломон (Arik Solomon), вице-президент Deep Instinct по исследованиям и разработкам. — Все они известны и по отдельности используются некоторыми зловредами, но подобная комбинация не имеет себе равных”.

Выполняя функции даунлоудера, Mylobot может закачать на машину жертвы любую полезную нагрузку — спамбот, DDoS-зловред, кейлоггер, банковский троян. Конкурентов этот загрузчик не терпит и беспощадно от них избавляется, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Обнаружив совпадение, Mylobot прибивает процесс и удаляет соответствующий exe-файл.

Судя по всему, авторы этого зловреда надумали создать ботнет, который можно будет сдавать в аренду распространителям другого вредоносного ПО. Кем написан новый бот, пока непонятно; известно лишь, что Mylobot фиксирует раскладку клавиатуры и, обнаружив азиатские кодировки, отменяет исполнение.

Дата: 2018-06-21 02:32:01

Источник: https://threatpost.ru/mylobot-a-new-highly-advanced-downloader/26757/



Daily Blog #399: Exploring Extended MAPI part 10

Hello Reader,
          In yesterdays post, i'm in the middle of a 37 hour journey to Sydney so its all a blur to me, we talked about the ClientInfo propert within the extended MAPI data. I was talking about how this property could be found in sent messages but didn't consider that MAPI data from a sender would be carried over to the receiver in terms of how the message was sent.

Well, I was wrong! It turns out in my testing that atleast messages sent within an exchange server retain the ClientInfo property of the sender on the messages received and stored by the recipients. I went though emails I received from my coworkers and when I did I found a range of ClientInfo strings two of which I'm going to talk about in the post.

The first is one of my coworkers emailing me from his phone:

ActiveSync.PNG

As you can see not only did it provide the method of connection, in this case ActiveSync meaning it was sent from a phone, but also the email address associated with the ActiveSync connection.

In this example one of coworkers was using OWA and rather than try to make a screenshot of a long string I just copied it out of the property:

"Client=OWA;Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/66.0.3359.181Safari/537.36;"

Here I can tell it was sent via Webmail (OWA) the version of Windows (Windows 10) and what web browser (Chrome) and profile all the messages they've sent me. 

My first instinct was this must be some new X-mpailer entry and this data must be in the header. So I loaded up the header and did not find a X-mailer header entry or any entry that appears to store this data. I saw this but there are multiple base64 encoded entries in the headers now that I will start going through tomorrow, but on its face this ClientInfo property is not in the headers and it is being populated/provided within an Exchange server organization.

So how would I use this in a case? Let's say I'm trying to identify when an internal user stared sending emails from an attacker who lets just say was trying to get a wire transfer sent out. Well alot of the good attackers will delete their sent messages, so now you can get through all the messages the employees received and identify even faster which ones came from the attacker by isolating which Clients which employees were using and which the attacker was using.

As this series continues I'll be writing python code to automate this analysis and I'm looking forward to finding out what all we can mine out!

Дата: 2018-06-20 23:02:14

Источник: http://www.hecfblog.com/2018/06/daily-blog-399-exploring-extended-mapi.html



Crypto Identifier - Tool To Uncipher Data Using Multiple Algorithms And Block Chaining Modes

crypto_identifier.png

Crypto tool for pentest and ctf : try to uncipher data using multiple algorithms and block chaining modes. Usefull for a quick check on unknown cipher text and key dictionary.

Supported Algorithms :
Supported modes :

Usage:
python ./crypto_identifier.py --help
usage: crypto_identifier.py [-h] --input INPUT [--key KEY] [--keys KEYS]
                            [--printable] [--grep GREP]
                            [--algo {ARC4,CAST,AES,XOR,ARC2,DES,Blowfish,DES3}]
                            [--mode {ECB,CBC,CFB,OFB}]

optional arguments:
  -h, --help            show this help message and exit
  --input INPUT, -i INPUT
                        input string (base64)
  --key KEY, -k KEY     key string
  --keys KEYS, -ks KEYS
                        keys file
  --printable, -p       display only printable results
  --grep GREP, -g GREP  grep string in results
  --algo {ARC4,CAST,AES,XOR,ARC2,DES,Blowfish,DES3}, -a {ARC4,CAST,AES,XOR,ARC2,DES,Blowfish,DES3}
                        cipher algo to use
  --mode {ECB,CBC,CFB,OFB}, -m {ECB,CBC,CFB,OFB}
                        block chaining mode to use

Examples :

Multi ciphers + modes
python ./crypto_identifier.py --input "WpbizgqtUDjD5TV5ELVswFL92ao3T41T" --key secret

CAST128Cipher (ECB) : secret (with IV): '\x95\x12(\x8d0_O8\xc7\xb6\x1f\x9b\xc1\xbd5\xe0'
CAST128Cipher (CBC) : secret (with IV): '\xcf\x84\xcaC:\xf2\x1f\x00\x04S*\xe2\xd1\x08Y '
CAST128Cipher (CFB) : secret (with IV): '\x0f\nF\x83\xd6\xbe\x942\xc4\xcco\x11p\xa7\x81\xd5'
CAST128Cipher (OFB) : secret (with IV): '\x0f\xfb\xd1\x01\xd2L\xed\x18\xc1\x1c5^\xfdv\xab\xfb'
AESCipher (CFB) : secret (with IV): '\x14\xa9%\xfdN\xa3F\xbf\x9b7,[email protected]"\xf6\xb14V\xfb{F\xc2\xcf?'
ARC2 (ECB) : secret (with IV): '\xab4\x8ac\x93  \xe6\xca\x19\xe7\x15M\x7f\xa7\xe8'
ARC2 (CBC) : secret (with IV): '\xf1\xa2h\xad\x99\x8dp\xde\t\xfc\xd2l]\xca\xcb('
ARC2 (CFB) : secret (with IV): '\xb8\x06r\xaa\x0fX\x8c\x92)\x00\xc0\xed\x0e\xa8\x0e\xa7'
ARC2 (OFB) : secret (with IV): '\xb87}9{\xc8f\xa3\x99\xe4\xda?,\x01`\x11'
DESCipher (ECB) : secret (with IV): 'a DES test case'
DESCipher (CBC) : secret (with IV): ';\xb6\xa6\x8bY\x8d$]\xb0\x91\x15\x1aq\xc6\t\xc0'
DESCipher (CFB) : secret (with IV): '\xc0\x06\xe6\x7fl\xae\x8bv\xee\xcf\x8c[\x88\x07!\x07'
DESCipher (OFB) : secret (with IV): '\xc0\x86ug\x1f\x16\xd4)\xff0\xc3\x07-\x10&\x80'
BlowfishCipher (ECB) : secret (with IV): '\x1eBkl\xbe\x14\x81\x8c9*\xaa\xee\xebW-3'
BlowfishCipher (CBC) : secret (with IV): 'D\xd4\x89\xa2\xb4\xb9\xd1\xb4\xfa\xcf\x9f\x97\xfb\xe2A\xf3'
BlowfishCipher (CFB) : secret (with IV): '\x83\xf59\xea`-\xfdd8KN\xb0\xcfYo\xef'
BlowfishCipher (OFB) : secret (with IV): '\x83\xd1V\x01\xdf\xad^\tkP5\x94\xeer\xa0\x9f'
DES3Cipher (ECB) : secret (with IV): "<\x00ml\xa0\xc1\x84\\\xcf\x1e,o'\xbd\xa1\xa8"
DES3Cipher (CBC) : secret (with IV): 'f\x96\x8f\xa2\xaal\xd4d\x0c\xfb\x19\x167\x08\xcdh'
DES3Cipher (CFB) : secret (with IV): '\x8e\xe2\x04\x9a\xaa\x08\xedJ\xfd%(\xa2F\x92\x06\xa9'
DES3Cipher (OFB) : secret (with IV): '\x8eS+\x18\xce[\xc5\x0f\x13\xc7k8\xde\xbc\xdaF'
ARC4Cipher : secret : '\xb7\xa00\xd2\x88\t\x86\x9e\xf1.\x8e\xa5\xe3S\x99\xf7\xff\xca\xabH\xb4\xbcI\x0f'
CAST128Cipher (ECB) : secret : '\xc7\xcby\r\xd4\xe6\xcf\xa7\x95\x12(\x8d0_O8\xc7\xb6\x1f\x9b\xc1\xbd5\xe0'
CAST128Cipher (CBC) : secret : '\xc7\xcby\r\xd4\xe6\xcf\xa7\xcf\x84\xcaC:\xf2\x1f\x00\x04S*\xe2\xd1\x08Y '
CAST128Cipher (CFB) : secret : '\xc6\xa4<\xf0>\xe3\x1dg\x0f\nF\x83\xd6\xbe\x942\xc4\xcco\x11p\xa7\x81\xd5'
CAST128Cipher (OFB) : secret : '\xc6\x8a"?\xd5#=\x9931;a\xdaB\xd0v\xcbQ>6+L\xc1\x9d'
AESCipher (CFB) : secret : '\x14\xa9%\xfdN\xa3F\xbf\x9b7,[email protected]"\xf6\xb14V\xfb{F\xc2\xcf?'
XORCipher : secret : ")\xf3\x81\xbco\xd9#]\xa0\x97P\rc\xd0\x0f\xb27\x89\xaa\xcfT=\xe8'"
ARC2 (ECB) : secret : '\x97 \xb6\x9b\xb5Z\x8a\xdc\xab4\x8ac\x93  \xe6\xca\x19\xe7\x15M\x7f\xa7\xe8'
ARC2 (CBC) : secret : '\x97 \xb6\x9b\xb5Z\x8a\xdc\xf1\xa2h\xad\x99\x8dp\xde\t\xfc\xd2l]\xca\xcb('
ARC2 (CFB) : secret : 'U\xef\x12x\x0b\x88\x87*\xb8\x06r\xaa\x0fX\x8c\x92)\x00\xc0\xed\x0e\xa8\x0e\xa7'
ARC2 (OFB) : secret : 'U\r\x86r\xfc|2\xbf\xfb\xb0\xa2\xaf\xba\xe0\xad\x8f6\x9aY\xd9\x926\x8c{'
DESCipher (ECB) : secret : 'This is a DES test case'
DESCipher (CBC) : secret : 'This is ;\xb6\xa6\x8bY\x8d$]\xb0\x91\x15\x1aq\xc6\t\xc0'
DESCipher (CFB) : secret : '>>\xd2\xfd\xe4\xf0!y\xc0\x06\xe6\x7fl\xae\x8bv\xee\xcf\x8c[\x88\x07!\x07'
DESCipher (OFB) : secret : '>\x1942H\x03\x04\xd6\x9a\xbd2v\x9b\x16\x19\r\xb0\xe5&\x1e(\xce\x0f\x12'
BlowfishCipher (ECB) : secret : '\xac\xb6\xcbz\xe8\xd76\x91\x1eBkl\xbe\x14\x81\x8c9*\xaa\xee\xebW-3'
BlowfishCipher (CBC) : secret : '\xac\xb6\xcbz\xe8\xd76\x91D\xd4\x89\xa2\xb4\xb9\xd1\xb4\xfa\xcf\x9f\x97\xfb\xe2A\xf3'
BlowfishCipher (CFB) : secret : '#X\xe0\rS\xf0y\xfe\x83\xf59\xea`-\xfdd8KN\xb0\xcfYo\xef'
BlowfishCipher (OFB) : secret : '#?\xa1\x06T\x7f\x98\x19\x0b\x000\xf3\x1a\xa9\x08.\x94\x8f\xd1a\x9c\x16\xe6\xb1'
DES3Cipher (ECB) : secret : "\x90\xc9\xa5\xd0\x18)'\x94<\x00ml\xa0\xc1\x84\\\xcf\x1e,o'\xbd\xa1\xa8"
DES3Cipher (CBC) : secret : "\x90\xc9\xa5\xd0\x18)'\x94f\x96\x8f\xa2\xaal\xd4d\x0c\xfb\x19\x167\x08\xcdh"
DES3Cipher (CFB) : secret : 'zp-\x9d\xb5\xe8R\x1a\x8e\xe2\x04\x9a\xaa\x08\xedJ\xfd%(\xa2F\x92\x06\xa9'
DES3Cipher (OFB) : secret : 'z\xe1DY\x07\x17#Y6n\xbf\xd8\x15%\xbc\x0f<M\x9c\xa60I\x9a\xbe'

Multi ciphers + modes, print only printable results
python ./crypto_identifier.py --input "WpbizgqtUDjD5TV5ELVswFL92ao3T41T" --key secret --printable
DESCipher (ECB) : secret (with IV): a DES test case
DESCipher (ECB) : secret : This is a DES test case

Single cipher / single mode
python ./crypto_identifier.py --input "WpbizgqtUDjD5TV5ELVswFL92ao3T41T" --key secret --algo DES --mode ECB
DESCipher (ECB) : secret (with IV): 'a DES test case'
DESCipher (ECB) : secret : 'This is a DES test case'

using a dictionary as keys
python ./crypto_identifier.py --input "WpbizgqtUDjD5TV5ELVswFL92ao3T41T" --keys ./500-worst-passwords.txt --printable
DESCipher (ECB) : secret (with IV): a DES test case
DESCipher (ECB) : secret : This is a DES test case

Requirements:
Python 2.7 / 3.x

Дата: 2018-06-20 22:39:01

Источник: https://www.kitploit.com/2018/06/crypto-identifier-tool-to-uncipher-data.html



«Откуда не ждали»: Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД

На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году. Рассказываем об этой ситуации.

nuu0jgv00cnjubaopncw2fdrpum.jpeg
/ Flickr / Stock Catalog / CC BY

Как так получилось


В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно после того, как человек под ником Peace, известный «сливом» данных пользователей Myspace и LinkedIn, начал открыто продавать базу Yahoo всего за 3 биткойна. Объявление появилось в Даркнете в 2016 году, однако злоумышленник заявил, что похитил часть данных еще в 2012-м и до этого продавал их в тайне.

В ходе расследования, к которому в том числе привлекли и ФБР, выяснилось, что Yahoo узнала о взломе сразу после случившегося (в конце 2014 года), но предпочла хранить молчание вплоть до сентября 2016. Согласно новому регулированию (GDPR), организации больше не смогут скрывать утечки от общественности так долго. Статьи 33 и 34 нового регламента обязывают компании уведомлять надзорные органы и владельцев ПД в течение 72 часов после обнаружения утечки. За несоблюдение этого правила GDPR предусматривает многомиллионные штрафы (статья 83, пункт 4).

В США тоже сократили дедлайн для уведомления. Например, в Колорадо с сентября этого года все организации будут обязаны сообщать об утечке данных в течение 30 дней (самый короткий срок по всем штатам). В 2017 году еще 8 штатов обновили политики уведомления об утечках данных. В среднем (в США) период уведомления об утечке данных составляет 45 дней.

В случае с Yahoo компания обвиняется в том, что она:


В итоге в Управлении британского комиссара по информации решили, что Yahoo нарушила седьмое правило части первой DPA 1998, в котором говорится о «необходимости принять надлежащие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных, а также их случайной утери, повреждения и удаления». Согласно разделу 55A DPA 1998, максимальный штраф, который нужно заплатить в таком случае — 500 тыс. фунтов стерлингов. Несмотря на то, что в Управлении учли смягчающие обстоятельства (указанные на стр. 12 в пункте 44 постановления по делу Yahoo, среди которых комиссар выделил сложность кибератаки, готовность компании сотрудничать с представителями власти и другие), от штрафа компании никуда не деться.

Похожие кейсы


Подобный случай произошел с британской компанией TalkTalk, которую взломали в октябре 2015 года. Злоумышленники получили доступ к личной информации 150 тыс. клиентов провайдера, в том числе к конфиденциальным финансовым данным 15 тыс. человек.

В качестве способа взлома преступники выбрали внедрение SQL-кода, а представитель Управления отметил, что способы защиты от атак такого типа уже давно разработаны. К тому же до крупного «слива» TalkTalk получали 2 «предупреждения» — атаки в июле и сентябре 2015 года, которые эксплуатировали аналогичную уязвимость. Поэтому в Управлении посчитали, что TalkTalk «могли бы предотвратить атаку, если бы предприняли основные шаги для защиты данных клиентов» и выставили компании штраф в размере £400 тыс.

На такую же сумму оштрафовали и ритейлера Carphone Warehouse со штаб-квартирой в Лондоне. Жертвами стали 3 млн клиентов компании: киберпреступники получили доступ к их именам, адресам, номерам телефонов, датам рождения, семейному статусу и истории платежей по кредитным картам.

Причиной утечки данных оказался устаревший софт. В ходе расследования также выяснилось, что компания не проводила стандартное тестирование систем безопасности. Как и в случае Yahoo в Управлении британского комиссара по информации расценили такую халатность серьезным нарушением седьмого правила DPA 1998 и выставили Carphone Warehouse штраф близкий к максимальному.

Что дальше


Джеймс Диппл-Джонстон (James Dipple-Johnstone), заместитель комиссара по операционной деятельности ICO, в блог-посте, посвященном кейсу Yahoo, отмечает, что люди доверяют компаниям свои данные в надежде на то, что их личная информация не попадет в руки третьих лиц. Однако не все компании серьезно относятся к защите данных своих клиентов. В таких ситуациях за дело вынуждены взяться представители закона.


7cli_xiqymnziz6h7ezzik_iypq.jpeg
/ Flickr / Willi Heidelbach / CC BY

Если организации не в состоянии обеспечить надлежащую защиту персональных данных своих клиентов, они могут искать работу где-то за пределами ЕС, считает заместитель комиссара.

В Управлении понимают, что кибератаки будут происходить и дальше, а методы киберпреступников станут еще более изощренными, однако требуют от организаций максимальных усилий по защите данных своих клиентов.

Как подчеркивает британский комиссар по защите информации Элизабет Денэм (Elizabeth Denham), «компании должны сделать что-то большее, чем просто закрыть дверь. Они должны повесить на нее замок и постоянно проверять его. Они также должны помнить, что бесполезно запирать дверь, оставляя ключ под ковриком».

P.S. О чем еще мы пишем в корпоративном блоге 1cloud:


Дата: 2018-06-20 21:11:41

Источник: https://habr.com/post/414737/



Банки создают платформу по обмену данными о киберугрозах

Ассоциация банков России запустила пилотную версию автоматизированной платформы по обмену информацией о киберугрозах. Трехстороннее соглашение подписали президент ассоциации Георгий Лунтовский, генеральный директор технического провайдера BI.ZONE Дмитрий Самарцев, зампред правления Сбербанка Станислав Кузнецов, а также представители “Саровбизнесбанка” и банка “Кубань Кредит”.

По мнению авторов сервиса, его задача — обеспечить финансовым организациям оперативный доступ к данным о сетевых угрозах, киберинцидентах, инструментах злоумышленников, методах атак и индикаторах компрометации.

В числе первых к платформе присоединились “Саровбизнесбанк”, банк “Кубань Кредит”, а также Сбербанк, чьей дочерней структурой и является BI.ZONE. Намерение стать участниками соглашения выразили 17 кредитных организаций, еще с 20 продолжается работа по подключению.

Ассоциация будет заниматься подключением банков к сервису, обеспечивать взаимодействие между участниками и следить за соблюдением условий соглашения. Испытания работы системы продлятся три месяца, после чего начнется ее промышленная эксплуатация.

Пилотная версия программы будет предоставляться бесплатно, однако в дальнейшем планируется продажа прав доступа. По словам Самарцева, цену продукта определят после завершения испытаний, но она не будет слишком высокой. “Каких-то денег это будет стоить, бизнес на этом делать мы не собираемся”, — отметил он.

Лунтовский особенно подчеркнул интерес, проявленный финансовыми организациями к платформе. Концепция работы сервиса активно обсуждалась и в конечном итоге была поддержана Комитетом Ассоциации по информационной безопасности.

Решение со схожим инструментарием в мае 2015 года предложил Центробанк России. Помимо мониторинга и передачи сведений о киберугрозах проект регулятора под названием ФинЦЕРТ включает в себя взаимодействие с правоохранительными органами. За его работу отвечает Главное управление безопасности и защиты информации ЦБ РФ.

Зампред правления Сбербанка отметил, что финансовый сектор заинтересован в работе и с международными ассоциациями в области кибербезопасности, однако те неохотно идут на контакт. По словам представителей кредитных организаций, банки не хотят делиться своими проблемами под страхом репутационных рисков.

Дата: 2018-06-20 16:06:22

Источник: https://threatpost.ru/nameless-defensive-system-for-russian-baks/26754/



Испанское футбольное приложение La Liga сделало своих пользователей невольными доносчиками

Популярное футбольное приложение с более чем 10 миллионами загрузок во время своего очередного обновления неожиданно попросило у пользователей Android-смартфонов разрешения для взаимодействия с микрофононом и GPS.

imageВ то время, как люди всей планеты с упоением следят за развитием событий на Чемпионате Мира 2018 в России, миллионы наиболее активных футбольных болельщиков возможно впервые в своей жизни встретились со столь явной угрозой слежки. Пикантной особенностью ситуации оказалось то, что каждый столкнувшийся с этой проблемой человек теоретически может не только пострадать сам, но и подвергуть воздействию угрозы неопределенный круг людей поблизости.

Журналисты сразу нескольких изданий выяснили, что приложение La Liga организовало целую шпионскую сеть посредством мобильных устроств своих пользователей. В ходе установки на смартфоны под управлением Android приложение запросило доступ к микрофону и датчику GPS. Это в теории означает, что создатели La Liga получают полномочия в любой момент как прослушать разговоры и музыку в радиусе нескольких метров от телефона, но и определеить точное местоположение, где была зафиксирована аудио-активность.
Читать дальше →

Дата: 2018-06-20 15:27:30

Источник: https://habr.com/post/414711/



Во Франции закрыт криминальный онлайн-магазин Black Hand

Французская полиция совместно с Национальным директоратом разведки и таможенных расследований задержала владельцев нелегальной торговой площадки Black Hand. Один из крупнейших онлайн-магазинов дарквеба, работавший в течение трех лет, специализировался на продаже наркотиков, оружия, поддельных документов и украденных банковских реквизитов.

В ходе спецоперации полицейским удалось изъять около $30 тыс. наличными и в цифровой валюте, поддельные документы, а также несколько единиц компьютерной техники. Правоохранители готовились к задержанию год, в результате нескольких рейдов им удалось арестовать четверых человек и прекратить работу ресурса.

Удивление полицейских вызвала личность администратора сайта — ею оказалась 28-летняя девушка, мать двоих детей. Злоумышленница скрывалась под псевдонимами “Аннушка”, “Гадес” и рядом других. Задержание преступницы произошло в городе Лилль, а остальных подозреваемых удалось задержать недалеко от Марселя и Монпелье.

По словам агентов, девушка оказалась совсем не похожа на типичного гика, но, как выяснилось, уже имела богатый опыт управления незаконными онлайн-магазинами. Объемы выручки закрытой площадки установить сложно, но офицеры подсчитали, что “Аннушка” зарабатывала чуть больше $10 тыс. в год.

Аудитория сайта состояла из 3000 подтвержденных аккаунтов, владельцы которых делали взнос в несколько десятков долларов за регистрацию. Еще одним источником дохода была комиссия — от двух до пяти процентов с каждой транзакции, а также плата за повышение рейтинга.

Представители полиции заявили, что не собираются останавливаться и планируют привлечь к ответственности посетителей нелегальных площадок. Этому должна поспособствовать информация, оказавшаяся в руках оперативников в результате рейда.

Розыскные мероприятия такого масштаба проводятся во Франции впервые, однако у сотрудников киберполиции США и ЕС уже есть международный опыт. Например, в прошлом году они совместно с коллегами из Азии закрыли один из крупнейших в мире нелегальных сайтов по продаже вредоносного ПО, оружия, токсичных химических веществ и других запрещенных к свободной продаже товаров.

Успешные операции против криминальных онлайн-магазинов проходили и в России. В сентябре 2017 года МВД удалось прекратить деятельность сайта по продаже наркотиков RAMP. Годовая выручка площадки измерялась сотнями тысяч долларов, на момент закрытия ресурс насчитывал почти треть миллиона зарегистрированных пользователей.

Источник: https://threatpost.ru/black-hand-owner-caught-red-handed/26712/

Дата: 2018-06-20 14:59:30

Источник: https://exploit.in/2018/11419/