Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Обзор инцидентов безопасности за период с 16 по 22 апреля 2018 года

Краткий обзор главных событий в мире ИБ за минувшую неделю.

Попытки заблокировать мессенджер Telegram в России и их последствия, утечка данных 48 млн пользователей соцсетей, включая Facebook, LinkedIn, кампании по эксплуатации уязвимостей в Drupal и Internet Explorer, уже ставшие привычными обвинения в адрес пресловутых «российских хакеров» стали наиболее обсуждаемыми событиями предыдущей недели. Подробнее об этих и других инцидентах читайте в нашем кратком обзоре.

Всю прошедшую неделю внимание пользователей Рунета было приковано к ситуации вокруг блокировки мессенджера Telegram. 16 апреля в рамках исполнения решения Таганского суда Москвы об ограничении доступа к Telegram на территории РФ Роскомнадзор начал блокировать подсети хостинг-провайдеров, в числе которых оказалось огромное количество ресурсов Amazon , Google , DigitalOcean , OVH, Hetzner, Online.net, Microsoft и других. На данный момент в связи с блокировкой в «черный список» Роскомнадзора внесены более 18 млн IP-адресов. Борьба Роскомнадзора с Telegram поставила под удар многие компании, не имеющие отношения к делу, в частности, наблюдались сбои в работе сервиса Viber, официальных дилерских центров Volvo и пр. Примечательно, что несмотря на все усилия надзорной службы, Telegram продолжает работать.

16 апреля Министерство внутренней безопасности США, ФБР и Национальный центр кибербезопасности Великобритании опубликовали совместный доклад, согласно которому финансируемые правительством «русские хакеры» атакуют по всему миру миллионы маршрутизаторов и другое сетевое оборудование, в том числе потребительского класса. Как сообщается в документе, злоумышленники взламывают уязвимые устройства с целью шпионажа и подготовки плацдарма для дальнейших атак. Днем позже министр по вопросам кибербезопасности Австралии Ангус Тейлор (Angus Taylor) опубликовал официальное заявление, в котором назвал РФ виновной в осуществлении кибератак на австралийские компании в августе 2017 года. По словам министра обороны Австралии Марис Пейн (Marise Payne), жертвами кибератак могли потенциально стать порядка 400 компаний.

За последние несколько месяцев некорректно настроенные серверы Amazon S3 послужили причиной множества утечек данных, однако компании продолжают игнорировать проблемы собственной безопасности. На минувшей неделе исследователь безопасности Крис Викери (Chris Vickery) обнаружил на некорректно настроенном сервере Amazon S3 данные 48 млн пользователей популярных соцсетей и сервисов, включая Facebook, LinkedIn, Twitter и Zillow. Данные принадлежали компании LocalBlox, специализирующейся на сборе различной информации. Файл размером 1,2 ТБ содержал имена, физические адреса, даты рождения, информацию о месте работы, IP-адресах и другие данные из профилей в LinkedIn, Facebook, Twitter и прочих сервисов. В настоящее время LocalBlox уже устранила проблему, закрыв доступ к серверу.

В конце минувшей недели специалисты команды Qihoo 360 сообщили о вредоносной кампании, в рамках которой неизвестные злоумышленники эксплуатируют уязвимость нулевого дня в ядре браузера Internet Explorer. Проблема, которую эксперты описывают как «double kill», затрагивает все последние версии Internet Explorer, а также приложения, использующие ядро IE. В своем сообщении команда не раскрыла полную цепочку эксплуатации или подробности о том, кто может стоять за данной вредоносной кампанией.

В середине апреля на портале GitHub был размещен РоС-эксплоит для критической уязвимости Drupalgeddon 2 в Drupal, затрагивающей все версии системы управления контентом за последние десять лет. Спустя несколько часов после публикации эксплоита, его активно начали использовать злоумышленники для установки на уязвимые серверы бэкдоров и майнеров криптовалюты.

Эксперты Avast Threat Labs сообщили о вредоносной кампании, направленной на игроков в Minecraft. По данным экспертов, компьютеры порядка 50 тыс. пользователей оказались заражены вредоносным ПО, форматирующим жесткий диск, а также удаляющим резервные копии и системные программы. Вредоносный Powershell-скрипт распространялся через скины, загруженные с посторонних сайтов.

Дата: 2018-04-23 08:02:11

Источник: http://www.securitylab.ru/news/492820.php



В приложении Siemens для промышленных систем обнаружена опасная уязвимость

Уязвимость позволяет читать незашифрованные конфиденциальные данные из каталога приложения.

В мобильном приложении Siemens SIMATIC WinCC OA Operator для iOS, предназначенном для управления промышленными системами, обнаружена опасная уязвимость.

Проблема CVE-2018-4847 представляет собой уязвимость раскрытия информации в файлах и каталогах. Успешная эксплуатация данной проблемы может позволить злоумышленнику с физическим доступом прочитать конфиденциальные данные, находящиеся в каталоге приложения.

Представители Siemens опубликовали ряд рекомендаций для предотвращения эксплуатайии проблемы. В частности, пользователям рекомендуется отказаться от сохранения пароля при входе в систему и выходить из системы после каждого рабочего сеанса.

Simatic WinCC OA OPERATOR - бесплатное приложение для iOS, позволяющее контролировать и управлять промышленными объектами с помощью мобильного устройства. Программа обменивается данными через HTTPS-сервер с использованием интерфейса SSL-RPC.

Дата: 2018-04-23 07:52:45

Источник: http://www.securitylab.ru/news/492819.php



[Перевод] Какие данные о себе не стоит раскрывать в соцсетях

Соцсети завалены, на первый взгляд, невинными опросами, играми и тестами, призывающими людей предаться воспоминаниям на определённые темы: «Какой была ваша первая работа», «Какой была ваша первая машина». Проблема с участием в этих неформальных опросах в том, что таким образом вы ненамеренно выдаёте ответы на «секретные вопросы», которые можно использовать для открытия доступа к большому количеству ваших учётных записей.

Гарантирую, что большой процент читателей технического блога никогда бы не стали отвечать – честно или нечестно – на подобные вопросы (за исключением желания поругать их участников). Но, я думаю, об этом всё же стоит упомянуть, поскольку некоторые соцсети, особенно Facebook, кажутся просто погребёнными под этими хитрыми уловками для сбора данных. Более того, я постоянно прошу друзей и близких перестать участвовать в таких опросах и перестать подбивать на это своих знакомых.

На первый взгляд, такие простые вопросы не могут показаться чем-то большим, чем просто попыткой вовлечения в игру со стороны благожелательно настроенных компаний и частных лиц. Тем не менее, ваши ответы на эти вопросы могут остаться в онлайне на неопределённо долгое время, что даст возможность людям, крадущим чужие личности и мошенникам получить доступ к вашим учётным записям в онлайне.

Рассмотрим, к примеру, следующий опрос, размещённый на Facebook компанией San Benito Tire Pros, занимающейся шиномонтажом и ремонтом авто в Калифорнии. Запись спрашивает пользователей: «На какой машине вы учились ездить с ручной передачей?»

Надеюсь, совершенно очевидно, что для большинства людей ответ будет совпадать с ответом на вопрос, «Какой была ваша первая машина?» – а это один из «секретных вопросов», чаще всего использующийся банками и другими компаниями для того, чтобы пользователи могли обновить свой пароль или получить доступ к учётной записи, не зная пароля.

e5f4cc85fc929433ab7c8a8b74e581b3.png
Этим простым опросом поделились более 250 раз за неделю. Тысячи пользователей честно отвечали на него, и таким образом, связывали свой онлайн-профиль с ответом.

Вероятно, наиболее известный и распространённый секретный вопрос, «Как звали ваше первое домашнее животное?», появляется в огромном количестве опросов на Facebook, и, что удивительно, тысячи людей отвечают на него добровольно и, вероятно, правдиво. Когда я вижу такой опрос, я обычно вспоминаю смешное интервью 2007 года, в котором Джон Стюарт как бы невзначай спрашивал Билла Гейтса о том, как звали его первое домашнее животное.

382c319b4cb8caf163c599d63025d0ea.png
Почти 5000 пользователей Facebook ответили на этот вопрос, часто используемый для обновления пароля

Сайт Womenworking.com задал один из вариантов того же вопроса своим читателям с Facebook и получил впечатляющее количество ответов:

df933985add281839d606c669136e57e.png

А вот ещё один замечательный опрос интернет-магазина springchicken.co.uk из Британии. Он просит посетителей рассказать всем ответ на ещё один популярный секретный вопрос, «На какой улице вы выросли».

6d7cfb82725cf74bb9fc2e8f82dff1b4.png
Более 500 пользователей Facebook поделились этим опросом со своей сетью, и ещё более сотни поделились ответами, используя своё реальное имя и ссылки на профиль

Следующий вопрос от пользователя Facebook по имени Rving.how – сайта для владельцев джипов – звучит как, «Какой была ваша первая работа». Как этот опрос может быть связан с поездками на джипах, мне совершенно непонятно, но это не остановило людей от публикации ответов.

7f05b07d44e1875bd37c835af5e251f1.png

Вопрос «какой талисман был у вашей школьной команды» – ещё один распространённый секретный вопрос, и тем не менее, его можно встретить во множестве записей на Facebook:

6ec3ab3e87fae81f28ca6556ab505e57.png

Среди самых популярных секретных вопросов встречается такой, как «Где вы познакомились с супругом или партнёром?». Судя по всему, куча людей хочет поделиться этой информацией в онлайне:

6524e90ab2b50c5692fa81bb47154b83.png

А вот ещё одна прелесть от Womenworking. Кто из нас не использовал подобный секретный вопрос («Какой ваш любимый фильм»)? Отвечать на него правдиво, в опросе на Facebook, или где-то в своём профиле – плохая идея.

Помните ли вы имя вашего первого учителя? Не волнуйтесь, если вы забудете его после того, как ответите на этот вопрос, Facebook будет помнить его для вас.

628e04fa9a98077277e2671e1835862f.png

Я никогда не встречал секретного вопроса, «Какой был первый посещённый вами концерт», но он тоже довольно уникален, не хуже других секретных вопросов, и я бы не удивился, если бы его использовали в каких-нибудь компаниях. Однако, «Ваша любимая музыкальная группа», однозначно популярный секретный вопрос:

a4a16df3fd72fc330ec80bb7254744cf.png

Если вы будете раздавать информацию о себе, о своих предпочтениях и пристрастиях, это может привести к разным неожиданным последствиям. Эта практика, возможно, даже помогла повлиять на выборы. Вспомните скандал с компанией Cambridge Analytica, собравшей данные на более чем 50 млн пользователей Facebook без их ведома, и использовавшая их для построения моделей поведения для влияния на потенциальных участников выборов в различных политических кампаниях.

Надеюсь, читатели моего блога не решат, что я поощряю практику использования секретных вопросов как подходящий способ аутентификации. Я годами протестовал против неё, именно потому, что ответы на эти вопросы часто очень легко найти при помощи онлайн-сервисов и профилей в соцсетях.

Но если вам приходится работать с компанией, заставляющей вас выбирать секретные вопросы, то будет очень хорошей идеей не отвечать на них честно. Убедитесь, что у вас есть метод запомнить ваш неправильный ответ, если вы в какой-то момент забудете, как именно обманывали опросник.

Дата: 2018-04-23 07:00:01

Источник: https://geektimes.ru/post/300201/



Уязвимость в реализации SAML затрагивает три продукта Cisco

Уязвимость позволяет атакующему получить доступ к ПО ASA и FTD.

Компания Cisco исправила уязвимость в реализации Security Assertion Markup Language (SAML). Поскольку уязвимость (CVE-2018-0229) затрагивает язык разметки, ее «унаследовали» сразу несколько продуктов:

Механизм аутентификации с технологией единого входа (Single sign-on) в продукте Cisco AnyConnect;

ПО Adaptive Security Appliance (ASA);

ПО Firepower Threat Defense (FTD).

Согласно уведомлению безопасности Cisco, уязвимость позволит атакующему получить доступ к ASA и FTD в случае, если ему удастся заставить жертву подключиться к средствам безопасности. Проблема связана с невозможностью в ASA и FTD проверить, действительно ли запросы на аутентификацию отправляются непосредственно клиентом AnyConnect. Злоумышленник может проэксплуатировать уязвимость, заставив жертву нажать на вредоносную ссылку и использовав для аутентификации продукт Cisco Identity Provider (IdP).

С помощью фишинга атакующий может заполучить токен авторизации пользователя и установить сеанс AnyConnect в корпоративной сети через ASA или FTD. Уязвимость затрагивает ASA и FTD в случае, если в них реализована технология единого входа на базе SAML 2.0 через AnyConnect VPN, а сеанс завершен на продуктах 3000 Series, ASA 5500 и 5500-X, ASA модуле в переключателях Catalyst 6500 или маршрутизаторах 7600, ASAv, Firepower 2100 или 4100, Firepower 9300 ASA модуле или FTDv.

SAML – язык разметки на базе языка расширяемой разметки XML. Открытый стандарт обмена данными аутентификации и авторизации между участниками, в частности, между поставщиком учетных записей и сервис-провайдером. SAML был разработан в 2001 году Техническим комитетом безопасности сервисов.

Дата: 2018-04-23 06:58:02

Источник: http://www.securitylab.ru/news/492818.php



Обзор архитектуры управления информационной безопасности в Check Point R80.10. Часть 1 (Перевод)

uytuwxqfwdrwpz1iqvjikj4h0yi.png

Экспоненциальный рост объёмов данных поступающих из различных источников, таких как сетевые, облачные, мобильные и виртуальные системы, приводит к появлению новых угроз. Организации должны быстро адаптироваться и защитить себя, требуя более мощных и высокопроизводительных средств информационной безопасности. Check Point Infinity, первая консолидированная система информационной безопасности, работающая как в обычных сетях, так и в облачных и мобильных, обеспечивая самый высокий уровень предотвращения как известных, так и неизвестных целенаправленных атак, чтобы защитить вас в настоящем и в будущем.

Система управления Check Point R80.10 являясь частью Check Point Infinity обеспечивает управление системой информационной безопасности на новом уровне. За счёт единой консоли управления предоставляя простой и эффективный инструмент управления политиками и просмотра событий. Далее мы более подробно рассмотрим технические особенности новой архитектуры.

В R80.10 реализована возможность конкурентной работы нескольких администраторов с редактированием политик и объектов на одном и том же сервере управления. Также, возможно делегирование ряда рутинных задач другим администраторам, что позволяет сфокусироваться на мониторинге безопасности и обработке инцидентов.

Единая политика (unified policy) позволяет организациям перевести свои регламенты безопасности в простой набор правил, что упрощает администрирование политики и её соблюдение во всей организации. Уровни политики (Policy Layers) позволяют разделить политику на независимые сегменты, которые могут независимо управляться и автоматизироваться.
R80.10 позволяет улучшить общую производительность управления с помощью современных возможностей оркестровки. API автоматизация позволяет управлять рабочими процессами, обеспечивая согласованность служб информационной безопасности с ИТ-процессами и системами.

Главные компоненты сервера управления R80.10


u_0rnn-sub3cwo4m7enzwxmhmhc.png

SmartConsole


Управление Check Point R80.10 осуществляется с помощью нового приложения SmartConsole. Новое приложение позволяет в рамках одного приложения выполнять задачи по:
  1. Управлению политиками
  2. Анализу логов
  3. Мониторинга работоспособности
  4. Управление Multi Domain Management

R80.10 SmartConsole обеспечивает ряд удобств, повышающих продуктивность работы. Например, можно легко переключаться между просмотром журнала изменений и изменяемой политикой. Взаимодействие R80.10 SmartConsole с сервером управления осуществляется по порту 19009.

Часть блэйдов Check Point использует старые сервисы для взаимодействия с клиентской частью. Они используют для этого FWM и CPMI API на порту TCP 18190.

Программные процессы сервера управления Check Point R80.10


tmqi9h9fv52owd82biiemvedv4k.png

Более подробную информацию о программных процессах Check Point вы найдёте в sk52421.

База данных сервера управления R80.10


Новая архитектура баз данных сервера управления R80.10 позволяет реализовать новые возможности при выполнении ежедневных задач по администрированию Check Point R80.10.
  1. Database sessions – позволяет нескольким администраторам без конфликтов конкурентно работать в одном домене управления.
  2. Database revisions – позволяет просматривать историю изменений и улучшать производительность многих операций, таких как установка политики и High Availability.
  3. Database domains — решение, используемое как при управлении SMS, так и в управлении MDS, которое улучшает производительность работы глобальных политик, обновлений угроз и обновлений управления приложениями.

Database Sessions


С R80.10 несколько администраторов могут работать на SmartConsole в том же домене, с теми же политиками и в то же время. Чтобы избежать конфликтов конфигурации, все работы выполняются в сеансах, как показано на диаграмме ниже.

6dws_fyvspzouapeha13op5azm4.png

Каждая сессия является частной и изолированной. Изменения не могут быть замечены другими администраторами до тех пор, пока они не будут опубликованы. Однако, редактируемые одним администратором объекты блокируются у других администраторов, и они могут посмотреть, кто заблокировал объект. Это помогает администраторам координировать работу с общими ресурсами. После публикации изменений, они станут видны всем администраторам. При инсталляции политики, на шлюзы заливаются только опубликованные данные.

Все изменения сохраняются мгновенно в базе данных сервера управления. Если происходит случайное отключение, выполненная работа не теряется. Администраторы могут отменить изменения во время сеанса, и они могут открыть новый сеанс. При необходимости администраторы с соответствующими разрешениями могут принимать участие в сеансах других администраторов.

Домены баз данных (Database Domains)


В R80.10 управляющая конфигурация хранится в базе данных PostgreSQL. Эти данные подразделяются на нескольких доменов базы данных. Рассмотрим разницу между следующими терминами:
  1. Домены баз данных (Database Domains) – Сегменты в базе данных Postgres, в которых хранятся данные, как для простого сервера управления (SMS), так и для мультидоменного сервера управления (MDS).
  2. Мультидоменные домены (Multi Domain Domains) – логические домены, создаваемые администраторами в Мультидоменном сервере (MDS) и используемые для управления различными частями сети организации.

Типы доменов баз данных


qlt7_r2slct-geevolebrru6ebk.png

User Domain – хранят конфигурацию объектов, изменяемых администраторами, например, сетевых объектов и политик безопасности.
Data Domains – В R80.10 есть несколько доменов данных (Data Domains):

  1. Default Data Domain – содержит сетевые объекты и сервисы созданные по-умолчанию.
  2. Threat Prevention Domain – Хранит обновления для блэйдов Threat Prevention.
  3. Application Control Domain — Хранит обновления для блэйда Application Control.

Содержимое Data Domains изменяется только обновлениями, загружаемыми из Check Point.
System Domain – содержит информацию об администраторах, профили прав и настройки управления.

Log Domain – хранит конфигурацию для логов, которые автоматически генерируются и предоставляются по запросу администраторов.

Global Domain – хранит конфигурацию Глобальных политик (Global Policies) и Глобальных объектов (Global Objects). Данный домен используется только в мультидоменной конфигурации сервера управления.

Одноранговые Домены (Peer Domains)


Конфигурация политики безопасности требует использования данных из многочисленных доменов, и некоторые домены должны распознавать и делиться своими данными с другими доменами. Эти домены являются одноранговыми по отношению друг к другу.

В среде с несколькими доменами (Multi Domain environment) глобальный домен (Global Domain) приравнивается к пользовательским доменам (User Domain). Выравнивание доменной структуры исключает необходимость копировать все глобальные объекты в пользовательский домен. Это приводит к повышению производительности и масштабируемости.

Домены в мультидоменном окружении


В мультидоменном окружении, каждый домен (также известный как Customer) представлен отдельным доменом баз данных типа User Domain. Каждый из других типов доменов баз данных, имеет собственный домен как в мультидоменном окружении, так и на обычном сервере управления. Подобное разделение в рамках одной базы данных имеет ряд преимуществ:
  1. Разделение пользовательских доменов. Использование разных доменов баз данных для хранения информации различных доменов управления обеспечивает полное разделение их данных. User Domains не являются одноранговыми доменами, и следовательно невозможно совместное использование их данных.
  2. Расширенное назначение глобальной политики. До R80.10 назначение глобальной политики копировало все глобальные объекты в базу данных домена (директорию $FWDIR/conf домена). В R80.10 операция присвоения глобальной политики назначает пользовательскому домену новую версию глобального домена.
  3. Расширенные обновления Threat Prevention в многодоменных средах. При обновлении домена Threat Prevention администратором, он обновляется только в домене, с которым он связан. У администратора есть выбор, в каком домене должна быть применена ревизия обновления. При откате Threat Prevention администратор может откатить только этот домен, а не всю базу данных.

Данные уровня MDMS хранятся в Системном домене. Это данные администраторов, профилей прав, доверенных клиентов, конфигурации серверов, доменов управления, доменных серверов. Это позволяет управлять этими данными параллельно на всех MDS серверах.

Ревизии базы данных (Database Revisions)


В версиях ранее R80.10, ревизии сохранялись на сервере управления как резервные копии на случай аварии. Каждая ревизия полностью повторяла базу данных. В новой архитектуре R80.10 есть встроенный механизм создания ревизий. Каждый раз при публикации на сервер управления сделанных изменений, автоматически создаётся и сохраняется новая ревизия базы данных. Каждая новая ревизия содержит только изменения, произошедшие с предыдущей ревизии. Это позволяет экономить дисковое пространство и позволяет создавать ревизии быстрее. Это решение повышает производительность, и на нем основаны многие новые возможности управления:
  1. Более быстрая проверка политики с использованием разницы между установленными версиями.
  2. Более эффективная работа Management High Availability на основе изменений, внесенных с предыдущей синхронизации.

Следующие диаграммы иллюстрируют процесс создания ревизий базы данных с течением времени:

Ревизии базы данных

o6sulauaqdrtjkzxdjolqbm1aso.png

Ревизии базы данных и одноранговые домены

gb91lf9ahk57jwvckuvirfbdvp8.png

В данном примере:

Операция назначения глобальной политики (Assign Global Policy) создала ревизию 4 в пользовательском домене и выровняла ее до версии 1 глобального домена. Публикация, которая создала ревизию 2 в глобальном домене, не отображалась в пользовательском домене до операции переназначения глобальной политики (Reassign Global policy). Операция переназначения политики обновила пользовательский домен, чтобы он указывал на последнюю версию (2) Глобального домена.

Тот же метод используется для обновления данных блэйдов Threat Prevention и Application Control. Каждое обновление создает новую ревизию в соответствующем домене данных. А пользовательский домен выравнивается с соответствующей ревизией домена данных. В мультидоменном окружении каждый пользовательский домен может быть выровнен со своей версией глобального домена или домена данных.

Примеры использования ревизий


Кейс №1: Возникла проблема после инсталляции политики (потеря связности или ошибки в безопасности).

Решение:

  1. Открыть Security Policies > Installation History.
  2. В Installation History выбрать свежую безпроблемную политику и выбрать Install specific version
  3. После того, как шлюз будет безопасно переустановлен, запросите данные аудита и изменений, внесенных в каждую из ревизий управления.

Кейс №2: Проблемы в работе сети после обновления данных Threat Prevention и инсталляции их на шлюзы.

Решение: Выберите беспроблемный вариант обновления Threat Prevention в Threat Prevention > Updates.

Кейс №3: Необходимо выполнить восстановление состояния на указанный момент времени. Как правило данная операция выполняется путём восстановления из бакапа, но это приведёт к потере всех результатов работы после резервного копирования.

Решение: Можно выполнить операцию Revert Policy. Это позволит откатить состояние политик на указанный момент времени, но не приведёт к откату свойств объектов.

Итак, мы с вами ознакомились с изменениями, произошедшими с архитектурой хранения данных в новой версии R80.10 и с теми возможностями, которые открыли эти изменения.
Продолжение следует…

Оригинал статьи.

Если вас интересуют курсы или статьи о Check Point, то можете подписаться на нашу группу ВКонтакте, а так же группу наших коллег — TS Solution.

Дата: 2018-04-23 06:25:51

Источник: https://habrahabr.ru/post/353566/



Основатель Crackass With Attitude приговорен к 2 годам тюрьмы

В 2015 году злоумышленнику удалось получить доступ к учетным записям директоров американских спецслужб.

В Великобритании суд приговорил основателя киберпреступной группировки Crackass With Attitude Кейна Гэмбла (Kane Gamble) к двум годам лишения свободы. Об этом сообщает BBC News.

В 2015 году 15-летний Гэмбл использовал социальную инженерию с целью получить доступ к рабочим и персональным учетным записям директоров американских спецслужб и других высокопоставленных лиц. Киберпреступнику удалось убедить сотрудников колл-центра одного из интернет-гигантов в том, что он является Джоном Бреннаном (занимал пост директора ЦРУ с 8 марта 2013-го по 20 января 2017 года) и Марком Джулиано (занимал пост директора ФБР с 1 декабря 2013-го по 1 февраля 2016 года). Его целями также являлись бывший министр внутренней безопасности США Дже Джонсон, директор национальной разведки при Бараке Обаме Джеймс Клэппер и др. Гэмбл насмехался над своими жертвами в интернете, публиковал персональную информацию, засыпал их звонками и текстовыми сообщениями, загружал порнографию на их компьютеры, а также перехватывал контроль над их iPad.

В феврале 2016 года Гэмбл был арестован, а в октябре 2017 года признал себя виновным в десяти пунктах по обвинению в незаконном использовании компьютеров. После того, как злоумышленнику исполнилось 18 лет, судом были назначены слушания по вынесению приговора.

В ходе слушания судья заявил, что Гэмбл был лидером «кибербанды», которая проводила «чрезвычайно неприятную кампанию политически мотивированного кибертерроризма». В конечном итоге суд приговорил киберпреступника к 2 годам лишения свободы в исправительной колонии.

Дата: 2018-04-23 06:25:00

Источник: http://www.securitylab.ru/news/492816.php



Хакеры похищают криптовалюту прямиком из пула

Уязвимость в реализации средства верификации equihashverify позволяет подделывать доказательства работы.

Исследователи компании 360 Core Security рассказали о новой атаке, в ходе которой злоумышленники похищают криптовалюту прямиком из пула Equihash. Атака возможна благодаря логической уязвимости в алгоритме equihashverify, используемом для проверки достоверности математического утверждения. Поскольку equihashverify раньше использовался в Zcash и других криптовалютах, уязвимость является широко распространенной.

Уязвимость затрагивает не сам алгоритм Equihash, а реализацию средства верификации. Proof-of-Work алгоритм Equihash был разработан учеными Университета Люксембурга и в апреле 2016 года интегрирован с Zcash для обеспечения безопасности, конфиденциальности и устойчивости к ASIC-майнингу.

Уязвимость связана с тем, как алгоритм производит вычисления, hdr означает заголовок блока, а soln отвечает за определение решений, добавляемых пользователями в Equihash. Однако алгоритм содержит ряд уязвимостей, позволяющих обходить реализованное в нем средство верификации для любого заголовка блока.

Proof-of-Work – алгоритм защиты распределенных систем от различных атак, предполагающий выполнение достаточно сложных и продолжительных задач. Эти задачи предназначены не для человека, а для компьютера и требуют больших вычислительных мощностей.

Дата: 2018-04-23 06:06:47

Источник: http://www.securitylab.ru/news/492815.php



Google включит безопасный просмотр в Android WebView по умолчанию

Функция будет активирована по умолчанию в версии WebView 66.

Компания Google планирует по умолчанию включить поддержку безопасного просмотра для упрощенного браузера Android WebView, поставляемого со всеми версиями Android.

API безопасного просмотра представляет собой черный список вредоносных ссылок, ведущих на сайты с вредоносным ПО, фишинговые страницы и пр. Google запустила функцию безопасного просмотра более десяти лет назад, интегрировав API с Chrome.

WebView является одним из базовых компонентов экосистемы Android. Браузер представляет собой урезанную версию механизма рендеринга WebKit (бывшего ядра Google Chrome).

Android использует WebView для рендеринга web-страниц в приложениях. За много лет WebView стал довольно популярным компонентом, так как он позволяет приложениям встраивать web-контент, не открывая сторонние браузеры. Например, такие приложения, как Facebook, Twitter и Signal, используют WebView для просмотра web-ссылок или отображения страниц авторизации.

Однако, несмотря на популярность, в WebView нет защитных решений, присутствующих в других мобильных браузерах, таких как Google Chrome, Firefox и пр.

Google добавила поддержку безопасного просмотра в WebView только в 2017 году. Функция была добавлена в Android Oreo (8.0), однако по умолчанию она отключена, так как разработчикам необходимо включать ее самостоятельно в каждом приложении, использующем компонент WebView.

Как заявили представители Google, с выходом версии WebView 66 функция безопасного просмотра будет включена по умолчанию во всех приложениях, поддерживающих WebView.

«Разработчики приложений Android, использующие WebView, больше не должны вносить какие-либо изменения, чтобы включить эту защиту», - отметил разработчик программного обеспечения Google Нейт Фишер (Nate Fischer).

Дата: 2018-04-23 05:11:00

Источник: http://www.securitylab.ru/news/492814.php



Роскомнадзор объяснил отсутствие интереса к WhatsApp и Viber

Регулятор пояснил, почему в настоящее время его интересует блокировка Telegram, но не других мессенджеров.

Как ранее сообщал SecurityLab, Таганский суд Москвы удовлетворил иск Роскомнадзора относительно ограничения доступа к Telegram на территории РФ. С 16 апреля текущего года операторы связи стали блокировать подсети, используемые мессенджером для обхода блокировки. У многих пользователей возник вопрос, почему регулятор развернул масштабную кампанию против Telegram, однако другие сервисы для общения, такие как WhatsApp, Viber, Facebook Messenger и Instagram, его не интересуют.

Как известно, в июне прошлого года компания Telegram Messenger LLP согласилась передать необходимые данные для внесения мессенджера в реестр организаторов распространения информации (ОРИ). Согласно действующему в РФ антитеррористическому законодательству, ОРИ обязаны хранить и передавать по запросу спецслужб переписку пользователей, однако Telegram отказался выполнять это требование, сославшись на его антиконституционность и невозможность реализации с технической стороны. За отказ выполнять требования закона Telegram был заблокирован в России.

Согласно ст. 10.1& закона «Об информации», под определение ОРИ попадает любой сервис, позволяющий общаться в интернете. Владельцы таких сервисов должны сами сообщать о начале своей деятельности и предоставлять свои данные для внесения в реестр. Также существует возможность принудительной регистрации сервиса в качестве ОРИ. Согласно постановлению правительства от 31 июля 2014 года, Роскомнадзор может потребовать от мессенджера в течение пяти дней предоставить все необходимые данные под угрозой блокировки.

Ведение реестра входит в обязанности Роскомнадзора, однако процесс принудительного внесения в него ОРИ инициируют правоохранительные органы. Ведомство должно оформить требование в течение трех рабочих дней со дня получения обращения федерального органа исполнительной власти, осуществляющего оперативно-разыскную деятельность или обеспечение государственной безопасности.

Как пояснили порталу vc.ru представители Роскомнадзора, правоохранители пока не обращались к нему по поводу внесения в реестр сервисов WhatsApp, Viber, Facebook Messenger и Instagram, чем и объясняется отсутствие к ним интереса со стороны регулятора. Как только от компетентных органов поступит обращение, Роскомнадзор начнет предпринимать соответствующие шаги.

Дата: 2018-04-23 04:43:28

Источник: http://www.securitylab.ru/news/492813.php



Эксплойт для Drupalgeddon 2 загружен на IoT-ботнет

Операторы ботнета, составленного из серверов и смарт-устройств, добавили в его арсенал эксплойт для недавно опубликованной уязвимости удаленного выполнения кода в CMS-системе Drupal. Заплатки для этой весьма опасной бреши, прозванной Drupalgeddon 2, были выпущены в конце марта, и ботоводы, видимо, рассчитывают на то, что не все пользователи успели их установить.

Уязвимость CVE-2018-7600 затрагивает многие подсистемы Drupal версий 6, 7 и 8, предоставляя злоумышленникам широкую площадь атаки. Эксплойт не требует аутентификации и открывает возможность для выполнения команд на сервере.

Бот-сеть, о которой идет речь, в китайской ИБ-компании Qihoo 360 называют Muhstik. Анализ показал, что боты Muhstik являются модификацией Tsunami — хорошо известного IoT-зловреда, долгие годы использовавшегося для создания ботнетов путем заражения Linux-серверов и смарт-устройств. Основным назначением Tsunami являлось проведение DDoS-атак, однако после утечки исходного кода его возможности значительно расширились.

Так, в апреле 2017 года была обнаружена модификация Tsunami, именуемая Amnesia, которая умеет предупреждать свой запуск в виртуальной среде. Другой вариант этого IRC-бота засветился в декабре в ходе брутфорс-атак на сайты WordPress с целью установки майнера Monero.

Боты Muhstik, согласно Qihoo 360, способны проводить DDoS-атаки, а также скрытно устанавливать майнеры XMRig (для добычи Monero) и CGMiner (для майнинга Dash). Этот зловред проникает на сетевые устройства и IoT посредством эксплуатации уязвимостей; сразу после заражения он загружает модуль сканирования, который подключается к своему C&C-серверу (отличному от тех, которые обычно использует Muhstik), скачивает список IP-адресов и начинает искать новые уязвимые устройства.

Первые атаки Muhstik на уязвимость CVE-2018-7600 в Drupal эксперты обнаружили неделю назад. Аналитики из GreyNoise Intelligence, в свою очередь, отметили, что этот ботнет активизировал также сканы Oracle WebLogic на наличие уязвимости CVE 2017-10271, которая в текущем году неоднократно использовалась для засева криптомайнеров.

В настоящее время Muhstik осуществляет сканирование на следующих портах:

Эксперты предупреждают, что загрузка на ботнет эксплойта к Drupalgeddon 2 способна в разы масштабировать подобные атаки, и примеру операторов Muhstik, скорее всего, последуют  другие злоумышленники, располагающие схожими ресурсами. По этой причине всем пользователям Drupal важно как можно скорее обновить CMS-систему, чтобы закрыть эту возможность для наращивания потенциала IoT-ботнетов.

Дата: 2018-04-23 02:28:30

Источник: https://threatpost.ru/iot-botnet-muhstik-added-drupalgeddon-2-to-its-arsenal/25744/