Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Уязвимость ядра IE стала мишенью APT-атак

Китайские ИБ-эксперты из компании Qihoo 360 сообщили о продолжительных атаках повышенной сложности (APT), использующих 0-day уязвимость в ряде продуктов Microsoft. Под угрозой находятся последние версии Internet Explorer и работающие на его ядре приложения.

Особенностью APT-атак является согласованность действий преступников и направленность на конкретные организации. Из всех видов угроз эта представляет наибольшую опасность, поскольку злоумышленники используют очень сложные типы зловредов и тщательно заметают за собой следы.

Об атаках стало известно 20 апреля, эксперты передали отчет о проблеме в Microsoft на прошлой неделе. Исследователи сообщают, что обнаружили множество документов MS Office, содержащих вредоносный код. Целью атаки является ограниченное число пользователей.

Жертве достаточно открыть специально созданный документ, чтобы с удаленного сервера началась загрузка вредоносного кода, с помощью которого преступники могут выкрасть конфиденциальную информацию.

Злоумышленники используют уязвимость нулевого дня в Internet Explorer, которую аналитики назвали «двойной удар». Зловред действует в обход UAC, использует технику отражающей загрузки DLL (Reflective DLL Loading), бесфайловый метод заражения и стеганографию, чтобы скрыть процесс передачи данных.

Команда 360 Core Security пока не опубликовала полный отчет об эксплойте уязвимости. В свою очередь представители Microsoft не подтвердили, но и не опровергли наличие угрозы. Компания заявила, что всегда поддерживает актуальное состояние защиты приложений, и призвала пользователей дождаться следующего «вторника патчей».

Ранее Internet Explorer испытывал другие проблемы с безопасностью. В прошлом году вирус-вымогатель Matrix уличили в эксплойте уязвимости CVE-2016-0189. Несмотря на то, что разработчик выпустил соответствующий патч еще в 2016 году, злоумышленники используют ее до сих пор.

Дата: 2018-04-23 17:09:22

Источник: https://threatpost.ru/ie-kernel-vulnerability-used-for-apt-attack/25759/


Пожарная сигнализация заблокировала работу дата-центра биржи Nasdaq

Громкий пожарный сигнал вывел из строя жесткие диски в шведском центре обработки данных Digiplex. Наиболее заметным последствием стал сбой всех операций Nasdaq по Северной Европе. Digiplex является одним из крупнейших центров обработки данных в своем районе: сотни его серверов размещены в здании площадью 20 000 кв.м в Вясби, недалеко от Стокгольма.

Как сообщает издание Bleeping Computer, инцидент произошел 18 апреля 2018 года рано утром и был вызван инертным газом. В подобных системах пожаротушения газ высвобождается из специальных баллонов в случае возгорания. Неправильная настройка приводит к резкому непреднамеренному высвобождению газа из баллона с оглушительным звуком, который может повлечь за собой сбой в работе жестких дисков.

На видео Брендана Грегга (Brendan Gregg) из Sun Fishworks наглядно показано, почему даже простое повышение голоса может привести к сбою в работе жестких дисков:

Итоги аварии

В результате пострадала примерно треть серверов, расположенных в Швеции, Дании, Исландии, Финляндии, Норвегии и Прибалтике. Все финансовые операции таких банков, как FIM Bank и OP Bank Group, были заблокированы с 08:00 до 14:00 — к этому времени уже удалось развернуть необходимые бэкапы.

Компания Digiplex заявила, что Nasdaq арендует у них пространство в центре обработки данных, но использует при этом свое собственное оборудование. Представители биржи добавили, что прямо сейчас в Швеции недостаточно серверов для замены уничтоженных, и им приходится импортировать новое оборудование.

Это не первый случай, в котором причиной сбоя оборудования становится внешняя причина. О пяти самых худших багах в истории мы рассказали в нашем материале.

Источник: BleepingComputer

Olga Dergach

Наши тесты для вас:
Тест на знание сленга веб-разработчиков.
Что вы знаете о работе мозга?
А вы точно программист?

Дата: 2018-04-23 17:05:29

Источник: https://tproger.ru/news/digiplex-nasdaq-fire-alarm/


[recovery mode] Еще раз о приватности в Вконтакте

Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутентификации с учетными данными, например, Вконтакте.

В чем тут может быть подвох?

Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:

h4mwmfjha7enjqetqvxogp_j4ze.jpeg

Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.

Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:

"privacy_view": ["<b>only_me</b>"],
"privacy_comment": ["<b>only_me</b>"]

Т.е. не только этих:
"privacy_view": ["all"],
"privacy_comment": ["all"]

Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.

Выводы:

  1. Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
  2. #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
  3. Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
  4. Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
  5. Пример с аналогичными доступами оставлю в качестве домашнего задания

Дата: 2018-04-23 17:02:24

Источник: https://geektimes.ru/post/300265/


У LinkedIn снова проблемы с безопасностью данных

Социальная сеть LinkedIn снова оказалась в центре скандала, связанного с возможной утечкой пользовательских данных. Уязвимость в механизме автозаполнения форм AutoFill обнаружил американский исследователь Джек Кейбл (Jack Cable). Функция позволяет подставлять в поля форм на других ресурсах данные из профиля LinkedIn.

Социальная сеть готова была поделиться со сторонними сайтами номером телефона, адресом электронной почты, местом работы и другой персональной информацией своих пользователей. Предполагалось, что функция автозаполнения поможет им избежать двойного ввода данных в резюме, анкетах и других формах. В LinkedIn подчеркивали, что никто не сможет получить доступ к приватной информации без ведома владельца.

Однако, как выяснил Кейбл, слегка подправив код кнопки автозаполнения, ее можно сделать прозрачной и растянуть на весь экран. Любой клик посетителя по странице, содержащей такую ловушку, воспринимался LinkedIn как вызов процедуры AutoFill и инициировал отправку личных данных. Если пользователь был залогинен в социальной сети, то никаких дополнительных уведомлений при этом не открывалось.

Исследователь немедленно сообщил LinkedIn об опасности утечки. В ответ разработчики ограничили возможность работы с автозаполнением для всех сайтов, за исключением своих партнеров, внесенных в список надежных ресурсов.

Такое решение не удовлетворило Кейбла — он продолжил диалог, указывая на недостаточность принятых мер. По мнению эксперта, в вопросе использования персональных данных LinkedIn не может полагаться на чистоплотность других компаний. В качестве доказательства исследователь создал демонстрационную страницу, которая легко получала недоступную, по мнению соцсети, информацию.

Проблема усугублялась тем, что приватные данные передавались даже в том случае, если пользователь LinkedIn ограничил их видимость в своем профиле.

На этот раз соцсеть подошла к делу серьезнее и, взяв паузу на несколько дней, выпустила патч, закрывающий уязвимость. Теперь при отправке информации для автозаполнения обязательно открывается окно с предупреждением. Пользователь должен подтвердить свое согласие на передачу данных стороннему ресурсу.

Социальная сеть LinkedIn не в первый раз испытывает проблемы с безопасностью данных. Самым известным инцидентом стала утечка 117 млн учетных записей ее пользователей. Несмотря на то, что взлом платформы произошел еще в 2012 году, база данных еще долго продавалась на криминальных площадках.

Дата: 2018-04-23 16:47:15

Источник: https://threatpost.ru/linkedin-again-has-troubles-with-data-security/25755/


Резонанс от пожарной сигнализации обрушил 30% серверов в дата-центре Digiplex около Стокгольма

59e5c88420834041445391.jpeg
Ядро Linux отключает жёсткий диск после 120 секунд подачи звука на резонирующей частоте через динамик USB-колонки Edifier r19u. Динамик включен примерно на четверть мощности (менее 100 мВт) и располагается в 20 см от HDD, направлен на стол для усиления вибраций. Кадр из видеоролика с демонстрацией работы HDD-киллера

Как известно, любой HDD подвержен вибрациям из-за колебаний окружающего воздуха. Производители HDD указывают для каждой модели максимально допустимый уровень вибраций, а сам жёсткий диск часто стараются поместить в защищённый от вибраций контейнер из резины или другого изоляционного материала. Несмотря на эти усилия, HDD всё равно может работать как микрофон и записывать окружающие звуки.

Чтобы вывести из строя HDD, нужно направить на него звук на частоте, которая резонирует с частотой HDD. Программа hdd-killer отлично демонстрирует, как это происходит на практике. Если звук достаточно громкий, то вскоре система отключит устройство с ошибкой ввода-вывода, а сам жёсткий диск может получить необратимые повреждения.

Иногда подобные случае происходят непреднамеренно. Например, в сентябре 2016 года румынский дата-центр ING Bank приостановил работу на 10 часов после пожарных учений. Десятки жёстких дисков вышли из строя из-за громкого звука инертного газа, выпускаемого из баллонов под большим давлением. Звук был очень мощным (более 130 децибелл), а ведь известно, что даже кричать на жёсткие диски нельзя — это увеличивает задержку доступа к HDD.

Примерно то же самое случилось 18 апреля 2018 года в шведском дата-центре Digiplex, который обслуживает биржевые операции. Из-за инцидента даже пришлось прервать торги на бирже Nasdaq Nordiq в Северной Европе, пишет Bleeping Computer.

Как и два года назад в Румынии, всё началось с пожарной сигнализации — и громкого звука инертного газа, выпускаемого из баллонов под большим давлением. Чувствительные накопители не выдержали этого звука — и вскоре примерно треть всех серверов в дата-центре прекратила функционировать. Как сообщается, на этих серверах работали торговые системы биржи Nasdaq Nordic, а также финских банков FIM Bank и OP Bank Group.

Кроме серверов биржи, уничтожены серверы для высокочастотной торговли, которые некоторые банки устанавливали максимально близко к биржевым серверам для минимизации пинга. В данном случае такая стратегия оказалась неудачной.

Из-за инцидента биржа Nasdaq Nordic не смогла открыться в положенное время в 8:00 по местному времени, когда в этом районе начинают работать все фондовые биржи. Пострадали трейдеры из Швеции, Финляндии, Дании, Исландии, а также трёх прибалтийских стран. По каким-то причинам Nasdaq в Норвегии открылась и работала, сообщает издание.

Частично восстановить системы и перезапустить торги на Nasdaq Nordic в ограниченном объёме удалось только в 15:00 того же дня, хотя по правилам биржи она обязана восстанавливать систему из резервной копии в течение двух часов. Представители Nasdaq сообщили финским СМИ, что система резервного копирования будет использоваться до понедельника, пока они не заменят пострадавшее оборудование в дата-центре и не проверят, что в резервных копиях сохранились действительные копии всех рабочих систем от всех банков-участников торгов.

Представитель Digiplex сказал, что Nasdaq арендует только место в дата-центре, но использует своё собственное оборудование. Руководство Nasdaq объяснило, что во всей Швеции не нашлось в тот момент достаточного количества серверов, чтобы заменить вышедшие из строя. Пришлось импортировать новые серверы из-за границы. Этим объясняется задержка с восстановлением системы из резервных копий: «Самолёты только что пришли», — сказал Лаури Розендаль (Lauri Rosendahl), исполнительный директор биржи Nasdaq Nordiq, в комментарии финской газете Helsingin Sanomat на следующий день после инцидента. Пока не установят новое оборудование, биржевые сервисы работают не в полной мере. В частности, торги доступны не для всех трейдеров, пишет Helsingin Sanomat.

Digiplex — один из крупнейших центров обработки данных в Северной Европе, с тысячами серверов в здании площадью 20 000 м². Он располагается в районе Уппландс Весбю недалеко от Стокгольма. Любопытно, что в течение двух дней после фатальной пожарной тревоги так и не ясно, была она вызвана реальным возгоранием или оказалась ложной. От этого зависит, кто будет выплачивать компенсацию пострадавшим и по какой статье.

Дата: 2018-04-23 16:39:27

Источник: https://geektimes.ru/post/300263/


Security Week 14: конференция RSA, дырявые рекламные сети, альянсы и противостояния

z2h2xentglswvwvgrbpjh6azvjo.jpegНа прошлой неделе в Сан-Франциско прошла очередная, двадцать седьмая по счету бизнес-конференция RSA Conference. До начала 2000-х данное мероприятие можно было охарактеризовать как узкоспециализированную вечеринку криптографов, но постепенно деловой контент почти полностью вытеснил технический. Не всем такой формат мероприятия по информационной безопасности пришелся по душе. Всю неделю в твиттере то и дело проскакивали едкие комментарии технических экспертов, типа «RSA проходит максимально продуктивно, если запереться в гостиничном номере и поработать».

RSA — это и правда тусовка менеджеров, и не важно с чьей стороны — поставщика решений по безопасности или же компании-клиента. О киберзащите там говорят «на высоком уровне», общими словами, подчас туманно и расплывчато. В целом можно понять, почему технарей от формулировок типа «инклюзивность диверсификации при построении новой парадигмы инфобезопасности» так бомбит. Но в попытках поделить около-ИБ-сообщество на «наших» и «ваших» ничего хорошего нет. Во-первых, делителей и так в нашей жизни слишком много. Во-вторых, индустрия информационных технологий (если вспомнить тот же скандал вокруг Фейсбука) столкнулась с проблемами, которые технического решения, к сожалению, не имеют. Попробуем показать на примерах.


Типовая, сферическая в вакууме конференция RSA проходит по следующему шаблону: какой-нибудь свежий технический тренд выбирается главной темой мероприятия, вокруг него строятся ключевые выступления самых важных гостей (читай, платиновых спонсоров). В этом году шаблон порвало: количество и сложность атак растут, но говорить об этом, не предлагая тут же хоть какой-нибудь продукт для защиты, и желательно от всех атак сразу, — не соответствует общепринятым деловым практикам. А решения сразу всех проблем в мировом масштабе что-то нет. В первый же день конференции зазвучали очевидные, но нетрадиционные для бизнеса слова: что серебряных пуль (= универсальных таблеток от киберпреступности) не бывает, что есть огромный разрыв между потребностью рынка в ИБ-специалистах и их наличием. Представитель McAfee и вовсе обозначил довольно жесткую параллель с террористическими атаками 11 сентября: после них безопасность в гражданской авиаиндустрии была повышена не волшебством и не новой прорывной технологией, а множеством небольших улучшений уже существующего процесса — от запрета на пронос жидкостей до усиленных дверей в кабину пилотов.

Да ладно? Нет, подход «чтобы что-то получилось, надо много и упорно работать» — он вообще правильный, но услышать его именно на RSA Conference было как-то неожиданно. Еще два года назад практически те же люди бодро жужжали про невероятные преимущества IoT и бездонные провалы в безопасности, к которым уже почти прикручен то ли машин лернинг, то ли блокчейн, то ли некстген, и что совсем скоро все будет хорошо. А тут вот оно как вышло. Предположу, что источник такого ветра перемен — в настроениях корпоративных клиентов, которые устали слушать про очередную страшную АПТ в отсутствие какого-то вменяемого плана противодействия. Пора бы уже поговорить про решения, причем это пожелание относится и к технарям, обычно ищущим только проблемы. Хотя бы и в самой инфраструктуре конференции: на четвертый день RSA Conference кто-то обнаружил базу фирменного мобильного приложения на серверах подрядчика в открытом доступе.

Дата: 2018-04-23 15:52:27

Источник: https://habrahabr.ru/post/354148/


Reverse Engineering x64 for Beginners – Windows

Prologue In the previous blog here, we reverse engineered a simple binary containing plaintext password in Linux with the help of GNU Debugger (GDB). In this blog however, we will [more]

The post Reverse Engineering x64 for Beginners – Windows appeared first on Checkmate.

Дата: 2018-04-23 15:01:56

Источник: http://niiconsulting.com/checkmate/2018/04/reverse-engineering-x64-for-beginners-windows/


Reverse Engineering x64 for Beginners – Linux

Prologue The main focus of this blog is to give a push start to the beginners to get in the field of reverse engineering. Since this is the age of [more]

The post Reverse Engineering x64 for Beginners – Linux appeared first on Checkmate.

Дата: 2018-04-23 14:59:54

Источник: http://niiconsulting.com/checkmate/2018/04/reverse-engineering-x64-for-beginners-linux/


WebView будет предупреждать пользователя об опасных сайтах

Технология Safe Browsing теперь включена по умолчанию в системной утилите Android WebView — компоненте мобильной ОС от Google. Разработчики добавили поддержку сервиса в одном из прошлых релизов программы, а теперь запустили его в полном объеме.

Safe Browsing сверяет запрашиваемый адрес со списком небезопасных сайтов, замеченных в распространении вредоносных программ и фишинге. Google поддерживает и обновляет базу данных с 2005 года — технология интегрирована в браузер Chrome, а также используется в Firefox, Opera, Safari и других программах. При попытке открыть ненадежный ресурс пользователь получает предупреждение о возможной угрозе и предложение вернуться на безопасную страницу.

Долгое время WebView, являясь по сути еще одним браузером Google, был лишен доступа к API Safe Browsing, за что подвергался справедливой критике специалистов. Последний используют для быстрого просмотра веб-страниц сотни приложений Android. Эта служба позволяет открывать внешние сайты, не покидая исходной программы — к примеру, когда пользователь переходит по ссылке в мобильной версии Facebook.

Теперь Safe Browsing защищает все средства интернет-серфинга в Android, доступные по умолчанию. Поддержку технологии безопасности добавили еще в обновленный WebView, представленный в Android 8 Oreo, однако она была выключена по умолчанию. Разработчиками сторонних приложений приходилось активировать ее самостоятельно.

Начиная с релиза WebView 66, служба всегда включена и не требует дополнительных действий от программ, которые к ней обращаются. Как утверждает Google, технологией SafeBrowsing защищены более трех миллиардов устройств по всему миру. Количество обращений к черному списку сайтов возросло на порядок после того, как в 2015 году вендор добавил его в мобильную версию Chrome.

В этом контексте усиление контура безопасности WebView будет весьма кстати — облегченная версия браузера не первый раз становится источником угроз для владельцев мобильных устройств. Именно утилита быстрого просмотра стала точкой входа для зловреда Expensive Wall, поразившего миллионы устройств.

Эта же служба использовалась вредоносной программой Android.RemoteCode.106.origin, которая занималась накруткой рекламного трафика без ведома пользователя.

Дата: 2018-04-23 14:22:44

Источник: https://threatpost.ru/android-gets-safer-with-webview-utility/25748/


MalPipe - Malware/IOC Ingestion And Processing Engine

MalPipe.png

MalPipe is a modular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results.

At this time, the following feeds are supported:

Getting Started

These instructions will get you a copy of the project up and running on your local machine for development and testing purposes. See deployment for notes on how to deploy the project on a live system.

Installing
Deployment of MalPipe requires installing the required python libraries and configuring the various modules.
Python dependencies can be installed by running:
pip install -r requirements.txt

Configuring

Feeds
An example configuration is provided in config_example.json with settings to get started. This file contains a JSON object containing the required settings for each feed / processor / exporter. An description of a feeds settings are shown below:

...
    "feeds": {
...
        "MalShare": {
            "ENABLED" : true,
            "API_KEY" : "00000000000000000000000000000000000000000000000000000000000",
            "EXPORTERS" :  ["DetailsPrinter", "JSONLog"],
            "PROCESSORS" :  ["YaraScan", "DNSResolver"]
        },

...
As some feeds update daily, feeds can be in two forms: scheduled and active. Settings for when these should run is defined outside of the configuration in the individual modules.

Processors
Processors are used to enrich/standardize the collected. For example, data from VirusTotal contains yara results for each file collected, whereas MalShare does not. By adding, YaraScan to the PROCESSORS key, you can scan the files to also include this data.
An example modules settings are below:

...
    "processors": {
    ...
        "YaraScan": {
            "ENABLED" : false,
            "RULES_PATH": "/yara_rules/Malware.yara"
        },
        ...
Currently, the following processors have been implemented:

Exporters
The final components is exporters, these control where the data goes. These can be used to export collected data to a malware repository, a SIEM, JSON Log files or printed for the user.
     ...
     "exporters": {
        ...
        "JSONLog": {
            "ENABLED" : true,
            "PRETTY" : true,
            "LOG_PATH": "./temp/"
        },
        ...
Currently, the following processors have been implemented:

Running
After setup, MalPipe can be run by using:
python malpipe.py

Developing Modules
Modules for MalPipe located under malpipe/ by type:
Creating new modules is easy,

Create Python Module
MalPipe modules are defined as Python classes. Following is an example Module header

class ModuleName(Processor):
    def __init__(self):
        md = ProcessorDescription(
            module_name="ModuleName",
            description="Description",
            authors=["Author Name"],
            version="VersionNumber"
        )
        Processor.__init__(self, md)
        self.types = ['ipaddresses']
        self.parse_settings()
Settings can be set by importing the configuration and set to class variables, shown below:
 from malpipe.config import CONFIG
            ...
            self.yara_rule_path = CONFIG['processors'][self.get_module_name()]['RULES_PATH']
Each processor is required to have a run function that is called by the feed.

Add Settings
After creation of the module, settings need to be added to are config.json under the processors, feeds , or exporters key. If the new module is a processor or exporter, it will also need to be added to the associated feeds. An example is shown below:

     ...
    "processors": {
     ...    
        "SuperNewModule": {
            "ENABLED" : true,
            "DOCOOLSTUFF": true
        },
     ...
    "feeds": {
        ...
        "0DayMalwareFeed": { 
            "ENABLED" : true,
            "EXPORTERS" :  ["DetailsPrinter", "JSONLog"],
            "PROCESSORS" :  ["SuperNewModule"]
        }
        ...

Contributing
Please report any problems by creating a issue or starting a pull request. If you have additional modules or features you would like to see, please consider opening an issue.

Authors

See also the list of contributors who participated in this project.

Дата: 2018-04-23 12:45:10

Источник: https://www.kitploit.com/2018/04/malpipe-malwareioc-ingestion-and.html