Новости информационной безопасности

Давно у нас не было дайджеста в жанре сборной солянки, давайте попробуем выступить в нем. Тем более, за неделю подобралось немало интересных, но совершенно разноплановых новостей. Начнем с новой модификации известной атаки типа cold boot, в которой применяется натуральная заморозка микросхем оперативной памяти.
Оригинальная исследовательская работа по атакам этого типа была опубликована в 2008 году (вот PDF). Хотя считается, что при отключении питания данные из оперативной памяти мгновенно пропадают, это не совсем так. Даже при комнатной температуре и даже после удаления модуля памяти из материнской платы данные сохраняются в более-менее нетронутом виде несколько секунд.

Если же модуль охладить, то данные можно сохранить еще дольше — для анализа на том же компьютере, либо можно вообще переставить модули в другую машину. Охлаждение до –50 градусов (простым баллончиком со сжатым воздухом) дает еще 10 минут сохранности данных. Жидкий азот и охлаждение до –196 градусов замораживают информацию на час. Из памяти можно похитить множество секретов, в ряде случаев — даже ключи шифрования данных.
В ответ на исследование консорциум Trusted Computing Group внедрил систему принудительной перезаписи памяти при включении компьютера. Получается, как минимум ноутбуки с впаянными чипами RAM защищены от подобной атаки. На прошлой неделе стало понятно, что это не совсем так.

Исследователи из компании F-Secure нашли способ отменить перезапись ячеек памяти при перезагрузке компьютера (подробная статья на английском тут). Атака работает при следующем сценарии: у жертвы похищается ноутбук, который находится в режиме сна, и содержимое оперативной памяти сохраняется. Далее ноутбук вскрывается, и каким-то образом отключается система перезаписи ячеек. Как именно — не сообщается. Весной мы освещали другое исследование F-Secure про безопасность гостиничных ключей, и там специалисты тоже были предельно неконкретны, когда дело доходило до технических подробностей. Зато они снимают видео с драматизацией процесса:

Известно только, что модифицируются сами чипы памяти. После того как принудительное стирание памяти (а неплохо звучит!) было отключено, происходит традиционная атака типа cold boot. Память замораживается, чтобы пережить кратковременное отключение питания, ноутбук перезагружается, загружается с внешнего носителя, и дальше начинается анализ содержимого из предыдущей инкарнации. Исследователи утверждают, что весь процесс может занять не более двух минут. Такой вот интересный метод атаки, будто пришедший прямиком из фильмов про Джеймса Бонда.
Снизить вероятность успеха довольно просто. Как говорят сами авторы, помогут гибернация и авторизация до начала процесса загрузки ОС откуда-либо. Ну и шифрование всего и вся, конечно. Если шифрования нет, все эти манипуляции с мороженой памятью и вовсе необязательны.
Троян кибергруппировки LuckyMouse использует украденный сертификат и заимствует открытый код

Исследование.

Совсем недавно мы упоминали исследование специалистами «Лаборатории» сложносочиненной атаки группы Lazarus. 10 сентября появилось еще одно исследование нетривиальной атаки, инициированной, судя по ряду признаков, китаеязычной кибергруппировкой LuckyMouse.

Функциональность троянской программы достаточно традиционная: она обеспечивает возможность удаленного подключения к зараженной машине, проводит разведку локальной сети, общается с командным сервером и отслеживает сетевой трафик пользователя.
Интересны три особенности вредоносной программы. Во-первых, это драйвер фильтрации сетевого трафика, который использует легитимный цифровой сертификат, выпущенный VeriSign для компании LeagSoft — разработчика ПО (в том числе) для контроля за утечками данных. Очевидно, эта компания была взломана, а сертификат обеспечил скрытную установку ПО для перехвата сетевых коммуникаций.

Во-вторых, примечательно использование авторами троянской программы открытого исходного кода на C.
В-третьих, специалисты «Лаборатории» обнаружили в драйвере признаки, указывающие, что вредоносный код хоть и используется для реальных атак, однако все еще находится в стадии разработки. В дебаг-сообщениях попадаются строки [test], в коде упоминаются известные порты распространенных сетевых служб — POP3S, SMB, MSSQL, которые потом никак не используются. Такой киберкриминальный agile. Использование же открытого кода, помимо ускорения разработки, еще и затрудняет атрибуцию вредоносных программ. Если тенденция получит развитие, атаки станет сложнее приписать определенным группировкам, чем при использовании ими полностью кастомного «проще самому написать» вредоносного кода. Впрочем, в данном случае атрибуция не вызвала затруднений: троян выходит на связь с сервером, который и ранее был известен как принадлежащий группе LuckyMouse.

Угон Теслы без сурового хакинга
Новость.

В прошлом году лаборатория Keen Security Lab китайской компании Tencent опубликовала интересное исследование систем безопасности автомобиля Tesla. В нем электромобиль взламывался так, как это делали бы компьютерные хакеры: через беспроводное соединение и/или встроенный в развлекательную систему машины веб-браузер. Используя вновь найденные уязвимости, китайские исследователи через шину управления CAN добирались до систем контроля над «жизненно важными» автомобильными органами вроде рулевого управления и тормозов.

Это увлекательный, но непростой путь, еще и с непонятными перспективами реализации атаки на практике настоящими злоумышленниками. Группа исследователей из Бельгии пошла как раз по пути реальных преступников и проанализировала коммуникации между автомобилем и пультом управления. Оказалось, что брелок для разблокировки и запуска машины использует ненадежный 40-битный шифр.

При помощи Raspberry Pi и пары блоков радиосвязи общей стоимостью около 600 долларов исследователи научились не только перехватывать команду на открытие дверей и воспроизводить ее — они смогли создать виртуальную копию ключа, которой можно пользоваться многократно. В результате получилась вполне реальная атака: достаточно один раз перехватить радиопередачу между настоящим ключом и автомобилем, и дальше уже можно управлять машиной с копии. Можно не только открыть двери, но и завести машину и уехать.

Как тебе такое, Илон Маск? На устранение уязвимости ушел почти год. Tesla не только обновила механизм шифрования коммуникаций с брелоком, но и внедрила новую функцию: для запуска автомобиля теперь нужно ввести PIN-код. Владельцам Tesla с повышенным чувством опасности также предоставляется возможность выключения системы разблокировки автомобиля без нажатия на кнопки — по появлению брелока вблизи машины.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. И кстати, если вы используете Tor Browser, обновитесь до восьмой версии. В предыдущих нашли серьезную уязвимость.

This script is enabled as a service in systemd systems and uses a default vpn (VPNBook) at system startup.

Since version 1.06 the dns resolution requests are done throught DnsCrypt (enable and disable with option enable_dns or disable_dns)

Since version 1.12 the logs of connections vpn saved in sqlite in /logs/

Attention VPN Providers!
If you are a provider, you support OpenVPN and want your VPN to be integrated into 4nonimizer contact the developers at hackplayers @ ymail.com.

Installation
Download the repo using git, execute the command ./4nonimizer install in the directory, and follow the screen instructions, 4nonimizer will move to the directory /opt/ and installed as a service.
This script has full compatibility with Kali Linux, although it has been properly tested and should also work on other distributions like Debian, Ubuntu and Arch (Manjaro). However there could be some bugs, or unexpected performances (please comments if you find any!).

Options
Once installed 4nonymizer, enter the command 4nonimizer help to get the help, which shows all the available parameters:

       ___                   _           _
      /   |                 (_)         (_)
     / /| |_ __   ___  _ __  _ _ __ ___  _ _______ _ __
    / /_| | '_ \ / _ \| '_ \| | '_  ` _ | |_  / _ \ '__|
    \___  | | | | (_) | | | | | | | | | | |/ /  __/ |
        |_/_| |_|\___/|_| |_|_|_| |_| |_|_/___\___|_|
                                       By Carlos Antonini & Vicente Motos
                                       Version: 1.06-beta

Usage: 4nonymizer <parameter>
     install: Install the script in run services
     uninstall: Disable run service and remove app directory
     change_provider: Change VPN Provider
     change_ip: Change IP from VPN current
     vpn_status: Check IP and provider VPN running
     update_vpns: Update all ovpn of VPNs
     start: Init the 4nonimizer service
     stop: Stop the 4nonimizer service
     stop_nonet: Stop the 4nonimizer service and shutdown network interfaces
     restart: Restart the 4nonimizer service
     update_app: Update this program via git
     privoxy: Install and configure privoxy with port 8118 (BETA)
     proxychains4: Install and configure proxychains4 for default in the system
     browser: Fire up a firefox browser with profile privoxy -> tor
     test_availability: Check peers availability and delete ovpn file if the IP/service is unreachable
     location: Now you can select a specific country or continent of the vpn peer
     enableboot: You can enable service in boot
     disableboot: You can disable service in boot
     enable_dnscrypt: Enable dnscrypt service
     disable_dnscrypt: Disable dnscrypt service
     help: Help (this screen)

Available VPNs
Currently it supports the following VPN providers:
- 7Proxies https://www.7proxies.com/
- AirVPN https://airvpn.org/
- Cryptostorm https://cryptostorm.is/
- Cyberghost https://www.cyberghostvpn.com/en_US/
- ExpressVPN https://www.expressvpn.com
- FreeVPN https://freevpn.me/
- HideMyAss https://www.hidemyass.com/
- IpPVanish https://www.ipvanish.com/
- NordVPN https://nordvpn.com
- PIA https://www.privateinternetaccess.com/
- ProntonVPN https://protonvpn.com/
- Proxy.sh https://proxy.sh/
- SlickVPN https://www.slickvpn.com
- StrongVPN https://strongvpn.com/
- TorGuard https://torguard.net/
- TunnelBear https://www.tunnelbear.com/
- VPNBook (por defecto) http://www.vpnbook.com/
- VPNGate http://www.vpngate.net/en/
- VPNKeys https://www.vpnkeys.com/
- VPNMe https://www.vpnme.me/
- Vyprvpn https://www.goldenfrog.com/es/vyprvpn

Install a new VPN
To install an additional vpn we have to use the following structure in order to the 4nonimizer be able to integrate and perform operations with it.
First, we have to create the following dir structure /vpn/ within 4nonimizer path:

In our example we create the folder /vpntest/ and within it placed all .ovpn files we have. If the files ovpn not have the certificate within each of them we put in the same folder as shown in the example certificate.crt.
In addition, we must place a file named pass.txt containing 2 lines: the first one with the username and the second one with the password, as shown below:

If we have correctly performed all steps when we execute the command 4nonimizer change_provider the menu will show our vpn:
As you can see in the picture, option [7] it is the vpn we've created.

Getting credencials and ovpn files automatically
If the VPN provider allows automation of credential and/or .ovpn files getting, 4nonimizer has standardized the following scripts names and locations:
- /opt/4nonimizer/vpn/provider/vpn-get-pass.sh

- /opt/4nonimizer/vpn/provider/vpn-get-ovpn.sh
4nonimizer automatically detect the presence of both scripts and indicate (Auto-pass Login) or (Auto-get OVPN) if it finds in the first line of each file the expression '#4uto' or '#m4nual' depending on the performed actions.
Extras
- Execute 'source 4nonimizer' to activate autocompletation of parameters.
- Copy .conkyrc in your home directory to load a 4nonimizer template and execute conky.

Videos
- Instalar 4nonimizer Kali Linux https://www.youtube.com/watch?v=FQRuRmMkcDg
- 4nonimizer Navegando de manera segura VPN (Kali Linux 2016.2) https://www.youtube.com/watch?v=6GApaN7fSn8
- devenir anonyme sur kali linux (4nonimizer) https://www.youtube.com/watch?v=Y3puD1Bw3xA
- Anonymizer - How To Hide Your IP address on Kali Linux 2016.2 (Change IP) https://www.youtube.com/watch?v=MNdQD0DCG0A
- Become Anonymous on kali linux 2016.2 https://www.youtube.com/watch?v=IFnhm-rrnEg
- Auto Hide IP with 4nonimizer on KALI Linux 2017 https://www.youtube.com/watch?v=HgqZCm8Wdvw
- Kali Linux - 4nonimizer | Surf Anonymously https://www.youtube.com/watch?v=_mOUQBv4sWs

Versions

Number	codename	date
1.00-beta	.bye-world!	5/10/2016
1.02-beta	.evol-time	11/10/2016
1.03-beta	.using-latin-i	17/10/2016
1.04-beta	.locateit	22/12/2016
1.05-beta	.encrypting	03/01/2017
1.06-beta	.1st-trial	18/01/2017
1.07-beta	.noname	03/05/2017
1.08-beta	.falcon	15/08/2017
1.09-beta	.rabbit	09/11/2017
1.10	.fresh_air	27/02/2018
1.11	.shhh	17/05/2018
1.12	.sqliting	18/05/2018

¡4nonimize the world!

За последние два года специалисты правозащитной организации Citizen Lab обнаружили следы мощного шпионского ПО Pegasus в 45 странах.

Во вторник, 18 сентября, Citizen Lab опубликовала отчет о новой технологии сканирования, позволяющей выявлять системы правительственного слежения с использованием шпионского ПО Pegasus. С ее помощью специалисты обнаружили 1091 IP-адрес, совпавший с имеющимися у них отпечатками Pegasus. Затем они распределили их по 36 отдельным операторам в 45 странах, где спецслужбы «могли проводить операции по сбору данных» в период с августа 2016-го по август 2018 года.

Некоторые из стран, где исследователи обнаружили следы присутствия вредоноса, имеют плохую репутацию с точки зрения прав человека. К таковым относятся ОАЭ, Бахрейн, Мексика, Турция и Йемен. Тем не менее, в список также попали такие демократические государства, как США, Франция и Великобритания.

Новая технология сканирования, правда, имеет свои недостатки. К примеру, в некоторых случаях исследователи не могли определить, указывает ли обнаруженный след на взломанное устройство, или на взломавшего его оператора Pegasus.

ИБ-компания Lookout, также занимающаяся отслеживанием Pegasus, не смогла подтвердить все представленные в отчете страны. Тем не менее, по ее подсчетам, количество заражений выражается трехзначным числом. По словам представителей разработавшей вредонос компании NSO, указанный в отчете Citizen Lab список стран является неточным.

Напомним , бывший сотрудник NSO обвиняется в краже секретов фирмы, в том числе вредоносного ПО Pegasus.

 
Информационная безопасность – одна из дисциплин, набирающих бешеную популярность в последние годы. Между тем, многих пугает порог вхождения, разрозненность знаний или недостаток академической базы. Мы решили помочь всем желающим и организовали цикл бесплатных вебинаров по информационной безопасности. 

Для лучшего понимания мы разбили цикл на пять вебинаров по основным направлениям ИБ. Теперь подробнее про каждое мероприятие.

Основные термины ИБ

Quick Start Guide по основным определениям, концепциям и подходам к обеспечению ИБ

Предлагаем начать с базовых терминов и определений, основных концепций и подходов к обеспечению ИБ. За два часа вебинара вы получите представление об оценке рисков, таксономии угроз, kill-chain-сценариях, описывающих действия злоумышленника, разработке эффективных защитных мер, а также роли подразделений ИБ в жизненном цикле компании.

Вебинар «Основные термины ИБ» пройдет 4 октября с 16.00 до 18.00.
Зарегистрироваться на мероприятие: jetinfosystems.timepad.ru/event/811771

Стандарты ИБ

Быстрое погружение в лучшие практики информационной безопасности

Мы рассмотрим стандарты от международных консорциумов по информационной безопасности, таких как NIST, OWASP, ISACA, SANS, ISO 27XXX. Вы получите отличную технико-методологическую базу, если вы планируете защищать инфраструктуру или рассчитываете применять свои силы в пентесте.

Вебинар «Стандарты ИБ» пройдет 9 октября с 16.00 до 18.00.
Зарегистрироваться на мероприятие: jetinfosystems.timepad.ru/event/811833

Требования ИБ

Актуальные требования российского законодательства РФ по информационной безопасности

В этом вебинаре мы разберем несколько типов нормативных документов:
– определяющих требования и подходы к обеспечению безопасности информации, которая может обладать ценностью для компании;
– определяющих требования и подходы к использованию криптографических средств защиты информации.
Дополнительно рассмотрим зоны ответственности и требования регуляторов к вопросам обеспечения ИБ.

Вебинар «Требования ИБ» пройдет 11 октября с 16.00 до 18.00.
Зарегистрироваться на мероприятие: jetinfosystems.timepad.ru/event/811856

Технологии ИБ

Обзор основных технических средств обеспечения ИБ и принципов их работы

Из вебинара вы узнаете об основных технических средствах, которые применяются для соблюдения принципов обеспечения ИБ: антивирусах, песочницах, межсетевых экранах, IDS/IPS, honeypot, сканерах уязвимостей, DAM, DLP, PKI, IAM, MDM, SIEM и многих других. Дополнительно рассмотрим основные элементы построения безопасной экосистемы информационной структуры компании.

Вебинар «Технологии ИБ» пройдет 16 октября с 16.00 до 18.00.
Зарегистрироваться на мероприятие: jetinfosystems.timepad.ru/event/811925

Тренды ИБ

Тенденции рынка ИБ и знаковые события в мире информационной безопасности

На этом вебинаре вас ждет масса всего интересного: основные угрозы и мотивы злоумышленников, использование концепции Data Centric Security, методы эффективного противодействия современному ландшафту угроз и модели обеспечения безопасности. И еще мы разберемся в схемах внедрения New Wave средств обеспечения ИБ, таких как CASB, SaaS и других. 

Вебинар «Тренды ИБ» пройдет 18 октября с 16.00 до 18.00.
Зарегистрироваться на мероприятие: jetinfosystems.timepad.ru/event/811969

Secret level

Бонусный уровень для прошедших предыдущие этапы — вебинар по практической ИБ от сотрудников лаборатории практического анализа защищенности.
Ссылка на вебинар по практической ИБ будет направлена тем, кто найдет в себе силы прослушать все 5 вебинаров :).

Ссылки на все вебинары:

1. Вебинар «Основные термины ИБ», 4 октября с 16.00 до 18.00. Зарегистрироваться на мероприятие.

2. Вебинар «Стандарты ИБ», 9 октября с 16.00 до 18.00. Зарегистрироваться на мероприятие.

3. Вебинар «Требования ИБ», 11 октября с 16.00 до 18.00. Зарегистрироваться на мероприятие.

4. Вебинар «Технологии ИБ», 16 октября с 16.00 до 18.00. Зарегистрироваться на мероприятие.

5. Вебинар «Тренды ИБ», 18 октября с 16.00 до 18.00. Зарегистрироваться на мероприятие.

Вебинары будет проводить эксперт Центра информационной безопасности компании «Инфосистемы Джет». Если у вас будут вопросы, пишите на security@jet.su.

Facebook заявила о расширении программы вознаграждений за нахождение ошибок, связанных с мошенничеством в отношении маркеров доступа.

При авторизации в приложении через Facebook пользователь получает уникальный маркер доступа. Попав в руки злоумышленника, такой маркер может быть использован на основе разрешений, установленных его владельцем.

Теперь в проект вовлечены сторонние сайты и приложения, а именно:

• Instagram;
• Internet.org / Free Basics;
• Oculus;
• Onavo;
• платформы Open Source (на базе Facebook);
• WhatsApp.

Как сообщить об уязвимости?

Разработчики Facebook обновили условия предоставления услуг, в которых включили основные критерии для подачи жалобы на ошибку. Основное из них — в жалобе должно быть четкое подтверждение, демонстрирующее способ нечестного получения маркеров. Претензию можно составить, обратившись в службу безопасности Facebook.

Какие проблемы включены в программу?

Команда Facebook готова платить по 500 $ за найденную в приложении или на сайте уязвимость, если отчет по ней составлен грамотно. Жалобы будут приниматься только в том случае, если пользователь нашёл ошибку с помощью пассивного просмотра информации и никак её не использовал в своих целях.

Также компания установила перечень проблем, на которые данная программа не распространяется:

• спам и техники социальной инженерии;
• атаки типа «отказ в обслуживании»;
• внедрение контента, если наличие риска не доказано;
• уязвимости системы безопасности в сторонних приложениях и на сторонних сайтах, интегрированных с Facebook (включая большую часть страниц на сайте apps.facebook.com);
• выполнение скриптов на доменах-«песочницах» (например, fbrell.com или fbsbx.com).

Поднимая вопрос безопасности и оперативности решения проблем, разработчики Facebook создали инструмент SapFix, автоматически генерирующий и внедряющий патчи. Разработка основана на искусственном интеллекте, который самостоятельно находит в проекте ошибки и предлагает варианты исправления.

via VentureBeat Source: Facebook

Никита Нельсон

Ещё интересное для вас:
— Тест «Насколько хорошо вы разбираетесь в C#?»
— Блиц-тест «Настоящий ли ты фронтендер?»
— Меньше готовить, больше кодить: обзор питания с доставкой на дом.

Сотрудники УФСБ России по Вологодской области вычислили молодого человека, воровавшего логины и пароли от учетных записей пользователей в почтовых сервисах, а также копировавшего информацию из уязвимых баз данных. Подозреваемому предъявлены обвинения по ст. ч.2 ст.273 УК РФ (использование вредоносных компьютерных программ).

По данным следствия, 24-летний мужчина занимался киберпреступной деятельностью на протяжении 2016-2017 годов. С помощью вредоносной программы, предназначенной для кражи информации и противодействия защитным решениям, он подбирал пароли к почтовым учетным записям пользователей, а затем продавал данные в интернете. Таким образом злоумышленнику удалось заработать свыше 100 тыс. рублей.

Уголовное дело направлено в суд. Молодому человеку грозит до пяти лет лишения свободы.

В Сети обнаружен незащищенный сервер MongoDB, на котором в открытом доступе хранились данные 11 млн пользователей маркетингового сервиса SaverSpy. База данных размером 43,5 ГБ включала полные имена, адреса электронной почты, физические адреса (штат, город и почтовый индекс) информацию о поле 10 9995 35 пользователей. Помимо персональных сведений, база также содержала данные DNS и информацию о статусе электронных писем, полученных пользователем.

По словам исследователя Боба Дьяченко, занимающегося отслеживанием незащищенных серверов MongoDB, БД находилась в открытом доступе по меньшей мере с 13 сентября нынешнего года. Судя по всему, злоумышленники уже получили к ней доступ, поскольку база, помимо обычного контента, содержала уведомление с требованием выкупа в размере 0,4 биткойна ($2,4 тыс.) за возвращение похищенных данных. Как показал поиск Google, данное уведомление и адрес криптовалютного кошелька, на который предлагалось перевести деньги, уже «засветились» в вымогательской кампании, проведенной в конце июня 2018 года. Тогда несколько владельцев серверов MongoDB в Китае сообщили о похожих инцидентах.

Изначально было неясно, кому принадлежит база данных, однако дальнейший анализ показал, что оператором сервера может являться маркетинговая компания SaverSpy. Представители компании никак не отреагировали на сообщение исследователя о проблеме, однако 18 сентября доступ к серверу был закрыт.

Ранее компания Veeam Software, специализирующаяся на разработке решений для управления виртуальной инфраструктурой и защиты данных, допустила утечку 445 млн записей своих клиентов. База данных объемом в 200 ГБ хранилась на открытом для общего доступа сервере MongoDB в инфраструктуре Amazon