[image]

Хакеры и взломы...

 
1 10 11 12 13 14 15 16

Iva

Иноагент


Iva

теперь Яндекс.деньги

«Яндекс.Деньги» перевыпустят попавшие в Сеть карты своих клиентов

В Сети оказались данные, которые пользователи платежной системы оставили на сервере стороннего ресурса: токены, логины, номера карт и другая информация //  www.rbc.ru
 
   77.0.3865.9077.0.3865.90

Iva

Иноагент


Iva> теперь Сбербанк
Iva> Вести.Ru: В Сбербанке произошла крупнейшая на рынке утечка персональных данных

и еще раз Сбербанк

В Сети продается биометрия и данные о кредитах клиентов Сбербанка

В Сбербанке произошла вторая крупная утечка персональных данных клиентов за октябрь 2019 г. Банк отрицает этот... //  www.cnews.ru
 
   77.0.3865.12077.0.3865.120

Iva

Иноагент


Iva>

о как - в Чехии раскрыли крупную хакерскую российскую сеть.
Правда я не понял - сомнительно, что она хакерская, скорее обычная пропагандистская.

"Центр российских спецслужб и денег". Хакеры из России в Чехии

В понедельник глава чешской Службы безопасности и информации Михал Коуделка подтвердил информацию, ранее опубликованную журналистами, что в Чехии действовала агентурная сеть, занимавшаяся кибератаками //  www.svoboda.org
 
   77.0.3865.12077.0.3865.120
LT Bredonosec #01.11.2019 16:11
+
-
edit
 

Pegasus: тотальная слежка на iOS и Android

Модульный шпион Pegasus для iOS и Android, или Одна из самых сложных атак на пользовательские устройства. //  www.kaspersky.ru
 

Pegasus: тотальная слежка на iOS и Android
11 апреля 2017

Пользователи Apple iPhone и iPad уверены: они в безопасности. Ведь для iOS нет вирусов! По крайней мере, они так считают. Компания Apple эту точку зрения поддерживает, не пуская в суверенный App Store антивирусные приложения. Ведь они вроде как ни за чем и не нужны.

Ключевое слово здесь «вроде как» — на самом деле это заблуждение. Вредоносное ПО для iOS находили уже много раз, а в августе 2016 года исследователи обнаружили очень опасного зловреда — шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Очень неприятное открытие.

На Security Analyst Summit 2017 исследователи из Lookout сообщили, что Pegasus существует не только для iOS, но и для Android, причем версия для Android несколько отличается от своей iOS-предшественницы. Давайте же немного подробнее разберем, что представляют собой оба «Пегаса» и почему мы говорим о тотальной слежке.

Pegasus: начало, или Лошадь в яблоках

О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.

Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.

Исследователи сходятся в том, что Pegasus создан NSO Group — израильской компанией, которая зарабатывает на хлеб разработкой шпионского ПО. Это значит, что зловреда делали на продажу и любой желающий может его приобрести. Шпион эксплуатирует три уязвимости нулевого дня в iOS, которые позволяют по-тихому провести джейлбрейк устройства и установить шпионское ПО. Другая компания из мира кибербезопасности, Zerodium, в свое время предлагала $1 млн за уязвимость нулевого дня в iOS. Можете представить, во сколько обошлась разработка Pegasus, — их там аж три.

Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.

В том числе Pegasus может прослушивать зашифрованные звонки и читать зашифрованные сообщения: фиксируя нажатия виртуальных клавиш, он считывает сообщения до шифрования, а захват экрана позволяет зловреду украсть входящие сообщения после расшифровки. То же с записью голоса и звука.

Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.
Железный конь для Android

Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).

«Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.

Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.



Spread of countries for Android devices infected with Chrysaor malware; allegedly related to Israeli NSO Group https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html?m=1 pic.twitter.com/Pt997Bgqgn

— Joseph Cox (@josephfcox) April 4, 2017

Скорее всего, вы вне опасности, но…

Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.

Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.

Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:

Всегда вовремя обновляйте устройства, особенно когда речь идет о заплатках безопасности.
Установите надежное защитное решение на все свои устройства. К сожалению, на iOS нельзя поставить антивирус, но мы надеемся, что с появлением Pegasus Apple пересмотрит свою политику в этом отношении.
Разберитесь, что такое фишинг, и научитесь на него не попадаться, даже если это целевой фишинг, как в случае Ахмеда Мансура. Если вы получили ссылку от неизвестного отправителя, не кликайте по ней сразу же. Сначала все обдумайте, а потом кликайте. Ну или не кликайте вообще.
   57.057.0
LT Bredonosec #01.11.2019 16:25
+
-
edit
 

Вредоносные обновления для программ ASUS от APT-группы ShadowHammer

Одна из наших новых технологий позволила обнаружить, вероятно, самую масштабную в истории атаку через цепочку поставок. //  www.kaspersky.ru
 

Благодаря одной из наших новейших технологий, способной выявлять атаку через цепочку поставок, эксперты «Лаборатории Касперского» обнаружили, вероятно, один из крупнейших инцидентов такого рода (помните историю с CCleaner? В этот раз масштабы еще больше). Киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры ASUS, а затем распространяли модифицированную программу через официальные каналы.

Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей.

Согласно нашей статистике, более 57 000 пользователей продуктов «Лаборатории Касперского» установили утилиту с бэкдором. Общее же число жертв, вероятно, составляет порядка миллиона. Однако группировку, стоящую за этой атакой, весь миллион не интересует: они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты. Мы сделали специальный инструмент, при помощи которого вы можете проверить, нет ли вашего MAC-адреса в списке целей. Он доступен на странице Shadow Hammer APT MAC Check.

Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей. Разумеется, мы немедленно уведомили ASUS и другие компании об атаке. На настоящий момент все решения «Лаборатории Касперского» обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить ASUS Live Update Utility, если вы ею пользуетесь. Расследование пока продолжается.

ShadowHammer: новые подробности

Инцидент с ASUS — лишь часть крупномасштабной операции. //  www.kaspersky.ru
 

23 апреля 2019

В предыдущей статье, посвященной операции группировки ShadowHammer, мы обещали опубликовать дополнительные детали после конференции Security Analyst Summit. Расследование продолжается до сих пор, но наши исследователи уже могут сообщить новые подробности этой хитроумной атаки через цепочку поставок.

Масштаб операции

Как мы уже говорили, ASUS оказалась не единственной компанией, которую использовали злоумышленники для доставки своих зловредов. Изучая этот инцидент, наши эксперты обнаружили и другие образцы, которые работали по схожим алгоритмам и, как и в случае с ASUS, применяли цифровые подписи трех других азиатских ИТ-компаний:

Electronics Extreme, разработчика игры Infestation: Survivor Stories в жанре «зомби-апокалипсис»;
Innovative Extremist, поставщика веб-сервисов и ИТ-инфраструктур, также занимавшегося разработкой игр;
Zepetto, южнокорейского разработчика видеоигры Point Blank.

По данным наших исследователей, атаковавшие либо имели доступ к исходному коду проектов компаний-жертв, либо внедрили вредоносный код на этапе компиляции проектов, что означает, что у них был доступ к сетям этих компаний. В связи с этим сразу же вспоминается еще одна атака, о которой мы писали в прошлом году: инцидент с CCleaner.

Кроме того, наши эксперты обнаружили еще три потенциальные жертвы: компанию — разработчика видеоигр, крупный холдинг и фармацевтическую компанию; все три базируются в Южной Корее. На данный момент мы информируем их о случившейся атаке и пока не можем разглашать дополнительные подробности.

Конечные цели

В случае с Electronics Extreme, Innovative Extremist и Zepetto скомпрометированное ПО устанавливало на компьютеры жертв сравнительно простую вредоносную начинку. Она могла собирать информацию о системе, в частности имена пользователей, спецификации оборудования и версии операционных систем, а также загружать вредоносные объекты с C&C-серверов. В отличие от эпизода с ASUS, список потенциальных жертв уже не ограничивался набором MAC-адресов.

Заметим, что и список из 600 с лишним MAC-адресов не обязательно означает, что жертв было ровно столько же — как минимум один из них принадлежал виртуальному сетевому адаптеру, так что один и тот же MAC-адрес был связан с несколькими пользователями.

Дополнительную техническую информацию можно найти на сайте Securelist.
Как не стать звеном в атаке через цепочку поставок

Все вышеперечисленные инциденты связывает то, что атаковавшие раздобыли легальные сертификаты и, по-видимому, скомпрометировали среды разработки своих жертв. Чтобы избежать такого вмешательства, наши эксперты рекомендуют поставщикам программного обеспечения добавить в свой процесс контроля еще одну проверку на наличие вредоносных закладок, которая проводилась бы уже после цифровой подписи файлов.
   57.057.0
LT Bredonosec #01.11.2019 16:29
+
-
edit
 

Вредоносные USB-устройства как вектор атаки

HID-устройства, превращенные в «троянских коней», и кабели-шпионы могут использоваться для проникновения даже в изолированные системы. //  www.kaspersky.ru
 

Вредоносные USB-устройства как вектор атаки
19 апреля 2019

На конференции #TheSAS2019 Лука Бонджорни (Luca Bongiorni) из компании Bentley Systems говорил, что часто вредоносное ПО попадает в промышленные системы управления через USB-устройства. Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительные истории о флешках, разбросанных по парковкам, — это уже классика.

Но недавно произошел реальный случай. Cотрудник промышленного предприятия скачал фильм «Ла-Ла Ленд» на флешку. В итоге в изолированную сеть атомной электростанции попало вредоносное ПО.

Однако не стоит забывать о том, что USB-устройства — это не только флешки. Устройства типа human interface devices (HID), такие как клавиатуры и мыши, зарядные кабели для смартфонов и даже плазменные шары и термокружки — все они могут быть использованы при атаке на промышленные системы.

Краткая история зловредных USB-устройств

Кибероружие в виде USB-устройств появилось довольно давно, первые модели увидели свет еще в 2010 году. В них была небольшая программируемая плата Teensy со стандартным USB-разъемом. Они могли имитировать работу HID-устройства (например, клавиатуры). Злоумышленники быстро сообразили, что такие устройства можно использовать для проникновения: они разработали версию, которая умела создавать новых пользователей в системе, запускать программы с бэкдорами и загружать в систему вредоносное ПО, копируя его с устройства или скачивая с сайта.

Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.

Изобретатель PHUKD не остановился на достигнутом и создал «троянскую мышь», встроив в нее плату для тестирования системы на проникновение. Это с виду обычное периферийное устройство умело делать все, на что был способен PHUKD. С точки зрения социальной инженерии использовать HID-устройства для вторжения в систему может быть даже проще, чем пытаться делать это с помощью USB-флешек. Даже человек, который знает о том, что неизвестную флешку в компьютер вставлять не стоит, вряд ли задумается об опасности подключения клавиатуры или мыши.

Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB. Еще заслуживают упоминания TURNIPSCHOOL и Cottonmouth, которые, возможно, были разработаны Агентством национальной безопасности США. Эти устройства были настолько крохотными, что запросто помещались внутри USB-кабеля. С их помощью можно было добыть данные даже из компьютеров, которые не были подключены ни к каким сетям. Это же самый обычный кабель — кто заподозрит неладное?

Как сейчас обстоят дела со зловредными USB-устройствами

Третье поколение USB-устройств, тестирующих системы на проникновение, — это уже совершенно другой уровень. Один из таких инструментов — WHID Injector. По сути, это Rubberducky с возможностью удаленного подключения. Благодаря поддержке Wi-Fi его уже не надо заранее программировать на определенный род деятельности: преступник может управлять устройством дистанционно, что дает ему возможность действовать по ситуации и работать в разных операционных системах. Еще один инструмент третьего поколения — P4wnP1, основанный на Raspberry Pi, модификация Bash Bunny с дополнительными функциями, включая беспроводное подключение.

Разумеется, и WHID Injector, и Bash Bunny достаточно компактны и легко помещаются в клавиатуру или мышь. На этом видеоролике показан ноутбук, который не подключен к Интернету ни по локальной сети, ни через Wi-Fi, но к нему подсоединена клавиатура с трояном, которая позволяет атакующему удаленно выполнять команды и запускать приложения.
 

Миниатюрные USB-устройства вроде тех, о которых мы говорили выше, можно запрограммировать так, чтобы они выдавали себя за определенную модель HID-устройства. Так можно обходить политики безопасности в компаниях, где требуют использовать мыши и клавиатуры только определенных производителей. В инструментах вроде WHID Injector также может быть микрофон, который используется для прослушки и наблюдения за сотрудниками. Одного такого устройства может быть достаточно, чтобы скомпрометировать всю сеть целиком, если она не сегментирована надлежащим образом.

Как защитить системы от вредоносных USB-устройств

Троянизированные мыши, клавиатуры и кабели-шпионы представляют серьезную угрозу даже для изолированных систем. Сегодня инструменты для таких атак стоят дешево, а чтобы их программировать, не нужны специальные навыки. Так что вам следует постоянно быть начеку.

Для защиты критически важной инфраструктуры следует использовать многоуровневый подход.

Во-первых, обеспечьте безопасность на физическом уровне, чтобы посторонний не смог подключить USB-устройство к системе управления. Заблокируйте неиспользуемые USB-порты физически, также желательно исключить возможность извлечения уже подключенных HID-устройств.
Проинструктируйте сотрудников, чтобы они были в курсе возможных угроз, в том числе со стороны вредоносных USB-устройств (как, например, в инциденте с «Ла-Ла Ленд»).
Сегментируйте сеть и сконфигурируйте права доступа таким образом, чтобы злоумышленники не смогли добраться до систем управления критически важной инфраструктурой.
Защитите все системы предприятия с помощью решений, которые могут обнаруживать все возможные угрозы. В Kaspersky Endpoint Security for Business имеется технология, которая не дает подключить HID-устройство, если пользователь не подтвердит операцию кодом, введенным с уже авторизованного HID-устройства.
   57.057.0
LT Bredonosec #01.11.2019 16:53  @Bredonosec#01.11.2019 16:29
+
-
edit
 
Bredonosec> Но недавно произошел реальный случай. Cотрудник промышленного предприятия скачал фильм «Ла-Ла Ленд» на флешку. В итоге в изолированную сеть атомной электростанции попало вредоносное ПО.

забыл линк кинуть, а зря. статья любопытная

Another Cyberattack Spotted Targeting Mideast Critical Infrastructure Organizations

Operation Copperfield appears focused on data theft and reconnaissance, Nyotron says. //  www.darkreading.com
 

автор считает, что атака проходила из саудовской аравии или ирана или ... потому что в коде обнаружены некие арабские слова.
Но сноуден озвучивал вполне очевидное решение по путанию следов, используемое в анб, - софт, подменяющий некие внутренние переменные или комментарии на язык выбранной жертвы - арабский, русский, корейский, китайский, т.д. для имитации ложного следа якобы оттуда.

Приблуда использовала червя 4-летней давности - Copperfield, is based on H-Worm aka Houdini, a four-year-old remote access trojan (RAT)
Зараза использовала для попадания в систему усб, а потом распространялась иными методами.

Автор использовал $25 generic crypter toolпо имени BronCoder чтоб изменить структуру и hash of the Visual Basic Script-based H-Worm, чтоб обычные сигнатурные антивири его не засекали.

Атакующие также использовали "уникальный" (ну,не уникальный, но красивый, да) метод маскировки: системные файлы зараженной системы подменяются на LNK ссылки с теми же иконками, что и оригинальный файл. В результате клика файл выполняется как положено, но!
Но при этом в фоне выполняется и вредоносный процесс.

Как и оригинальный червь, H-Worm, Copperfield юзает средство автоматизации in Windows — Windows Script Host - для сбора инфы, передачи её на внешние серверы, скачки кейлоггеров и прочей малвари, установки её в систему и сливании с них инфы наружу.

Словом, средство вполне профессиональное. Задачи, источники - болтология, уже малоинтересная, бо носоковыряние, основанное на арабских словах в коде, которые ничего не значат по сути.
   57.057.0
LT Bredonosec #01.11.2019 17:20  @Bredonosec#01.11.2019 16:29
+
-
edit
 
Bredonosec> Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.
Bredonosec> Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB.
тоже замечательные ссылки... прям таки море возможностей, которые нормально никто не лимитирует в даже защищенных организациях (подключение левых мышей и клав самими сотрудниками, которым подаренная красивая покажется отличной идеей для использования на работе, или возможность воткнуть микро-хрень в порт компа сотрудника, принимающего клиентов, или левые усб приблуды типа вентиляторов-лампочек-часов-игрушек, столь любимых скучающими офисниками..

там пишут
У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
Используйте защитные решения с надежными технологиями контроля подключаемых устройств
Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети,
 

но это не совсем так - подключить левую приблуду может и сам сотрудник, и никому о том не скажет, потому что не захочет, чтоб отняли игрушку, а если что, всегда можно сослаться на "и ваще я дурак, чего от меня хотите?"
   57.057.0
LT Bredonosec #01.11.2019 17:31
+
-
edit
 

Глубокое заражение: 5 угроз, проникающих в железо

Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами. Но это уже давно не так. //  www.kaspersky.ru
 

Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.

Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.

Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.

1 место: оперативная память

Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.

По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.

До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.

Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.

Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.

Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.

Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.

2 место: жесткие диски

Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.

Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.

Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.

3 место: интерфейс USB

На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.

На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.

Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!

Vladislav Biryukov

26 постов

Новости Угрозы

BadUSB BIOS Equation Rowhammer Thunderstrike безопасность угрозы

Поделиться
Глубокое заражение: 5 угроз, проникающих в железо
30 марта 2015

Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Глубокое заражение: 5 угроз, проникающих в железо

Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.

Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память

Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.

По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.

До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.

Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.

Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.

Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.

Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски

Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.

Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.

Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB

На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.

На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.

Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!

Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).

Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.

4 место: интерфейс Thunderbolt

Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.

Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.

После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.

5 место: BIOS

Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.

С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.

Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.

Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
   57.057.0

Iva

Иноагент


Iva>>
Iva> о как - в Чехии раскрыли крупную хакерскую российскую сеть.
Iva> Правда я не понял - сомнительно, что она хакерская, скорее обычная пропагандистская.

Ручные хакеры, экстравагантные миллионеры Как Evil Corp — самая могущественная хакерская группировка в мире — связана с российскими силовиками. Расследование Лилии Яппаровой — Meduza

5 декабря США выдвинули официальные обвинения против российской хакерской группировки Evil Corp. Ее называют «самой вредоносной в мире»: ущерб от атак Evil Corp против банков оценивается в сотни миллионов долларов. Организатором группировки американский Минюст считает Максима Якубца — он остается на свободе и в марте 2019 года еще активно участвовал в хакерской деятельности. Корреспондент отдела расследований «Медузы» Лилия Яппарова выяснила, что Evil Corp состоит из родственников чиновников и силовиков — и рассказывает, как живет близкий к российским спецслужбам хакер Максим Якубец, за чью голову назначена награда в пять миллионов долларов. //  meduza.io
 
   79.0.3945.7979.0.3945.79
14.12.2019 17:57, Bredonosec: -1: как-то эстооония решила снять комедию про секс.
Получилось не смешно и почему-то опять про оккупацию.
Вот и у вас так же.

Iva

Иноагент


Iva>

теперь Госуслуги :(

Пользователи Госуслуг утекли в сеть

«Дыра» в безопасности не закрыта с начала декабря. //  news.mail.ru
 
   79.0.3945.8879.0.3945.88
LT Bredonosec #18.01.2020 02:11
+
-
edit
 
В аэропорту Портленда (США) мужчина «захватил» один из мониторов, чтобы поиграть в Apex Legends. Об этом 16 января сообщило игровое издание Kotaku.

Один из пассажиров, имя которого не сообщается, решил скоротать время в ожидании своего рейса. Для этого он достал PS4 и подключил её к информационному монитору аэропорта, чтобы поиграть в Apex Legends.

В свою очередь, сотрудники аэропорта назвали инцидент «захватом монитора», хотя никаких особых проблем это не принесло. Служба безопасности попросила пользователя отключить консоль, что тот и сделал. Перед этим вежливо поинтересовался, может ли он завершить раунд. Но в этой просьбе было отказано.

В свою очередь, представитель портлендского аэропорта Кама Саймондс заявила, что это происшествие указывает на весьма низкий уровень кибербезопасности в информационных системах аэропорта.

О каких-либо санкциях в отношении игрока не сообщается.
   71.071.0
LT Bredonosec #16.02.2020 02:47
+
-
edit
 
Иран и иностранные агентства могли получить доступ к данным спецслужб Израиля



Утечка информации включает в себя имена, идентификационные номера, номера телефонов и адреса.

Иран и иностранные агентства могли получить доступ к данным спецслужб Израиля. Об этом пишет
Jerusalem Post.

По данным агентства безопасности Израиля, Иран и другие иностранные спецслужбы, возможно, уже имеют доступ к частным номерам мобильных телефонов и другой информации высших должностных лиц спецслужб Израиля. Это произошло после «провальной» ошибки партии Ликуд в сфере кибербезопасности.

В агентстве считают, что в результате данного инцидента иностранные агентства могли получить личную информацию каждого гражданина старше 18 лет.

В воскресенье вечером, 9 февраля, «Гаарец» заявил, что зафиксирована утечка личной информации 6 453 254 израильтян после того, как партия «Ликуд» загрузила весь национальный реестр избирателей Израиля в приложение «Выбор», которое партия намерена использовать в день выборов. Именно нарушение в приложении привело к утечке из реестра, который затем можно было легко загрузить на компьютер.

Отмечается, что политические партии в Израиле получают информацию об израильских избирателях перед выборами. Партии обязаны защищать частную жизнь граждан и не могут копировать, стирать или передавать реестр.
   71.071.0
LT Bredonosec #08.03.2020 03:51
+
-
edit
 

Hackers Can Clone Millions of Toyota, Hyundai, and Kia Keys

Encryption flaws in a common anti-theft feature expose vehicles from major manufacturers. //  www.wired.com
 

В последнее время всё чаще появляется информация о взломах современных автомобилей при помощи поддельного ключа. При этом если ранее хакеры использовали ключи с радиоуправлением, то сейчас выяснилось, что для клонирования защищённого иммобилайзера достаточно отвёртки, сноровки и устройства, которое каждый свободно может приобрести.

Новая уязвимость была обнаружена исследователями из KU Leuven в Бельгии и Университета Бирмингема в Великобритании. Они описали возможности взлома иммобилайзеров при помощи дыр в шифровании. Данная проблема была обнаружены в автомобилях Toyota, Hyundai и Kia, которые используют систему шифрования Texas Instruments под названием DST80.

Для взлома хакеру нужно обзавестись устройством RFID Proxmark, которое позволяет считать криптографическую информацию с иммобилайзера. После этого он может запускать двигатель чужого авто без каких-либо ограничений. Ранее в список уязвимых автомобилей входила Tesla S, но компания выпустила обновление прошивки, устранившую проблему.

Исследователи обратились к автопроизводителям за комментариями, однако все они сообщили, что информация либо неактуальна, либо касается моделей, не поставляемых на рынок США. Кроме того, они отметили важный факт, что для сканирования требуется поднести устройство для взлома на расстояние не более пяти сантиметров от иммобилайзера.

Список автомобилей, подверженных взлому

Исследователи не согласны с выводами автопроизводителей, сообщая, что данный вид уязвимости гораздо более опасен, чем кажется. По их словам, он отбрасывает систему защиты в 80-е годы. Дополнительно они проанализировали ключи автопроизводителей на уровень криптографической защиты. В результате выяснилось, что криптографический ключ Toyota Fobs открыто передавал свой серийный номер при сканировании с помощью считывателя RFID. Брелоки Kia и Hyundai использовали только 24-битное шифрование, а не 80-битное, которое предлагает DST80. Исследователи отмечают, что это грубое нарушение принятых норм, которое в значительной мере уменьшает безопасность.
   71.071.0
LT Bredonosec #14.04.2020 18:02
+
-
edit
 

В Skype начал распространяться старый вирус

Большинство новостей о киберугрозах, связанных с сервисами дистанционного общения, касались в последние недели Zoom. Однако расслабляться нельзя и пользователям других приложений, в том числе принадлежащего Microsoft Skype. //  www.vesti.ru
 

Большинство новостей о киберугрозах, связанных с сервисами дистанционного общения, касались в последние недели Zoom. Однако расслабляться нельзя и пользователям других приложений, в том числе принадлежащего Microsoft Skype.

Как говорится в отчете аналитической компании Check Point, на который ссылается "Коммерсант", в десятку самых активных в России вредоносных программ в марте вошел компьютерный червь Pykspa. В последний раз он активно распространялся 5 лет назад. Выводы Check Point подтверждают и в других компаниях.

Pykspa распространяется через сообщения между пользователями Skype и нацелен на похищение их личной информации. Получая доступ к контактам, он может быстро масштабировать свою активность, рассылая сообщение с ссылкой-приманкой. Кликнув на нее, пользователь запускает скачивание вредоносного ПО на свой компьютер.

По мнению опрошенных "Коммерсантом" экспертов рост активности Pykspa объясняется увеличением аудитории Skype из-за перехода многих компаний на удаленную работу и желания пообщаться по видеосвязи с друзьями и родственниками. До начала эпидемии COVID-19, в декабре прошлого года, Skype был на четвертом месте среди мессенджеров по аудитории в России. Хотя бы раз в месяц к нему обращались 6,9 млн человек.
   68.068.0
LT Bredonosec #14.04.2020 18:03
+
-
edit
 

Хакеры вышли на видеосвязь

В Skype активизировались старые угрозы //  www.kommersant.ru
 

В десятке наиболее активных вредоносных программ в России по итогам марта оказался распространяющийся через Skype компьютерный червь Pykspa, в последний раз широко заметный в 2015 году. Новый всплеск его активности, как и рост других угроз в приложениях для видеозвонков, связан с массовым переходом на удаленную работу. При этом общее количество фишинговых атак, хотя хакеры обновили их направленность, пока серьезно не выросло.

По итогам марта в десятку самых активных вредоносных программ в России вошел компьютерный червь Pykspa, распространяющийся с помощью рассылки сообщений в Skype и извлекающий личную информацию пользователей, говорится в отчете Check Point, с которым ознакомился “Ъ”. Его активность подтверждают и в других компаниях.
Pykspa также может получить доступ к контактам пользователя в Skype, масштабируя свою активность, отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.

Вредонос взаимодействует с элементами окна приложения Skype, так чтобы все контакты жертвы получили сообщение-приманку с веб-ссылкой, клик на которую запустит скачивание его на новый компьютер, уточняет старший специалист группы исследования угроз экспертного центра безопасности Positive Technologies Алексей Вишняков.

Рост активности этого вредоноса можно объяснить тем, что в режиме самоизоляции люди стали чаще пользоваться программами для связи, полагает глава представительства Check Point Software Technologies в России и СНГ Василий Дягилев. Нынешняя распространенность Pykspa связана с переходом компаний на удаленную работу, добавляет руководитель центра расследования киберинцидентов JSOC CERT «Ростелеком-Солар» Игорь Залевский, отмечая, что первые массовые упоминания Pykspa были еще в 2015 году, однако о нем долго не было слышно. По его словам, червь пока не был замечен в корпоративных сетях и сейчас атаки «скорее имеют массовый ненаправленный характер и ориентированы на домашних пользователей».
По данным Mediascope, еще в декабре 2019 года (более свежих данных нет) Skype в России пользовались 6,9 млн человек в месяц, мессенджер был на четвертом месте по популярности после Telegram, Viber и WhatsApp.

Но с тех пор рынок видео-конференц-связи показал резкий рост спроса, писал “Ъ” 20 марта. Например, количество новых пользователей Zoom в мире по состоянию на март 2020 года превысило прирост за весь 2019 год, следует из отчета IDC, а число видеозвонков в Microsoft Teams в марте увеличилось на 1000%, сообщали в компании.

Так, для Zoom новая реальность стала «одновременно и звездным часом, и проверкой», и эту проверку сервис не проходит, считает Андрей Арсентьев: неоднократно происходили утечки адресов и телефонов пользователей из-за некорректного алгоритма сервиса. Кроме того, в последнее время Zoom привлек массу интернет-троллей, которые пытаются сорвать видеоконференции, отмечает он. В Positive Technologies также наблюдают рост числа фейковых доменов Zoom, с которых пользователи инфицируются популярным вредоносным софтом.

Нацеленность киберпреступников на сервисы видеосвязи находит отражение и в участившихся фишинговых атаках на пользователей корпоративного решения для видеосвязи Cisco Webex, замечает Андрей Арсентьев. По его словам, злоумышленники под видом специалистов техподдержки Cisco рассылают пользователям сообщение с просьбой загрузить важное обновление якобы с целью устранить опасную уязвимость. В России пользователи Cisco Webex с такими атаками пока не сталкивались, но на Западе они действительно есть, уточняет эксперт по информационной безопасности Cisco Алексей Лукацкий. По его словам, пользователю приходит ссылка, при переходе на которую на компьютер попадает вредонос либо открывается фишинговый сайт Cisco.

Доля атак, использующих тематику коронавирусной инфекции, растет, однако существенного прироста в общем количестве фишинговых атак нет, отмечает Алексей Вишняков, злоумышленники просто «сменили одни приманки на другие, более актуальные». При этом, по его словам, ряд операторов вымогательского ПО даже заявили о прекращении своей деятельности на время пандемии и уверяют о готовности восстановить зашифрованные данные в результате ошибочных атак на медицинские организации.
   68.068.0

Iva

Иноагент


Iva> теперь Госуслуги :(

теперь МФО

Данные оформлявших микрозаймы в 2017–2019 годах россиян выставили на продажу. По уверению продавца, в базе 12 млн записей — с номерами паспортов, телефонами и сведениями об электронных кошельках. Утечку могла допустить одна из МФО
 


По словам продавца, база содержит информацию о 12 млн физических лиц, которые оформляли быстрые займы в 2017–2019 годах. В бесплатном пробнике содержатся данные около 1,8 тыс. клиентов: Ф.И.О., паспортные данные, дата рождения, номер телефона, адрес электронной почты, регион проживания, номера электронных кошельков и сумма займа. В записи о каждом клиенте указана реферальная ссылка, то есть ссылка на сайт, который «привел» пользователя, — в большинстве случае это финансовый маркетплейс «Юником24», позволяющий подобрать и оформить кредитные продукты.

В «Юником24» после обращения РБК проверили пробник с данными клиентов и подтвердили, что указанный в продаваемой базе идентификационный код клиентов принадлежит одному из их партнеров, но не раскрыли, какому именно. «Мы отправили официальное письмо в компанию с требованием пояснить данный факт, а также уведомили их о прекращении сотрудничества», — подчеркнул представитель маркетплейса.
 


Подробнее на РБК:

Данные желающих взять кредит россиян выставили на продажу в интернете

Данные оформлявших микрозаймы в 2017–2019 годах россиян выставили на продажу. По уверению продавца, в базе 12 млн записей — с номерами паспортов, телефонами и сведениями об электронных кошельках. Утечку могла допустить одна из МФО //  www.rbc.ru
 
   81.0.4044.12981.0.4044.129
LT Bredonosec #15.05.2020 00:30
+
-
edit
 

Пока все дома: как защитить инфраструктуру IT-компании на удаленке

Карантин заставил IT-отрасль перейти на удаленку. Оказалось, что инфраструктура многих компаний к такому не готова — удаленный доступ дается на скорую руку, а VPN-серверы конфигурируют за пару дней. А еще дистанционная работа обостряет человеческий фактор, из-за которого продуманная безопасность инфраструктуры может дать течь в самых ожидаемых местах. Вместе со Skolkovo Cybersecurity Challenge мы собрали несколько ошибок IT-компаний, на которых можно научиться соблюдать цифровую гигиену. //  habr.com
 

очередной ликбез-напоминание, полезно для юзверей (как целевого обьекта при атаках) в том числе.

всё копипастить нет смысла, слишком много, но полезно.
   75.075.0
LT Bredonosec #04.08.2020 11:54
+
-
edit
 
короче, практически исключительно - социнжинерия.

Сколько стоит взломать почту: небольшой анализ рынка хакеров по найму

Адрес электронной почты — ключевой элемент защиты личных данных. На него часто завязаны другие учетные записи пользователя. Завладев чужим e-mail, злоумышленни... //  habr.com
 

практически то же самое, что мне рассказывали местные аналитики - 90 с чем-то % взломов - лапша на уши лохам по емейлу, а только после этого шаги дальше..
   68.068.0
LT Bredonosec #04.08.2020 17:16
+
-
edit
 

Garmin купила у криптовымогателей ключ для расшифровки файлов

1 августа 2020 года издание BleepingComputer опубликовало информацию, что специалисты Garmin все же получили ключ для расшифровки файлов, с помощью которого мож... //  habr.com
 

1 августа 2020 года издание BleepingComputer опубликовало информацию, что специалисты Garmin все же получили ключ для расшифровки файлов, с помощью которого можно было дешифровать информацию после масштабной атаки вируса-вымогателя WastedLocker на сервисы компании.

Согласно данным издания Sky News, Garmin действительно выплатила многомиллионный выкуп, чтобы получить этот ключ. Ранее появилась информация от неназванного источника в компании, что злоумышленники запросили $10 млн, но на сколько в итоге они договорились, нет данных.

Журналисты BleepingComputer ранее получили в распоряжение от анонимных источников несколько копий зашифрованных файлов, который были созданы при атаке на Garmin.
 


Позже BleepingComputer получили копию ключа для дешифрования, который использовали IT-специалисты Garmin для расшифровки данных на рабочих станциях сотрудников компании. Оказалось, что системные администраторы Garmin даже создали специальный пакет ПО для восстановления, который включает в себя корпоративное ПО безопасности, отдельный файл с ключом расшифровки, исполняемый файл-дешифровальщик WastedLocker, а также пошаговое описание по использованию этого пакета. Предполагалось, что даже обычный пользователь, используя это ПО, сможет дома восстановить свои зашифрованные файлы и обновить ПО системы безопасности.
 


IT-специалисты Garmin даже создали специальный скрипт для запуска этого пакета восстановления.

Причем скрипт Garmin содержит метку времени «07/25/2020», а это через два дня после атаки. Вероятно, компания получила ключ именно 24 или 25 июля.

Специалисты BleepingComputer смогли успешно дешифровать с помощью этого пакета восстановления ранее полученные зашифрованные файлы с ПК сотрудника Garmin. При атаке вирусов-шифровальщиков обычно рекомендуют переустанавливать операционную систему с нуля, а не просто восстанавливать файлы. Интересно, что в проанализированном скрипте расшифровки этот сценарий не был предусмотрен.

В пакете для восстановления Garmin обнаружились ссылки на две компании кибербезопасности. Одна из них — это Emsisoft, вторая, Coveware, занимается переговорами с распространителями вымогателей. Обе компании отказались от комментариев по этому инциденту с Garmin.

Однако в Emsisoft пояснили, что они только создают инструменты для расшифровки, а не участвуют в схемах по организации выкупов. В компании рассказали, что к ним часто обращаются крупные клиенты, которые заплатили выкуп и им был предоставлен дешифратор, но он действует медленно или там могут быть закладки. Поэтому суть бизнеса Emsisoft — извлечь код для расшифровки из купленных у хакеров файлов и создать на его базе проверенное программное решение, которое может расшифровывать данные быстрее и с меньшим риском повреждения или потери данных и без внедрения кода в другие системы заказчика.

24 июля 2020 года отключились сервисы Garmin Connect для носимой электроники Garmin. Не работали сайт Garmin.com, колл-центр компании, онлайн-чат и даже часть производственной линии в Тайване. Вину возложили на шифровальщик WastedLocker. В самой компании подтвердили факт инцидента, но не раскрыли его детали. Неназванные специалисты Garmin пояснили, что несколько суток занимались восстановлением IT-инфраструктуры компании.

Garmin заявила, что в настоящее время сервисы компании заработали, хотя неполадки ещё могут возникать.
   68.068.0
LT Bredonosec #14.08.2020 16:33
+
-
edit
 
Подэкранный сканер отпечатков пальцев смогли использовать как камеру

Пользователи смартфонов нередко и не подозревают, насколько чувствительными и сложными во всех смыслах являются их любимые гаджеты. Владелец Xiaomi Mi 9T обнаружил, что скрытые системные настройки этого устройства позволяют получать изображение, видимое подэкранным сканером отпечатков пальцев. По сути, это превращает сенсор в очень плохенькую, но дополнительную камеру.

Разрешение картинки весьма скромное и разглядеть на изображении что-то навряд ли получится, но «сырой» сигнал доступен для обработки. Первое упоминание о находке было опубликовано пользователем ntelas46 на крупнейшем в сети форуме Reddit в разделе, посвященном бренду Xiaomi. Комментируя данное открытие главный редактор известного IT-издания XDA-Developers Мишал Рахман (Mishaal Rahman) высказал озабоченность. По его мнению, производители не должны оставлять такие «лазейки» в массовых версиях прошивок, так как это может быть потенциальной угрозой безопасности.

A Redditor found a hidden activity on a Xiaomi phone that lets you see the raw feed from Goodix's optical under-display fingerprint scanner.https://t.co/RKpjDTdgzG

OEMs really shouldn't be leaving these debug apps in production builds… pic.twitter.com/fnEpvPZtol
— Mishaal Rahman (@MishaalRahman) August 10, 2020

Оптический сканер отпечатков пальцев представляет из себя, по сути, относительно большую матрицу светочувствительных элементов, аналогичную сенсорам в камерах смартфонов. Отличие заключается в том, что в качестве линзы или призмы используется стеклянное покрытие. Система выстраивается таким образом, чтобы фокус всех отдельных «пикселей» сканера лежал строго на поверхности над сенсором (в случае с подэкранным датчиком — на защитном стекле). Кроме того, для работы сканера необходима подсветка, которую обеспечивает дисплей.

Судя по всему, через инженерное меню Xiaomi Mi 9T можно опросить все доступные датчики смартфона, включая сканер отпечатка пальцев. С точки зрения разработки и отладки приложений — это отличная возможность. Однако на «боевой» версии прошивки, то есть той, которая будет доступна массовому пользователю, это недопустимо. Получение информации с биометрического датчика любой программой, кроме модулей операционной системы, отвечающих за безопасность — серьезная брешь для утечки персональных данных. Тем более, когда речь идет об отпечатках пальцев.
   68.068.0
LT Bredonosec #03.09.2020 00:13
+
+1
-
edit
 

Academics bypass PINs for Visa contactless payments | ZDNet

Researchers: "In other words, the PIN is useless in Visa contactless transactions." //  www.zdnet.com
 

Исследователи нашли способ обхода PIN-кодов при бесконтактной оплате картами Visa

Сегодня практически все банки предлагают своим клиентам «пластик» с NFC-чипом, позволяющим не проводить карту через магнитный считыватель терминала, а лишь прикладывать его к поверхности устройства. Но как выяснилось, современные технологии не всегда гарантируют безопасность транзакции. Специалистам из Швейцарии удалось найти уязвимое место в работе такого метода и обойти запрос PIN-кода при бесконтактной оплате.

Как правило, в настройках виртуального кабинета банка, выпустившего карту, есть возможность установки лимита на списание сумм без ввода PIN-кода. При попытке бесконтактной оплаты товара, стоимость которого превышает указанное значение, терминал потребует ввести заданную заранее комбинацию цифр.

Но недавно группе учёных удалось найти «дыру» в платёжной системе Visa. Уязвимость позволяет оплачивать покупки с любой стоимостью без ввода пароля по чужой карте. При этом злоумышленник может использовать её, не привлекая к себе внимания, поскольку использует в качестве платёжного средства свой смартфон.

Уловка заключается в том, что для обхода подтверждения пароля необходимы два Android-устройства со специальным программным обеспечением, не требующим root-доступа, а также сама карта Visa. Один гаджет выполняет роль эмулятора терминала, и в момент оплаты запрашивает у карты разрешение на совершение операции. Получив его, другой смартфон оперативно меняет детали транзакции таким образом, что на терминале не высвечивается запрос на ввод PIN-кода. Остаётся поднести смартфон с привязанной картой к терминалу продавца и оплатить покупку.

Работоспособность алгоритма исследователи проверили в реальных магазинах и отправили в Visa отчёт о найденном баге, но пока не получили официального ответа.
   79.079.0
LT Bredonosec #08.09.2020 16:44
+
-
edit
 

Scary messages and vcards freeze WhatsApp | WABetaInfo

Scary messages destruct your experience in WhatsApp. What are these messages? How to protect us from them? What can we do against them? //  wabetainfo.com
 

ваззап вынужден признать, что существует целый класс сообщений, которые его ломают, потому рекомендуют всем юзверям, получившим странное длинное сообщение, не пересылать его дальше по приколу.
ваззап-де не понимает комбинации символов и крашится.
вазап сделал антикраш мод с увеличенной юникод базой, но это помогает не всегда. Кроме того, сам ваззап не поощряет использование модов "потому что мы-де не знаем, не нарушена ли безопасность" (или вырезанные телеметрии?)
призывают банить номера, шлющие такое.

Basically, a contact might send a message that contains many weird characters. If you read them entirely, they have no sense, but WhatsApp might interpret the message in a wrong way. Sometimes WhatsApp is also unable to render the message totally, because its structure is so weird: the combination of these characters create a situation where WhatsApp isn’t able to process the message, determining an infinite crash.
Infinite crash means that, when you open WhatsApp, it is frozen and it crashes. If you try to open the app again, it still crashes. There isn’t an effective and general solution to fix this issue, because WhatsApp should carefully study the problem and implement a final fix.
I raised this issue a lot of times on my Twitter Account, and a lot of users said they experienced the same problem, in particular users from Brazil, the country where this is becoming a widespread phenomenon:

-Anti crash integrated into official WhatsApp: There are messages designed to freeze or crash your WhatsApp. Then there are modded WhatsApp versions that have a “Crashcode protection” like a bigger Unicode database. We need this integrated into the official application. pic.twitter.com/bpyWtFUwQO

— Ian (@Ian_Oli_01) August 15, 2020

This user showed some messages and explained that WhatsApp Mods (that are unauthorized WhatsApp versions, not really recommended because they might alter the WhatsApp code behavior, so WhatsApp cannot ensure your messages are correctly end-to-end encrypted and if your privacy is really safe) have implemented a sort of “Crashcode protection”. There are a lot of secret WhatsApp groups where many users share these codes. When a scary message is created, it’s created to crash a specific platform, so there are WhatsApp Groups that share codes to crash WhatsApp for Android, other groups share scary messages to crash WhatsApp for iOS.

I receive this report every day, really, in particular from Brazilian users.
Unfortunately it's not a fake news.WhatsApp should really consider this big issue. pic.twitter.com/wG33YOQZMC

— WABetaInfo (@WABetaInfo) August 6, 2020

Sometimes these scary messages are simply vcards… apparently. If you open the vcard, you can verify that there might be like 100 associated contacts. Every contact has a very long weird name, that contains a crash code. Sometimes the vcard is also altered, editing/injecting something called Payload that makes the situation worse.
Seen that there isn’t a general name, users started to name these scary messages using some terms, like: Travar, Binario, Contact bomb, TravaZap or simply Crashers.
 
   68.068.0
LT Bredonosec #28.10.2020 01:53
+
-
edit
 

Как пишут СМИ, за один день в рунете зарегистрировали свыше 190 сайтов, URL которых маскируются под домены популярных магазинов. В частности, фигурируют названия familiya-off.ru, detskiy-mir-off.ru, citilink-off.ru и так далее. Эксперты утверждают, что это фишинговые ресурсы. Они сделаны для того, чтобы ловить невнимательных покупателей, которые будут массово закупаться во время ноябрьских распродаж.

Специалисты отмечают, что убить фишинговые сайты не так легко, особенно если те оформлены в другой юридической зоне. «Заблокировать такие сайты непросто — даже при том, что многое указывает на их мошеннические свойства. Когда серверы находятся в другом государстве, где хостинг-провайдеры не блокируют сайты, например в Белизе, заблокировать их может не оказаться технической возможности»,

Велика вероятность, что в ближайший месяц фальшивые магазины продолжат работать и обманывать покупателей. Мы попросили экспертов назвать несколько критериев, помогающих отличить подделку.

Кривой домен, нет SSL-сертификата

Как утверждают специалисты, в первую очередь надо смотреть на наличие SSL-сертификата — есть ли заветная буковка s после http или нет. Впрочем, Сергей Волдохин, генеральный директор компании «Антифишинг», уверяет: теперь свыше 80% мошенников используют защищённый протокол. Поэтому проверяйте дальше.

Внимательно присмотритесь к названию домена. Если там ошибки — вас обманывают. «Обычно имя максимально приближено к реальному написанию бренда, но имеет незначительные опечатки. Например, sberbnk.ru вместо sberbank.ru, также сайт может быть расположен на поддомене вроде sberbank.site.ru», — рассказывает Вячеслав Медведев, ведущий аналитик отдела развития «Доктор Веб».

При этом, добавляет Сергей Волдохин, жулики могут правильно написать домен, но использовать для этого иной алфавит. «В таком случае буквы в адресной строке выглядят как латинские, но на самом деле название сайта набрано на алфавите другого языка. Рекомендуем не переходить по подозрительным ссылкам. Зайдите на сайт вручную либо из закладок».

Другой способ отличить подделку — посмотреть, когда зарегистрирован домен. Если вы попали на ресурс крупного бренда с многолетней историей, то едва ли он создал сайт неделю назад. Таким советом делится Артём Мышенков, инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU: «Проверьте дату регистрации доменного имени в сервисе Whois. Введите адрес сайта, затем система выдаст дату регистрации и срок её завершения. Опасения должны вызывать домены, сформированные несколько дней, недель или месяцев назад».

Наконец, эксперты советуют следить за своими эмоциями. «Мошенники манипулируют. Если речь о сайтах для массовой аудитории, то в первую очередь они пытаются вызвать жадность, любопытство, желание помочь. В случае целевых атак — угрожают, торопят либо ссылаются на авторитет. Чувствуете, что сомневаетесь или что вами манипулируют? Не вводите пароли, перепроверьте сайт через поиск, уточните информацию в службе поддержки», — подытоживает Сергей Волдохин.
   82.082.0
LT AleksejLt #09.11.2020 23:21  @Bredonosec#28.10.2020 01:53
+
-
edit
 

AleksejLt

опытный

Bredonosec> Специалисты отмечают, что убить фишинговые сайты не так легко

Особенно стоит присматриваться в публичных местах :)

Вскрытие трафика в публичных сетях

Эта статья о том, как стать кулхацкером (или по-английски Script Kiddie) — условным злоумышленником, который испытывает недостаток знаний в области программиро... //  habr.com
 
   81.081.0
1 10 11 12 13 14 15 16

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru