Перейти к содержимому

Вся активность

Этот поток обновляется автоматически     

  1. Вчера
  2. В последнее время курс биткойна бьет все рекорды, и криптовалюта не сходит с заголовков СМИ. По данным Coindesk, по состоянию на 13 декабря 2017 года стоимость биткойна составляет $17,25 тыс. На фоне ажиотажа вокруг криптовалюты появилось сообщение о том, что порядка 200 тыс. биткойнов (около $3,7 млрд) в настоящее время находятся в руках у болгарских властей. Поскольку в настоящее время рыночная капитализация биткойна составляет около $288 млрд, в распоряжении правоохранительных органов Болгарии находится 1,2% от всей рыночной капитализации биткойна. 213,519 тыс. биткойнов были изъяты сотрудниками Правоохранительного Центра стран Юго-Восточной Европы (SELEC) при участии правоохранительных органов Болгарии. Об этом сообщается в пресс-релизе SELEC, датированном еще 19 мая текущего года. Арест криптовалюты был произведен в рамках уголовного расследования деятельности киберпреступной группировки PRATKA/VIRUS. Как сообщает SELEC, злоумышленники инфицировали компьютеризированные системы пограничных служб ряда государств вредоносным ПО с целью избежать уплаты пошлины за ввозимый товар. Группировка, состоявшая из граждан Болгарии, Македонии, Сербии, Греции и Румынии, подкупила сотрудников таможенных служб и с их помощью установила на компьютеризированные системы вредоносное ПО. Свои «сбережения» группировка хранила в биткойн-кошельке, впоследствии изъятом правоохранителями. В настоящее время неизвестно, как власти Болгарии распорядились или намерены распорядиться арестованной криптовалютой. Согласно публикации в блоге Bivol.bg за 28 ноября текущего года, болгарское правительство не комментирует ситуацию ввиду продолжающегося расследования. securitylab.ru
  3. Замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев рассказал о возможности введения функции обмена данными о смене SIM-карты клиента между операторами связи и банками. Об этом сообщило информагентство RNS. По словам Сычева, организация сотрудничества между операторами связи и кредитными организациями является одной из важнейших задач Центробанка. Начать можно с совместного обмена информацией о замене SIM-карт, отметил он. Данная мера призвана помочь в борьбе с мошенниками. «Это востребованная услуга со стороны финансовых организаций. Телеком-операторы, в свою очередь, готовы эту услугу поставлять. Вопрос в том, как это правильно законодательно оформить. Но взаимное движение с обеих сторон есть, есть и понимание, как это можно выстроить», - пояснил Сычев. В настоящее время ЦБ ведет разработку данного законопроекта. В 2018 году его планируется передать на согласование в Минкомсвязи. Ранее ЦБ совместно с Минкомсвязи внесли поправки в закон «Об информации, информационных технологиях и о защите информации». Согласно поправкам, ЦБ будет проверять и блокировать сайты, созданные в целях мошенничества на финансовом рынке. securitylab.ru
  4. Эксперты по кибербезопасности из компании Pen Test Partners опубликовали исследование об уязвимостях в системах отопления школ и военных баз США. По словам специалистов, менее чем за 10 секунд было обнаружено порядка 1 тыс. незащищенных систем, случайно подключенных к интернету. Как следует из отчета, неправильно установленные контроллеры отопительных систем были обнаружены на военных базах, в школах, правительственных зданиях и офисах ряда компаний. Экспертам понадобилось менее 10 секунд, чтобы найти более тысячи уязвимых систем. При этом некоторые из них уже были скомпрометированы с помощью вредоносных программ, в частности майнеров криптовалюты, несмотря на то, что данное оборудование неспособно на майнинг чисто технически. Уязвимые системы были обнаружены с помощью поисковика Shodan. В частности, поиск производился по контроллерам моделей IQ3 Excite и IQ412 Excite от компании Trend Controls. Уязвимые устройства позволяли злоумышленнику обойти аутентификацию на встроенном web-сервере, похитить пароли для аутентификации, а также перехватить сессию через интернет. По словам специалистов, в сложившейся ситуации виноват не производитель систем, а, скорее, люди их устанавливавшие. «Большинство проблем были вызваны монтажниками, не соблюдавшими правила безопасности от производителя», - пояснили эксперты. securitylab.ru Эксперты по кибербезопасности из компании Pen Test Partners опубликовали исследование об уязвимостях в системах отопления школ и военных баз США. По словам специалистов, менее чем за 10 секунд было обнаружено порядка 1 тыс. незащищенных систем, случайно подключенных к интернету. Как следует из отчета, неправильно установленные контроллеры отопительных систем были обнаружены на военных базах, в школах, правительственных зданиях и офисах ряда компаний. Экспертам понадобилось менее 10 секунд, чтобы найти более тысячи уязвимых систем. При этом некоторые из них уже были скомпрометированы с помощью вредоносных программ, в частности майнеров криптовалюты, несмотря на то, что данное оборудование неспособно на майнинг чисто технически. Уязвимые системы были обнаружены с помощью поисковика Shodan. В частности, поиск производился по контроллерам моделей IQ3 Excite и IQ412 Excite от компании Trend Controls. Уязвимые устройства позволяли злоумышленнику обойти аутентификацию на встроенном web-сервере, похитить пароли для аутентификации, а также перехватить сессию через интернет. По словам специалистов, в сложившейся ситуации виноват не производитель систем, а, скорее, люди их устанавливавшие. «Большинство проблем были вызваны монтажниками, не соблюдавшими правила безопасности от производителя», - пояснили эксперты. Подробнее: https://www.securitylab.ru/news/490262.php
  5. Госдума РФ приняла в третьем, окончательном, чтении законопроект об ответственности за неисполнение закона о регулировании деятельности мессенджеров. Правонарушение может повлечь за собой штраф вплоть до 1 млн рублей. Как следует из документа, штраф за неисполнение закона для физических лиц будет составлять от 3 тыс. до 5 тыс. рублей, для должностных лиц – от 30 тыс. до 50 тыс. рублей, а юридические лица будут обязаны выплатить от 800 тыс. до 1 млн рублей. В законопроекте также отмечается, что предприниматели, ведущие свою деятельность, но не оформившие себя в качестве юридическего лица, понесут административную ответственность наравне с юрлицами. Закон вступает в силу 1 января 2018 года. Напомним, летом 2017 года Госдумой был принят базовый проект закона, регулирующего деятельность мессенджеров. Документ определяет понятие сервисов мгновенного обмена сообщениями, а также прописывает их обязанности. Помимо идентификации пользователей, мессенджеры обязаны обеспечить рассылку по инициативе органов государственной власти, а также ограничить рассылку и передачу сообщений, содержащих противоречащую законодательству информацию. securitylab.ru
  6. В 4 популярных online-видеоплеерах обнаружены скрытые майнеры криптовалюты Monero, сообщают разработчики приложения для блокировки нежелательной рекламы AdGuard. Майнеры были выявлены в ходе настройки AdGuard на блокировку сайтов, использующих вычислительные мощности пользовательских компьютеров для добычи криптовалюты через браузер. Скрипт был обнаружен на сайтах openload, Streamango, Rapidvideo и OnlineVideoConverter, общая посещаемость которых составляет около 992 млн пользователей ежемесячно. Кроме того, сторонние сайты часто встраивают видеоплееры данных ресурсов в свои страницы. Сумма, заработанная посредством майнинга, может достигать $326 тыс., отметили эксперты. Как полагают представители AdGuard, владельцы сервисов, скорее всего, не подозревают о наличии майнеров, что может говорить о взломе ресурсов. Так же как и в других подобных схемах, в видеоплеерах использовался майнер CoinHive, позволяющий добывать криптовалюту прямо в браузере втайне от пользователя. За последние несколько месяцев было зафиксировано множество случаев скрытой установки майнеров криптовалюты в online-ресурсы. В частности, CoinHive или его разновидности были обнаружены на торрент-сайте The Pirate Bay и официальном сайте компании D-Link. securitylab.ru
  7. Итальянская прокуратура намерена закрыть расследование в отношении шести лиц, подозреваемых во взломе компании Hacking Team, специализирующейся на разработке программного обеспечения для взлома электронной почты и прослушивания звонков, в июле 2015 года. По информации агентства Reuters, прокурор Алессандро Гоббис (Alessandro Gobbis) направил обращение в суд Милана, в котором заявил о том, что расследование должно быть прекращено в связи с отказом американских властей передать потенциально важную информацию. Расследование по делу было инициировано в июле 2015 года после того, как неизвестные похитили 400 ГБ данных, принадлежащих Hacking Team. Значительная часть документов, включая внутреннюю переписку компании, впоследствии была опубликована на портале WikiLeaks. Представители компании обвинили в утечке данных своих бывших сотрудников. Также высказывалось предположение о причастности ко взлому иностранного правительства. Ответственность за атаку взял на себя некто под псевдонимом Финеас Фишер (Phineas Fisher). По его словам, взлом стал местью Hacking Team и ее клиентам, неоднократно уличенным в использовании продуктов компании для шпионажа за диссидентами и правозащитниками. В феврале 2017 года испанская полиция арестовала хакера, предположительно являвшегося тем самым Финеасом Фишером. Согласно направленному в суд документу объемом в 25 страниц, в числе подозреваемых фигурируют бывшие сотрудники Hacking Team – Альберто Пелличионе (Alberto Pelliccione), Гуидо Ланди (Guido Landi), Мостафа Маанна (Mostapha Maanna) и Алекс Веласко (Alex Velasco). По словам Гоббиса, полиции удалось идентифицировать главного подозреваемого, проживающего в городе Нэшвилл (США). Однако американские власти отказались передавать итальянской полиции компьютер подозреваемого, указывается в документе. По информации издания Corriere Della Sera, речь идет о гражданине США иранского происхождения Джоне Фариборце Давачи (Jon Fariborz Davachi), который предположительно оплачивал сервер, использованный для атаки на Hacking Team. Ранее имя Давачи не упоминалось в полицейских документах и его роль во взломе в настоящее время неясна. По данным издания, итальянские правоохранители получили ордер на арест Давачи, однако он был блокирован властями США. Сам Давачи пояснил в интервью ресурсу Motherboard, что не имеет отношения к атакам на Hacking Team. По его словам, «несколько месяцев назад» ФБР конфисковало все его компьютеры и электронику. «Я никогда не слышал о Hacking Team и не участвовал в операции. Насколько я понял из допроса ФБР, речь идет о следе биткойн-транзакции, который привел к серверу, использовавшемуся для кражи учетных данных пользователей. Я думал, кто-то организовал фишинговую схему для хищения банковской информации или паролей, или еще чего, ФБР не распространялось о том, что именно расследует», - рассказал Давачи, добавив, что не уверен, по какой причине стал фигурантом расследования. Теперь у руководства Hacking Team есть 20 дней на то, чтобы оспорить решение суда и запросить повторное проведение расследования. securitylab.ru
  8. Согласно опубликованному на этой неделе исследованию, Extended Validation (EV) SSL-сертификаты не обеспечивают надежную защиту от фишинговых сайтов и мошенников. В последнее время EV SSL-сертификаты приобрели большую популярность. По данным Let’s Encrypt, в ноябре 2017 года 65% загруженных браузером Firefox web-страниц использовали HTTPS. В конце 2016 года данный показатель был на уровне 45%. Платный или бесплатный SSL-сертификат может получить кто угодно. Как показало исследование специалистов из Phish Labs, в настоящее время каждый четвертый фишинговый сайт использует HTTPS. Используя EV SSL-сертификаты, компании повышают свою репутацию. За последние годы появилось все больше сайтов, отображающих в адресной строке названия своих компаний. Тем не менее, согласно исследованию ИБ-эксперта Джеймса Бартона (James Burton), используемая EV SSL-сертификатами модель доверия не является надежной. По мнению исследователя, злоумышленники могут с помощью чужих похищенных данных создать поддельные компании с названиями, где используются слова, связанные с безопасностью. Фишеры могут создать для них сайты и получить EV SSL-сертификаты. Тогда в адресной строке будет отображаться зеленый замочек и название, вызывающее доверие у потенциальных жертв, например, Identity Verified. Многие пользователи не поймут, что Identity Verified – название, а не подтверждение подлинности компании или сайта. В понедельник, 11 декабря, исследователь Иэн Кэрролл (Ian Carroll) опубликовал собственное исследование, основанное на работе Бартона. Как выяснил Кэрролл, при получении EV SSL-сертификата мошенники могут использовать не только названия, вызывающие доверие, но и названия реально существующих компаний. Для примера исследователь создал в Кентукки компанию Stripe. Ему без труда удалось получить для нее EV SSL-сертификат, хотя в Делавэре уже была зарегистрирована компания с таким названием. Из-за совпадения названий браузер отобразит название «липовой» компании в адресной строке, и поддельный сайт будет выглядеть как настоящий домен. Конечно, некоторые браузеры также отображают код страны, где зарегистрирована компания, и даже физический адрес. Тем не менее, подобная информация не спасает от мошенничества, ведь рядовые пользователи вряд ли помнят или вообще знают место регистрации той или иной компании. Еще хуже обстоят дела с браузерами, не отображающими полный адрес сайта. К примеру, мобильная и десктопная версии Safari полностью скрывают URL и отображают лишь название компании, полученное от EV SSL-сертификата. То есть, клиенты Apple никак не могут распознать фишинговый сайт, если его создатели с умом выбрали название и получили EV SSL-сертификат. Последние версии Chrome и вовсе не позволяют пользователям видеть подробности о сертификате. Для этого им нужно зайти в специальный раздел «Инструментов разработчика». SSL-сертификаты стандарта EV с расширенной проверкой – сертификаты бизнес-уровня высокой надежности, позволяющие подтвердить достоверность адреса сайта и содержащие информацию об организации, которой принадлежит домен. Являются самыми престижными на сегодняшний день. securitylab.ru
  9. Эксперты в области кибербезопасности из компании Appthority обнаружили в нескольких популярных играх для ОС Android вредоносное ПО Golduck, позволяющее злоумышленникам выполнять произвольные команды и отправлять SMS-сообщения. Приложения загружают вредоносный код с сервера Golduck и устанавливают его на устройствах с использованием техники под названием Java отражение (Java Reflection). По словам исследователей, вредоносные приложения представляют собой качественно сделанные классические игры, такие как Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber. Игры имели высокий рейтинг в Google Play Store и были загружены порядка 10,5 млн раз. Дополнительный вредоносный APK-файл загружался с адреса hxxp: //golduck.info/pluginapk/gp.apk. В данном файле исследователи обнаружили 3 папки под легитимными на первый взгляд названиями - google.android, startapp.android.unity.ads и unity.ads. Анализируя содержимое папок, эксперты выявили скрытый код (PackageUtils.class), предназначенный для незаметной установки приложений с использованием системных разрешений. Судя по всему, вредоносные приложения находятся на ранней стадии разработки, поскольку их код не обфусцирован, отметили специалисты. Загружаемая дополнительная вредоносная нагрузка также включает в себя код для отправки SMS-сообщений на номера из списка контактов пользователя. Сообщения содержат информацию об игре, что потенциально увеличивает шансы распространения вредоносного ПО. Как пояснили эксперты, Golduck позволяет злоумышленникам полностью скомпрометировать зараженное устройство, особенно на нем включен режим суперпользователя. Исследователи уведомили Google о своей находке 20 ноября 2017 года. В настоящее время все вредоносные приложение удалены из Google Play Store. Пользователям рекомендуется удалить игры Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber со своих устройств как можно скорее. securitylab.ru
  10. Группа экспертов в области кибербезопасности описала криптографическую атаку, позволяющую получить закрытые криптографические ключи для расшифровки HTTPS-трафика при определенных условиях. Речь идет о новом варианте атаки 19-летней давности, известной как атака Даниэла Бляйхенбахера, позволяющей атакующему без наличия закрытого криптоключа получить доступ к зашифрованным сообщениям и/или осуществить атаку «человек посередине». Атака получила название ROBOT (Return Of Bleichenbacher's Oracle Threat). По умолчанию, перед началом обмена данными между клиентом (браузером) и сервером по HTTPS клиент выбирает произвольный сессионный ключ и шифрует его с помощью открытого ключа сервера. Затем этот ключ отправляется на сервер, который расшифровывает его, используя свой закрытый ключ, и сохраняет копию сессионного ключа для последующей идентификации клиента. Для повышения криптостойкости зашифрованного сессионного ключа применяется схема дополнения шифрования (добавление дополнительного слоя битов поверх ключа). Как выяснил Бляйхенбахер, если для шифрования используется алгоритм RSA и схема PKCS #1 1.5, атакующий может с помощью брутфорс-атаки «угадать» сессионный ключ и расшифровать трафик между клиентом и TLS (HTTPS) сервером. Разработчики стандарта TLS реализовали ряд контрмер, призванных усложнить процесс брутфорсинга, однако они оказались неполными и неэффективными. За последние несколько лет исследователи безопасности представили ряд вариаций оригинальной атаки Бляйхенбахера, ROBOT – самая свежая из них. Так же, как и предыдущие атаки, ROBOT основана на обходе контрмер, реализованных разработчиками TLS. По словам экспертов, проблема заключается в том, что TLS – сложный стандарт и многие производители серверного оборудования некорректно реализуют раздел 7.4.7.1 (RFC 5246) стандарта. К атаке ROBOT уязвимы некоторые продукты ряда производителей, в том числе Cisco, Citrix, F5 и Radware, а также 27 сайтов из рейтинга Alexa Top 10, включая Facebook и PayPal. В своем докладе исследователи описали процесс дешифровки трафика Facebook. Полный список уязвимых продуктов доступен здесь. Эксперты также опубликовали написанный на Python скрипт, позволяющий администраторам серверов провести проверку на предмет уязвимых хостов. securitylab.ru
  11. Крупная гонконгская криптовалютная биржа Bitfinex подверглась серии кибератак. Об этом компания сообщила в Twitter. «На нас сейчас осуществляется мощная DDoS-атака. Программный интерфейс также вышел из строя. Мы работаем над устранением последствий», - говорится в сообщении Bitfinex за 12 декабря 2017 года. Ранее, 7 декабря, представители биржи заявили о том, что в течение последних нескольких дней Bitfinex подвергся мощным атакам отказа в обслуживании. «В последнее время атаки усилились», - отметили они. На момент написания новости сайт биржи работает. Напомним, в начале декабря крупнейший web-сервис для майнинга криптовалют Nicehash заявил о взломе ресурса и хищении всех биткойнов из его основного кошелька. securitylab.ru
  12. Процессоры x86 Intel Coffee Lake и Cannon Lake могут быть защищены производителями компьютеров от попыток даунгрейда драйвера Intel Management Engine (ME) с целью его нейтрализации. В июне текущего года специалисты компании Positive Technologies Марк Ермолов и Максим Горячий обнаружили в прошивке ME уязвимости CVE-2017-5705, 5706 и 5707, позволяющие злоумышленникам получить доступ к платформе, ME и конфиденциальным данным, защищенным технологией Intel. В прошлом месяце производитель выпустил исправления для восьми уязвимостей, затрагивающих ME, Server Platform Services (SPS) и Trusted Execution Engine (TXE) и позволяющих атакующему включить «режим бога» на системе. Тем не менее, поскольку прошивка ME является записываемой, любое обновление можно отозвать. То есть, злоумышленники могут перепрограммировать чипы на материнской плате и отменить все изменения. Это практически означает конец игры, если у хакера есть физический доступ к атакуемому компьютеру, чтобы переписать SSD. Однако Intel может помешать таким инструментам, как me_cleaner, принудительно нейтрализовать ME с последней версией прошивки. В таком случае откатить прошивку до уязвимой версии уже будет нельзя. Согласно уведомлению Intel, начиная с версии ME 12, включенный в обновление с целью предотвратить возможность отката номер чипа (Security Version Number, SVN) будет перманентно сохраняться в Field Programmable Fuses (FPFs). Таким образом, физический даунгрейд прошивки ME до более ранних версий SVN буде невозможен. После установки FPFs становится постоянным запоминающим устройством, которое нельзя с легкостью модифицировать. Ключи шифрования для защиты данных ME также привязаны к SVN с целью заблокировать доступ злоумышленникам после отката прошивки. Согласно уведомлению Intel, возможен физический даунгрейд версий ME с 8 по 11 с использованием такого инструмента для программирования флэш-памяти, как DediProg. В настоящее время предотвращающая откат функция деактивирована по умолчанию. Партнеры Intel (производители ПК и серверов) могут включить ее с помощью инструмента Intel Flash Image Tool (FIT). В скором времени Intel сделает функцию включенной по умолчанию. securitylab.ru
  13. В рамках "вторника исправлений" Microsoft выпустила плановые обновления безопасности, исправляющие в общей сложности 34 уязвимости, в том числе 19 критических в браузерах компании Internet Explorer и Edge. В большинстве случаев проблемы связаны с браузерными движками и могут быть проэксплуатированы удаленным злоумышленником для выполнения произвольного кода на уязвимых устройствах. Для успешной атаки хакеру нужно заманить жертву на специально созданный web-сайт или ресурс, на котором распространяются вредоносные рекламные объявления. По словам исследователей из Trend Micro Zero Day Initiative, интересной проблемой является CVE-2017-11927, представляющая собой уязвимость раскрытия информации в Windows. Данная проблема затрагивает обработчик протокола its:// в Windows. ITS или InfoTech Storage Format - формат хранения, используемый в CHM-файлах. Как пояснили эксперты, теоретически у пользователя не должно быть доступа к удаленному контенту при использовании ITS вне зоны локального компьютера. Данная проблема была решена с выпуском обновлений в 2005 году. Однако, судя по всему, уязвимость все же сохранилась, предоставляя возможность злоумышленникам обманом заставить пользователя посетить вредоносный сайт, получить доступ к хэшу NTLM, а затем осуществить брутфорс-атаку для получения соответствующего пароля. Список исправленных уязвимостей также включает в себя проблемы в Office, Exchange, уязвимость эскалации привилегий в SharePoint и уязвимость удаленного выполнения кода в Excel. По словам представителей Microsoft, ни одна из уязвимостей, исправленных в этом месяце, не была проэксплуатирована злоумышленниками или публично раскрыта до выхода патча. Ранее в декабре Microsoft выпустила внеплановое обновление безопасности, исправляющее критическую уязвимость в движке Malware Protection Engine (MPE), которая позволяет атакующему получить полный контроль над системой. Подробнее: https://www.securitylab.ru/news/490251.php В рамках "вторника исправлений" Microsoft выпустила плановые обновления безопасности, исправляющие в общей сложности 34 уязвимости, в том числе 19 критических в браузерах компании Internet Explorer и Edge. В большинстве случаев проблемы связаны с браузерными движками и могут быть проэксплуатированы удаленным злоумышленником для выполнения произвольного кода на уязвимых устройствах. Для успешной атаки хакеру нужно заманить жертву на специально созданный web-сайт или ресурс, на котором распространяются вредоносные рекламные объявления. По словам исследователей из Trend Micro Zero Day Initiative, интересной проблемой является CVE-2017-11927, представляющая собой уязвимость раскрытия информации в Windows. Данная проблема затрагивает обработчик протокола its:// в Windows. ITS или InfoTech Storage Format - формат хранения, используемый в CHM-файлах. Как пояснили эксперты, теоретически у пользователя не должно быть доступа к удаленному контенту при использовании ITS вне зоны локального компьютера. Данная проблема была решена с выпуском обновлений в 2005 году. Однако, судя по всему, уязвимость все же сохранилась, предоставляя возможность злоумышленникам обманом заставить пользователя посетить вредоносный сайт, получить доступ к хэшу NTLM, а затем осуществить брутфорс-атаку для получения соответствующего пароля. Список исправленных уязвимостей также включает в себя проблемы в Office, Exchange, уязвимость эскалации привилегий в SharePoint и уязвимость удаленного выполнения кода в Excel. По словам представителей Microsoft, ни одна из уязвимостей, исправленных в этом месяце, не была проэксплуатирована злоумышленниками или публично раскрыта до выхода патча. Ранее в декабре Microsoft выпустила внеплановое обновление безопасности, исправляющее критическую уязвимость в движке Malware Protection Engine (MPE), которая позволяет атакующему получить полный контроль над системой. securitylab.ru
  14. Во вторник, 12 декабря, Мещанский суд Москвы отклонил жалобу Telegram по поводу штрафа за отказ предоставить доступ к переписке подозреваемых в совершении теракта. Как сообщает издание «РИА Новости», в октябре текущего года мессенджер был оштрафован на 800 тыс. рублей за отказ предоставить ФСБ ключи для расшифровки сообщений братьев Аброра и Акрама Азимовых, подозреваемых в осуществлении теракта в Санкт-Петербурге 3 апреля 2017 года. Решение отказать спецслужбе в предоставлении доступа к переписке пользователей администрация мессенджера объяснила тем, что данное требование является неконституционным и технически неисполнимым. Ключи шифрования закрытых чатов хранятся локально на устройствах, и у Telegram нет к ним доступа, пояснил адвокат Telegram Дмитрий Динзе. К ключам облачных чатов доступ есть, но нужно точно указывать дату и время нужных сообщений. По словам второго адвоката, Рамиля Ахметгалиева, компания Telegram зарегистрирована в иностранном государстве, и запрос ФСБ должен был осуществляться через Министерство иностранных дел и Генпрокуратуру. Представители ФСБ в суде отсутствовали. Максимальный размер штрафа мог составить 1 млн рублей, однако мировой суд № 383 посчитал сумму в 800 тыс. достаточной. Администрация Telegram подала апелляцию в Мещанский суд Москвы, однако судья решила оставить без изменений решение коллег по данному административному делу. securitylab.ru
  15. Последняя неделя
  16. Продажа дёдиков невысокой мощности по низким ценам! Краткое описание: OS: Windows Server 2012 x64 Оперативка: 1 GB Процессор: 2.13 GHz Память: 20 GB SSD Интернет: Download 35 Mbps | Upload 23 Mbps Страна: Нидерланды Отлично подойдёт для простых задач! Стабильная работа дёдика и интернета! Для улучшения производительности на всех дёдиках предустановлен специальный софт Mem Reduct.$ Цена в месяц: 70 рублей Гарантия: Гарантия действует 24 часа с момента покупки. Вы получаете полноценный дёдик с возможностью установки любого софта. Оплата: QIWI Связь со мной: ICQ: 727055294 TELEGRAM: @niksinx FAQ:> Как подключиться к купленному дёдику? < Нажимаете ПУСК - ВЫПОЛНИТЬ - mstsc (либо нажав на лупу в W8/W10)> Что я получу при покупке? < IP, логин и пароль для подключения, а также техническую поддержку на 24 часа. > У меня остались вопросы, могу я их задать? < Да, конечно. Любые вопросы можно задать, но исключительно в ICQ и Telegram. СПЕШИТЕ, КОЛИЧЕСТВО ОГРАНИЧЕНО!
  17. Замглавы МВД РФ Игорь Зубов заявил о резком увеличении количества телефонных звонков с ложными сообщениями о минировании. По словам чиновника, большинство таких звонков поступали с территории Сирии, сообщает «РИА Новости». «По интенсивности мы можем говорить, что, по сути, речь шла о кибернападении на территорию РФ», - отметил Зубов. Он также добавил, что в 2017 году было возбуждено почти 3 тыс. уголовных дел по ст. 207 УК РФ («Заведомо ложное сообщение об акте терроризма»). Помимо Сирии, звонки также осуществлялись из Казахстана, Узбекистана, Турции, США, Украины и Канады, однако такие случаи единичны. Ущерб от звонков с угрозами минирования составил несколько миллиардов рублей, заявил замглавы. Волна анонимных звонков о минировании школ и вузов, торговых центров и административных зданий началась 11 сентября 2017 года. В период с сентября по декабрь в 190 городах РФ были зафиксированы случаи ложных сообщений о минировании. securitylab.ru
  18. Исследователи безопасности из компании Malwarebytes обнаружили новую версию бэкдора OceanLotus для macOS, получившую название HiddenLotus. По словам исследователей, бэкдор использует инновационную технику маскировки. Бэкдор распространяется через приложение Lê Thu Hà (HAEDC).pdf, замаскированное под файл Adobe Acrobat. Приложение эксплуатирует функцию карантина, впервые появившуюся в MacOS X 10.5 Leopard, запрашивающую подтверждение у пользователя при открытии любых файлов, загруженных через интернет. При попытке открыть исполняемый файл на экране появляется всплывающее уведомление, предупреждающее пользователя о данном факте. Предыдущая версия OceanLotus маскировалась под документ Microsoft Word и имела скрытое расширение .app, однако в HiddenLotus используется расширение .pdf. Как выяснилось в ходе исследования, буква d в расширении заменена строчной римской цифрой D (число 500). Таким образом операционная система распознает бэкдор как файл с неизвестным расширением. Эксперты пояснили, что приложение не нуждается в расширении .app, чтобы операционная система распознавала его как исполняемый файл. "Приложения на macOS на самом деле представляют собой папки со специальной внутренней структурой, называемой пакетом. Папка с правильной структурой по-прежнему остается папкой, но если добавить расширение .app, она превретится в приложение", - отметили исследователи. Когда пользователь открывает файл или папку, функционал LaunchServices сначала проверяет расширение и открывает его с помощью соответствующей программы, например, файл с расширением .txt будет по умолчанию открыт с помощью TextEdit. Таким образом, папка с расширением .app будет запущена как приложение, если она имеет правильную внутреннюю структуру. Если расширение неизвестно, система предложит пользователю выбрать уже установленное приложение для запуска файла или найти его в Mac App Store. При открытии папки с неизвестным расширением LaunchServices обращается к структуре пакетов в папке. Из-за использования римской цифры в расширении .pdf система не может найти программу для его открытия и рассматривает его как приложение, даже если у него нет расширения .app. Как отметили исследователи, существует множество возможных расширений, которые злоумышленники могут эксплуатировать, особенно при использовании символов Unicode. Пользователи могут быть обмануты с помощью файлов, маскирующихся под документы Word (.doc), электронные таблицы Excel (.xls), документы страниц (.pages) и пр. securitylab.ru
  19. Во Франции полиция арестовала 16-летнего подростка по обвинению в администрировании пиратского ТВ-сервиса. Сайт ARTV и его приложение для Android предлагали для просмотра 176 каналов, принадлежащих Canal +, M6, TF1 Group, France Télévision Group, Paramount, Disney и FOX. Подростку грозит до трех лет лишения свободы и штраф в размере €300 тыс. По словам представителей французской антипиратской организации ALPA, ARTV.watch начал работу в апреле 2017 года и быстро набрал популярность. Ежемесячно сайт посещало порядка 150 тыс. пользователей. Менее чем за восемь месяцев на ресурсе зарегистрировалось 800 тыс. человек. Artv.watch предлагал просмотр 176 бесплатных и платных французских телеканалов, являющихся членами ALPA, в том числе Canal + Group, M6 Group, TF1 Group, France Télévision Group, Paramount, Disney и FOX. Также на сайте транслировались другие тематические и спортивные каналы, следует из заявления ALPA. По оценкам организации, подросток зарабатывал на доходах от рекламы около €3 тыс. в месяц. В настоящее время работа сайта остановлена. На главной странице размещено заявление администратора, в котором он признает данный ресурс незаконным и сообщает о его закрытии по юридическим причинам. Помимо закрытия сайта, владелец также убрал связанное с ним Android-приложение из магазина Google Play Store. По словам представителей ALPA, это первый случай подобного рода во Франции. securitylab.ru
  20. Эксперты компании Fox-IT представили написанный на Python скрипт, позволяющий восстановить записи в журнале событий, удаленные утилитой eventlogedit на скомпрометированных компьютерах. Eventlogedit является частью предполагаемого хакерского инструмента Агентства национальной безопасности (АНБ) США под названием DanderSpritz, который в числе других программ был выложен в открытый доступ кибергруппировкой The Shadow Brockers в минувшем году. Скрипт под названием danderspritz-evtx опубликован на портале GitHub. На самом деле утилита не удаляет или изменяет записи в журнале, а только совмещает их, делая «удаленную» запись частью предыдущей. По умолчанию, DanderSpritz совмещает одну или две «компрометирующие» записи с «чистым» логом. Таким образом при чтении подделанного файла Журнал событий прочитает чистую запись, увидит конечный тег и проигнорирует весь «плохой» контент, пояснили исследователи. Этот ловкий трюк позволяет злоумышленникам скрыть свои действия на скомпрометированных устройствах. По словам специалистов, разработанный ими скрипт позволит другим исследователям восстановить оригинальные записи и отследить «отпечатки» злоумышленников. DanderSpritz представляет собой фреймворк, включающий ряд других утилит помимо возможности очистки журналов. Как правило, АНБ использует его совместно с другим фреймворком – FuzzBunch, предназначенным для загрузки и исполнения эксплоитов на целевых компьютерах. «Представьте, что это государственная версия Metasploit Meterpreter, но с функцией автоматического обнаружения антивирусов и массой (ранее) не обнаруживаемых инструментов для извлечения паролей, сбора информации и продвижения по системе», - рассказал эксперт Kudelski Security Франсиско Донозо (Francisco Donoso). securitylab.ru
  21. Исследователи безопасности из компании 4iQ обнаружили в «Темной паутине» базу данных, состоящую из 1,4 млрд учетных данных. База включает 252 списка учетных данных, попавших в Сеть ранее. По словам исследователей, находка представляет собой не просто список, а агрегированную интерактивную базу данных, позволяющую быстро (с задержкой до секунды) искать и импортировать дополнительную информацию. В последний раз база обновлялась 29 ноября 2017 года. Общее количество учетных данных (имена пользователей и незашифрованные пароли) составляет 1 400 553 869. Исследователи обнаружили файл README с описанием инструментов для поиска и вставки новой информации. В другом файле imported.log перечислены источники утечек, например, / inputbreach / linkedin110M_1 865M. В общей сложности в файле указаны 252 источника. Данные структурированы в виде алфавитного дерева каталогов, разделенного на 1 981 фрагмент для более быстрого поиска. Как отметили эксперты, поиск по словам admin, administrator и root в течение нескольких секунд дал 226 631 результат. Большие базы данных, содержащие множество паролей как в зашифрованном, так и в текстовом виде, сильно облегчают злоумышленникам работу по поиску учетных данных для последующего взлома. Воспользоваться подобной базой может не только опытный хакер, но и скрипт-кидди, отметили специалисты. Наиболее вероятным способом использования подобных баз является credential stuffing – метод автоматизированной проверки похищенных учетных данных на работоспособность. В настоящее время неясно, откуда именно появилась эта база данных. Как отметили исследователи, значительное время и усилия были уделены ее дизайну и созданию простого в использовании интерфеса. Судя по всему, база никак не монетизирована напрямую, однако в ней присутствуют адреса криптовалютных кошельков для пожертвований. Эксперты полагают, что появление данной БД может быть связано с прекращением работы сервиса LeakBase ранее в этом месяце. Сервис предлагал доступ к более 2 млрд учетных данных, утекших в результате крупных взломов популярных сайтов наподобие linkedin.com, myspace.com и dropbox.com. securitylab.ru
  22. Киберпреступники решили воспользоваться ажиотажем вокруг стремительно растущей криптовалюты Bitcoin и запустили новую, ориентированную на трейдеров фишинговую кампанию. Злоумышленники распространяют рекламу бота Gunbot, предназначенного для торговли на бирже. На самом деле реклама является вредоносной и заражает компьютеры жертв трояном для удаленного доступа (RAT) Orcus. В последнее время курс биткойна бьет все мыслимые и немыслимые рекорды, поэтому торги на биржах криптовалют проходят как никогда активно. Большой популярностью у трейдеров пользуются специальные боты, отслеживающие и сопоставляющие стоимость биткойна на различных платформах. При выгодной разнице курсов они автоматически покупают и продают биткойны в заранее установленных трейдером пределах. Эксперты компании Fortinet предупредили о новой фишинговой кампании, распространяющей RAT Orcus через вредоносную рекламу. Реклама рассылается в спам-письмах и предлагает установить легитимный бот Gunbot от GuntherLab (Gunthy). В письмо вложен zip-файл под названием «sourcode.vbs», содержащий простой VB-скрипт. После выполнения скрипт загружает файл, внешне похожий на JPEG-изображение, но на самом деле являющийся PE-файлом. По словам исследователей, судя по комментариям в скрипте, хакеры даже не пытаются скрыть свои намерения. Вероятно, они малоопытны и купили используемые в атаках компоненты где-то еще. Загружаемый исполняемый файл представляет собой троянизированную версию инструмента TTJ-Inventory System с открытым исходным кодом. Portable Executable (PE) – формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях ОС Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API функций, данные для управления ресурсами и данные локальной памяти потока (TLS). securitylab.ru
  23. Центральный банк Бангладеш обратился к Федеральному резервному банку Нью-Йорка (Federal Reserve Bank of New York, ФРБ) с просьбой поддержать судебный иск, который кредитная организация планирует подать против банка Филиппин за его причастность к хищению $81 млн в 2016 году. Об этом сообщает информагентство Reuters со ссылкой на свои источники. В феврале 2016 года неизвестные хакеры похитили $81 млн долларов со счета Центробанка Бангладеш в ФРБ Нью-Йорка, скомпрометировав программное обеспечение системы для передачи финансовой информации SWIFT. Деньги были отправлены на счета в банке Rizal Commercial Banking Corp (RCBC) в Маниле (Филиппины), а затем отмыты через филиппинские казино. Спустя почти два года причастных к преступлению так и не обнаружили. ЦБ Бангладеш удалось добиться возврата только $15 млн от RCBC. По словам представителей ФРБ и ЦБ Бангладеш, последний намерен подать гражданский иск против RCBC, надеясь на полное возмещение похищенной суммы. Бангладешские чиновники указывают на внутренние документы RCBC, утверждая, что филиппинский банк проигнорировал подозрительную активность на счетах злоумышленников и слишком поздно заморозил средства. Ранее представители RCBC заявили, что банк не будет выплачивать какую-либо компенсацию, поскольку средства были похищены из-за небрежности ЦБ Бангладеш. Как сообщил агентству Reuters один из представителей Центробанка Бангладеш, ему неизвестно о планах регулятора подать судебный иск против RCBC, однако ЦБ "предпринимает действия по возвращению похищенных средств в полном объеме". В прошлом году RCBC был оштрафован на 1 млрд филиппинских песо ($20 млн) за халатное отношение к преступным действиям мошенников, осуществленных с его помощью. securitylab.ru
  24. Вьетнамскому хакеру Ле Дюк Хоанг Хаю удалось взломать компьютерные системы Международного аэропорта в Перте (Австралия) и похитить большое количество важных документов, в том числе данные о системе безопасности и планы строительства. Злоумышленник использовал учетную запись стороннего подрядчика для получения несанкционированного доступа к системам аэропорта в марте прошлого года, сообщает издание West Australian. По словам представителей австралийских властей, системы, связанные с радарами, самолетами и пассажирами в результате инцидента не пострадали. Сотрудники аэропорта обнаружили взлом и уведомили Австралийский центр кибербезопасности в Канберре и Австралийскую федеральную полицию. В ходе расследования было установлено, что хакер является жителем Вьетнама. Правоохранительные органы проинформировали своих вьетнамских коллег и вскоре злоумышленник был арестован. Вьетнамский военный суд приговорил киберпреступника к четырем годам лишения свободы. Как выяснило следствие, ранее хакер взломал ряд других объектов критической инфраструктуры, а также скомпрометировал многочисленные вьетнамские web-сайты, в том числе принадлежащие телекоммуникационным компаниям, банкам и одному вьетнамскому СМИ. По словам генерального директора аэропорта Кевина Брауна (Kevin Brown), изначально злоумышленник надеялся похитить данные кредитных карт, однако не обнаружив последних, решил украсть ряд важных документов. Судя по всему, хакер работал на себя и не был членом крупной хакерской группировки. Похищенная информация не была продана или опубликована в открытом доступе. Ранее в Великобритании мужчина нашел на улице USB-накопитель, содержавший незащищенные сведения о системе безопасности аэропорта Хитроу. securitylab.ru
  25. Ставший на прошлой неделе жертвой хакеров словенский криптовалютный сервис NiceHash сообщил новую подробность об инциденте. По данным администрации NiceHash, атака была осуществлена с неевропейского IP-адреса, сообщает Reuters. «Вероятнее всего, атака была осуществлена с IP-адреса за пределами ЕС», - сообщил директор по маркетингу NiceHash Андрей Скраба (Andrej Skraba). По словам главы сервиса Марко Кобала (Marko Kobal), для взлома хакеры использовали учетные данные инженера NiceHash. Правоохранительные органы Словении отказались предоставить какую-либо информацию по данному делу ввиду проводящегося расследования. Представители NiceHash подтвердили Reuters, что техническим директором сервиса является некий Матьяж Шкорьян (Matjaž Škorjanc). В Словении Шкорьян был приговорен к тюремному заключению за создание вредоносного ПО Mariposa, инфицировавшего миллионы компьютеров в 2010 году. Напомним, на прошлой неделе сервис NiceHash сообщил о кибератаке, в результате которой злоумышленникам удалось похитить из его главного кошелька биткойны на сумму более $60 млн. securitylab.ru
  26. Национальный институт стандартов и технологий США (NIST) опубликовал вторую редакцию руководства по усилению кибербезопасности в критической инфраструктуре NIST Cybersecurity Framework. Первый вариант рекомендаций, опубликованный в 2014 году, был призван помочь организациям, в частности в сфере критически важной инфраструктуры, лучше защищаться от киберугроз. Руководство было разработано по приказу бывшего президента США Барака Обамы. Все федеральные агентства и операторы критической инфраструктуры США обязаны придерживаться данных рекомендаций. Спустя четыре года с момента выхода первого варианта Cybersecurity Framework, институт взялся за разработку обновленной версии. Первая редакция была опубликована в январе 2017 года, вторая - 5 декабря 2017 года. Согласно заявлению NIST, вторая редакция версии 1.1 фокусируется на разъяснении, уточнении и расширении руководства, облегчая его использование, а также содержит обновленную «дорожную карту», в которой подробно описываются планы по дальнейшей разработке руководства. Комментарии и отзывы по второй редакции могут быть отправлены в NIST до 19 января 2018 года. Изначально институт собирался опубликовать окончательный вариант руководства осенью текущего года, однако отстал от графика и теперь публикация запланирована на начало 2018 года. Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) - подразделение Управления по технологиям, одного из агентств Министерства торговли США. Основной задачей института является продвижение инновационной и индустриальной конкурентоспособности США путем развития наук об измерениях, стандартизации и технологий с целью повышения экономической безопасности и улучшения качества жизни. securitylab.ru
  27. Компания Microsoft случайно допустила утечку TLS-сертификата, используемого для MS Dynamics 365, и соответствующего ему закрытого ключа, выяснил немецкий разработчик Маттиас Гливка (Matthias Gliwka) в процессе работы с облачной версией платформы. Сертификат и ключ были доступны в так называемой «песочнице» Dynamics 365, предназначенной для тестирования приложений на уровне пользователя. В отличие от производственных серверов и серверов для разработки, «песочница» предоставляет администраторам возможность доступа по RDP. Получив доступ к «песочнице», (customername.sandbox.operations.dynamics.com) Гливка обнаружил, что встроенный диспетчер сертификатов содержит действительный TLS-сертификат для *.sandbox.operations.dynamics.com и соответствующий ему закрытый ключ. По его словам, данный сертификат действует для всех «песочниц», даже принадлежащих другим клиентам Microsoft. Сертификат используется для шифрования web-трафика между пользователями и сервером. Имея доступ к сертификату (который может быть экспортирован при помощи обычных инструментов), злоумышленник получает возможность просматривать коммуникации в незашифрованном виде и скрыто модифицировать контент. Сразу же после обнаружения уязвимости в августе нынешнего года Гливка предпринял несколько попыток проинформировать Microsoft о проблеме. После череды электронных писем и привлечения к процессу третьих лиц компания все же отреагировала на сообщения разработчика и устранила уязвимость в начале декабря нынешнего года – спустя почти четыре месяца после выявления проблемы. Microsoft Dynamics 365 – единая платформа бизнес-приложений для планирования ресурсов предприятия (ERP) и управления взаимоотношениями с клиентами (CRM), состоящая из нескольких функциональных модулей. securitylab.ru
  1. Загрузить больше активности
×

Важная информация

Используя этот сайт, вы соглашаетесь с нашими Условия использования.