Перейти к публикации

DiW

Администраторы
  • Публикации

    7 946
  • Зарегистрирован

  • Посещение

Репутация

0 Обычная

8 подписчиков

О DiW

  • Звание
    Один из ниХ...

Контакты

  • Сайт
    http://promodj.com/diw-dj

Посетители профиля

2 995 просмотров профиля
  1. В прошлом эксперты компании Kromtech Security неоднократно сообщали об утечках данных, связанных с теми или иными компаниями, не озаботившимися должной защитой своих баз данных. Недавно исследователи столкнулись с несколько необычным случаем – они обнаружили в Сети незащищенный сервер MongoDB со сравнительно свежей базой данных, содержащей информацию об украденных кредитных/дебетовых картах. В общей сложности БД включала 150 833 уникальные записи с номерами карт, сроком истечения их действия, а также трехзначными кодами проверки подлинности карты (CCV). Специалисты провели подробное расследование и выяснили, что речь идет об операции по отмыванию денег с украденных карт с помощью сложной автоматизированной системы. Как оказалось, группа злоумышленников использовала фальшивые учетные записи в сервисах Apple и фиктивные игровые профили для проведения транзакций по картам и последующей перепродажи внутриигровых ресурсов online. Под прицел злоумышленников попали три игры - Clash of Clans, Clash Royale и Marvel Contest of Champions. В общей сложности их аудитория составляет более 250 млн пользователей. Группировка использовала специальный инструмент для создания фиктивных учетных записей Apple ID и добавляла в аккаунт данные украденных кредитных карт. Затем злоумышленники запускали другой инструмент на взломанном iOS-устройстве, устанавливали игры, создавали внутриигровые учетные записи и покупали различные бонусы, которые затем перепродавали за реальные деньги. Исследователи уведомили о находке Минюст США, разработчика Clash of Clans и Clash Royale компанию Supercell, а также Apple. По их словам, производитель iOS использует ненадежный механизм верификации данных кредитных карт, добавляемых в аккаунты, тем самым упрощая задачу злоумышленникам. securitylab.ru
  2. В сентябре 2017 года Европейский Центр по борьбе с киберпреступностью при Европоле (Europol’s European Cybercrime Centre, EC3) и Национальное агентство по борьбе с преступностью в Великобритании (National Crime Agency, NCA) начали борьбу с трояном Luminosity, также известном, как LuminosityLink. Целью правоохранителей стали как продавцы, так и пользователи вредоносного ПО. В феврале 2018 года была проведена международная операция правоохранительных органов, в ходе которой удалось задержать автора вредоноса. 21-летний житель США Колтон Граббс (Colton Grubbs), являющийся разработчиком Lumunosity, признал себя виновным в создании, продаже и предоставлении технической поддержки вредоносного ПО, использовавшемся для получения несанкционированного доступа к тысячам компьютеров в 78 странах мира. Впервые появившийся в апреле 2015 года троян LuminosityLink представлял собой хакерский инструмент, распространявшийся под видом утилиты для ОС Windows для «управления большим количеством компьютеров одновременно». На самом деле LuminosityLink являлся опасным трояном для удаленного доступа, предназначенным для отключения антивирусной защиты, установленной на компьютере жертвы, а также позволявший управлять web-камерой, просматривать документы и фотографии, похищать пароли и установить программу-кейлоггер. Граббс, известный в Сети под псевдонимом KFC Watermelon, рекламировал и продавал LuminosityLink на своем web-сайте, а также общедоступном интернет-форуме HackForums.net. Вредоносную программу приобрели более 6 тыс. человек, использовавших ее для перехвата управления над десятками тысяч компьютеров в 78 странах. Ранее Граббс позиционировал LuminosityLink как законное программное обеспечение для системных администраторов, однако, согласно подписанному им соглашению о признании вины, автор вредоноса знал, что некоторые его клиенты использовали программу для взлома компьютеров жертв. Злоумышленник также признался в попытке скрыть доказательства преступления, в частности, ноутбук, жесткие диски, связанную с его биткойн-кошельком дебетовую карту и телефон, после того, как узнал о предстоящем обыске его квартиры сотрудниками ФБР. Граббс признал себя виновным во вторжении в частную жизнь, заговоре и причинении ущерба на сумму более $5 тыс. Злоумышленнику грозит наказание в виде лишения свободы на срок до 25 лет и штраф в размере $750 тыс. securitylab.ru
  3. Один из крупнейших телекоммуникационных провайдеров в мире компания Telefonica допустила утечку данных, в ходе которой была раскрыта личная и финансовая информация миллионов испанских пользователей платного телевидения Movistar. Утечка была выявлена одним из пользователей Movistar, сообщившем о проблеме испанской некоммерческой организации FACUA, специализирующейся на защите прав потребителей. По словам представителей FACUA, пользователь обнаружил, что любой владелец учетной записи Movistar может просматривать личные данные других клиентов. Проблема возникла из-за ошибки, допущенной в ходе разработки сайта Movistar. В частности, на странице просмотра счетов Movistar буквенно-цифровой идентификатор счета отображался прямо в URL. Изменив идентификатор, любой пользователь мог получить доступ к данным учетной записи других клиентов. FACUA уведомила Telefonica о проблеме и в настоящее время она уже исправлена. Как сообщили представители FACUA, организация подала жалобу на Telefonica Spain и Telefonica Mobile в Агентство по защите данных Испании (Agencia Española de Protección de Datos, AEPD). За нарушение требований Общего регламента по защите данных ЕС (GDPR), Telefonica грозит штраф в размере от €10 млн до €20 млн или от 2% до 4% годового оборота. securitylab.ru
  4. Жителей Тверской области предупредили об участившихся случаях рассылки фишинговых писем, в которых мошенники выдают себя за судебных приставов, сообщила пресс-служба управления ФССП России по региону. Злоумышленники уведомляют жертв о наличии якобы неоплаченной задолженности и предлагают перейти по содержащимся в письме ссылкам на «судебные постановления». При переходе по указанным в сообщении адресам на компьютер пользователя устанавливается вредоносное ПО. По словам представителей ФССП, мошенники используют символику и профессиональные термины ведомства, угрожая заморозкой банковских счетов жертвы. Гражданам и юридическим лицам рекомендуется быть бдительными и использовать официальные ресурсы ФССП для проверки на наличие каких-либо задолженностей. securitylab.ru
  5. Хакеры пока не изобрели способы массовой эксплуатации нашумевшей уязвимости Spectre, однако ИБ-специалисты вовсю работают над защитными мерами от подобных атак. В частности, международная группа исследователей из университетов США и Сингапура представила фреймворк под названием «007», предназначенный для проверки (и исправления) фрагментов бинарного кода на предмет уязвимости к атакам Spectre. По словам авторов, разработанный подход включает анализ потока управления, анализ адресов для выявления некорректных команд для условного перехода и их возможности влиять на доступ к памяти. Исправлять уязвимость исследователи предлагают «путем внедрения небольшого числа барьерных инструкций вместо внедрения барьеров после каждого условного перехода». Фреймворк способен определить 14 из 15 структур уязвимого кода, выделенных Полом Кочером (Paul Kocher) – одним из первых исследователей, обнаруживших уязвимость Spectre. Инструмент доступен по запросу на сайте Национального университета Сингапура. securitylab.ru
  6. В ходе проходившего на собрании IETF 102 хакатона программисты из компаний Mozilla, Cloudflare, Fastly и Apple разработали новое TLS-расширение ESNI (Encrypted Server Name Indication), позволяющее передавать имя запрошенного хоста в зашифрованном виде. ESNI является улучшенной версией расширения SNI, предназначенного для организации работы нескольких HTTPS-сайтов на одном IP-адресе. В SNI имя хоста в открытом виде передается в сообщении ClientHello на стадии согласования соединения, так как передача осуществляется до установки зашифрованного соединения. Данная особенность расширения SNI позволяет упростить организацию обработки запросов на HTTP-серверах и использовать прокси и CDN-сети для перенаправления трафика, однако в данном случае информация может быть раскрыта стороннему наблюдателю, например, интернет-провайдеру. Таким образом, особенность может быть использована для анализа запрошенных сайтов и выборочной фильтрации трафика. В новом алгоритме имя хоста передается в зашифрованном виде. Данные защищены криптографическими ключами, которые есть только у сервера и клиента. Помимо этого, в расширении предусмотрена функция сокрытия обращения к DNS-серверу с помощью протокола DNS-over-HTTPS или DNS-over-TLS. В настоящее время поддержка расширения ESNI реализована в библиотеках BoringSSL (Chromium), NSS (Firefox) и picotls (используется в HTTP-сервере H2O). securitylab.ru
  7. Разработчики Gentoo Linux объяснили, каким образом хакеры взломали их учетную запись на GitHub – злоумышленникам удалось вычислить пароль администратора. По словам разработчиков, собранные ими факты указывают на то, что «раскрытие на одном сайте упростило угадывание паролей для несвязанных web-страниц». Судя по всему, у кого-то был пароль суперпользователя с предугадываемыми вариациями. Как бы то ни было, проекту повезло – о взломе стало известно практически сразу же, поскольку разработчики получили по электронной почте уведомления об удалении их файлов. «Учитывая характер похищенных учетных данных, менее заметная атака предоставила бы хакерам больше времени и возможностей», - отметили разработчики. Напомним, на прошлой неделе одна из учетных записей проекта Gentoo Linux на GitHub была взломана. Злоумышленники изменили содержание репозиториев и внедрили вредоносный код, позволяющий удалить все файлы из системы. Если точнее, хакеры заменили ветки portage и musl-dev вредоносными ebuild, предназначенными для удаления всех файлов из системы. Для предотвращения подобных инцидентов в будущем разработчики проекта добавили обязательную двухфакторную аутентификацию и сейчас работают над обновлением политики создания паролей. Кроме того, разработчики намерены пересмотреть, кому действительно нужен доступ к репозиториям, а кому нет, внедрить систему резервного копирования и разработать план реагирования на подобные инциденты. securitylab.ru
  8. Исследователи безопасности предупредили о новой вредоносной кампании, в ходе которой злоумышленники добывают криптовалюту без необходимости внедрять нашумевший JavaScript-майнер CoinHive в тысячи взломанных сайтов. CoinHive представляет собой популярный сервис, позволяющий владельцам сайтов добывать криптовалюту за счет мощностей компьютеров их посетителей. Возможность монетизации сайтов за счет майнинга Monero должна была стать альтернативой рекламе, однако с середины прошлого года CoinHive начал активно использоваться киберпреступниками. Злоумышленники стали «зарабатывать», внедряя свою версию майнера в тысячи взломанных сайтов, посетители которых и понятия не имели о том, что кто-то без их ведома использует их компьютеры. К настоящему времени многие сервисы научились распознавать CoinHive, поэтому киберпреступники обратились к альтернативным схемам. Помимо внедряемого JavaScript-майнера, в CoinHive также предусмотрен сервис для сокращения URL. По данным компании Malwarebytes, злоумышленники взламывают легитимные сайты и незаметно внедряют сгенерированные с помощью CoinHive сокращенные ссылки в атрибут HTML iFrame, в результате чего браузеры посетителей сайтов начинают майнить криптовалюту. Используемая киберпреступниками схема майнинга криптовалюты в браузере жертвы без непосредственного внедрения CoinHive в сайты была впервые обнаружена исследователями из Sucuri в конце мая текущего года. По мнению экспертов из Malwarebytes, обнаруженные ими взломанные ресурсы являются частью вредоносной кампании, зафиксированной их коллегами из Sucuri. Помимо скрытого iFrame, киберпреступники также внедряют гиперссылки на другие взломанные ресурсы с целью заставить жертв загрузить на свои компьютеры ПО для майнинга, замаскированное под легитимные программы. securitylab.ru
  9. В обновлении Google Chrome 67 вернулась техническая ошибка, которая предоставляла мошенникам возможность запугивать пользователей с помощью так называемых «загрузочных бомб» (download bomb). Данный метод атаки позволяет запустить сотни или тысячи загрузок, которые блокируют браузер на определенной web-странице. За последние несколько лет появилось несколько вариаций атаки. В основном такая тактика использовалась организаторами мошеннических схем по предоставлению «услуг» техподдержки, вынуждавших пользователей, «застрявших» на подозрительном сайте, обращаться по указанному номеру для разблокировки браузера. Минувшей зимой на проблему обратили внимание эксперты компании Malwarebytes и уведомили о ней Google. Инженеры компании исправили ошибку в версии Chrome 65.0.3325.70, но, как оказалось, она вновь вернулась в выпуске 67.0.3396.87, представленном в мае 2018 года. Более того, по словам исследователя Malwarebytes Жерома Сегуры (Jérôme Segura), проблема распространяется и на другие браузеры, в том числе Firefox. Журналисты ресурса BleepingComputer провели собственный эксперимент, в котором протестировали PoC-коды для Chrome и Firefox против ряда браузеров. Как оказалось, «загрузочные бомбы» заставляют зависнуть Brave и Vivaldi, браузер Opera «подвис» на короткий промежуток времени, но затем позволил переключиться на другую вкладку. Отмечается, что закрывать браузер пришлось через Диспетчер задач Windows, поскольку загрузки продолжались в фоновом режиме. Microsoft Edge и Internet Explorer оказались неузвимыми к данным атакам. securitylab.ru
  10. В сети появились сообщения от пользователей ПК на базе Windows, чьи компьютеры были атакованы вредоносной программой, которая маскируется под приложение All-Radio 4.27 Portable. Вредонос чреват сразу «букетом» проблем: он содержит руткиты, майнеры, трояны для кражи информации и программу, использующую ваш компьютер для рассылки спама. Более того, эксперты безопасности подчеркивают, что в случае заражения единственный способ удалить вирус — это переустановить Windows с нуля. Также рекомендуется сменить все пароли, так как троянец может воровать пользовательские данные. Вредонос появляется в списках установленных программ Windows под именем All-Radio 4.27 Portable. Однако удалить приложение невозможно, поскольку за этим следят специальные инструменты, идущие в комплекте с вирусом. Троян маскируется под российскую программу для просмотра онлайн-видео и радио All-Radio, а распространяется через всевозможные активаторы Windows (например, KMSpico), взломщики игр и другие пиратские программы с расширенным уровнем доступа. Вредоносная программа анализирует буфер в поисках одного из 2 343 286 адресов криптовалютных кошельков, и если обнаруживает, то заменяет его другим адресом, находящимся под контролем злоумышленников. Это позволит им красть ваши криптокоины, которые теперь будут поступать на чужой кошелек. Эксперты отмечают серьезный уровень разработки данного вредоносного ПО, похоже, что его авторы планируют использовать вредонос для заработка. Пользователям настоятельно рекомендуется быть бдительными, избегать скачивания взломщиков, активаторов и других программ, которые могут генерировать лицензии на программное обеспечение, поскольку они обычно заражаются вредоносными программами.
  11. С 1 июля 2018 года российские организаторы распространения информации в интернете (ОРИ) должны хранить записи разговоров, сообщения, изображения, видео и иную электронную коммуникацию своих пользователей в течение шести месяцев, следует из постановления правительства РФ, опубликованного 28 июня. ОРИ обязаны хранить данную информацию на серверах, расположенных на территории РФ, а также предоставлять ее по запросу уполномоченных госорганов, ведущих оперативно-разыскную деятельность, или обеспечивающих безопасность РФ. Напомним, пакет антитеррористических поправок, также известный как «закон Яровой», был принят в июле 2016 года. В апреле текущего года премьер-министр РФ Дмитрий Медведев утвердил правила хранения операторами связи текстовых и голосовых сообщений, а также пересылаемых изображений, аудио- и видеозаписей граждан РФ. Организатором распространения информации в сети «Интернет» является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет». К ОРИ, в частности, относятся мессенджеры, форумы, социальные сети, сайты знакомств и прочие интернет-площадки, позволяющие обмен сообщениями. securitylab.ru
  12. Разработчики дистрибутива Gentoo Linux предупредили пользователей о компрометации одной из учетных записей проекта на портале GitHub. Злоумышленникам удалось изменить содержание репозиториев и внедрить вредоносный код, позволяющий удалить все файлы из системы. «28 июня около 20:20 неизвестные получили контроль над учетной записью проекта Gentoo на портале GitHub и изменили содержание репозиториев. Мы все еще работаем над определением маштабов ущерба и восстановлением контроля над репозиториями. Весь код Gentoo, размещенный на GitHub, на данный момент должен считаться скомпрометированным», - следует из заявления Gentoo. По словам разработчиков, злоумышленники заменили ветки portage и musl-dev вредоносными ebuild, предназначенными для удаления всех файлов из системы. Ebuild представляют собой скрипты bash, используемые Gentoo Linux для системы управления программным обеспечением Portage. «Поскольку главный репозиторий Gentoo ebuild размещен в нашей собственной инфраструктуре, а Github - это только его зеркало, все в порядке, если вы используете rsync или webrsync из gentoo.org», - отметили разработчики. securitylab.ru
  13. Практически все гаджеты на базе ОС Android, выпущенные с 2012 года, подвержены уязвимости под названием RAMpage (CVE-2018-9442). Проблема, обнаруженная международной группой исследователей из нескольких университетов, является вариацией другой уязвимости – Rowhammer, позволяющей осуществлять манипуляции с битами (bit-flipping) и получить привилегии ядра. Метод эксплуатации Rowhammer заключается в «долблении» рядов ячеек памяти в устройствах DRAM для того, чтобы вынудить ячейки переключиться из одного состояния в другое. Концепция основана на факте, что ячейки памяти в устройствах DRAM становятся все плотнее и плотнее. Таким образом, производителям становится все сложнее предотвратить перетекание электронов от одной ячейки к другой. Запрашивая целевые ячейки DRAM снова и снова, злоумышленник может провоцировать возмущение в соседних ячейках, вызывая переключение битов в них при определенных обстоятельствах RAMpage нарушает изоляцию между различными приложениями и операционной системой. Хотя обычно у приложений нет разрешения на чтение данных других программ, вредоносное приложение может проэксплуатировать RAMpage, получить права администратора и доступ к контенту на устройстве, в том числе к паролям, хранимым в браузере или менеджере паролей, личным фотографиям, электронным письмам, сообщениям, рабочим документам и пр. Уязвимость RAMpage была обнаружена в подсистеме ION — драйвере памяти, используемом в Android, начиная с версии 4.0 Ice Cream Sandwich. В настоящее время исследователи находятся в процессе изучения уязвимости. По их мнению, проблема распространяется на Android-гаджеты, но может затрагивать и устройства Apple, домашние компьютеры и облачные серверы. Как отмечается, самостоятельно обнаружить вмешательство в работу памяти невозможно. Специалисты протестировали атаку только на смартфоне LG4, но уверены, что уязвимость потенциально распространяется на устройства, поставляемые с памятью LPDDR2, LPDDR3 или LPDDR4, то есть практически все мобильные устройства, вышедшие с 2012 года. Эксперты также опубликовали инструмент GuardION для снижения риска эксплуатации RAMpage. Подробнее: https://www.securitylab.ru/news/494174.php Практически все гаджеты на базе ОС Android, выпущенные с 2012 года, подвержены уязвимости под названием RAMpage (CVE-2018-9442). Проблема, обнаруженная международной группой исследователей из нескольких университетов, является вариацией другой уязвимости – Rowhammer, позволяющей осуществлять манипуляции с битами (bit-flipping) и получить привилегии ядра. Метод эксплуатации Rowhammer заключается в «долблении» рядов ячеек памяти в устройствах DRAM для того, чтобы вынудить ячейки переключиться из одного состояния в другое. Концепция основана на факте, что ячейки памяти в устройствах DRAM становятся все плотнее и плотнее. Таким образом, производителям становится все сложнее предотвратить перетекание электронов от одной ячейки к другой. Запрашивая целевые ячейки DRAM снова и снова, злоумышленник может провоцировать возмущение в соседних ячейках, вызывая переключение битов в них при определенных обстоятельствах RAMpage нарушает изоляцию между различными приложениями и операционной системой. Хотя обычно у приложений нет разрешения на чтение данных других программ, вредоносное приложение может проэксплуатировать RAMpage, получить права администратора и доступ к контенту на устройстве, в том числе к паролям, хранимым в браузере или менеджере паролей, личным фотографиям, электронным письмам, сообщениям, рабочим документам и пр. Уязвимость RAMpage была обнаружена в подсистеме ION — драйвере памяти, используемом в Android, начиная с версии 4.0 Ice Cream Sandwich. В настоящее время исследователи находятся в процессе изучения уязвимости. По их мнению, проблема распространяется на Android-гаджеты, но может затрагивать и устройства Apple, домашние компьютеры и облачные серверы. Как отмечается, самостоятельно обнаружить вмешательство в работу памяти невозможно. Специалисты протестировали атаку только на смартфоне LG4, но уверены, что уязвимость потенциально распространяется на устройства, поставляемые с памятью LPDDR2, LPDDR3 или LPDDR4, то есть практически все мобильные устройства, вышедшие с 2012 года. Эксперты также опубликовали инструмент GuardION для снижения риска эксплуатации RAMpage. securitylab.ru
  14. Эксперты компании Aleph Security нашли метод обхода некоторых мер защиты от эксплуатации уязвимости Spectre v1, реализованных в современных браузерах. Они разработали PoC-код, с помощью которого смогли извлечь важные данные из защищенной области памяти браузеров Microsoft Edge, Apple Safari и Google Chrome. Атака оказалась неэффективной против Mozilla Firefox, поскольку в браузере реализованы иные защитные меры. Вариант Spectre v1 - единственная уязвимость из семейства Meltdown/Spectre, которую возможно проэксплуатировать через браузер. Меры по снижению риска атак Spectre v1 варьируются от браузера к браузеру, но в основном изменения включают функцию изолирования сайтов друг от друга для размежевания данных между сервисами (проекты на базе Chromium), снижение точности источников времени (performance.now()), отключение функции SharedArrayBuffer (Firefox, Edge) и пр. Однако исследователям удалось обойти ряд защитных мер и прочитать данные в памяти Chrome, Edge и Safari. Теоретически, с помощью атаки Spectre v1 возможно получить доступ к информации, которой обмениваются разные страницы и процессы браузера, например, к файлам cookie, сохраненным паролям и т.д. Извлечение данных с помощью экспериментального PoC-кода происходит довольно медленно, однако цель экспертов заключалась не в создании метода атаки, а в изучении эффективности защитных мер. По словам специалистов, защита существенно замедляет атаки Spectre v1, но недостаточно эффективна для их предотвращения, следовательно, нужны более надежные решения. securitylab.ru
  15. Кипрская компания WiSpear объявила о создании микроавтобуса, оборудованного технологиями нового поколения для сбора информации и способного взломать мобильные устройства под управлением ОС от Apple и Google на расстоянии 500 м. Как сообщает Forbes, стоимость транспортного средства составляет от $3,5 млн до $5 млн, и, если верить производителю, микроавтобус уже вызвал интерес у потенциальных покупателей. SpearHead 360 оснащен 24 антеннами для подключения к атакуемому устройству. Как только нужное устройство выбрано, SpearHead 360 вынуждает его подключиться к своим приборам для перехвата Wi-Fi-соединения, используя один из четырех доступных способов. Далее с помощью атаки «человек посередине» микроавтобус начинает «копаться» в мобильном устройстве в поисках данных. В распоряжении SpearHead 360 имеются четыре варианта вредоносного ПО для различных ОС, в том числе для iOS и Android. По словам производителя, у микроавтобуса есть доступ к базе данных неизвестных уязвимостей (уязвимостей нулевого дня) в iOS и Android. Более того, SpearHead 360 может атаковать все устройства жертвы одновременно. К примеру, если атакуемый объект сидит в кафе, работает с Mac и держит при себе Android-смартфон и Windows-планшет, находящаяся поблизости машина взломает все три гаджета. SpearHead 360 был представлен в нынешнем месяце на конференциях ISS World и Eurosatory. Пока что заказов на него не поступало, однако, по уверению производителя, к концу календарного года ему удастся продать 2-4 микроавтобуса. securitylab.ru
×

Важная информация

Используя этот сайт, вы соглашаетесь с нашими Условия использования.