КОНЬЯКОВ.ру

Аудит, Разработка, ИБ, Поддержка и SEO сайтов

Category: Информационная безопасность(Страница 1 из 3)

Kali Linux 2017.1

Distribution Release: Kali Linux 2017.1

Kali Linux is a Debian-based distribution which features several security and forensics tools. The project has adopted a rolling release approach to new versions. The new release, Kali Linux 2017.1, features drivers for RTL8812AU wireless chipsets, improved GPU support and there are now Azure and AWS images of Kali Linux for cloud instances. “Finally, it’s here! We’re happy to announce the availability of the Kali Linux 2017.1 rolling release, which brings with it a bunch of exciting updates and features. As with all new releases, you have the common denominator of updated packages, an updated kernel that provides more and better hardware support, as well as a slew of updated tools — but this release has a few more surprises up its sleeve. A while back, we received a feature request asking for the inclusion of drivers for RTL8812AU wireless chipsets. These drivers are not part of the standard Linux kernel, and have been modified to allow for injection. Why is this a big deal? This chipset supports 802.11 AC, making this one of the first drivers to bring injection-related wireless attacks to this standard.” A summary of available features in version 2017.1 can be found in the project’s release announcement. Download (SHA256): kali-linux-2017.1-amd64.iso (2,664MB, torrent, pkglist).

Distribution Release: Tails 2.12

Distribution Release: Tails 2.12

The Amnesic Incognito Live System (better known as Tails) is a Debian-based live DVD/USB with the goal of providing complete Internet anonymity for the user. The Tails project has announced the release of Tails 2.12 which features the GNOME Sound Recorder application and version 4.9.13 of the Linux kernel. Tails uses the Tor network to redirect network traffic and this release saw the project remove the alternative I2P anonymity network from the distribution. “We installed again GNOME Sound Recorder to provide a very simple application for recording sound in addition to the more complex Audacity. Sound clips recorded using GNOME Sound Recorder are saved to the Recordings folder. We removed I2P, an alternative anonymity network, because we unfortunately have failed to find a developer to maintain I2P in Tails. Maintaining software like I2P well-integrated in Tails takes time and effort and our team is too busy with other priorities. Upgrade Linux to 4.9.13. This should improve the support for newer hardware (graphics, Wi-Fi, etc.).” Additional information can be found in the project’s release announcement. Download: tails-i386-2.12.iso (1,090MB, signature, pkglist). Also available from OSDisc.

Анонимайзер, веб-прокси

работают все сайты, включая ВКонтакте, Одноклассники и YouTube — HideMy.name (ex hideme.ru)

Уже есть код доступа? Вы в одной минуте от подключения!

Подключение устройства на базе iOS:

Вся мобильная продукция компании Apple: iPhone, iPad и др.
Настройки > Основные > VPN > Добавить конфигурацию VPN > L2TP

Описание: произвольное значение (например, HideME.ru Россия, Москва)
Учетная запись: 012345678901234 (ваш код)
Пароль: 1234 изменить
Сервер: список адресов (см.ниже)
Общий ключ: incloaknetwork

При желании использовать PPTP (L2TP лучше!) просто переключитесь на него.

Список адресов:

198.50.183.71 - Canada, Montreal
91.189.181.22 - Norway, Oslo
141.255.167.101 - Switzerland, Zurich
37.235.53.32 - Spain, Madrid
91.237.52.119 - Poland, Poznan
188.64.169.59 - Russia, Moscow S13
149.154.153.129 - Austria, Vienna
91.219.238.56 - Hungary, Budapest
185.82.217.155 - Bulgaria, Sofia
46.148.21.34 - Ukraine, Kharkov S1
37.139.52.43 - Germany, Munich
94.142.141.99 - Russia, Moscow S9
84.33.39.233 - Italy, Milan S2
91.219.28.11 - Netherlands, Meppel
178.33.93.89 - France, Gravelines
94.242.206.142 - Luxembourg, Steinsel
158.58.168.80 - Italy, Milan S1
176.61.139.106 - Sweden, Falkenberg
85.31.101.151 - Latvia, Riga S1
125.212.220.125 - Vietnam, Ho Chi Minh
46.183.221.153 - Latvia, Riga S2
46.167.245.174 - Czech Republic, Prague
103.28.149.74 - Indonesia, Jawa
185.29.8.155 - Sweden, Stockholm
91.105.237.20 - Russia, Moscow S5
185.65.206.172 - Turkey, Istanbul
139.59.8.131 - India, Bangalore
50.7.124.168 - Germany, Frankfurt
95.154.199.21 - United Kingdom, Berkshire
91.221.66.60 - Finland, Helsinki S1
5.154.190.32 - Moldova, Kishinev
185.22.65.54 - Kazakhstan, Almaty S2
192.71.244.14 - Slovenia, Ljubljana
77.81.108.142 - Romania, Bucharest S2
91.105.239.11 - Russia, Moscow S6
91.105.238.11 - Russia, Moscow S7
188.64.174.63 - Russia, Moscow S10
5.189.145.149 - Germany, Nuremberg
192.240.96.164 - USA, New York S2
192.71.249.83 - Belgium, Oostkamp
95.46.98.51 - Ukraine, Khmelnytsky S2
216.17.101.146 - USA, San Diego
37.235.52.20 - Chile, Vina del Mar
91.105.232.86 - Russia, Moscow S11
178.33.209.199 - France, Strasbourg
185.65.201.27 - Lithuania, Siauliai
212.124.126.38 - USA, Clarks Summit
46.249.47.196 - Netherlands, Dronten
80.79.125.79 - Estonia, Tallinn
185.86.78.32 - Ukraine, Khmelnytsky S1
185.27.194.163 - Russia, Kazan S2
188.116.54.12 - Poland, Gdansk
91.105.236.205 - Russia, Moscow S3
58.64.185.92 - Hong Kong, Kowloon
77.81.107.13 - United Kingdom, Manchester
103.56.218.80 - Japan, Shibuya
41.223.53.102 - Egypt, Cairo
185.14.28.120 - Netherlands, Kampen
46.148.20.20 - Ukraine, Kharkov S2
151.236.24.15 - Iceland, Hafnarfjordur
37.235.55.118 - Isle of Man, Douglas
83.217.10.175 - Russia, Novosibirsk S2
91.189.37.103 - Poland, Warsaw
5.133.179.243 - United Kingdom, Ilford
188.64.173.4 - Russia, Moscow S8
46.249.59.88 - Netherlands, Amsterdam S2
212.199.61.38 - Israel, Tel Aviv
46.101.34.215 - United Kingdom, London
95.85.45.81 - Netherland, Amsterdam S3
128.199.106.5 - Singapore, Western District
188.64.175.201 - Russia, Moscow S4
83.217.8.202 - Russia, Kazan S1
193.9.28.94 - USA, Tampa
195.43.95.186 - Russia, Novosibirsk
184.154.72.100 - USA, Chicago
45.32.29.128 - Japan, Tokyo
185.22.67.15 - Kazakhstan, Almaty
158.222.0.163 - USA, Wilmington
185.125.216.61 - Russia, Moscow S12
77.81.109.171 - Germany, Dusseldorf
77.81.110.225 - Netherlands, Amsterdam S1
195.123.210.61 - Latvia, Jurmala
83.217.8.220 - Russia, Kazan S3
83.217.10.251 - Russia, Novosibirsk S3
91.209.77.163 - Czech Republic, Budejovice
50.7.124.156 - Germany, Frankfurt S2
45.32.55.82 - Japan, Tokyo
93.84.114.188 - Belarus, Minsk
46.148.20.32 - Ukraine, Kharkov S3
45.114.116.215 - Australia, Sydney
62.100.205.190 - United Kingdom, Melbourne

Скам в спам-рассылках и действия администратора сайта для защиты своих веб-сайтов

Друзья и подписчики, в последнее время участились спам-рассылки с подобным содержанием: «У вас имеется новый счет. Ознакомиться с ним вы можете на нашем сайте» со ссылкой якобы на сайт банка (ВТБ, Сбербанк, Альфа-банк, Тинькофф и/или другие Российские банки) или налоговой инспекции, и подобных организаций. Письмо очень похоже на настоящее. Оно якобы от сотрудника вышеназванных организаций, с подписью, реальными телефонами, реальными фамилиями. Всё очень достоверно, но есть одно но. Письмо сформировано в формате html и в ссылку якобы на реальную организацию зашивается ссылка на эксплоит, на очередном взломанном сайте (как правило это сайт на WordPress, Joomla, Drupal, DLE, Bitrix, ShopScript, которые имеют уязвимые плагины или давно не обновлялись). При наведении на ссылку в спаммерском письме, вы увидите всплывающую ссылку ведущую по реальному пункту назначения.

Заголовок: Задолженность (уведомление)
Пришло якобы от: vtb24.ru (Григорьев ВТБ 24 ПАО <grigirev.s@vtb24.ru>)

Пример вредоносного email письма

Из этой всплывающей подсказки вы можете увидеть, что на компьютер будет загружен zip файл как правило с вирусом, трояном, червем, шифратором, локером и подобной нечистью.

Заголовок: Задолженность (уведомление)
Пришло якобы от: vtb24.ru (Григорьев ВТБ 24 ПАО <grigirev.s@vtb24.ru>)

Пример вредоносного email письма

Пример вредоносного email письма

Пожалуйста, никогда не переходите по подобным ссылкам. В лучшем случае ваш компьютер станет очередным солдатом в очередном ботнете. В худшем случае вы рискуете навсегда расстаться с информацией не вашем компьютере.

Товарищи, пожалуйста будьте бдительны.

Если вы администратор сайта, то советую следовать следующим правилам:

  1. Чаще обновляйте вашу систему управления сайтом (CMS), темы, плагины!
  2. Используйте только необходимые (проверенные, трастовые) плагины и регулярно их обновляйте. Рейтинг плагинов как правило присутствует в каталоге плагинов той или иной CMS. Не используйте плагины из сомнительных источников;
  3. Не используйте темы и шаблоны из сомнительных источников. Вы с лёгкостью можете потерять как данные ваших клиентов, так и другие данные ваших сайтов;
  4. Перед использованием шаблонов, плагинов и других загружаемых элементов для сайта, рекомендуется просмотреть исходный код на наличие различных подозрительных элементов (base64 последовательности, exec-вызовы, шелл-сигнатуры, спам-скрипты, js-вирусы, php эксплоиты, обфусцированные строки, и многое другое). Для проверки исходных текстов вы можете использовать например Ai-Bolit. В любом случае, код надо также просматривать вручную;
  5. Делайте регулярные бекапы базы данных сайта и файлов CMS, сохраняйте. Сохраняйте копии как на локальном компьютере, так и на CD/DVD дисках и/или в облаке (Яндекс.Диск, Google.Drive и так далее);
  6. Используйте надежный FTP клиент и надежную антивирусную систему (например Kaspersky Internet Security, или даже Kaspersky Free). Ведь если вы подцепите вирус (троян, червь, нужное подчеркнуть), то в одночасье можете подвергнуть опасности свои сайты. Червь украв данные подключения к FTP ваших сайтов, может добавить в файлы CMS вредные вставки (дропперы, ссылки, баннеры и так далее). Таким образом вы рискуете подпортить репутацию ваших сайтов как у пользователей (покупателей, клиентов и так далее) так и у поисковых систем (пессимизация в поисковой выдаче, оформление как небезопасного сайта, санкции и так далее). Чтобы этого не произошло, установите на FTP клиенте мастер пароль (например в программе CuteFTP) или просто не сохраняйте пароль в памяти клиента (например в FileZilla). В этом случае пароль вводится только при подключении к FTP  серверу, и никак иначе;
  7. Если используете WordPress, желательно установить плагины защиты (например iThemes Security). Также желательно использовать надёжный и сложный пароль администратора. Пароль стоит регулярно менять. Для формы авторизации определенно стоит добавить Google Captcha, для исключения/осложнения перебора пароля (брутфорс).
  8. Защищая сайт следует придерживаться правила. Запрещено всё, что не разрешено. Т.е. запрещайте всё, а затем разрешайте только то, что действительно необходимо.
  9. Помните, что все сайты взламываются через веб-формы (комментарии, форма авторизации, и так далее), через уязвимости CMS, плагинов, тем, через некорректно написанный код, через параметры запросов к функционалу сайта (get, post). Устраните бреши и спите спокойно.
  10. Будьте осмотрительны и в меру подозрительны. Не скачивайте программы и скрипты из сомнительных источников, а если и делаете это, то проверяйте файлы антивирусами и средствами проверки исходных кодов. Не стоит доверять всему что скачиваете или получаете по почте.

Спасибо за внимание.

UPD:

Еще примеры вредоносных email писем:

Заголовок: Счёт на оплату
Пришло якобы от: vtb24.ru (Медведев ВТБ 24 ПАО <medvedev.s@vtb24.ru>)

Пример вредоносного email письма

Пример вредоносного email письма

Заголовок: Перерасчет налогов (уведомление)
Пришло якобы от: nalog.ru (Галкин инспектор Федеральной налоговой службы России <galkin.s@nalog.ru>)

Пример вредоносного email письма

Пример вредоносного email письма

UPDATE: March 29, 2017

v 7.3.3 — Fix CIA Hacking Notepad++ Issue

«Vault 7: CIA Hacking Tools Revealed» has been published by Wikileaks recentely, and Notepad++ is on the list.

The issue of a hijacked DLL concerns scilexer.dll (needed by Notepad++) on a compromised PC, which is replaced by a modified scilexer.dll built by the CIA. When Notepad++ is launched, the modified scilexer.dll is loaded instead of the original one.
It doesn’t mean that CIA is interested in your coding skill or in your sex message content, but rather it prevents raising any red flags while the DLL does data collection in the background.

For remedying this issue, from this release (v7.3.3) forward, notepad++.exe checks the certificate validation in scilexer.dll before loading it. If the certificate is missing or invalid, then it just won’t be loaded, and Notepad++ will fail to launch.

Checking the certificate of DLL makes it harder to hack. Note that once users’ PCs are compromised, the hackers can do anything on the PCs. This solution only prevents from Notepad++ loading a CIA homemade DLL. It doesn’t prevent your original notepad++.exe from being replaced by modified notepad++.exe while the CIA is controlling your PC.

Just like knowing the lock is useless for people who are willing to go into my house, I still shut the door and lock it every morning when I leave home. We are in a f**king corrupted world, unfortunately.

Otherwise there are a lot of enhancements and bug-fixes which improve your Notepad++ experience. For all the detail change log, please check in the Download page.

Notepad++ Download 7.3.3 here

Auto-updater will be triggered in few days if there’s no critical issue found.

If you find any regression or critical bug, please report here:
https://notepad-plus-plus.org/community/topic/13415/v7-3-3-fix-cia-hacking-notepad-issue

Vault 7: CIA Hacking Tools Revealed

Today, Tuesday 7 March 2017, WikiLeaks begins its new series of leaks on the U.S. Central Intelligence Agency. Code-named “Vault 7” by WikiLeaks, it is the largest ever publication of confidential documents on the agency.

Read More

BEGIN PGP PUBLIC KEY BLOCK

Если у вас есть что-то важное и секретное для меня, прошу использовать мой публичный GnuPG ключ…

Read More

Kaspersky Security Bulletin 2016: Прогнозы на 2017 год

Kaspersky Security Bulletin 2016: Прогнозы на 2017 год

Конец «Индикаторов заражения»

Пролетел еще один год, и, судя по событиям, произошедшим в сфере информационной безопасности, он войдет в историю. Это был год драм, интриг и эксплойтов. Сегодня, мысленно возвращаясь к наиболее нашумевшим историям года, мы пытаемся заглянуть в будущее и дать прогноз, каким будет ландшафт угроз в 2017 году. Мы не будем предлагать читателям завуалированную рекламу, а постараемся построить свои прогнозы на основе тех тенденций, которые мы наблюдали в ходе наших исследований, и дать пищу для размышлений как экспертам в области IT-безопасности, так и просто интересующимся ею.

Прошлогодние прогнозы

Прошлогодние прогнозы оправдались практически полностью, некоторые – даже с опережением графика. Напомним наиболее примечательные из них.
АРТ-атаки. Мы ожидали уменьшения акцента на устойчивость к обнаружению, а также более частых попыток «смешаться с толпой» за счет использования стандартного вредоносного ПО в целевых атаках. Мы много раз видели проявление этой тенденции в применении атакующими бесфайлового вредоносного ПО, а также во множестве обнаруженных целевых атак на активистов и компании, проводимых с помощью широко распространенных вредоносных программ, таких как NJRat and Alienspy/Adwind.
Программы-вымогатели. 2016 год смело можно назвать годом вредоносных программ-вымогателей. Из финансовых вредоносных программ, позволяющих киберпреступникам завладеть деньгами жертв, остались практически только такие. В их основе лежит наиболее эффективная схема вымогания денег, и это позволило киберпреступникам привлечь ресурсы от менее прибыльных схем.
Больше банковских краж. Прогнозируя переход финансовых преступлений на самый высокий уровень, мы допускали, что мишенями могут стать такие организации, как фондовые биржи. Наши прогнозы реализовались в виде атак на систему SWIFT: эффективные и грамотно размещенные вредоносные программы позволили киберпреступникам положить в свой карман миллионы.
Интернет-атаки. Зачастую игнорируемая масса плохо защищенных устройств с подключением к интернету совсем недавно вторглась в нашу жизнь в виде отвратительного IoT ботнета, который вызвал перебои в работе крупных интернет-сервисов, а также проблемы у тех, кто полагался на конкретного поставщика DNS-сервисов.
Предание позору. Публикация порочащей информации и вымогательство продолжили свое победное шествие: стратегически спланированные и беспорядочные сливы информации стали причиной огромного количества личных, репутационных и политических проблем. Мы должны признать, что мы были поражены и масштабами некоторых из этих утечек, и тем, кто оказался в числе жертв.

Эти страшные АРТ-атаки

Появление индивидуальных и пассивных имплантов Несмотря на то что приходится прилагать немалые усилия, чтобы убедить компании и крупные предприятия реализовать защитные меры, когда эти меры становятся малоэффективными или вовсе перестают работать, необходимо признавать это. Индикаторы заражения (IoC) – отличный способ делиться данными о характеристиках (таких, как хэши и используемые домены) или об особенностях выполнения уже известных вредоносных программ, что позволяет жертвам обнаружить активное заражение. Тем не менее, киберпреступники, составляющие 1% наиболее серьезных участников кибершпионских игр, умеют защищаться от таких общепринятых мер. Недавно это было наглядно продемонстрировано APT-группировкой ProjectSauron, использующей полностью адаптируемую модульную вредоносную платформу, каждый элемент которой модифицируется в расчете на конкретную жертву, что не позволяет использовать индикаторы заражения для обнаружения вредоносного ПО в системах других жертв. Это не означает, что защититься от атак совершенно невозможно, однако мы убеждены, что пора активнее выступать за более широкое применение качественных правил Yara, которые позволяют полностью проверять всю инфраструктуру предприятия, внимательно изучать и определять признаки заражения в неактивных исполняемых файлах, а также проверять память на присутствие фрагментов известных атак.
ProjectSauron также продемонстрировала еще одну сложную тенденцию, развитие которой мы ожидаем увидеть в будущем, – применение пассивных имплантов. Сетевой бэкдор, размещенный в памяти или установленный в виде драйвера с бэкдор-функционалом на интернет-шлюзе или интернет-сервере, молча ожидает появления волшебных байтов для пробуждения своего вредоносного багажа. До отправки злоумышленниками сигнала на пробуждение пассивные импланты практически не подают признаков активного заражения. В результате они могут быть обнаружены только самыми дотошными специалистами по безопасности или в рамках более широкого сценария реагирования на инциденты. Нужно учитывать, что эти импланты не имеют заранее определенной инфраструктуры командных серверов, что усложняет их идентификацию и обеспечивает более высокую степень анонимности. Таким образом, это инструмент для самых осторожных киберпреступников, которым может потребоваться оперативно получить
доступ в атакуемую сеть.

Короткие заражения

Помимо того, что PowerShell приобрел популярность среди администраторов Windows, для которых он стал «инструментом мечты», его взяли на вооружение и многие разработчики вредоносного ПО, которые ищут пути для скрытного развертывания своих программ, механизмы распространения их по сети, а также возможности получения разведывательных данных без лишних записей в журналах событий, используемых в стандартных конфигурациях.
Можно предположить, что крошечные, размещаемые в оперативной памяти или в реестре вредоносные программы, использующие PowerShell, будут прекрасно себя чувствовать в современных системах Windows. В качестве развития этой тенденции в дальнейшем мы ожидаем увидеть короткие заражения: резидентное вредоносное ПО, предназначенное для проведения общей разведки и сбора учетных данных, для которого продолжительность нахождения в системе – не главное. В средах с высокими требованиями секретности злоумышленников, действующих скрытно, может устраивать возможность присутствия в системе до тех пор, пока при перезагрузке их вредоносная программа не будет удалена из памяти, если это будет означать отсутствие подозрений и риска провала при обнаружении их зловредов сотрудниками организации-жертвы или экспертами по безопасности. Риск подобных коротких заражений означает, что в состав передовых антивирусных решений должны входить системы проактивного обнаружения угроз и сложные эвристические механизмы (см.: Мониторинг активности).

Шпионаж становится мобильным

Мы уже сталкивались с использованием мобильных имплантов во вредоносных платформах, таких как Sofacy, RedOctober и CloudAtlas; они также применялись клиентами HackingTeam и, предположительно, использовались вредоносной программой для iOS под названием Pegasus, созданной компанией NSO.
Однако все это было в рамках кампаний, ориентированных прежде всего на настольные компьютеры. Учитывая падение интереса пользователей к настольным операционным системам и фактическое перемещение цифровой жизни среднестатистического пользователя в его карманы, мы ожидаем рост количества мобильных кампаний, в первую очередь шпионских.
Их реализацию, безусловно, облегчит менее пристальное внимание, а также наличие проблемы применения инструментов цифровой криминалистики к новейшими мобильными операционными системами. Широкое доверие к подписанному коду и проверкам целостности постепенно сходит на нет среди экспертов в мобильной безопасности, но это не заставит целеустремленных и имеющих в своем распоряжении значительные ресурсы злоумышленников отказаться от охоты на интересующие их объекты в этой области.

Будущее финансовых атак

«Мы слышали, вы хотите ограбить банк…»
Сообщения об осуществленных в этом году атаках на межбанковскую систему SWIFT вызвали волнение в финансовой отрасли – в том числе из-за дерзости атакующих, посягнувших на многомиллионные суммы. Эти атаки стали естественным этапом развития для таких игроков, как группировка Carbanak и, вероятно, другие известные группировки. Подобные ограбления – дело рук преступных групп, специализирующихся на APT-кампаниях, со сложившимся стилем работы и известной квалификацией. Вероятно, это не единственные игроки, кому интересна идея ограбить банк на крупную сумму?
Мы ожидаем, что, по мере роста интереса к данной теме со стороны киберпреступников, в многоуровневой структуре киберпреступных предприятий будут появляться посредники в организации SWIFT-краж. Чтобы осуществить подобное ограбление, требуется первоначальный доступ, специализированное ПО, терпение и, наконец, схема отмывания денежных средств. На каждом из этих этапов есть поле деятельности для уже состоявшихся киберпреступников, предлагающих свои услуги за деньги; недостающим звеном является специализированное ПО для проведения атак на SWIFT. Мы ожидаем, что произойдет товаризация таких услуг, а специализированные ресурсы станут предлагаться на продажу на подпольных форумах или в качестве криминальных сервисов.

Устойчивость платежных систем

Мы ожидали, что по мере внедрения и роста популярности платежных систем будет расти интерес к ним со стороны киберпреступников. Однако при реализации этих систем в них, по всей видимости, был заложен очень высокий уровень защищенности – на них по сей день не зафиксировано крупных атак. Для потребителя это к лучшему, однако для владельцев платежных систем все не так радужно, поскольку киберпреступники неизбежно будут пытаться осуществлять прямые атаки на инфраструктуру платежных систем. Вне зависимости от того, приведут ли такие атаки к прямым финансовым потерям или только к перебоям и отключениям сервисов, мы ожидаем, что рост популярности платежных систем приведет к повышению интереса к ним со стороны киберпреступников.

Грязное и лживое вымогательство

Хотя все мы ненавидим программы-вымогатели (и не без оснований), надо понимать, что в большинстве случаев успех вымогателей строится на своеобразных доверительных отношениях между жертвой и атакующей стороной.
Киберпреступная экосистема основывается на посылке, что злоумышленник будет соблюдать молчаливое соглашение с жертвой о том, что, заплатив выкуп, жертва получит назад свои файлы. Киберпреступники, как это ни удивительно, демонстрируют некое подобие профессионализма в исполнении этого негласного обещания; и это стало основой процветания данной экосистемы. Однако программы-вымогатели становятся все более притягательными, привлекая менее квалифицированные слои киберпреступников. В результате в будущем мы будем все чаще сталкиваться с программами-вымогателями, за которыми стоят киберпреступники, не выполняющие вышеописанное молчаливое соглашение – из-за ошибок в коде или в силу того, что функционал восстановления файлов в программе просто не реализован.
Итак, мы ожидаем появления программ-вымогателей, созданных так называемыми «скрипт-кидди» (начинающими хакерами), которые будут блокировать файлы или доступ к системе или будут просто удалять файлы, обманным путем заставляя жертв платить, но при этом не возвращая им доступ к файлам. В этом случае вымогатели мало чем будут отличаться от вредоносных программ, уничтожающих данные, и следует ожидать, что в экосистеме программ-вымогателей возникнет «кризис доверия». Вероятно, это не помешает крупным профессиональным игрокам продолжать делать деньги на программах-вымогателях, но приведет к тому, что силы, пытающиеся противостоять разрастающейся эпидемии вымогательства, перестанут рассматривать идею оплаты выкупа как сколько-нибудь осмысленное решение проблемы.

Большая красная кнопка

Знаменитый Stuxnet, возможно, открыл ящик Пандоры, впервые реализовав возможности проведения атак на промышленные системы. Хотя разрабатывался он весьма тщательно с целью вывести из строя на длительное время совершенно определенные объекты. Даже когда вредоносная программа распространилась по всему миру, сопутствующий ущерб был невелик благодаря реализованным в ней ограничениям на запуск полезной нагрузки, и промышленного Армагеддона не произошло. Однако теперь при появлении любых слухов или сообщений об авариях на промышленных объектах или взрывах, произошедших по неизвестным причинам, будет выдвигаться версия кибердиверсии.
Тем не менее, аварии на промышленных объектах, вызванные подрывной деятельностью в киберпространстве, не являются чем-то невозможным. Поскольку критически важные объекты инфраструктуры и производственные мощности, будучи подключенными к интернету, часто по-прежнему не имеют надежной или хотя бы какой-нибудь защиты, они становятся привлекательными мишенями для хорошо обеспеченных ресурсами злоумышленников, стремящихся причинить как можно больший ущерб.
Если не поддаваться панике, то можно заметить, что подобные атаки требуют определенных навыков и целеустремленности. Атаки с применением кибердиверсий наиболее вероятны там, где растет геополитическая напряженность и есть хорошо подготовленные киберпреступные группировки, стремящиеся к целенаправленному уничтожению или нарушению нормальной работы важнейших сервисов.

Перенаселенный интернет: ответный удар. Кирпич, как его ни назови

Мы уже давно предсказывали, что слабая защита «интернета вещей» (возможно, правильнее было бы назвать его «интернетом угроз») обернется для нас большими проблемами, и вот час настал. Как недавно наглядно продемонстрировал ботнет Mirai, слабая защита устройств, которые без необходимости подключены к интернету, дает злоумышленникам возможность сеять хаос, не неся за это практически никакой ответственности. Хотя для экспертов по информационной безопасности это не сюрприз, следующий шаг может оказаться особенно интересным: мы считаем, что хакеры-вигиланты могут взять дело в свои руки.
Идея установки патчей для известных и вновь обнаруженных уязвимостей близка сердцу исследователей в области информационной безопасности, поскольку это свидетельство того, что их тяжелый (и часто безвозмездный) труд был не напрасен. Поскольку производители устройств интернета вещей продолжают выпускать незащищенные устройства, которые вызывают массу проблем, хакеры-вигиланты, скорее всего, возьмут на себя решение проблемы. А какое решение может быть лучше, чем создать проблемы самим производителям, массово превращая эти уязвимые устройства в «кирпичи»? Поскольку ботнеты, состоящие из устройств «интернета вещей», продолжают вызывать головную боль, устраивая DDoS-атаки и распространяя спам, иммунным ответом экосистемы может стать отключение сразу всех этих устройств к огорчению и потребителей, и производителей. Не исключено, что в ближайшем будущем мы столкнемся с «интернетом кирпичей».

Молчание мерцающих коробочек

В августе 2016 года группировка ShadowBrokers шокировала многих, опубликовав дамп, который содержал огромное количество работающих эксплойтов для межсетевых экранов нескольких крупных производителей. Затем появились сообщения об обнаружении эксплойтов из дампа «в дикой среде», а производители кинулись разбираться с уязвимостями и выпускать патчи. Масштаб бедствия еще предстоит определить. Что получили злоумышленники, имея на руках эти эксплойты? Какие импланты могут находиться в уязвимых устройствах, не проявляя себя до поры до времени?
Если выйти за рамки вопроса о конкретных эксплойтах (не забывая при этом об обнаружении бэкдора в операционной системе ScreenOS компании Juniper в конце 2015 года), существует более крупная проблема с целостностью устройств, которая требует дальнейшего исследования, когда дело касается критически важного для безопасности периметра предприятия оборудования.
Вопрос, «на кого работает ваш сетевой экран?», остается открытым.

А ты кто такой?

Тема киберпреступных операций, проводимых «под чужим флагом», и операций психологической войны представляет для нас особый интерес. Мы ожидаем активного развития угроз такого плана по нескольким направлениям.
Информационные войны Такие киберпреступные группировки, как Lazarus и Sofacy, выступили пионерами создания фальшивых ресурсов для целевого слива информации и вымогательства. На протяжении нескольких месяцев мы наблюдали их деятельность, которая была в определенной степени успешной и привлекла к себе много внимания. Мы ожидаем, что в будущем информационные войны будут все чаще использоваться для манипулирования общественным мнением и создания хаоса вокруг общественных процессов. Киберпреступники мало что теряют, сливая информацию, полученную в результате своих действий, – для этого они создают легенду, используют известную или вновь созданную группу хакеров-активистов и перенаправляют внимание с самой атаки на содержание сливаемой информации.
Главную опасность в таких случаях представляет не сам факт взлома или нарушения конфиденциальности, а то, что журналисты и заинтересованные граждане привыкают принимать слитые данные как факты, заслуживающие доверия и освещения в прессе, и таким образом создают благоприятную среду для злоумышленников, стремящихся манипулировать общественным мнением за счет манипулирования данными или их выборочной публикации.
Уязвимость к информационным войнам сейчас высока, как никогда, и мы надеемся, что по мере вовлечения в эту сферу новых (или старых, но сменивших маски) игроков потенциальные жертвы научатся вести себя осторожнее.

Как противостоять киберпреступникам

Кибератаки играют все более значимую роль в международных отношениях, и соответственно растет важность определения их источника (их атрибуции).
Государственным органам предстоит решить непростую задачу – определить, какой уровень атрибуции будет достаточен для принятия решений о целесообразности дипломатических шагов или выдвижения публичных обвинений. Поскольку точная атрибуция практически невозможна ввиду фрагментированности информации, полученной от различных государственных и частных организаций, «приблизительная атрибуция» может быть принята как приемлемая в данном контексте. С одной стороны, в этом деле требуется крайняя осторожность, но с другой – необходимо, чтобы авторы кибератак почувствовали, что их действия чреваты последствиями для них же самих.
При этом наше главное опасение состоит в том, что ответные меры способны вызвать еще более серьезные проблемы: хитрые киберпреступники могут обходить атрибуцию, ведя экспертов по ложному следу. Также нужно помнить, что по мере того как «ответные меры» будут набирать обороты, для проведения кибератак начнут широко использоваться вредоносные программы с открытым исходным кодом и продаваемые на коммерческой основе – такие как утилиты типа Cobalt Strike и Metasploit, использование которых позволяет киберпреступникам «скрыться в толпе» – возможность, отсутствующая при использовании проприетарных вредоносных программ.

«Чужие флаги»: повышение ставок

В отчете об операциях, проводимых «под чужим флагом», приводились случаи APT-атак «в дикой среде», использующих элементы мимикрии, но собственно операций «под чужим флагом» по сей день не наблюдалось. Под такой операцией мы понимаем действия, выполняемые злоумышленником.
А в полном соответствии со стилем злоумышленника Б и с использованием его ресурсов, с целью вызвать у жертвы ответные действия в отношении ни в чем не повинного злоумышленника Б. Действия такого рода будут иметь смысл только в том случае, если возмездие за кибератаку станет устоявшейся практикой. (При этом нельзя полностью исключать, что такие случаи уже имеют место, но пока неизвестны экспертам.) По мере того как ответные действия жертв кибератак (будь то зондирование, карательные меры или ответная эксплуатация компьютерных сетей) будут становиться более распространенными и импульсивными, можно ожидать появления собственно операций «под чужим флагом».
В этом случае можно прогнозировать, что киберпреступники будут готовы вкладывать еще больше ресурсов в операции «под чужим флагом» и, возможно, организовывать утечку данных об инфраструктуре и даже выкладывать во всеобщий доступ проприетарный набор инструментов, который сейчас ревниво охраняется. Таким образом ушлые киберпреступники могут спутать карты потенциальных жертв и экспертов по информационной безопасности, поскольку «скрипт-кидди», хакеры-активисты и киберпреступники получат доступ к проприетарным инструментам, принадлежащим продвинутой группе киберпреступников, что позволит сохранять анонимность при осуществлении значительной массы атак и отчасти подорвет возможности атрибуции для криминалистов и правоохранительных органов.

Какая еще конфиденциальность? Ничего личного

Устранение последних остатков анонимности в киберпространстве чрезвычайно выгодно как рекламщикам, так и шпионам. Для первых ценным методом оказалось отслеживание активности пользователя с помощью постоянных cookie-файлов. Есть вероятность, что этот метод в будущем будет использоваться ещё шире, совмещаться с виджетами и прочими безобидными элементами на популярных веб-сайтах, что позволит компаниям отслеживать действия конкретных пользователей, в том числе за пределами доменов, принадлежащих этим компаниям, и таким образом получать связную картину поведения этих пользователей в интернете (к этой теме мы вернемся ниже).
В некоторых регионах будут развиваться удивительные по своей сложности методы отслеживания деятельности активистов и действий в соцсетях, которые «несут угрозу стабильности», а заинтересованные лица со средствами будут находить на редкость квалифицированные компании, о которых никто никогда не слышал, владеющие ноу-хау отслеживания деятельности диссидентов и активистов на просторах Сети. Такие лица зачастую проявляют большой интерес к отслеживанию тенденций в социальных сетях на уровне целых географических регионов и к тому, как голоса диссидентов влияют на настроения в целом. Нельзя исключить возникновение группировки киберпреступников, которая осмелится взломать какую-либо социальную сеть – неиссякаемый источник персональных данных пользователей и компромата на самых разных людей.

Шпионские рекламные сети

Среди повсеместно распространенных интернет-технологий рекламные сети больше всего подходят для использования при проведении целевых атак в полном смысле этого понятия. Рекламные сети – это по определению полностью коммерциализированные системы, и при этом их деятельность слабо регламентирована – иллюстрацией тому являются неоднократные случаи применения вредоносной рекламы на крупных веб-сайтах. В силу самой своей природы рекламные сети предоставляют отличные возможности профилирования потенциальных жертв путем отслеживания IP-адресов, сбора данных о браузере и системе пользователя, отслеживания предпочтений пользователя при интернет-навигации, а также путем идентификации пользователя по вводимым логинам. Использование таких данных позволяет атакующей стороне избирательно внедрять вредоносный контент в демонстрируемые пользователю страницы или перенаправлять отдельных пользователей на соответствующие их профилю вредоносные ресурсы, избегая таким образом использования «лишних» вредоносных программ и отказываясь от постоянной доступности в сети вредоносного контента, который так привлекает внимание экспертов по информационной безопасности. Мы ожидаем, что наиболее квалифицированные киберпреступники, специализирующиеся на кибершпионаже, придут к выводу, что создать рекламную сеть (или взять под контроль существующую) – это не слишком большое вложение, учитывая значительную потенциальную прибыль. Таким образом они смогут достичь своих целей, не подвергая риску свои новейшие наборы инструментов.

Выход на сцену хакеров-вигилантов

В 2015 году таинственный Финеас Фишер публикует дамп серверов HackingTeam, а затем он же выпускает пособие для начинающих хакеров по взлому нечистоплотных организаций и сомнительных компаний. Это вода на мельницу латентной веры в то, что асимметричная сила хакеров-вигилантов является силой добра – несмотря на тот факт, что в результате публикации дампа HackingTeam действующие APT-группировки бесплатно получили в свое распоряжение уязвимости нулевого дня. Не исключено также, что HackingTeam в результате слива получила новых клиентов, полных энтузиазма. По мере усиления вокруг избирательной кампании в США конспирологической риторики, основанной на убежденности в том, что утечка и слив данных – это способ склонить чашу информационных весов в определенную сторону, будет появляться все больше хакеров-вигилантов, взламывающих серверы ради получения дампов и организующих утечку данных в уязвимых организациях.

PDF

KASPERSKY SECURITY BULLETIN 2016

KASPERSKY SECURITY BULLETIN 2016

KASPERSKY SECURITY BULLETIN 2016 RUS

KASPERSKY SECURITY BULLETIN 2016 EMG

RUS | ENG

Chrome будет помечать сайты, работающие по HTTP, как небезопасные

В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол.

Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера:

В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные:

По статистике Google Transparency Report, пользователи загружают больше половины сайтов через HTTPS протокол. Доля растёт особенно быстрыми темпами в России.

Если вы ещё не установили на свой сайт SSL-сертификат — самое время это сделать. До выхода Chrome 56 осталось меньше месяца.

Скидки на любые сертификаты до конца декабря 2016, спешите (вам также помогут: выбрать, купить и установить сертификат на ваш хостинг).

Выбрать и купить SSL-сертификат можно здесь.

Единственный минус покупного сертификата — это требование наличия выделенного IP-адреса для сайта (доменного имени) на которого он выпускается. У Let’s Encrypt такого требования нет. Но как правило покупные SSL-сертификаты выпускаются на срок не менее 1 года. Это большой плюс, т.к. не придётся часто его перевыпускать и соответственно обновлять сертификат на хостинге.

Если у вас есть возможность самостоятельно устанавливать сертификаты на свой хостинг, но нет желанию платить деньги за выпуск SSL-сертификата, вы можете воспользоваться свободной автоматизированной системой центра сертификации — Let’s Encrypt. Чтобы получить больше информации по внедрению Let’s Encrypt, воспользуйтесь этой ссылкой. Но надо понимать, что сертификаты Let’s Encrypt выпускаются на 4 месяца, после этого их надо перевыпускать и обновлять сертификат на хостинге. Для реализации этой задачи, необходимо писать скрипты (Python, Bash, и пр.) автоматизирующие этот рутинный процесс. Не каждый хостинг позволяет производить данные манипуляции. Как правило для этого нужен VPS/VDS хостинг. А это как правило значительно дороже, нежели простой виртуальный хостинг. Если вы хотите использовать Let’s Encrypt на виртуальном хостинге без выделенного IP-адреса, то в этом вам поможет хостинг от Timeweb, проверенный временем. При покупке хостинга в Timeweb, у вас появляется возможность подключить к вашему сайту бесплатный SSL-сертификат от Let’s Encrypt. Всё интуитивно понятно, делается в несколько кликов из админ-панели управления хостингом. SSL-сертификаты в этом случае перевыпускаются и устанавливаются автоматически, не требуя реакции с вашей стороны. Поверьте, это очень удобно, так что советую воспользоваться.

PS: Moving Toward SSL

We’re at a turning point: 2017 is going to be the year that we’re going to see features in WordPress which require hosts to have HTTPS available. Just as JavaScript is a near necessity for smoother user experiences and more modern PHP versions are critical for performance, SSL just makes sense as the next hurdle our users are going to face.

SSL basically means the link between your browser and the server is encrypted. SSL used to be difficult to implement, and often expensive or slow. Modern browsers, and the incredible success of projects like Let’s Encrypt have made getting a certificate to secure your site fast, free, and something we think every host should support by default, especially in a post-Snowden era. Google also weighs SSL as a search engine ranking factor and will begin flagging unencrypted sites in Chrome.

First, early in 2017, we will only promote hosting partners that provide a SSL certificate by default in their accounts. Later we will begin to assess which features, such as API authentication, would benefit the most from SSL and make them only enabled when SSL is there.

Separately, I also think the performance improvements in PHP7 are particularly impressive, and major kudos to everyone who worked on that. We will consider whether hosts use PHP7 by default for new accounts next year as well.

Страница 1 из 3

© 2007–2017, konyakov.ru