20475
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
И, говоря о блокировках, нельзя не упомянуть тот факт, что в Украине законодательно запретили деятельность Яндекса, Мейл.ру, Вконтакте и 1С. Ну как запретили — закон президент подписал, но механизмов блокировок ресурсов все равно нет. Так что переход бухгалтеров на счеты, а пользователей на VPN откладывается на неопределенное время. Как сказал Сережа Петренко, бывший директор Яндекс-Украина, все, кто имели отношение к этому указу — "охуевшие идиоты". В целом, конечно, я даже с ним согласен. https://lb.ua/news/2017/05/16/366388_poroshenko_vvel_deystvie_sanktsii.html
Читать полностью…
И снова здравствуйте! ух у меня накопилось интересных ссылок для вас, и практически все — не о Wcry. Продолжая, например, тему с WhatsApp: по сети бродит ссылка типа на whatsapp.com, но на самом деле в домене используется кирилический символ, и как результат — те, кто кликнул на ссылку, получают себе на компьютер рекламный вирус в виде расширения для Chrome. Короче, а) не надо кликать на что попало, б) пора бы уже браузерам показывать предупреждение, если в домене встречаются кирилические символы https://www.reddit.com/r/technology/comments/6b9fxq/fake_whatsappcom_uses_шһатѕаррcom_to_draw_users/
Читать полностью…
Ну и нельзя забывать, конечно, о бестолковости админов и пользователей
Читать полностью…
и снова здравствуйте. пока вы там еще не все уснули, небольшой апдейт про Wcry.
После того, как вчера зарегистрировали домен с killswitch для самого первого варианта и с ним наступило затишье, появилось еще несколько вариантов червя, причем некоторые имели тоже "встроенный" killswitch, но с другими доменами (их тоже зарегистрировали и эти варианты "умерли"), но, говорят, есть уже вариант и без killswitch, то есть его невозможно "убить", зарегистрировав домен, к которому обращался бы червь.
Ожидание среди экспертов такое, что затишье сейчас из-за выходных, поскольку многие корпоративные компьютеры выключены, а вообще с понедельника может начаться не меньше, а то и больше волна заражений. http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html
В любом случае, рекомендация ставить обновления никуда не девается, это самый надежный вариант защиты. Еще можно в Windows отключить поддержку SMBv1, потому что иначе на непропатченной машине заражение происходит в течение пары минут (см видео https://twitter.com/hackerfantastic/status/863461225346347012/video/1).
Забавно, что кто-то написал бота, который монитор bitcoin-кошельки, на который должны поступать выплаты с выкупом. На данный момент туда поступило 123 платежа на общую сумму 35 тысяч долларов. Но, кстати, рекомендация экспертов безопасности — не платить, потому что никакой гарантии, что в ответ вы получите информацию для расшифровки файлов, нет. Вроде есть отзывы, что ответы приходили, но вообще, как я понимаю, там "живой" оператор отвечает, и учитывая масштабы эпидемии, не факт, что у него хватит времени всем ответить. А может, он и просто решит не отвечать. Так что апдейты и осторожность — ваше все.
Привет. Я все ещё о Wcry. Есть хорошие новости:
1. Распространение червя удалось заблокировать. В коде нашли домен, к которому якобы должен был обращаться Wcry для остановки распространения (так называемый kill switch), но он оказался незарегистрированным. После того, как эксперт по безопасности, ведущий твиттер @malwaretech, зарегистрировал этот домен на себя (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), и распространение Wcry прекратилось.
2. Для пользователей более старых систем Windows, которые уже не поддерживаются Microsoft (и в марте не получили патча, закрывающего уязвимость), Microsoft таки сжалилась и выпустила апдейт. Так что если у вас Win XP/8/2003, вам сюда. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Теперь плохие новости:
1. По мнению экспертов, наличие такого kill switch в коде указывает, возможно, на то, что это был всего лишь пробный запуск, поэтому радоваться пока что рано.
Измени пару строк в коде - и можно начинать опять.
2. Более того, структура червя такая, что код, отвечающий за распространение, хорошо отделен от кода заражения, и легко можно подложить другой payload и применить отличающийся вектор атаки.
3. Апдейты, которые выпустила Microsoft, это хорошо, но помните, кто вчера пострадал? Многие из тех, кто не поставил апдейты, выпущенные в марте! Сейчас, конечно, у большинства ленивых админов подгорит и они всё-таки поставят апдейты, но в мире все равно останется масса компьютеров, уязвимых даже к этой (не говоря о других) атаке. Будущее для компьютерной инфраструктуры выглядит очень неприглядно - дальше будет хуже.
то есть еще раз: для атаки на госпитали, и даже на МВД РФ используется ransomware Wcry 2.0, оно же известное как WannaCrypt или WannaCryptor. Это улучшенная версия, которая использует уязвимость, известную как ETERNALBLUE. Эта уязвимость была опубликована в рамках слитых файлов NSA хакерской группой Shadow Brokers и исправлена в апдейте MS17-010, который вышел в марте https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Кто его не поставил — сам виноват.
Читать полностью…
кстати, про "не знать, кто и что собирает". покупаете вы новый (запечатанный!) ноутбук HP, например, работаете себе на нем, горя не знаете, а потом оказывается, что в аудио-драйвере, который установлен производителем по умолчанию на этот ноутбук, живет кейлоггер. Вроде как он сам по себе ничего никуда не отсылал, но, например, если знать, куда складываются логи, то какой-нибудь троян или просто злоумышленник мог собрать их себе. Да, файл перезаписывается при каждом логине пользователя, но если вы не делаете это часто, то информации там может накопиться достаточно. https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewlett-packard_audio_driver/index.html
Читать полностью…
Сегодня Microsoft на своей конференции Build для разработчиков представила новый апдейт Windows, который выйдет этой осенью, и новые функции, которые там появятся. В принципе, прикольно и красиво там все, новый интерфейс, мило и приятно, но я обратил внимание на некоторые моменты. Например, Microsoft решила скопировать фичи Apple из macOS — это, по сути, Handoff, когда работа в приложении на одном устройстве может быть продолжена на другом. Вторая фича — это "облачный" буфер обмена, когда копипаст контента возможен между устройствами. Все это синхронизируется через облако, и, подозреваю, какие-то меры безопасности для этих данных тоже есть. Но я лично, будучи немножко паранойиком, эти фичи и на Маке у себя отключил, и на Винде советую избегать. Копипастить, например, пароль из 1Password, чтобы он при этом ходил через облако — нет, спасибо, пожалуй, не надо. Так-то, конечно, смахивает на луддитство, но, считаю, лучше перебдеть.
Читать полностью…
но есть и хорошие новости. например, для пользователей WhatsApp — вот, например, Forbes пишет, что бекапы WhatsApp в iCloud теперь шифруются ключем, который генерится самим приложением. Причем это изменение было внедрено в конце 2016 года, но стало известно о нем только сейчас. Правда, разработчик инструментов по взлому информации для правоохранительных органов Oxygen Forensics утверждает, что их инструмент может это шифрование взламывать, но там очень ограниченные сценарии — в частности, нужна SIM-карта с тем же номером телефона (это, как известно, можно обойти с помощью уязвимостей в протоколе SS7), да еще и логин-пароль к Apple ID (это добывается методом ректального криптоанализа, как вы можете себе представить). Короче, вроде должно стать безопасней, а все равно уверенности нет. https://www.forbes.com/sites/thomasbrewster/2017/05/08/whatsapp-enhances-icloud-encryption/#7f1b9ec912a8
Читать полностью…
И снова здравствуйте! Да, это они, трудо выебудни, хоть и в короткую майскую неделю (со снегом в некоторых местах, как я слышал). Но несмотря на снег и короткую неделю, вот вам немного новостей из мира опасностей для информации. Например, вот в SourceTree закрыли критическую уязвимость, поэтому лучше обновиться https://confluence.atlassian.com/sourcetreekb/sourcetree-security-advisory-2017-05-10-900820365.html
Читать полностью…
Вы могли уже видеть в новостях информацию о том, что в интернете выложили некий архив почты штаба кандидата в президенты Франции Макрона. Целых 9ГБ почты и другой информации, где есть и служебная переписка сотрудников штаба, и какие-то фотографии, и откровенные фейки, и какие-то документы Microsoft Office с метаданными на русском языке, и тд, и тп. Короче, business is usual, даже как-то особо не хочется разбираться с этим и вдаваться в детали. Лучше вот почитайте о мерах безопасности на съемках Game of Thrones, где, в частности, всех актёров, которые получают сценарий по почте, заставили пользоваться двухфакторной авторизацией, для того, чтобы предотвратить взлом почты и утечку сценария. Так что если вам нужен был знак для того, чтобы наконец-то настроить себе двухфакторную авторизацию - ЭТО ОН! http://www.express.co.uk/showbiz/tv-radio/798602/Game-Of-Thrones-Season-7-Nathalie-Emmanuel-Missandei-HBO-George-RR-Martin-plot-leak
Читать полностью…
4 тысячи! И снова здравствуйте! в качестве бонуса – информация об уязвимости в WordPress, которая при удачном стечение обстоятельств позволяет получить контроль над Вордпрессом https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html и http://blog.dewhurstsecurity.com/2017/05/04/exploitbox-wordpress-security-advisories.html причем у этой уязвимости нет пока патча, она присутствует и в самой последней версии ВП (обнаруживший уязвимость эксперт отправлял информацию о ней несколько раз в ВП, но там его письма почему-то проигнорировали)
Читать полностью…
Если экстраполировать мировую долю Android на рынке смартфонов на эту группу, то из почти 4 тысяч человек тут 3300-3400 должны быть пользователями Android (в реальности это, конечно же, скорей всего, не так, учитывая, что многие из вас пришли сюда из моего твиттера @alexmak, в котором я давно распугал андроидоводов). Но тем не менее, было бы глупо отрицать тот факт, что пользователей Android гораздо больше, чем пользователей iOS. Но если вас интересует информационная безопасность, и прежде всего — безопасность своих личных данных (а раз вы тут, она вас интересует), то вы уже и так знаете, что iOS считается более безопасной мобильной ОС, чем Android. Да, Google пытается изменить эту ситуацию, и Android 7 гораздо лучше защищен, чем предыдущие системы, но у скольких пользователей Android стоит Android 7? А регулярные апдейты безопасности для устройств выпускает вообще только Google для своих Nexus и Pixel. Короче, я к чему это все? Тут компания G Data насчитала с начала года 750 тысяч вредоносных приложений для Android. 750 ТЫСЯЧ. Так что рекомендаций пользователям Android несколько: не ставить приложения откуда попало, ставить все обновления, выпускаемые производителем (если он их выпускает, конечно), пользоваться антивирусом (переходить на iOS не предлагаю, если вы до сих не перешли, то вас уже не убедить). https://blog.gdatasoftware.com/2017/04/29712-8-400-new-android-malware-samples-every-day
Читать полностью…
алярма-алярма! сегодня в интернете активно шарится хитрый фишинг, маскирующийся под Google Docs. изначально письмо выглядит как приглашение посмотреть документ на Google Docs, потом фальшивое приложение, которое называется "Google Docs", запрашивает доступ к вашему Google Account, и аля-улю. https://isc.sans.edu/diary/22372. если вы на что-то такое кликали, то проверить (и удалить) это приложение можно тут https://myaccount.google.com/permissions
и традиционно — берегите там себя!
ну и самая АЛЯРМА! в чипсетах, выпускаемых Intel, обнаружилась уязвимость, которая позволяет злоумышленникам удаленно подключаться к компьютеру и получать над ним полный контроль. Проблема в основном касается серверных чипсетов, потому что фича Management Engine используется в корпоративном мире для удаленного управления компьютерами, но если вы, например, администратор, то, наверно, вы захотите почитать про саму уязвимость и то, как её закрыть (в конце концов, она затрагивает компьютеры, выпущенные за последние лет десять). Короче, про уязвимость можно почитать тут https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr, а заодно и скачать соответствующие обновления для различных чипсетов.
Читать полностью…
кстати, о мессенджерах. Вчера появились слухи о том, что в России планируют заблокировать Телеграм https://www.vedomosti.ru/technology/articles/2017/05/15/689967-administratori (так что если вдруг многие из вас внезапно отвалятся от канала, оставшиеся будут знать, почему это произошло). Я хотел еще вчера об этом написать, но ждал какого-то подтверждения или опровержения. Роскомнадзор сегодня не то, чтобы "отрицает", но сказал, что это слухи, а слухи они не комментируют https://republic.ru/posts/82938, что, в общем-то, может служить как подтверждением слухов, так и опровержением. Впрочем, Ведомости узнали о том, что РКН с Телеграмом таки связывался, запросил у них информацию, а за непредоставление ответа обещал блокировку. Так что приготовтесь там, на всякий случай. После блокировок Line и WeChat в России Телеграм вполне может стать следующим https://www.vedomosti.ru/technology/articles/2017/05/16/690045-roskomnadzor-ugrozhaet-zakrit-telegram
Читать полностью…
Ладно, пора сделать перерыв с Wcry. Вот, например, ссылка, которую прислал читатель Егор, о том, сколько всякой информации можно почерпнуть из Whatsapp через веб-браузер https://www.lorankloeze.nl/2017/05/07/collecting-huge-amounts-of-data-with-whatsapp/
Читать полностью…
вообще вся эта тема с Wcry в очередной раз вскрыла серьезную проблему: когда органы вроде Агентства Национальной Безопасности находят уязвимость в ПО или устройстве, они не делятся этой информацией с производителем или разработчиком, а оставляют эту информацию себе, для того, чтобы "взламывалось лучше". В итоге потом эта иформация утекает, как стало с ETERNALBLUE, она попадает к злоумышленникам, и мы имеем то, что имеем. В прошлом году, когда Apple бодалась с ФБР, я писал (https://alexmak.net/blog/2016/03/29/battle-won/):
Существует подписанное в 2010 году администрацией Президента Обамы описание некоего процесса под названием “vulnerabilities equities process“, согласно которому правительственные организации и их контракторы должны делиться информацией об обнаруженных компьютерных уязвимостях с производителями программного обеспечения и устройств (тут, конечно, на слове “должны” может быть смешно). Логика процесса достаточно проста: если правительство обнаружило серьезную уязвимость, которая может быть использована для взлома, например, iPhone, эта же уязвимость может быть обнаружена и злоумышленниками, которые могут использовать ее для незаконной деятельности. Так что раскрытие подобной информации правительственными организациями — это важная часть по обеспечению безопасности страны и ее граждан. Для того, чтобы правительственная организация, обнаружившая уязвимость, могла сообщить ее частной компании (как Apple), следует провести специальное заседание Национального Совета Безопасности, где NSA, ФБР, МинЮст и прочие заинтересованные стороны должны обсудить, стоит или не стоит делиться этой информацией. Однако, “так получилось”, что очень часто этот совет принимает решение сохранить информацию об уязвимости в тайне, поэтому информации о том, о каких уязвимостях там идет речь и что с этими данными происходит, нет. EFF судилась с правительством по этому поводу, но тоже ничего не добилась, кроме “урезанной” копии документа, описывающего этот процесс
Microsoft, конечно, сейчас радостно за эту тему ухватилась и давай винить во всех бедах пользователей именно АНБ, требуя большего участия со стороны госорганов в борьбе с такими кибератаками: https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.00000xl4qcz818edarjiw7w28w6qj АНБ, однако, тоже можно понять, у них свои KPI по их задачам. Так что, я думаю, вряд ли внезапно что-то резко изменится. Зато, если в очередной раз кто-то начнет требовать от разработчиков ПО встраивать бэкдоры в свой софт, то вся эта история с утечкой уязвимостей и их публикацией станет хорошим аргументом в споре
Вот уже пишут, что появился апдейт к Wcry, который игнорирует домен для killswitch. Так что кто не поставил апдейт - сам виноват https://twitter.com/kennwhite/status/863350389793533952
Читать полностью…
Тут вот еще отличная коллекция всей собранной на последний момент актуальной информации о Wcry https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
Читать полностью…
Стоило мне сегодня отлучиться от интернета по семейным обстоятельствам, как на интернет обрушилась крупная вирусная атака "вымогательского" ПО. Первой большой жертвой стали больницы в Великобритании, компьютеры которых оказались заблокированными, а файлы — зашифрованными. Вымогатели требуют порядка 300 долл в биткойнах за возможность разблокировать компьютеры, но пострадали не только больницы, СМИ сообщают о пострадавших организациях по всему миру, в том числе телекоммуникационные компании, правоохранительные органы, и тд. В качестве инструмента используется вредоносное ПО Wcry, которое довольно известно в сфере информационной безопасности, но уже обновленная версия 2.0. А теперь самое важное — в качестве уязвимости, которую эксплуатирует Wcry 2.0, используется MS17-010 — та самая дыра во всех версиях Windows, патч для которой Microsoft выпустила еще 14 марта этого года. Я еще тогда писал, что обновляться нужно НЕМЕДЛЕННО, но, очевидно, этот месседж дошел далеко не до всех. Те же больницы Великобритании зачастую используют Windows XP, которая даже не получила патча для этой уязвимости. Так что да, чтобы предотвратить потенциальную атаку, достаточно: избавиться от Windows NT/2000/XP/2003 (легко сказать, непросто сделать), а на остальные компьютеры НЕМЕДЛЕННО поставить апдейты, выпущенные Microsoft в марте. Если закрыть порты 445/139 и 3389, это тоже поможет избежать атаки Wcry 2.0. Новости, которые я вижу — это то, что и другие ransomware malware получают апдейты с учетом уязвимостей, которые опубликовали Shadow Brokers как утечку инструментов NSA/ЦРУ. Так что, к сожалению, дальше будет только хуже. Держитесь там!
Читать полностью…
а то, что никому доверять нельзя и расслабляться не стоит — вот вам доказательство. в пиццерии в Осло крешнулся терминал и продемонстрировал код распознавания лиц. кто там и что собирает о вас вокруг — никто не знает (и поправил шапочку из фольги) https://twitter.com/GambleLee/status/862307447276544000
Читать полностью…
Ну в качестве бонуса на сегодня — простая (ну, почти) инструкция, как можно любой взлом сделать так, чтобы он выглядел, как будто он произведен хакерской группой APT28 (они же Fancy Bear, они же — спецподразделение киберразведки ГРУ). Не знаю, зачем вам это может понадобиться, но вдруг... https://blog.0day.rocks/lets-get-fancy-with-false-flags-28eaabefeff6
Читать полностью…
а раз речь идет о критических уязвимостях, то вот еще одна, тоже вполне критическая, но уже в механизме антивирусной защиты Microsoft, поэтому лучше обновиться как можно скорее, потому что если не обновиться, то у вас вырастут волосы на руках и вы ослепнете... ой, не, это не из этой оперы. Короче, удаленное исполнение кода, что есть очень нехорошо. https://technet.microsoft.com/en-us/library/security/4022344
Читать полностью…
Вниманию пользователей Маков! Если вы в последние 4 дня скачивали Handbrake - утилиту для конвертации видео, то есть риск заражения трояном для Мака. По ссылке - информация о том, что случилось, какие симптомы заражения и как полечиться https://forum.handbrake.fr/viewtopic.php?f=33&t=36364
Читать полностью…
и хорошие новости для Мак-юзеров! платформа Apple стала настолько популярной, что на нее спортировали малварь с Windows (которая на Винде существует с 2008 года). Наконец-то прогресс пришел и на Мак. Малварь маскируется под установщик Adobe Flash (кто вообще в здравом уме ставит это на свой компьютер???), причем установщик подписан настоящим девелоперским сертификатом, поэтому GateKeeper эту штуку не отловит. Естественно, оно просит админский пароль, и даже действительно устанавливает Flash на компьютер (уже за одно это его можно назвать зловредом). Будучи установленным, этот троян открывает удаленный доступ на компьютер. Вроде как Apple уже отозвала этот сертификат, так что чтобы сейчас установить это себе, это надо сильно постараться, но в статье по ссылке есть рекомендации, как эту штуку можно обнаружить, если вдруг у вас она уже установлена https://blog.malwarebytes.com/threat-analysis/2017/05/snake-malware-ported-windows-mac/
Читать полностью…
вдогонку к новости от 2 мая о блокировке мессенджеров Line, BlackBerry и Imo https://vc.ru/n/rkn-wechat-block, теперь Роскомнадзор добрался до мессенджера WeChat. я там писал, что вряд ли РКН ограничится только теми тремя мессенджерами, но я не думал, что до следующего они доберутся так быстро. Facebook Messenger напрягся https://vc.ru/n/rkn-wechat-block
Читать полностью…
Я, если мне не изменяет память, уже как-то писал про уязвимости в SS7 — протоколе взаимодействия мобильных телефонных сетей. Благодаря ему SMS из одной страны, например, могут дойти в другую страну. Или, например, когда вы едете куда-то, ваш телефонный звонк "перепрыгивает" от одной БС к другой. Так вот, злодеи в Германии наконец-то воспользовались этими уязвимостями для практических целей — перехватив SMS с разовым паролем от банка, они смогли провести транзакции по выводу денег с банковского счета жертвы. Так что двухфакторной авторизации в виде кода по SMS лучше все-таки не доверять и по возможности использовать альтернативные методы для 2FA — генераторы кодов на телефоне, или хардварные ключи вроде FIDO U2F Security Key. https://arstechnica.com/security/2017/05/thieves-drain-2fa-protected-bank-accounts-by-abusing-ss7-routing-protocol/
Читать полностью…
Забавная статья про планшет, выпущенный в Северной Корее. Понятно, что там древний как говно мамонта Android — 4.4.2, вышедший в 2013 году, но интересней другие моменты. например, то, что у планшета нет модулей связи, подключиться к сети можно, только используя внешний адаптер (там может быть ethernet, dial-up или WiFi!). При этом все запуски приложений сопровождаются скриншотами, чтобы можно было проверить, что там юзер запускал. Естественно, что история браузера тоже мониторится. Установить можно только разрешенные приложения (при установке они проверяются против специального списка). При этом, разумеется, никакого Google Play там нет. Все файлы, которые создаются на планшете, маркируются "водяными знаками", позволяющими идентифицировать устройство, так что даже если файл окажется на другом устройстве, его историю создания и модификации можно проследить. Там еще и своего рода система DRM для того, чтобы только разрешенные файлы (например, созданные правительством) можно было открывать. короче, все почти как у Apple и её закрытой экосистемы. http://38north.org/2017/03/mwilliams030317/
Читать полностью…
эту относительно короткую, но обещающую быть интересной неделю начнем новостями от Роскомнадзора, который заблокировал в России несколько мессенджеров — Line, Imo и мессенджер BlackBerry. В принципе, понятно, что много пользователей в России запретом этих мессенджеров не расстроишь, но в целом прецедент нехороший, потому что сегодня это Line, а завтра внезапно таким мессенджером может стать Facebook или Whatsapp. Может, конечно, и не стать, но оптимистом нынче быть ой как нелегко. https://vc.ru/n/line-block
Читать полностью…