​​Каждый пятый ребёнок в России сталкивается с кражей его аккаунта в соцсетях или играх, говорится в исследовании «Лаборатории Касперского».

Каждый десятый — становится жертвой онлайн-мошенников

https://news.lenta.ch/FQlr

История из серии "Дорогу покажешь?"

На днях, Toyota заявила, что скооперируется с веб-сервисами Amazon (AWS), чтобы собирать информацию об автомобиле и водителе.

Для реализации своего плана Toyota собирается использовать "Модуль передачи данных" (DCM), который уже устанавливается компанией на автомобилях в США, Китае и, собственно, Японии. В настоящий момент, данные с этого модуля поступают в "Платформу мобильных сервисов", которая аккумулирует и обрабатывает информацию о состоянии автомобиля и уровне вождения его владельца. Идея проста и, если честно, не нова: коммерсы хотят дополнительно обеспечить безопасность водителя и пассажиров и заодно предложить щепотку новых услуг. Платных, само собой.

В случае с Amazon идея "слежки" совершенствуется. Компания заявляет, что через облачные сервисы информация будет поступать страховым компаниям, которые смогут оценивать поведение водителя и начислять ему, как положительные, так и отрицательные бонусные баллы.

И сама идея довольно хороша. Если ты водишь, как известное парнокопытное, то получай более дорогую страховку. Вероятно, в этом есть воспитательный эффект.

Однако, мы с тобой должны смотреть и на обратную сторону этой технологии. Например, по результатам проверки Trend Micro оказалось, что на автомобиль, имеющий доступ в сеть, может быть совершено почти 30 видов атак, 20% из которых могут представлять угрозу жизни водителя. При этом, на 2020 год таких машин насчитывается уже 152 миллиона, и за 10 лет их количество вырастет в 5 раз.

На данный момент, код управления состоянием автомобиля составляет добрую сотню миллионов строк. Под ним находятся взаимосвязанные модули, отвечающие за разные сегменты машины. Отследить уязвимость в такой системе, мягко говоря, не просто. Такие марки, как Jeep, Tesla и BMW уже столкнулись с проблемами критических уязвимостей в прошивке — от возможности удалённого отключения двигателя, ABS и усилителя руля до перехвата управления автопилотом.

На сайте так же предложена модель угроз и рекомендации для разработчиков автомобильного ПО.

Казалось бы, что может быть опаснее машины, которая на полном ходу может выйти из-под контроля? Ну разве что ружьё, которое "передумает" стрелять в самый ответственный момент.

Сегодня снова будет немного полезной информации, которую ты сможешь применить на практике вот прямо сейчас (пора вставатт и как начать применять).

Не секрет, что Windows 10 нашпигована решениями по защите информации. Совсем недавно мы тестили управление динамической блокировкой экрана, теперь поговорим о ещё нескольких фишках, которые можно использовать на твоём компьютере. Все подробности по включению опций, описанных ниже, можно подсмотреть в этой статье.

Итак, первая опция — это защита от потенциально нежелательных приложений. PUA-приложения — это приложения, которые сами по себе нельзя считать вредоносами. Их главная проблема состоит в том, что они как не в себя жрут ресурсы в фоновом режиме, с упорством эксгибициониста демонстрируют рекламу и подкачивают дополнительный софт (а вот это уже опасно!) Используя встроенный механизм сбора репутации приложений, Windows 10 научилась выделять аткие приложения и блокировать их. Одна проблема — опция эта совсем новая и на данный момент по умолчанию отключена. Так что придётся залезть и включить самостоятельно.

Вторая фишка — это функция целостности памяти. Основная её цель — обеспечить надёжность кода, выполняемого в ядре операционки. Система виртуализации позволяет отгородить ядро от нового ПО, проверить его целостность и уже дальше допустить к самым низкоуровневым процессам. Функция весьма и весьма полезная, но требует включения.

Не обошлось и без биометрии. "Windows Hello" позволит проходить авторизацию по отпечатку пальца или с помощью узнавания твоего лица. Механизм так часто использцемый в смартфонах, теперь доступен и на твоей домашней машинке.

Кроме того, винда также может сканировать подключенные сетевые диски на предмет различных аномалий. Но и эта функция по умолчанию отключена.

Как мне кажется, в Windows 10 появилась просто феерически крутая фишка — «Контролируемый доступ к папкам». Теперь, ты можешь ограничить использование отдельных данных, выставив дополнительный уровень защиты. Папка с ограниченным доступом будет недоступна, например, вымогателю и шифровальщику.

Последняя функция из этого списка пока что находится на стадии тестирования и, возможно, с её использованием следует повременить. DNS over HTTPS (DoH) принудительно шифрует трафик до сервисов доменных имён. Эта технология предполагает повышение уровня конфиденциальности в сети. Однако, сама идея DoH означает дополнительные трудности с выявлением вредоносной активности в случае, когда малварь уже заразила твой браузер.

В общем и целом, новые функции довольно интересны. И вероятно, вам есть, что добавить.

Хозяйке на заметку

Подглядел у ребят с CYBER HAT крутую фишку. Теперь хочу поделиться с тобой.

Среди множества технологий, из которых состоит информационная безопасность, отдельный пласт представляют механизмы сокрытия информации. Они нужны для того, чтобы утаить определённые данные, как объект, от излишне любопытных глаз. Мы называем такое сокрытие стеганографией.

Стеганографические методы, как и большинство методов ИБ, могут использоваться как в защитных, так и в мошеннических целях.

Часто злоумышленники прячут вредоносы внутри безобидных файлов — картинок, текстовых документов, презентаций и т.д. Такие ловушки подбрасываются ничего не подозревающим жертвам, которые открывают эти файлы и заражают свои машины.

Однако, желание укрыть важную информацию от посторонних глаз может быть вполне обоснованным и, наоборот, необходимым для защиты. Поэтому сегодня мы рассмотрим максимально простой метод помещения важной информации внутрь картинки для Windows.

Для начала, нужно сложить все файлы, которые ты хочешь спрятать, в одну папку. Затем заархивировать их прямо внутри папки Zip`ом или WinRAR`ом (пусть имя архива будет cmd1.rar). Затем в эту же папку кладём jpeg- или png-картинку (например, cmd.png).

Дальше — самое важное. Нажимаем win+r, пишем "cmd" или просто через пуск вызываем командную строку. С помощью команды cd переходим в папку и набираем в командной строке "COPY /B cmd.png + cmd1.rar cmd2.png".

Готово! Теперь картинка cmd2.png будет открываться, как картинка cmd.png. И с виду будет казаться более тяжёлым аналогом оригинала. Но в себе она будет хранить все твои файлы, которые ты сможешь извлечь, открыв эту же картинку с помощью архиватора.

Как я уже много раз говорил, инфобез бывает разный.

Тему фейков мы ещё не поднимали. А между тем, это ведь точно такая же атака на целостность информации, подмена сообщения на изменённое с целью получения выгоды для атакующего.

Проблема фейковых новостей стара, как мир. Но искать способы выявления фейкньюз начали совсем недавно.

Самый простой способ выявить подлог — найти первоисточник информации и свериться с ним. Но в наше время источников становится так много, что определить однозначно правду и ложь оказывается невозможно.

Казалось бы, решить вопрос должны высокие технологии. Но нет. Оказывается, создать алгоритм выявления фейка не так-то просто! Можно набрать вспомогательные инструменты: онлайн-хранилища проверенной информации, рейтингование новостей независимыми ресурсами и т.д.

Но в конечном счёте, решение проблемы упирается в экспертную систему, за которой стоят... эксперты, способные выявить фейк. В такой схеме хорошо всё, кроме вопроса доверия к людям, отвечающим за оценку новости, их компетенциям и предвзятости.

Из всего вышесказанного следует, что идеального решения проблемы не существует.

И вот, Яндекс.Дзен предложили привлечь к работе по фактчекингу информационные агентства. В самом деле, кто может лучше разбираться в информации, чем специалисты таких компаний, как Интерфакс, ТАСС и др.?

В качестве подопытных будут выступать новости, либо набравшие высокие рейтинг за подозрительно короткое время, либо получившие большое количество жалоб от аудитории медиаресурса.

Каждый из участников-экспертов в течение 4-8 часов должен будет дать своё заключение о проверяемом материале. Вердиктом выступает мнение большинства проверявших.

Следить за процессов и пытаться выявить научный подход к проблеме фактчекинга будет Высшая школа экономики.

В общем и целом, Яндекс.Дзен не изобрёл что-то новое в работе с фейковыми новостями. Главной фишкой их подхода является масштабность замысла. Ведь если, в конечном счёте, крупнейшие информагентства объединятся в поисках подменённой информации, скрыть правду будет гораздо сложнее.

Сегодня у нас будет пост для любителей Оруэлла. Только говорить мы будем не о какой-то отдельной стране, а об одной из мегакорпораций. Ну, знаешь, пресловутый киберпанк давно уже перестал быть фантастикой.

Итак, в сети появился очень интересный отчёт, в котором описываются условия труда сотрудников низшего звена в компании Amazon. И если ты думаешь, что там всё круто — социальные гарантии, спортзал, комната отдыха и груша в виде начальника для разрядки, то ты очень сильно ошибаешься.

Компания Amazon известна своими бережливостью и стремлением выжать из своих сотрудников максимальный результат. И средства, к которым она прибегает для достижения своей цели, напоминают произведения писателей-фантастов.

Например, для того, чтобы сотрудник, работающий руками, не терял время понапрасну, ему надевают браслет, способный анализировать движение. Если сотрудник только направил свои руки куда-то не туда, браслет сразу начнёт вибрировать, давая понять, что солнце ещё высоко. Эта технология, в купе с камерами и специализированными приложениями для слежки, не оставляет сотрудникам Amazon никакого личного пространства. Кроме того, показания браслета учитываются при расчёте KPI сотрудника. При этом, сам KPI периодически меняется без уведомления. Несоответствующий новым требованиям сотрудник с удивлением обнаружит электронное сообщение о своём увольнении.

В отчёте так же говорится о том, что каким-то образом, компания получает доступ в закрытые группы своих сотрудников на Facebook. Такое вмешательство в частную жизнь позволяет отслеживать недовольных условиями труда служащих и превентивно принимать меры по предотвращению забастовок. Лидеров мнения даже не нужно увольнять, их просто можно перевести в другой офис, где их никто не знает.

Кстати, собраться в кучку во врем работы у сотрудников тоже не получится. Как только дистанция между ними окажется меньше двух метров, бдительный браслет сразу же сообщит куда следует.

Интересная ситуация складывается у водителей компании. Специальное приложение жёстко предписывает им ехать по заданному маршруту, считая отклонение от курса нарушением KPI. Но кроме курса, в показатели эффективности так же входит и указанный для каждой задачи срок. Таким образом, водитель, попавший на предписанном маршруте в пробку, вынужден превышать скорость. Надо ли говорить, что ДТП со смертельным исходом в компании Amazon случаются периодически.

Ты спросишь меня, как этот материал относится к информационной безопасности? Но постой, разве слежка за людьми и доведение их до выгорания, травм или гибели с помощью информационных технологий не являются тем злом, с которым мы боремся? От того-то многие ИБ-каналы уже полыхнули по поводу этой новости.

Если что, я не пропал бесследно с ваших радаров.

Просто у наших друзей VolgaCTF на следующей неделе соревнования и конференция. Оффлайн, вживую, прям приехать можно посмотреть. Удивительное дело, в свете всех карантинов и самоизоляций. Говорят, будет инетересно. Посмотрел темы докладов — и правда неплохо: от форензики и онлайн-банкинга, до антенного арсенала пентестеров.

А еще Волге 10 лет. Орги обещают, что будет еще и красиво. Посмотрим. Может быть, даже расскажу, как там оно.

Особенно приятно, что мы в этот раз впервые поддерживаем ивент.
Так что буду в Самаре (а мог бы уже на Мальдивах), не теряйте.

Итак, VolgaCTF закончился, фоток со мной не будет, моих впечатлений от соревнований и конфы тоже, из привезенного с собой пока что ярче всего — махровое ОРВИ. Поэтому поехали просвещаться дальше.

И начнем с плохого.

Сегодня будет довольно грустная новость. Я уже перестал писать про атаки вымогателей, поскольку ничем особенно интересным этот конвейер шифровальщиков не отличается. Ну, разве что, отдельные истории про то, когда по ошибке атакуют не тех.

Но в этот раз злоумышленникам удалось казалось бы невозможное. Из-за атаки вымогателей погиб человек.

И да, вымогатели снова ошиблись адресатом. Предположительно, шифровальщик имел своей целью серверы Дюссельдорфского университета. Но вместо учебного заведения была атакована инфраструктура университетской клиники. Использовав уязвимость CVE-2019-19871, злоумышленники заблокировали около 30 серверов больницы, что привело к невозможности принимать новых пациентов. Дада, мне тоже кажется, что этот шифровальщик — постоянный гость в наших поликлиниках.

Но черный юмор тут неуместен. Именно в этот момент в больницу и привезли женщину, нуждавшуюся в экстренной медицинской помощи. Пациентку перенаправили в следующую клинику, которая находилась в 30 километрах. Спасти женщину не успели.

В то же время, поняв, что атака пошла не по адресу, злоумышленники отдали ключи шифрования, что позволило восстановить работу больницы. Но трагедия уже успела произойти.

По мере роста роли информационных технологий в нашей жизни, информационная безопасность приобретает гораздо большее значение и его уже довольно сложно переоценить.

Так что берегите себя. И носите масочки

Спишь? Сейчас я тебе сказку на ночь расскажу. Практически под музыку кельтских арф. Но только про информационную безопасность.

Тысячу лет назад Харальд Гнилозубый собирал скандинавские племена в единый союз. И были они храбрыми, закатывали пиры и шли к успеху. Только Харальд (возможно, скрывавший боль, судя по прозвищу) и подумать не мог, что в честь него благодарные потомки назовут какую-то мудрёную технологию. И уж точно не мог датский конунг даже и догадываться, что в этой технологии найдутся какие-то гнилые элементы.

На днях появилось описание уязвимости в протоколе Bluetooth. Суть её в том, что злоумышленник, подключившись к устройству жертвы, может получить доступ ко всем девайсам, сопряжённым с ним по Bluetooth.

Ты спросишь, как же так получается? А я отвечу: вот так вот. Технология взлома до конца ещё не раскрыта. Но в её основе лежит сама идея работы Bluetooth. Чтобы обеспечить беспроблемное сопряжение железа разного типа, технология включает в себя целый стек протоколов. В процессе соединения между устройствами выбирается подходящий протокол и формат взаимодействия.

За генерацию ключа при выборе протокола отвечает стандарт Cross-Transport Key Derivation (CTKD). Он заготавливает различные сессионные ключи и отдаёт тот, который подходит под выбранный стандарт сопряжения.

Атака, которую назвали BLURtooth (размытый зуб), позволяет злоумышленнику влезть в процесс сопряжения — совсем как человек посередине — и заставить CTKD сгенерировать новые ключи аутентификации на устройстве жертвы. Таким образом, ключ сменится на всех службах и приложениях Bluetooth, а значит, и на сопряжённых устройствах.

Как я уже сказал выше, принцип работы атаки подробно не описан. Но технология защиты до выхода обновлений ясна. Современный стандарт Bluetooth способен устанавливать связь между устройствами в радиусе до 1,5 километров. Однако, на практике, это расстояние сильно меньше. А значит, мы всегда можем не запускать сопряжение в присутствии подозрительных личностей.

Вот такая поучительная история. Дальше будет несмешной каламбур про "чисть зубы перед сном, чтобы не скрывать боль, как Харольд" и пожелание доброй ночи.

Но проголосовать вы, вероятно, все равно не сможете.

Instagram не безопасен.

Кроме вреда для самооценки и угрозы краха интеллектуального развития человечества, соцсеть припасла еще неприятных сюрпризов.

Мы уже говорили с тобой о том, что, на самом деле, приложения для смартфонов частенько запрашивают гораздо больше полномочий, чем им требуется для корректной работы. И вот еще один пример.

Много лет назад, когда ультрасовременным мессенджером была ICQ, самые остроумные пользователи подкидывали друзьям сообщения, от которых их клиент просто выключался. Технологии, конечно, идут вперёд, но идея "можем повторить" никуда не девается.

Недавно специалисты из CheckPoint рассказали о найденной уязвимости в Instagram, которая позволяла получить доступ к конфиденциальной информации жертвы.

Всё, что нужно было сделать злоумышленнику — это прислать по почте или в мессенджер специальную картинку на атакуемый смартфон. Если жертва сохраняла эту картинку у себя (для этого её достаточно просто открыть посмотреть), то при следующем запуске Instagram, имеющий доступ ко всем изображениям, обращался к этой фотографии и ломался. Но не как его постоянные инфлюенсеры, а по-настоящему. Он предоставлял злоумышленнику доступ не только к собственным данным, но и ко всему, к чему имел доступ сам — к камере, геолокации, контактам и т.д.

Технически уязвимость Instagram крылась в модуле, отвечающем за сжатие изображений формата jpeg. Определённым образом сформированный файл этого формата при обработке становился причиной целочисленного переполнения стека памяти. Такая ситуация, в свою очередь, позволяла злоумышленнику получить неавторизованный доступ к данным или выполнение стороннего кода.

К счастью, эта уязвимость на всех типах устройств была устранена ещё в начале года. Но сама проблема компрометации приложений с избыточными правами никуда не девается.

Я уже говорил и продолжаю говорить, что когда какой-нибудь "Фонарик" запрашивает доступ к местоположению устройства — это, по меньшей мере, ненормально и само по себе является поводом задуматься, а так уж ли нужен тебе такой инстаг... фонарь?

Жить стало веселее! Жить стало проще!

GitHub запустил статический анализ кода на уязвимости
https://habr.com/ru/post/521578/?utm_campaign=521578&utm_source=habrahabr&utm_medium=rss

Невероятные вопросы и не менее удивительные ответы

Невероятно, но факт. Вымогатели продолжают удивлять. В 2020 году злоумышленники начали объединяться в злодейские команды, чтобы "эффективнее" проводить свои атаки.

На этот раз, специалисты MalwareHunterTeam обнаружили новую фишку вымогателей. Так, одна компания, название которой не уточняется, была атакована шифровальщиком SunCrypt.

После того, как переговоры по выплате злоумышленникам ни к чему не привели и бизнес-жертва стала затягивать с ответом, её сайт подвергся DDoS-атаке. Кроме ддоса прилетело и сообщение о том, что атака будет продолжаться до тех пор, пока переговоры не возобновятся и не будут завершены в пользу вымогателей.

Таким нехитрым, но очень суровым способом злоумышленники вынудили свою жертву заключить с ними сделку.

Получается, что на данный момент, вымогатели уже не оставляют своим жертвам шанса, защититься от шифровальщиков с помощью бэкапов. Во-первых, в последнее время, злоумышленники всё чаще копируют служебную информацию перед шифрованием и всегда могут её опубликовать. А во-вторых, даже если жертва смирится с репутационными рисками и откажется платить, может последовать мощная DDoS-атака, с серьезным ущербом впридачу.

При таком раскладе, выбор у жертвы не велик. А значит, компания средней руки, не имеющая возможности организовать защиту от DDoS-атаки, может попросту разориться, оказавшись в "заложниках" вымогателей.

Хеллоу из прошлого от Билла

​Для Windows 3.1 был сделан обучающий видео курс аж на 3 часа (и 11 минут, я надеюсь). А предваряло этот кусок счастье вот такое милое вступление от господина Гейтса.
P.S. Курс, конечно же, была на VHS.

Сегодня продолжим рассказывать о наработках бравых ребят из MalwareHunterTeam, которые в течение всего 2020 года наблюдают за деятельностью нового шпионского ПО от группировки APT-C-23.

Малварь Android/SpyC23 прячется в установочных файлах таких мессенджеров для Android, как Threema, Telegram, WeMessage на непроверенных репозиториях Android-приложений.

Прежняя версия Android/SpyC23 умела заливать и удалять файлы, делать скриншоты экрана смартфона, записывать аудио, копировать контакт-листы и журналы вызовов.

Эволюционировавший зловред научился перехватывать и блокировать сообщения из мессенджеров и социальных сетей и, что особенно "приятно", скрывать тревожные оповещения службы безопасности Android (securitylogagent — на устройствах Samsung, com.miui.securitycenter — на Xiaomi, huawei.systemmanager — на Huawei).

Кроме того, в своей новой версии Android/SpyC23 обнаруживается крайне малым количеством антивирусов. Так, онлайн-служба VirusTotal, которая проверяет файлы и ссылки на наличие вредоносов с помощью движков ведущих антивирусных систем, обнаружила нашего "героя" с помощью всего одного движка из пятидесяти восьми.

Самым зорким антивирусом оказалось АВПО от ESET, сотрудники которого написали обширную статью про развитие вредоносов от APT-C-23 с 2017 года, к которой я тебя и отправляю.

Что по итогу? Главное, что следует помнить, это то, откуда исходят заражения. Вредоноса подхватывают только те пользователи Android, которые используют неофициальные магазины приложений, как например DigitalApps, на котором и был впервые встречен новый Android/SpyC23. Система защиты сомнительных репозиториев сама остаётся довольно сомнительной. А потому, методика защиты в данном случае максимально проста — качай приложения с официальных проверенных ресурсов, которые сами стараются следить за тем, что раздают.

Давненько не было действительно стоящих новостей про интернет вещей. С видео, туториалом.

А речь идет про уязвимость в электронном поясе верности для мужчин. Что?! Да!

Pen test Partners выложили достаточно развернутый материал про девайс, который можно хакнуть так, что достоинство на веки вечные останется в тисках. Естественно, приблуда управляется удаленно, со смартфона, через API-интерфейс. Знак безграничного доверия и надежности создатели девайса почему-то решили никаким образом не обезопашивать, поэтому передача данных производилась без пароля, без шифрования, без регистрации и смс.

Кстати, кроме всего прочего у чудо-игрушки нет и экстренного механизма отключения. Правильно, а зачем? Видимо, так же себе когда-то сказали и инженеры.

Бонусом ко всему прочему устройство может слить завладевшему им злоумышленнику историю геолокаций, переписки и много чего еще.

Кстати, чтобы снять залоченный пояс верности, по оценкам экспертов, может потребоваться целый болторезный станок. Хоть бы столяры не промахивались, как инженеры. А то болт да не тот.

Членовредительство какое-то.