Про других Hunter
Давно прошли те времена, когда хакеры писали вирусы, чтобы доказать самим себе свою крутость. Сейчас подавляющее большинство атак имеет сугубо меркантильные цели. В чём мы с тобой убеждаемся с каждой новостью.
Вот и сегодня исключения не случится.
В юго-западной Азии есть небольшая, но гордая страна Кувейт. Гордиться им и правда есть чем. Девять процентов мировых запасов нефти позволяют ребятам обеспечивать нехилый уровень жизни и самую дорогую в мире валюту.
Но сама по себе нефть на мировой рынок попасть не может. Её нужно на чём-то перевозить. Для этого в Кувейте базируется масса транспортных и судоходных организаций.
Вот по ним-то и прошлись атаки злоумышленников в этом и в прошлом году. Ребята из Palo Alto Networks посвятили расследование этой истории (https://unit42.paloaltonetworks.com/xhunt-campaign-attacks-on-kuwait-shipping-and-transportation-organizations/).
Если кратко, то утверждать, что оба раза злоумышленники были одни и те же, нельзя. Однако с высокой долей уверенности можно предположить, что разработчик зловредного ПО был единственный и неповторимый. Группировку злоумышленников назвали xHunt, поскольку для своих инструментов они использовали имена персонажей аниме Hunter x Hunter (все совпадения случайны!!!).
Что касается тактики. Оба раза злоумышленники использовали бэкдор (доступ через чёрный ход), а затем пробирались по нему в различные сегменты сетей транспортных компаний. Далее происходила кража информации. Здесь надо оговориться, что в данном случае бэкдоры не были изначально внедрены в программный код. Они действовали, как трояны, поражали систему и открывали дорогу для дальнейшеё работы злоумышленников.
В обоих случаях бэкдоры были подозрительно похожи, вплоть до количества функций и имён переменных. Инструменты, которые вступали в силу далее, вообще идентичны. Это Gon и EYE.
Первая тулза работает, как модные нынче миникамеры на подвижной длинной ножке. По выстроенному через бэкдор туннелю Gon пролезал внутрь сети, делал скриншоты, собирал информацию, искал выходы к следующим узлам, открывал сеанс протокола RDP (удалённого рабочего стола). Словом, осматривался по сторонам и запоминал, что видит.
EYE, в свою очередь, подчищал за напарником все возможные следы, которые тот оставлял в системе.
Ни один из найденных мной материалов не говорит об ущербе, который понесли транспортные компании. Однако, две атаки, длиной в несколько месяцев каждая, не могли пройти безобидно.
Мы с командой предположили, каким может быть урон:
1) Это могут быть отложенные прямые убытки для компании. Как слив большого массива информации, так и, например, шантаж;
2) Благодаря атаке можно использовать 0day exploit, а там уже - на что хватит фантазии злоумышленника;
3) Не стоит забывать, что подобные компании трепетно хранят данные, которые влияют на экономику в глобальном смысле. А это значит, что у атаковавших есть возможность нажиться не столько за счет конкретного бизнеса, сколько на тайных знаниях котировок, фьючерсов и так далее.
Короче, сколько людей, столько и мнений.
Здесь трудно подвести какую-то мораль. Напомню только, что принцип целесообразности никто не отменял. И если ты - богатая нефтяная страна, готовься защищать своё богатство на самом продвинутом уровне.
Давно прошли те времена, когда хакеры писали вирусы, чтобы доказать самим себе свою крутость. Сейчас подавляющее большинство атак имеет сугубо меркантильные цели. В чём мы с тобой убеждаемся с каждой новостью.
Вот и сегодня исключения не случится.
В юго-западной Азии есть небольшая, но гордая страна Кувейт. Гордиться им и правда есть чем. Девять процентов мировых запасов нефти позволяют ребятам обеспечивать нехилый уровень жизни и самую дорогую в мире валюту.
Но сама по себе нефть на мировой рынок попасть не может. Её нужно на чём-то перевозить. Для этого в Кувейте базируется масса транспортных и судоходных организаций.
Вот по ним-то и прошлись атаки злоумышленников в этом и в прошлом году. Ребята из Palo Alto Networks посвятили расследование этой истории (https://unit42.paloaltonetworks.com/xhunt-campaign-attacks-on-kuwait-shipping-and-transportation-organizations/).
Если кратко, то утверждать, что оба раза злоумышленники были одни и те же, нельзя. Однако с высокой долей уверенности можно предположить, что разработчик зловредного ПО был единственный и неповторимый. Группировку злоумышленников назвали xHunt, поскольку для своих инструментов они использовали имена персонажей аниме Hunter x Hunter (все совпадения случайны!!!).
Что касается тактики. Оба раза злоумышленники использовали бэкдор (доступ через чёрный ход), а затем пробирались по нему в различные сегменты сетей транспортных компаний. Далее происходила кража информации. Здесь надо оговориться, что в данном случае бэкдоры не были изначально внедрены в программный код. Они действовали, как трояны, поражали систему и открывали дорогу для дальнейшеё работы злоумышленников.
В обоих случаях бэкдоры были подозрительно похожи, вплоть до количества функций и имён переменных. Инструменты, которые вступали в силу далее, вообще идентичны. Это Gon и EYE.
Первая тулза работает, как модные нынче миникамеры на подвижной длинной ножке. По выстроенному через бэкдор туннелю Gon пролезал внутрь сети, делал скриншоты, собирал информацию, искал выходы к следующим узлам, открывал сеанс протокола RDP (удалённого рабочего стола). Словом, осматривался по сторонам и запоминал, что видит.
EYE, в свою очередь, подчищал за напарником все возможные следы, которые тот оставлял в системе.
Ни один из найденных мной материалов не говорит об ущербе, который понесли транспортные компании. Однако, две атаки, длиной в несколько месяцев каждая, не могли пройти безобидно.
Мы с командой предположили, каким может быть урон:
1) Это могут быть отложенные прямые убытки для компании. Как слив большого массива информации, так и, например, шантаж;
2) Благодаря атаке можно использовать 0day exploit, а там уже - на что хватит фантазии злоумышленника;
3) Не стоит забывать, что подобные компании трепетно хранят данные, которые влияют на экономику в глобальном смысле. А это значит, что у атаковавших есть возможность нажиться не столько за счет конкретного бизнеса, сколько на тайных знаниях котировок, фьючерсов и так далее.
Короче, сколько людей, столько и мнений.
Здесь трудно подвести какую-то мораль. Напомню только, что принцип целесообразности никто не отменял. И если ты - богатая нефтяная страна, готовься защищать своё богатство на самом продвинутом уровне.
Unit 42
xHunt Campaign: Attacks on Kuwait Shipping and Transportation Organizations
Between May and June 2019, Unit 42 observed previously unknown tools used in the targeting of transportation and shipping organizations based in Kuwait. The first known attack in this campaign targeted a Kuwait transportation and shipping company in which…
Почти мгновенная карма
Сегодня мы ненадолго вернёмся к теме шифровальщиков-вымогателей. Нужно это сделать по двум причинам.
Во-первых, это важная информация, а во-вторых, история вышла довольно забавная.
С конца сентября этого года по сети начал бегать вымогатель Muhstik. Специализировался молодой воришка на сетевых хранилищах QNAP NAS и требовал примерно 700 баксов за ключ.
И так бы он и бегал, если бы не напоролся на Тобиаса Фрёммеля (https://twitter.com/battleck/with_replies), который не прощает обид.
Поначалу Muhstik зашифровал данные Тобиаса, которому ничего не оставалось, как заплатить. Видимо, данные стоили гораздо больше денег.
Но затем, Тобиас пошёл в атаку. Изучив шифровальщик изнутри, он вышел на управляющие серверы зловреда и выкачал оттуда базу ключей с айдишниками жертв.
"Я похакал хакера. ЛОЛ" - написал Фрёммель на своей странице в Твиттере.
Далее, Тобиас выложил полную базу ключей с тем, чтобы каждый пострадавший смог бесплатно расшифровать свои данные.
Ну и вместо фаталити, немецкий мститель выпустил декриптор для Muhstik, который так же опубликовал.
"Прямой репортаж с места событий" Фрёммель вёл лично, комментируя каждый свой шаг в Твиттере.
Я не знаю, нужно ли как-то комментировать эту ситуацию. Лучше вместо морали приложу сюда гифку.
Сегодня мы ненадолго вернёмся к теме шифровальщиков-вымогателей. Нужно это сделать по двум причинам.
Во-первых, это важная информация, а во-вторых, история вышла довольно забавная.
С конца сентября этого года по сети начал бегать вымогатель Muhstik. Специализировался молодой воришка на сетевых хранилищах QNAP NAS и требовал примерно 700 баксов за ключ.
И так бы он и бегал, если бы не напоролся на Тобиаса Фрёммеля (https://twitter.com/battleck/with_replies), который не прощает обид.
Поначалу Muhstik зашифровал данные Тобиаса, которому ничего не оставалось, как заплатить. Видимо, данные стоили гораздо больше денег.
Но затем, Тобиас пошёл в атаку. Изучив шифровальщик изнутри, он вышел на управляющие серверы зловреда и выкачал оттуда базу ключей с айдишниками жертв.
"Я похакал хакера. ЛОЛ" - написал Фрёммель на своей странице в Твиттере.
Далее, Тобиас выложил полную базу ключей с тем, чтобы каждый пострадавший смог бесплатно расшифровать свои данные.
Ну и вместо фаталити, немецкий мститель выпустил декриптор для Muhstik, который так же опубликовал.
"Прямой репортаж с места событий" Фрёммель вёл лично, комментируя каждый свой шаг в Твиттере.
Я не знаю, нужно ли как-то комментировать эту ситуацию. Лучше вместо морали приложу сюда гифку.
Twitter
Login on Twitter
Welcome back to Twitter. Sign in now to check your notifications, join the conversation and catch up on Tweets from the people you follow.
Forwarded from Hacker News
0-day уязвимость в iTunes использовалась для распространения вымогателя
https://xakep.ru/2019/10/11/bitpaymer-itunes/
https://xakep.ru/2019/10/11/bitpaymer-itunes/
«Хакер»
0-day уязвимость в iTunes использовалась для распространения вымогателя
Шифровальщик BitPaymer распространялся, используя уязвимость нулевого дня в iTunes для Windows, которая помогала обойти антивирусные продукты.
ИИ следит за тобой
Привет!
Мы уже говорили о том, что лучше заклеивать камеру на ноутбуке. Злоумышленников, которым крайне важно посмотреть на тебя с помощью твоего же девайса, меньше не становится. Иногда в их число входят и сами разработчики.
На днях стало известно (https://www.cybersecurity-insiders.com/amazon-employees-spy-on-users-of-cloud-cams/), что в Индийском и Румынском офисах компании Amazon сотрудникам было дано указание наблюдать за изображнием, поступающим с облачных камер.
Если ты зайдёшь на сайт Амазона и найдёшь там облачную камеру (https://www.amazon.com/Introducing-Amazon-Cloud-Cam/dp/B01C4UY0JK), то заметишь, что эта железка преподносится, как защитный инструмент для квартир.
Эта приблуда должна быть установлена в доме и подключена к интернету. Дальше Амазон сделает всё сам - распознает подозрительную активность, подаст сигнал.
Не трудно догадаться, что для такой работы требуется два очень важных пункта. Первый - конфиденциальность. Мало ли, чем ты там занимаешься, пока никто не видит. Второй пункт - следствие первого. Раз другим людям нельзя смотреть в эту камеру, значит, изображение должен исследовать искусственный интеллект.
Но проблема в том, что без обучения ИИ не работает. А обучать его должны люди. И потому, Амазон и дал такое распоряжение - отсматривать видео и учить камеру, где надо подавать сигнал угрозы, а где нет.
Проблема заключается в том, что по факту, компания заявила: "нам надо отличать кошку от вора, поэтому мы будем смотреть постельные сцены с вашим участием".
Вопрос этичности, а с ним и безопасности, в такой ситуации остаётся открытым. Амазон утверждает, что сотрудники не могут записать себе и распространить увиденное. Но это ведь просто слова.
Так что, выходит, каждый должен сам решить, чего ему хочется больше - неприкосновенности частной жизни или безопасности под надзором умной камеры.
Привет!
Мы уже говорили о том, что лучше заклеивать камеру на ноутбуке. Злоумышленников, которым крайне важно посмотреть на тебя с помощью твоего же девайса, меньше не становится. Иногда в их число входят и сами разработчики.
На днях стало известно (https://www.cybersecurity-insiders.com/amazon-employees-spy-on-users-of-cloud-cams/), что в Индийском и Румынском офисах компании Amazon сотрудникам было дано указание наблюдать за изображнием, поступающим с облачных камер.
Если ты зайдёшь на сайт Амазона и найдёшь там облачную камеру (https://www.amazon.com/Introducing-Amazon-Cloud-Cam/dp/B01C4UY0JK), то заметишь, что эта железка преподносится, как защитный инструмент для квартир.
Эта приблуда должна быть установлена в доме и подключена к интернету. Дальше Амазон сделает всё сам - распознает подозрительную активность, подаст сигнал.
Не трудно догадаться, что для такой работы требуется два очень важных пункта. Первый - конфиденциальность. Мало ли, чем ты там занимаешься, пока никто не видит. Второй пункт - следствие первого. Раз другим людям нельзя смотреть в эту камеру, значит, изображение должен исследовать искусственный интеллект.
Но проблема в том, что без обучения ИИ не работает. А обучать его должны люди. И потому, Амазон и дал такое распоряжение - отсматривать видео и учить камеру, где надо подавать сигнал угрозы, а где нет.
Проблема заключается в том, что по факту, компания заявила: "нам надо отличать кошку от вора, поэтому мы будем смотреть постельные сцены с вашим участием".
Вопрос этичности, а с ним и безопасности, в такой ситуации остаётся открытым. Амазон утверждает, что сотрудники не могут записать себе и распространить увиденное. Но это ведь просто слова.
Так что, выходит, каждый должен сам решить, чего ему хочется больше - неприкосновенности частной жизни или безопасности под надзором умной камеры.
Cybersecurity Insiders
Amazon employees spy on users of Cloud Cams - Cybersecurity Insiders
Amazon employees from India and Romania have been assigned a task of watching out video footage streamlined from cloud cams without the consent of users. According to a report published in Bloomberg dozens of employees from Amazon are seen watching intimate…
Шпионская малварь
На днях компания ESET выпустила аналитику по работе зловреда Attor (https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Attor.pdf). Этот зверь отличился атаками на государственные и дипломатические учреждения в Восточной Европе.
Основное направление деятельности Attor - это шпионаж. Попав на компьютер жертвы, малварь изучает обстановку и отсылает собранную информацию о своём окружении в командный пункт. Общение шпиона и командования происходит через инфраструктуру Tor.
Далее, командный центр высылает подкрепление для своего шпиона - зашифрованные функциональные модули записи звука, экрана, мониторинга устройств, установщик полезной нагрузки, кейлоггер (перехват нажатия клавиш) и т.д.
Attor живёт в сети с 2013-го, активно показал себя в прошлом году. А его исследование вышло только сейчас. Такая задержка обусловлена тем, что Attor изменяет себя за счёт подгружаемых модулей, используя при этом Tor и шифрование самих дополнений.
Аналитики отмечают, что у зловреда есть и ещё одна особенность - уже упомянутый нами монитор устройств. Благодаря этому модулю Attor собирает данные о подключаемых к компьютеру мобильных устройствах, видимо, с целью дальнейшего шпионажа и за ними. Сбор информации происходит путём рассылки AT-команд (запросов для модемов и мобильников) устройствам, подключённым через COM-порт.
Здесь я замечу, что то же самое можно было бы делать и при подключении по USB, но Attor на этом не специализируется.
Такое странное использование устаревших портов говорит о том, что целью нашего сегодняшнего персонажа являются организации, где используют старые модели сотовых телефонов.
Эта история снова говорит о том, что ты должен защищать свои данные, исходя из стоимости своей информации и особенностей своей инфраструктуры, ведь на каждого найдётся малварь именно под него.
На днях компания ESET выпустила аналитику по работе зловреда Attor (https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Attor.pdf). Этот зверь отличился атаками на государственные и дипломатические учреждения в Восточной Европе.
Основное направление деятельности Attor - это шпионаж. Попав на компьютер жертвы, малварь изучает обстановку и отсылает собранную информацию о своём окружении в командный пункт. Общение шпиона и командования происходит через инфраструктуру Tor.
Далее, командный центр высылает подкрепление для своего шпиона - зашифрованные функциональные модули записи звука, экрана, мониторинга устройств, установщик полезной нагрузки, кейлоггер (перехват нажатия клавиш) и т.д.
Attor живёт в сети с 2013-го, активно показал себя в прошлом году. А его исследование вышло только сейчас. Такая задержка обусловлена тем, что Attor изменяет себя за счёт подгружаемых модулей, используя при этом Tor и шифрование самих дополнений.
Аналитики отмечают, что у зловреда есть и ещё одна особенность - уже упомянутый нами монитор устройств. Благодаря этому модулю Attor собирает данные о подключаемых к компьютеру мобильных устройствах, видимо, с целью дальнейшего шпионажа и за ними. Сбор информации происходит путём рассылки AT-команд (запросов для модемов и мобильников) устройствам, подключённым через COM-порт.
Здесь я замечу, что то же самое можно было бы делать и при подключении по USB, но Attor на этом не специализируется.
Такое странное использование устаревших портов говорит о том, что целью нашего сегодняшнего персонажа являются организации, где используют старые модели сотовых телефонов.
Эта история снова говорит о том, что ты должен защищать свои данные, исходя из стоимости своей информации и особенностей своей инфраструктуры, ведь на каждого найдётся малварь именно под него.
Пожалуй, сегодняшний пост я назову "Вам, аэрофобы". И говорить мы будем об отчёте команды Pen Test Partners (https://www.pentestpartners.com/security-blog/mapping-the-attack-surface-of-an-airport/), в котором ребятки исследовали уязвимость систем и средств управления, используемых в аэропортах.
Спойлер: если ты боишься летать, дальше не читай.
Находясь в аэропорту, ты наверняка замечал, что любое подобное учреждение под завязку набито электроникой и автоматизированными системами. И чем больше аэропорт, тем сильнее он автоматизирован.
Вот краткий обзор того, что во всей этой электронике накопала команда исследователей.
Системы контроля доступа, которые, в частности, отвечают за пропуск экипажа к самолёту, могут быть клонированы с помощью средств анализа, чтения и копирования меток RFID. Иными словами - если сильно захотеть, можно порулить вместо пилота.
Системы сбора информации о состоянии инфраструктуры аэропорта, которые управляют электронными замками, промышленными процессами, а также вентиляцией и отоплением, содержат в себе дыры в модулях аутентификации, а иногда и готовые эксплойты.
Собственно, сами системы вентиляции и отопления (HVAC) обычно обслуживаются на аутсорсе. То есть кем-то посторонним.
Стойки регистрации, системы выдачи багажа часто вообще остаются без внимания соответствующих служб и могут подвергаться разного рода несанкционированному воздействию.
Дисплеи полётов позволяют злоумышленникам произвольно добавлять новые объекты в общую систему мониторинга, а системы видеонаблюдения защищены легко подбираемым закрытым ключом.
Wi-Fi в каждом аэропорту может быть защищён по-разному. Но от спуфинга не застрахован никто. Создание собственной точки доступа с названием "Аэропорт_Guest" позволит насобирать информацию о тысячах неразборчивых пользователей мобильных устройств за короткое время.
Здоровенной вишней на торте краха твоей нервной системы будет новость о том, что и вся инфраструктура подготовки к полётам (радио-каналы, стыковочные системы, управление буксирами и т.д.) тоже оказалась ненадёжной.
Конечно же, всё вышесказанное не означает, что все на свете аэропорты настолько дырявы, что злоумышленники гуляют там, как про Бродвею. Конечно же, нет. Да и перечисленные уязвимости сами по себе не дают возможности кому попало устроить катастрофу. Но внимание к этой ситуации нужно привлекать, поскольку здесь цена риска самая высокая.
Спойлер: если ты боишься летать, дальше не читай.
Находясь в аэропорту, ты наверняка замечал, что любое подобное учреждение под завязку набито электроникой и автоматизированными системами. И чем больше аэропорт, тем сильнее он автоматизирован.
Вот краткий обзор того, что во всей этой электронике накопала команда исследователей.
Системы контроля доступа, которые, в частности, отвечают за пропуск экипажа к самолёту, могут быть клонированы с помощью средств анализа, чтения и копирования меток RFID. Иными словами - если сильно захотеть, можно порулить вместо пилота.
Системы сбора информации о состоянии инфраструктуры аэропорта, которые управляют электронными замками, промышленными процессами, а также вентиляцией и отоплением, содержат в себе дыры в модулях аутентификации, а иногда и готовые эксплойты.
Собственно, сами системы вентиляции и отопления (HVAC) обычно обслуживаются на аутсорсе. То есть кем-то посторонним.
Стойки регистрации, системы выдачи багажа часто вообще остаются без внимания соответствующих служб и могут подвергаться разного рода несанкционированному воздействию.
Дисплеи полётов позволяют злоумышленникам произвольно добавлять новые объекты в общую систему мониторинга, а системы видеонаблюдения защищены легко подбираемым закрытым ключом.
Wi-Fi в каждом аэропорту может быть защищён по-разному. Но от спуфинга не застрахован никто. Создание собственной точки доступа с названием "Аэропорт_Guest" позволит насобирать информацию о тысячах неразборчивых пользователей мобильных устройств за короткое время.
Здоровенной вишней на торте краха твоей нервной системы будет новость о том, что и вся инфраструктура подготовки к полётам (радио-каналы, стыковочные системы, управление буксирами и т.д.) тоже оказалась ненадёжной.
Конечно же, всё вышесказанное не означает, что все на свете аэропорты настолько дырявы, что злоумышленники гуляют там, как про Бродвею. Конечно же, нет. Да и перечисленные уязвимости сами по себе не дают возможности кому попало устроить катастрофу. Но внимание к этой ситуации нужно привлекать, поскольку здесь цена риска самая высокая.
Pentestpartners
Mapping the Attack Surface of an Airport | Pen Test Partners
Aviation security is a complex environment. What first sparked my interest in avionics security was a comment from an airport customer of ours. They had seen the media coverage of the DHS work against a Boeing 757 a few years ago and were concerned that an…
Немного практики - всегда полезно. Тьюториал по атакам на беспроводные сети от специалиста из нашей команды. Естественно, только в ознакомительных целях.
https://habr.com/ru/company/tomhunter/blog/471260/
https://habr.com/ru/company/tomhunter/blog/471260/
Хабр
Kali Linux NetHunter на Android Ч.2: атаки на беспроводные сети
Статьи из цикла Kali Linux NetHunter на Android: зачем и как установить Kali Linux NetHunter на Android Ч.2: ата...
Уязвимости биометрии
Изучая различные системы защиты, ты наверняка сталкивался с мнением, что биометрия - это круто. Уникальность рисунка отпечатка пальца или сетчатки глаза позволяет однозначно определить пользователя. Поэтому аутентификация по биологическим параметрам - вещь крайне надёжная.
Но говоря так, специалисты обычно не упоминают тот факт, что ответственность за корректное распознавание пальца, глаза или лица несёт считывающее устройство. А вот у него могут случиться и косяки.
Считывающая железка "запоминает" некоторые узловые точки биологического рисунка и сверяет их каждый раз во время сеанса аутентификации. Чем круче сканер, тем больше точек он запоминает. Первые ноутбуки с функцией блокировки по отпечатку пальца вскрывались перебором отпечатков ближайших друзей "взломщика". Современные системы, конечно же, стали на несколько порядков суровее. Но и здесь случаются обломы.
Вот и на этой неделе в сеть попала история (https://www.thesun.co.uk/tech/10127908/samsung-galaxy-s10-screen-protector-ebay/) о том, как муж подарил жене Samsung Galaxy S10, та защитила телефон отпечатком своего пальца, наклеила на экран защитную плёнку, а потом вдруг обнаружила, что через эту самую плёнку разблокировать телефон может и сам её муж, и её сестра.
Самсунг и ранее попадал в истории с биометрией. Например, при определённых обстоятельствах, он может распознать ваше лицо на фотографии и разблокироваться.
В общем-то, это вся новость. Но я добавлю немножко размышлений. Во-первых, вопросы биометрической защиты - это действительно крайне важные вопросы. С учётом справедливой уверенности специалистов в надёжности этих методов, многие защитные системы включают в себя сканеры биологических рисунков. А это значит, что любая уязвимость такого сканера должна сразу же отрабатываться и закрываться.
Во-вторых, такого рода промахи сказываются на репутации разработчиков продукта. И само по себе обнаружение таких дыр в защите несёт те самые пресловутые репутационные потери, которые, конечно, играют на руку конкурентам скомпрометированной компании.
Я ни в коем случае не утверждаю, что данная история может считаться заказной. Наоборот, все подобные ошибки должны публиковаться, дабы не допустить кражу информации. Но для полноты картинки оба этих пункта обозначить стоило.
Изучая различные системы защиты, ты наверняка сталкивался с мнением, что биометрия - это круто. Уникальность рисунка отпечатка пальца или сетчатки глаза позволяет однозначно определить пользователя. Поэтому аутентификация по биологическим параметрам - вещь крайне надёжная.
Но говоря так, специалисты обычно не упоминают тот факт, что ответственность за корректное распознавание пальца, глаза или лица несёт считывающее устройство. А вот у него могут случиться и косяки.
Считывающая железка "запоминает" некоторые узловые точки биологического рисунка и сверяет их каждый раз во время сеанса аутентификации. Чем круче сканер, тем больше точек он запоминает. Первые ноутбуки с функцией блокировки по отпечатку пальца вскрывались перебором отпечатков ближайших друзей "взломщика". Современные системы, конечно же, стали на несколько порядков суровее. Но и здесь случаются обломы.
Вот и на этой неделе в сеть попала история (https://www.thesun.co.uk/tech/10127908/samsung-galaxy-s10-screen-protector-ebay/) о том, как муж подарил жене Samsung Galaxy S10, та защитила телефон отпечатком своего пальца, наклеила на экран защитную плёнку, а потом вдруг обнаружила, что через эту самую плёнку разблокировать телефон может и сам её муж, и её сестра.
Самсунг и ранее попадал в истории с биометрией. Например, при определённых обстоятельствах, он может распознать ваше лицо на фотографии и разблокироваться.
В общем-то, это вся новость. Но я добавлю немножко размышлений. Во-первых, вопросы биометрической защиты - это действительно крайне важные вопросы. С учётом справедливой уверенности специалистов в надёжности этих методов, многие защитные системы включают в себя сканеры биологических рисунков. А это значит, что любая уязвимость такого сканера должна сразу же отрабатываться и закрываться.
Во-вторых, такого рода промахи сказываются на репутации разработчиков продукта. И само по себе обнаружение таких дыр в защите несёт те самые пресловутые репутационные потери, которые, конечно, играют на руку конкурентам скомпрометированной компании.
Я ни в коем случае не утверждаю, что данная история может считаться заказной. Наоборот, все подобные ошибки должны публиковаться, дабы не допустить кражу информации. Но для полноты картинки оба этих пункта обозначить стоило.
The Sun
Horrified mum discovered anyone could access her information after glitch on new Samsung phone fitted with eBay screen protector
A MUM found that anyone could access her Samsung phone after she fitted a £2.70 screen protector she got on eBay. Lisa Neilson, 34, bought the gel cover to protect her new S10. With the screen on, …
Возможно, листая каталоги интернет-магазинов, ты удивляешься, как много всего выпускает, скажем, Xiaomi. Телефонами и фитнес-браслетами уже никого не удивишь. Ребятки штампуют кроссовки, куртки с подогревом, ёршики для унитазов.
Но сегодня, мой друг, китайцы нервно курят в сторонке. Потому что на IT-рынок буквально ворвался... Ватикан!
С 15 октября мировая католическая столица начала продажу электронных чёток, способных отследить момент, в который их пользователь начинает молиться. Далее, чётки запускают приложение Click To Pray на его смартфоне. Эта программка оказывает поддержку пользователя во время молитвы.
Да... Интернет вещей ещё никогда не был так близок к миру духовному. Но зачем я пишу об этом в своём канале? Думаю, ты уже догадался. Умные чётки оказались уязвимы к атакам злоумышленников (https://www.theregister.co.uk/2019/10/18/vatican_erosary_insecure/).
Дело заключалось в том, что для авторизации в связке "чётки-приложение" требуется четырёхзначный пин-код, перебор которого не был ограничен некоторым количеством попыток ввода. Таким образом, злоумышленник получал возможность перебрать все десять тысяч комбинаций и украсть данные пользователя, запрашиваемые приложением.
Вообще, Click To Pray не хранит в себе непосредственно персональных данных, кроме фотографий пользователей. Но именно этот момент и вызвал обеспокоенность экспертов, ведь фотография в католическом приложении может стать причиной многих проблем у верующего из страны, где к христианам относятся враждебно. Здесь, правда, возникает вопрос - откуда христиане из таких стран достанут электронные чётки.
Но, независимо от ответа на данный вопрос, могу сказать, что уязвимость уже закрыта и праву на свободное электронное вероисповедание ничего не угрожает.
Deus vult!
Но сегодня, мой друг, китайцы нервно курят в сторонке. Потому что на IT-рынок буквально ворвался... Ватикан!
С 15 октября мировая католическая столица начала продажу электронных чёток, способных отследить момент, в который их пользователь начинает молиться. Далее, чётки запускают приложение Click To Pray на его смартфоне. Эта программка оказывает поддержку пользователя во время молитвы.
Да... Интернет вещей ещё никогда не был так близок к миру духовному. Но зачем я пишу об этом в своём канале? Думаю, ты уже догадался. Умные чётки оказались уязвимы к атакам злоумышленников (https://www.theregister.co.uk/2019/10/18/vatican_erosary_insecure/).
Дело заключалось в том, что для авторизации в связке "чётки-приложение" требуется четырёхзначный пин-код, перебор которого не был ограничен некоторым количеством попыток ввода. Таким образом, злоумышленник получал возможность перебрать все десять тысяч комбинаций и украсть данные пользователя, запрашиваемые приложением.
Вообще, Click To Pray не хранит в себе непосредственно персональных данных, кроме фотографий пользователей. Но именно этот момент и вызвал обеспокоенность экспертов, ведь фотография в католическом приложении может стать причиной многих проблем у верующего из страны, где к христианам относятся враждебно. Здесь, правда, возникает вопрос - откуда христиане из таких стран достанут электронные чётки.
Но, независимо от ответа на данный вопрос, могу сказать, что уязвимость уже закрыта и праву на свободное электронное вероисповедание ничего не угрожает.
Deus vult!
www.theregister.co.uk
Deus ex hackina: It took just 10 minutes to find data-divulging demons corrupting Pope's Click to Pray eRosary app
Vatican coders exorcise API gremlins but, we must confess, they missed one little monster....
Человеку свойственно стремиться к комфорту и уюту, забираться туда, где его никто не потревожит. И злоумышленники не являются исключением.
В ночь с 26 на 27 сентября немецкая полиция взяла штурмом подземный бункер (https://www.apnews.com/be9947471fb74360b6cf9d1d2b535927), в котором размещался здоровенный анонимный датацентр.
Заброшенный и впоследствии переоборудованный под ЦОД многоуровневый бункер НАТО штурмовали 650 человек, включая не только полицейских, но и медперсонал, и айтишников, и операторов дронов. Операция по захвату готовилась не один год, а задержанными оказались... всего 13 граждан в возрасте от 20 до 59 лет.
Собственно, хозяином анонимного хостинга и является тот самый пятидесятилетний товарищ. Про него известно, что уже довольно давно по документам он находится в Сингапуре, а по национальности является голландцем.
Стоит ли теперь удивляться, что на этом хостинге были обнаружены ресурсы по продаже всего многообразия наркотиков (Cannabis Road, Flight Vamp 2.0, Orange Chemicals и Wall Street Market). Кроме этого, Кибербункер (а именно так они себя и называли) являлся одним из самых больших мировых хостингов аниме и детской порнографии. Кстати, именно за это его официально и ликвидировали. И я имею ввиду не обычные аниме, конечно.
Вся эта история лишний раз указывает нам на то, как тесно связаны мир информационный и мир реальный.
В ночь с 26 на 27 сентября немецкая полиция взяла штурмом подземный бункер (https://www.apnews.com/be9947471fb74360b6cf9d1d2b535927), в котором размещался здоровенный анонимный датацентр.
Заброшенный и впоследствии переоборудованный под ЦОД многоуровневый бункер НАТО штурмовали 650 человек, включая не только полицейских, но и медперсонал, и айтишников, и операторов дронов. Операция по захвату готовилась не один год, а задержанными оказались... всего 13 граждан в возрасте от 20 до 59 лет.
Собственно, хозяином анонимного хостинга и является тот самый пятидесятилетний товарищ. Про него известно, что уже довольно давно по документам он находится в Сингапуре, а по национальности является голландцем.
Стоит ли теперь удивляться, что на этом хостинге были обнаружены ресурсы по продаже всего многообразия наркотиков (Cannabis Road, Flight Vamp 2.0, Orange Chemicals и Wall Street Market). Кроме этого, Кибербункер (а именно так они себя и называли) являлся одним из самых больших мировых хостингов аниме и детской порнографии. Кстати, именно за это его официально и ликвидировали. И я имею ввиду не обычные аниме, конечно.
Вся эта история лишний раз указывает нам на то, как тесно связаны мир информационный и мир реальный.
AP News
Germany shuts down illegal data center in former NATO bunker
German investigators say they have shut down a data processing center installed in a former NATO bunker that hosted sites dealing in drugs and other illegal activities.
Корпоративная этика
Мы уже не раз возвращались к вопросу значимости репутации в деловом мире. И я уже не однократно повторял, что целью хакеров может стать даже не кража имущества, а твоё доброе имя.
Но самое смешное, что и сами хакеры могут стать жертвами репутационной атаки.
Дело в том, что в сети появились злоумышленники-шантажисты, которые вымогают деньги у компаний, угрожая DDoS-атаками (https://www.zdnet.com/article/a-ddos-gang-is-extorting-businesses-posing-as-russian-government-hackers/).
Сама по себе история не нова, но есть два интересных момента.
Во-первых, для того, чтобы жертва была сговорчивее, злоумышленники проводят показательные атаки.
А во-вторых, видимо, чтобы повысить свой авторитет, шантажисты выдают себя за группу Fancy Bear, известную по совсем другим делам.
Со стороны это выглядит так, будто ребяткам очень захотелось казаться круче, чем они есть. Но, вместе с тем, как ты понимаешь, подобное поведение могло бы наложить отпечаток и на Fancy Bear. Могло бы, если бы мы с тобой не знали о принципе целесообразности, исходя из которого становится понятно, что такого рода атаки не являются профилем русскоязычной группировки.
Мы уже не раз возвращались к вопросу значимости репутации в деловом мире. И я уже не однократно повторял, что целью хакеров может стать даже не кража имущества, а твоё доброе имя.
Но самое смешное, что и сами хакеры могут стать жертвами репутационной атаки.
Дело в том, что в сети появились злоумышленники-шантажисты, которые вымогают деньги у компаний, угрожая DDoS-атаками (https://www.zdnet.com/article/a-ddos-gang-is-extorting-businesses-posing-as-russian-government-hackers/).
Сама по себе история не нова, но есть два интересных момента.
Во-первых, для того, чтобы жертва была сговорчивее, злоумышленники проводят показательные атаки.
А во-вторых, видимо, чтобы повысить свой авторитет, шантажисты выдают себя за группу Fancy Bear, известную по совсем другим делам.
Со стороны это выглядит так, будто ребяткам очень захотелось казаться круче, чем они есть. Но, вместе с тем, как ты понимаешь, подобное поведение могло бы наложить отпечаток и на Fancy Bear. Могло бы, если бы мы с тобой не знали о принципе целесообразности, исходя из которого становится понятно, что такого рода атаки не являются профилем русскоязычной группировки.
ZDNet
A DDoS gang is extorting businesses posing as Russian government hackers
Exclusive: Fake "Fancy Bear" group is demanding money from companies in the financial sector, threatening DDoS attacks.
Енотики
Все мы любим енотиков. Милые видосики с этими существами заставляют нас обманываться. Во-первых, енот является хищником и воришкой. А, во-вторых, может украсть у тебя конфиденциальную информацию, в том случае, если это программка Raccoon (https://www.cybereason.com/blog/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block) - инфостилер, начавший свою активность в сети совсем недавно. За короткое время он очень громко заявил о себе.
И сейчас этот представитель интернет-фауны продолжает набирать особую популярность на теневом рынке вредоносного ПО. Причина здесь в нескольких важных моментах.
Для начала - Raccoon довольно прост. Попав путём фишинга или какой-то другой подкачки на твой компьютер, он не теряет времени даром и начинает сразу тащить оттуда всё, что попадётся под руку.
При этом, разработчики злобного енота за умеренные деньги обеспечивают покупателей хостингом, панелью настроек и технической поддержкой.
Иными словами, как товар, Raccoon доступен почти каждому, а как ПО - предельно понятен и имеет техническое сопровождение.
Эти фишки выводят воришку в топ 10 самых упоминаемых малварей в Интернете на актуальный момент. Ну а для нас с тобой, это очередной пример высказывания "дёшево и сердито". А ещё, опасно.
Остерегайся енотов, друг мой!
Все мы любим енотиков. Милые видосики с этими существами заставляют нас обманываться. Во-первых, енот является хищником и воришкой. А, во-вторых, может украсть у тебя конфиденциальную информацию, в том случае, если это программка Raccoon (https://www.cybereason.com/blog/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block) - инфостилер, начавший свою активность в сети совсем недавно. За короткое время он очень громко заявил о себе.
И сейчас этот представитель интернет-фауны продолжает набирать особую популярность на теневом рынке вредоносного ПО. Причина здесь в нескольких важных моментах.
Для начала - Raccoon довольно прост. Попав путём фишинга или какой-то другой подкачки на твой компьютер, он не теряет времени даром и начинает сразу тащить оттуда всё, что попадётся под руку.
При этом, разработчики злобного енота за умеренные деньги обеспечивают покупателей хостингом, панелью настроек и технической поддержкой.
Иными словами, как товар, Raccoon доступен почти каждому, а как ПО - предельно понятен и имеет техническое сопровождение.
Эти фишки выводят воришку в топ 10 самых упоминаемых малварей в Интернете на актуальный момент. Ну а для нас с тобой, это очередной пример высказывания "дёшево и сердито". А ещё, опасно.
Остерегайся енотов, друг мой!
Cybereason
Hunting Raccoon: The New Masked Bandit on the Block
Nocturnus has investigated infections of the Raccoon stealer including its origin, team members, business model, and marketing efforts. We also cover Racoon's current capabilities and delivery methods, with a look into their future plans for the malware.
Специалисты-безопасники постоянно повторяют: "Не ходите по непонятным ссылкам". Но почти все мы учимся только на собственных ошибках. Этот факт лишний раз подтверждает новость (https://www.zdnet.com/article/new-unremovable-xhelper-malware-has-infected-45000-android-devices/) о программке-рекламщике, которая за последние шесть месяцев заразила около сорока пяти тысяч устройств на Андройде.
На данный момент, героя нашей сегодняшней новости, назвать малварью можно лишь с натяжкой. Программка xHelper обладает возможностью подгружать дополнительные модули, после попадания на смартфон жертвы. Однако всё, что она делает - это иногда (часто) включает рекламу на экране мобильного устройства. Бесит, но прямого урона не наносит.
Другой вопрос, что заражая более двух тысяч устройств ежемесячно, xHelper, однажды может перепрофилироваться в заметный ботнет, готовый выполнять приказы с командного сервера, с которым у него уже присутствует соединение по SSL-каналу.
Весёлой особенностью xHelper можно назвать высокий приоритет, с которым он запускается на заражённом устройстве. Рекламщик не только работает даже при забитой оперативной памяти, но и не отображается в списке запущенных программ. Это означает, что удалить обычными методами его не получится. Откатиться до заводских настроек ты, конечно, можешь, но и это не решит проблему. Да, этот странный зверь не исчезнет с твоего смартфона даже тогда.
Как же защитить себя и свой телефон от нагрузки бесполезной рекламой? Очень просто. xHelper заражает своих жертв, когда те пытаются установить программы с непроверенных репозиториев. После закачки паразит активируется при перезагрузке телефона, при подключении зарядного устройства, а также при удалении или установке какой-нибудь другой программы.
Таким образом, ты никогда не нарвёшься на этого паразита, если будешь использовать проверенные репозитории. Береги гаджет смолоду, что называется
На данный момент, героя нашей сегодняшней новости, назвать малварью можно лишь с натяжкой. Программка xHelper обладает возможностью подгружать дополнительные модули, после попадания на смартфон жертвы. Однако всё, что она делает - это иногда (часто) включает рекламу на экране мобильного устройства. Бесит, но прямого урона не наносит.
Другой вопрос, что заражая более двух тысяч устройств ежемесячно, xHelper, однажды может перепрофилироваться в заметный ботнет, готовый выполнять приказы с командного сервера, с которым у него уже присутствует соединение по SSL-каналу.
Весёлой особенностью xHelper можно назвать высокий приоритет, с которым он запускается на заражённом устройстве. Рекламщик не только работает даже при забитой оперативной памяти, но и не отображается в списке запущенных программ. Это означает, что удалить обычными методами его не получится. Откатиться до заводских настроек ты, конечно, можешь, но и это не решит проблему. Да, этот странный зверь не исчезнет с твоего смартфона даже тогда.
Как же защитить себя и свой телефон от нагрузки бесполезной рекламой? Очень просто. xHelper заражает своих жертв, когда те пытаются установить программы с непроверенных репозиториев. После закачки паразит активируется при перезагрузке телефона, при подключении зарядного устройства, а также при удалении или установке какой-нибудь другой программы.
Таким образом, ты никогда не нарвёшься на этого паразита, если будешь использовать проверенные репозитории. Береги гаджет смолоду, что называется
ZDNet
New 'unremovable' xHelper malware has infected 45,000 Android devices
Factory resets aren't helping. Neither are mobile antivirus solutions. Malware keeps reinstalling itself.
Что делать, если ты не хочешь быть частью новостей про утечки данных из банков
Что-то часто последнее время стали утекать данные клиентов не самых маленьких отечественных банков.
Вот и сейчас появилась очередная новость (https://xakep.ru/2019/11/05/alfa-leak/). На этот раз, жертвами злоумышленников оказались клиенты Альфа-банка. Часть утекших в сеть данных оказалась недостоверной, но и счета реальных пользователей действительно были скомпрометированы.
В связи с таким неприятным трендом, я бы хотел дать несколько советов по защите твоих банковских карт. Конечно, многое здесь зависит от кредитного учреждения Но и ты можешь приложить некоторые усилия, чтобы максимально обезопасить себя.
Итак.
Для начала, будь осторожен с банкоматами. Есть такие нехорошие ребятки, которых называют кардерами. Кардеры устанавливают на порт приёма карточек банкомата специальные устройства для считывания информации - скиммеры. Эти девайсы специально замаскированы под элемент терминала и ты можешь не сразу понять, что конкретный банкомат твоего банка чем-то отличается от всех остальных. Говорят, что кардеров не очень много, потому что их методы с большой натяжкой можно назвать выгодными.
Еще один нехитрый приём кражи - это когда злоумышленники подслушивают частоту, с которой ты набираешь пинкод. Задержка между нажатиями клавиш может дать вору представление о том, как расположены нажатые тобой кнопки. Дальше остаётся только вытащить карточку у тебя из кармана.
А ещё, храни карточку в специальном чехле, который защищает её от нежелательной бесконтактной оплаты. Эта мера выглядит немного паранойной и не всегда работает, но все же.
Дальше - проще. Не говори никому и никогда свой ПИН-код, не сообщай коды подтверждения по смс, нигде и никогда не озвучивай свой cvv. Помни, все эти данные открывают злоумышленнику дорогу к твоим финансам.
Пользуясь онлайн-сервисами, не забывай выходить из них по завершении работы. А когда во время оплаты заказа онлайн у тебя запросят данные карточки, убедись, что ты не попался на удочку фишинговой атаки. Помни - атаки на цепочки поставок никто не отменял и иной ресурс оплаты заботливо сохранит данные твоей карточки, чтобы передать их своему боссу-злоумышленнику.
Ну и самое главное - помни, что самая страшная (и часто - успешная) атака - это атака на человека. Если тебе позвонил сотрудник банка и начал уточнять данные карточки, убедись, что звонят действительно из банка. В конце концов, прерви разговор и сгоняй в ближайшее отделение или просто перезвони. Кстати, этот вариант мошенничества в топе за последние месяцы по аналитике Центробанка.
Вот как-то так. Конечно, возможных атак и угроз в нашем мире гораздо больше. Но главная защита - это твоя бдительность. Помни, что большинство грабежей происходят не из-за утечек данных пользователей, а из-за банальной доверчивости рядовых граждан, которых бессовестные воры обкрадывают повсеместно каждый день.
Что-то часто последнее время стали утекать данные клиентов не самых маленьких отечественных банков.
Вот и сейчас появилась очередная новость (https://xakep.ru/2019/11/05/alfa-leak/). На этот раз, жертвами злоумышленников оказались клиенты Альфа-банка. Часть утекших в сеть данных оказалась недостоверной, но и счета реальных пользователей действительно были скомпрометированы.
В связи с таким неприятным трендом, я бы хотел дать несколько советов по защите твоих банковских карт. Конечно, многое здесь зависит от кредитного учреждения Но и ты можешь приложить некоторые усилия, чтобы максимально обезопасить себя.
Итак.
Для начала, будь осторожен с банкоматами. Есть такие нехорошие ребятки, которых называют кардерами. Кардеры устанавливают на порт приёма карточек банкомата специальные устройства для считывания информации - скиммеры. Эти девайсы специально замаскированы под элемент терминала и ты можешь не сразу понять, что конкретный банкомат твоего банка чем-то отличается от всех остальных. Говорят, что кардеров не очень много, потому что их методы с большой натяжкой можно назвать выгодными.
Еще один нехитрый приём кражи - это когда злоумышленники подслушивают частоту, с которой ты набираешь пинкод. Задержка между нажатиями клавиш может дать вору представление о том, как расположены нажатые тобой кнопки. Дальше остаётся только вытащить карточку у тебя из кармана.
А ещё, храни карточку в специальном чехле, который защищает её от нежелательной бесконтактной оплаты. Эта мера выглядит немного паранойной и не всегда работает, но все же.
Дальше - проще. Не говори никому и никогда свой ПИН-код, не сообщай коды подтверждения по смс, нигде и никогда не озвучивай свой cvv. Помни, все эти данные открывают злоумышленнику дорогу к твоим финансам.
Пользуясь онлайн-сервисами, не забывай выходить из них по завершении работы. А когда во время оплаты заказа онлайн у тебя запросят данные карточки, убедись, что ты не попался на удочку фишинговой атаки. Помни - атаки на цепочки поставок никто не отменял и иной ресурс оплаты заботливо сохранит данные твоей карточки, чтобы передать их своему боссу-злоумышленнику.
Ну и самое главное - помни, что самая страшная (и часто - успешная) атака - это атака на человека. Если тебе позвонил сотрудник банка и начал уточнять данные карточки, убедись, что звонят действительно из банка. В конце концов, прерви разговор и сгоняй в ближайшее отделение или просто перезвони. Кстати, этот вариант мошенничества в топе за последние месяцы по аналитике Центробанка.
Вот как-то так. Конечно, возможных атак и угроз в нашем мире гораздо больше. Но главная защита - это твоя бдительность. Помни, что большинство грабежей происходят не из-за утечек данных пользователей, а из-за банальной доверчивости рядовых граждан, которых бессовестные воры обкрадывают повсеместно каждый день.
XAKEP
СМИ сообщили об утечке данных клиентов «Альфа-банка»
По информации РБК, в сети выставили на продажу информацию о владельцах кредитных карт «Альфа-банка» и клиентах «АльфаСтрахования».