Лаборатория 009
Информационных технологий

21 июня 2017

Eset объявила предупреждение о новой фишинговой атаке – мошенники собирают данные банковских карт, действуя от лица сервиса Uber.

Новая мошенническая кампания началась 17 июня. Потенциальным жертвам высылают по электронной почте письма «из Uber», в которых предлагается получить крупную скидку на следующую поездку в такси. 

Кликнув на баннер «акции» в письме, пользователь попадает на фишинговый сайт. Он не имеет ничего общего с настоящим сайтом сервиса, несмотря на то, что внешне напоминает оригинал, а в URL-адресе фигурирует слово «uber». Мошенники зарегистрировали поддельный сайт 16 июня, за несколько часов до начала атаки. 

На фишинговом сайте пользователя поздравляют с «выигрышем» и предлагают создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке. Кнопка «входа» перенаправляет пользователя на поддельную страницу регистрации – там нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты. 

После ввода данных пользователь попадет на настоящий сайт Uber, а мошенники получат информацию, необходимую для доступа к банковскому счету жертвы.

В Eset проверили статистику переходов по короткой ссылке из фишингового письма. С 18 июня «за скидкой» на сайт мошенников прошли почти 50 тыс. пользователей, преимущественно из Бразилии, США, Южной Кореи, Испании и Германии. 

«Не факт, что все пользователи, посетившие фишинговый сайт, заполнили анкету и отправили мошенникам данные банковских карт, – отметил Алексей Оськин, руководитель отдела технического маркетинга Eset Russia. – Проблема в том, что пятьдесят тысяч человек, по всей видимости, внимательно читают фишинговые письма и переходят по ссылкам из них. Неудивительно, что такой классический инструмент мошенников как спам по-прежнему эффективен». 

Специалисты Eset обнаружили рассылку и поддельный сайт на португальском языке. Но мошенникам не составит труда перенацелить атаку на другие аудитории. 

Eset рекомендует игнорировать спам-рассылки и использовать комплексные антивирусные продукты с функциями антиспама и антифишинга. Информацию о скидках и спецпредложениях Uber и других компаний лучше перепроверять на официальных сайтах. 

Источник: www.cnews.ru

20 июня 2017

Positive Technologies объявила о выпуске новой версии системы для защиты веб-приложений от атак — PT Application Firewall. Как рассказали CNews в компании, в продукте появились готовые шаблоны политик безопасности, а первоначальная настройка может быть выполнена быстро и без труда –– через мастер настройки системы. Также усовершенствованы защитные механизмы: наряду с возможностью быстро и тонко настраивать продукт под индивидуальные сценарии –– для более эффективной защиты, теперь можно замаскировать номера банковских карт и другие чувствительные данные так, что их не сможет увидеть даже администратор продукта.

«Сегодня уязвимость в веб-приложении может поставить под угрозу защищенность всей инфраструктуры организации. При этом у большинства современных компаний не одно и не два приложения, а значит риски безопасности всегда высоки, — отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов. — Но далеко не все заказчики в состоянии выделить и обучить квалифицированного специалиста для настройки и администрирования средств защиты приложений. Такая ситуация негативно сказывается не только на безопасности организации, но и на эффективности ее бизнес-процессов. Поэтому в новом PT Application Firewall мы сосредоточились не только на совершенствовании защитных механизмов, но и на гибкости и удобстве использования. В результате мы существенно упростили процессы установки и администрирования продукта. Для организаций это означает значительную экономию ресурсов при стабильно высоком уровне защищенности».

Теперь организации смогут подключить PT Application Firewall к своим IP-сетям без внесения изменений в их конфигурацию. Это возможно благодаря новым моделям развертывания — сетевому мосту L2 и прозрачному прокси-серверу. Модель сетевого моста L2 выявляет попытки проникновения, и администраторы могут своевременно их отслеживать. Режим прозрачного прокси-сервера дает администраторам возможность либо просто обнаруживать вредоносный трафик, либо незамедлительно блокировать подозрительную активность. Отдельно следует отметить возможность мгновенного переключения между моделями прямо в веб-интерфейсе.

Для большего удобства и большей защищенности PT Application Firewall вводит новый подход к работе с политиками безопасности. На основании исследований эксперты Positive Technologies разработали шаблоны политик безопасности, которые теперь доступны в продукте по умолчанию. Администратор может выбирать и без лишних усилий настраивать их в самых разных модификациях: по уровню безопасности, для одного или нескольких приложений или их отдельных частей. Созданные шаблоны можно сохранять и использовать для новых сайтов.

Вместо выполнения многочисленных команд можно осуществить первичную настройку параметров развертывания через мастер настройки системы. Благодаря автоматическому определению защищаемых приложений, релевантному для режимов прозрачного прокси-сервера, сетевого моста L2 и SPAN, больше не придется держать в уме все серверы и IP-адреса. Эти и другие автоматизированные функции позволяют существенно экономить время администраторов, при этом не требуя глубокой технической подготовки.

Безопасность важна, но одновременно с этим для многих организаций не менее актуально обеспечить непрерывность работы приложений. Теперь, если в приложении обнаружены незначительные дефекты, с помощью PT Application Firewall можно поддерживать его нормальную работу, пока дефекты будут исправляться на стороне сервера.

Бизнес все больше полагается на «облака» и использует их в том числе для размещения своих веб-положений. При этом надо помнить, что «в облаке» приложение подвержено не только всем тем же угрозам, что и на серверах компании, но и угрозам, специфичным для облачных сред. PT Application Firewall теперь доступен в публичном облаке Microsoft Azure и позволяет защищать приложения как от облачных, так и от традиционных «земных» угроз.

В рамках интеграционного решения PT Application Firewall и межсетевого экрана Check Point стала возможна отправка данных об инцидентах и атаках из PT Application Firewall в Check Point SmartCenter. Это позволяет эффективно сопоставлять события безопасности от обоих продуктов, обеспечивая более точное обнаружение атак.

Администратор может создавать правила определения конфиденциальных данных пользователей, таких как паспортные данные или номера банковских карт. Эти правила можно применить, например, для того, чтобы маскировать такую информацию от третьих лиц или даже от администраторов PT Application Firewall. В последующих версиях правила маскирования данных будут настроены уже заранее для мгновенного развертывания.

«Это обновление — большой шаг навстречу насущным потребностям рынка, — отметил Максим Филиппов. — Мы прилагаем большие усилия, чтобы принципиально упростить развертывание и использование продукта. Многие процессы, которые ранее были достаточно сложными и занимали много времени, теперь упростились. Конечно, нам всегда есть что усовершенствовать в плане защиты, интеграции и удобства для пользователей. Мы продолжаем двигаться во всех этих направлениях, и каждая новая версия нашего продукта будет нацелена на соответствие требованиям рынка».

Источник: www.cnews.ru

20 июня 2017

Первопричина волны троянцев

Эксперты компаний Fortinet, Checkpoint и «Доктор Веб» нашли объяснение недавнему резкому росту количества банковских троянов для платформы Android, отследив начало волны до одного-единственного поста на андерграундном русскоязычном форуме Exploit.in. Некто под ником maza-in опубликовал там учебник по созданию банковского трояна с примером кода. Это привело к лавинообразному росту количества клонов.

Появление всплеска датировано началом зимы 2016 г. Именно тогда на хакерском форуме появились подробные инструкции, как написать банковский троян с базовыми функциями — BankBot. Сразу после этого эксперты «Доктора Веб» обнаружили многочисленные атаки с помощью этого трояна, нацеленные на российские банки. Через некоторое время в Google Play начали появляться приложения, содержащие этот троян.

Как отмечает автор статьи в Bleeping Computer, maza-in не только опубликовал учебник и исходный код для BankBot, но и пригласил поразвлечься всех желающих и регулярно обновлял информацию о своем детище.

Учебник по троянам: один пост на подпольном форуме привел к всплеску активности BankBot

В итоге исследователь Лукас Стефанко (Lucas Stefanko), сотрудничающий с Securify и ESET, насчитал более 60 кампаний по распространению разных вариаций BankBot. Большая часть этих кампаний пришлась на апрель-июнь 2017 г.

Обфускация как билет в Google Play

Эксперты компании Check Point согласны с исследователями «Доктора Веб» в том, что всплеск BankBot напрямую связан с публикацией кода на Exploit.in. Что же касается попадания в Google Play, то, по мнению специалистов Check Point и их коллег из Fortinet, зловред использует мощную обфускацию (запутывание) кода, и именно поэтому автоматизированные средства проверки Google на вредоносность пропускают эти приложения.

В интервью Forbes maza-in заявил, что сам он не является киберпреступником, что BankBot написал совсем другой человек, а он всего лишь хотел показать, как просто обойти механизмы безопасности в Android.

В Check Point, однако, уверены, что BankBot написал именно maza-in. Есть также свидетельства того, что автор этой вредоносной программы занимался разработкой еще одного банковского трояна, известного под названием Mazar Bot, чей пик активности пришелся на 2015-2016 гг.

Mazar, по-видимому, является доработанной версией другой вредоносной программы, GM Bot, которую эксперты называют одним из самых продвинутых банковских троянов. Несколько разных разработчиков купили его код (прежде, чем произошла его утечка) и использовали в своих собственных изделиях. Так появились Bankosy, Acecard, SlemBunk и Mazar Bot.

Именно благодаря коду GM Bot maza-in получил нужные навыки: функциональность BankBot намного превосходит базовую по всем показателям. Этот троян способен перекрывать собственными оверлеями многочисленные банковские приложения на разных версиях Andorid, перехватывать SMS и USSD-коды для обхода двухфакторной верификации, красть логины и пароли из множества приложений, причем далеко не только банковских. При этом он конфигурирован таким образом, что злоумышленнику, решившему им воспользоваться, потребуется только добавить фейковый интерфейс приложения, которое он хочет атаковать. Никаких технических навыков сверх этого для использования троянца не требуется.

«Вредоносные инструменты, с помощью которых кибератаки может совершать любой желающий, вне зависимости от наличия у него хакерских навыков, — это проблема, масштабы которой растут год от года, — отмечает Ксения Шилак, директор по продажам компании SEC-Consult. — Даже если сами конечные операторы банковских троянцев ничего не умеют, они "берут числом". В то время как Google постоянно совершенствует защиту своей операционной системы и магазина Google Play, проблема сохраняется. Системное противодействие банковским троянцам должны уметь оказывать сами конечные пользователи».

Источник: www.cnews.ru

19 июня 2017

Крупнейшая утечка в истории

Персональные данные более 198 млн американских избирателей были непреднамеренно выложены в интернет. Их обнаружили на сервере Amazon S3, занятом аналитической компанией Deep Root Analytics (DRA), которая собирает информацию для Национального комитета Республиканской партии США. Данные никак не были защищены и находились в публичном доступе, их можно было свободно скачать.

Ресурс UpGuard назвал происшествие самым крупным инцидентом такого рода, поскольку 198 млн – это почти все зарегистрированные избиратели США, которых в общей сложности около 200 млн. Утечку обнаружил аналитик UpGuard по кибер-рискам Крис Викери (Chris Vickery), он же проверил подлинность данных.

Какие именно данные утекли

Общий объем утечки составляет около 1,1 ТБ. Данные были собраны DRA и еще двумя подрядчиками Республиканской партии: аналитическими фирмами TargetPoint Consulting, Inc. и Data Trust. База содержит сведения об имени, дате рождения, домашнем адресе, телефонных номерах, партийной принадлежности каждого избирателя и подробности его регистрации. Кроме того, указана вероятная этническая и религиозная принадлежность граждан, а также их предположительные политические убеждения, смоделированные аналитиками компаний-подрядчиков.

Утекшая база состоит из десятков таблиц. Информация была собрана в ходе подготовки к президентским выборам 2016 г., после которых президентом США стал Дональд Трамп (Donald Trump), а также во время прошлых предвыборных кампаний. Последний раз данные обновлялись в январе 2017 г., примерно во время инаугурации нового президента. За каждым избирателем в базе закреплен идентификационный номер, присвоенный ему Республиканской партией во время президентских выборов 2008 г. и 2012 г. В таблице, которая посвящена выборам 2016 г., представлены не все избиратели, а только жители штатов Огайо и Флорида, играющих ключевую роль в ходе американских выборов.

Реакция компании

Алекс Ландри (Alex Lundry), со-основатель DRA, сообщил, что компания действительно занимает этот сервер Amazon S3, а также подтвердил факт утечки. Компания готова взять на себя «полную ответственность за ситуацию». ИТ-отдел DRA уже обновил настройки доступа на сервере и установил протокол, который поможет избежать подобных инцидентов. Расследование происшествия продолжается, однако, по предварительным данным, это не хакерская атака.

Фирма-подрядчик Республиканской партии выложила в сеть персональные данные избирателей

DRA сообщает, что собранные ею данные использовались для того, чтобы помочь политикам выбрать лучшее время для показа их рекламных роликов по телевидению. Найденные на том же сервере данные фирмы TargetPoint о должны были просто дать кандидатам в президенты представление о политических симпатиях избирателей.

Похожие инциденты

В конце 2015 г. тот же самый Крис Викери сообщил еще об одной утечке данных американских избирателей. База данных, в которой числились 191 млн граждан США, содержала их полные имена и адреса, даты рождения, номера телефонов, адреса электронной почты, данные о политических пристрастиях, ID, историю голосований с 2000 г., а также прогноз голосования избирателей на предстоящих выборах.

Эксперты возложили вину за утечку на компанию NationBuilder, разрабатывающую ПО для проведения выборов. Когда Викери и его коллегам не удалось связаться с представителями этой компании, они сообщили о проблеме в ФБР, генпрокуратуру Калифорнии и в Internet Crime Complaint Center (IC3). Позже NationBuilder заявила, что IP, на котором была опубликована база данных, не принадлежит ни ей, ни ее клиентам, однако эксперты выразили сомнение в искренности этого заявления, поскольку, по их мнению, структура базы данных и отдельные ее поля напрямую указывают на принадлежность к NationBuilder.

В апреле 2016 г. Викери обнаружил еще одну утечку такого рода – на этот раз речь шла о 87 млн мексиканских избирателей. Состав данных был практически такой же, как в американских инцидентах: имена, адреса и т. д. Информация была также обнаружена на сервере Amazon. Немногим ранее в том же 2016 г. подобный слив был допущен на Филиппинах, он затронул 70 млн избирателей.

Источник: www.cnews.ru

19 июня 2017

Глава Роскомнадзора обращается к Павлу Дурову

Главы Роскомнадзора Александр Жаров лично обратиться к основателю мессенджера Telegram Павлу Дурову с требованием о включении мессенджера в реестр организаторов распространения информации (ОРИ). Об этом Жаров сообщил агентству «Интерфакс».

Глава Роскомнадзора добавил, что его ведомство ждет ответа от Telegram о предоставлении информации, необходимой для включения сервиса в реестр ОРИ. Пока ответа нет, в связи с чем Жаров и намерен в течение недели обратиться к Дурову напрямую.

Что требуют от мессенджеров российские законы

Напомним, в 2014 г. в России был принят так называемый Закон о блогерах. Он ввел понятие организатора распространения информации в сети интернет: это любой сайт или сервис, который позволяет общаться пользователям интернета, за исключением сайтов для личных и семейных нужд.

ОРИ обязаны регистрироваться в соответствующем реестре Роскомнадзора и предоставлять правоохранительным органам доступ к информации о своих пользователях. В первой версии закона говорилась также, что в ОРИ обязаны в течении полугода хранить на территории России информацию о действиях российских пользователях. За отказ сотрудничества сервисы должны быть заблокированы на территории России.

Глава Роскомнадзора Александр Жаров лично попросит Павла Дурова
предоставить данные для включения Telegram в реестр

В 2016 г. был принят так называемый «Закон Яровой», который расширил требования к ОРИ. Теперь информация о действиях российских пользователях должна храниться в течении года. А в случае использования пользователями шифрования сообщений, российским правоохранительным органам должны быть предоставлены ключи для их дешифровки.

Кроме того, с 1 июля 2018 г. вступил в силу наиболее сложное требование: ОРИ должны будут хранить на территории России содержимое сообщений, передаваемых их пользователями, сроком до полугода.

Хотя «Закон о блогерах» заработал в первоначальной редакции осенью 2014 г., до недавнего времении в реестр ОРИ были включены только российские сервисы. Иностранные площадки данный реестр игнорировали, а Роскомнадзор не применял к ним санкции.

Какие мессенджеры уже заблокированы в России

Но в 2017 г. за отказ регистрироваться в реестре ОРИ в России было заблокировано ряд мессенджеров «второго эшелона»: Zello (аналог рации для смартфонов) , BlackBerry Messenger, Imo, Line и Vchat. На некоторое время был заблокирован доступ и к популярному в Китае мессенджеру Wechat, однако затем он согласился войти в реестр ОРИ и был разблокирован.

Также из иностранных мессендежров в реестр ОРИ вошли Snaappy и Threema. В то же время представители Telegram и лично Павел Дуров ранее неоднократно говорили, что они не намерены передавать властям каких-либо стран информации о своих пользователях. В связи с тем, что над Telegram нависла угроза блокировка с территории России, авторы нескольких Telegram-каналов направляли Дурову петицию с просьбой не допустить этого.

Возможно, стороны договорятся «за кулисами»

Координатор проекта «Роскомсвобода» Артем Козлюк уверен, что Telegram не будет вступать в реестр ОРИ. «Ранее Дуров озвучивал свою позицию на данный счет, и вряд ли Жаров найдет аргументы, чтобы его переубедить, К тому же недавно Telegram запустил функцию звонков - соответственно, для исполнения требований российских законов мессенджеру придется записывать содержимое переговоров и хранить их на территории России. Впрочем, возможно, переговоры Telegram с Роскомнадзором приведут к каким-то кулуарным переговорам, но об их содержимом мы вряд ли узнаем».

Источник: www.cnews.ru

19 июня 2017

Специалисты «Доктор Веб» обнаружили Android-троянца, которым вирусописатели управляют с использованием протокола Telegram. Эта вредоносная программа крадет конфиденциальную информацию и выполняет команды злоумышленников.

Троянец, получивший имя Android.Spy.377.origin, представляет собой утилиту удаленного администрирования (Remote Administation Tool, или RAT), которая распространяется под видом безобидных приложений и атакует иранских пользователей. Она может устанавливаться на смартфоны и планшеты как программа с именем «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») и «Cleaner Pro».

При запуске троянец предлагает владельцу мобильного устройства проверить, насколько тот популярен среди других пользователей Telegram, для чего просит указать персональный идентификатор. После того как жертва вводит любую информацию в соответствующую форму, Android.Spy.377.origin показывает «количество посетителей» ее профиля. Однако в действительности никакой проверки троянец не выполняет. Он лишь генерирует случайное число, которое и выдает за правдивый результат. Эта функция призвана снять подозрение с вредоносной программы и создать впечатление того, что она не представляет опасности. Через некоторое время после запуска Android.Spy.377.origin удаляет свой значок из списка приложений в меню главного экрана устройства и закрывает свое окно, пытаясь скрыть присутствие в системе.

Android.Spy.377.origin – классическая программа-шпион, способная удаленно выполнять команды злоумышленников. Главное отличие этого вредоносного приложения от других Android-троянцев заключается в том, что для его управления киберпреступники используют протокол обмена сообщениями онлайн-мессенджера Telegram. Это первый известный вирусным аналитикам «Доктор Веб» троянец для ОС Android, в котором реализована такая функция.

После удаления значка программы Android.Spy.377.origin копирует контакты из телефонной книги, входящие и исходящие СМС-сообщения, а также сведения об учетной записи Google владельца мобильного устройства. Затем он сохраняет эти данные в текстовые файлы в своем рабочем каталоге. Кроме того, троянец делает фотоснимок при помощи фронтальной камеры, чтобы запечатлеть лицо пользователя. Далее шпион загружает созданную фотографию и файлы с украденной информацией на управляющий сервер и отправляет Telegram-боту киберпреступников сигнал об успешном заражении устройства.

После кражи конфиденциальной информации Android.Spy.377.origin вновь подключается к боту и ожидает от него сообщений, в которых будут содержаться управляющие команды. Троянец может получать директивы call – выполнить телефонный звонок;, sendmsg – отправить СМС; getapps – передать на сервер информацию об установленных приложениях; getfiles – передать на сервер информацию обо всех доступных на устройстве файлах; getloc – отправить на сервер информацию о местоположении устройства; upload – загрузить на сервер указанный в команде файл, который хранится на устройстве; removeA – удалить с устройства указанный в команде файл; removeB – удалить группу файлов; lstmsg – передать на сервер файл с информацией обо всех отправленных и полученных СМС, включая номера отправителей и получателей, а также содержимое сообщений.

При выполнении каждой команды вредоносная программа информирует об этом Telegram-бота вирусописателей.

Помимо сбора конфиденциальных данных по команде киберпреступников Android.Spy.377.origin самостоятельно отслеживает все входящие и исходящие СМС, а также координаты устройства. При поступлении или отправке новых сообщений и изменении местоположения зараженного смартфона или планшета троянец передает эту информацию Telegram-боту злоумышленников.

Специалисты компании «Доктор Веб» предупреждают, что вирусописатели очень часто распространяют вредоносные приложения под видом безобидных программ. Для защиты от Android-троянцев следует устанавливать ПО только от известных разработчиков и загружать его из надежных источников, таких как каталог Google Play. Все известные версии троянца Android.Spy.377.origin детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот шпион опасности не представляет.

Источник: www.cnews.ru

19 июня 2017

Взлом ПК с помощью сигареты

Электронные сигареты можно использовать для взлома компьютера, приложив минимум усилий. Об этом сообщил исследователь кибербезопасности Росс Бевингтон (Ross Bevington). На конференции BSides London 2017 он продемонстрировал процесс взлома. По словам исследователя, его тактика эффективна для разблокированных систем, однако можно разработать такой сценарий атаки через сигарету, который будет срабатывать и на заблокированных ПК.

Поскольку электронные сигареты заряжаются через порт USB, владельцы часто подключают их к компьютеру, а не напрямую к розетке. Вмонтировав в сигарету дополнительную микросхему, можно убедить ПК, что это клавиатура. Соответственно, ОС начнет выполнять все команды, исходящие от подключенного устройства. Возможен и другой вариант: сигарета начинает взаимодействовать с сетевым трафиком, что также приводит ко взлому.

По словам Бевингтона, электронная сигарета не может вместить слишком объемный код, что накладывает ограничения на выбор вредоносного ПО. Например, известная программа-вымогатель WannaCry в сотни раз превышает лимит сигареты. Однако теоретически сигарету можно модифицировать таким образом, чтобы загрузить более объемный файл из интернета.

Независимое подтверждение

Открытие Бевингтона было подтверждено пользователем интернета по имени FourOctets, который выложил в соцсети Twitter видео, демонстрирующее механизм подобной атаки. На видео пользователь подключает электронную сигарету к ноутбуку, после чего компьютер начинает выполнять посторонние коды. Например, на экране сама по себе возникает определенная фраза, или в память ноутбука загружается вредоносное ПО.

Для взлома ПК злоумышленник может использовать электронную сигарету

Как поясняет FourOctets, он использовал ту же тактику, что и Бевингтон: заставил компьютер распознать сигарету как клавиатуру или мышь. Чтобы загрузить и исполнить на ПК вредоносный файл, потребовалось написать скрипт, состоящий менее чем из 20 строк.

Известные инциденты

В 2014 г. пользователь Reddit по имени Jrockilla рассказал о реальном случае взлома корпоративного компьютера с помощью электронной сигареты. Инцидент произошел в «крупной компании», название которой не уточняется. На компьютере одного из менеджеров было обнаружено вредоносное ПО. ИТ-отдел компании долго не мог выяснить, откуда оно взялось: на компьютере стояла современная обновленная защита.

Перебирая различные варианты, ИТ-специалисты, наконец, спросили менеджера, были в его жизни в последнее время какие-либо изменения. Он ответил, что две недели назад перешел с обычных сигарет на электронную. Сотрудники ИТ-отдела попросили ее показать. Это было устройство «серого» китайского бренда, купленное за $5 на EBay. Тестирование показало, что после подключения к USB-порту сигарета отсылает сигнал в свою «домашнюю» систему и заражает компьютер.

Источник: www.cnews.ru

19 июня 2017

Без срока давности

Компания Samsung не позаботилась о продлении прав на доменное имя приложения, используемого для управления одним из своих приложений, и таким образом оставила уязвимыми для атаки хакеров миллионы смартфонов предыдущих лет выпуска, сообщило онлайн-издание Motherboard.Vice со ссылкой на слова Жоао Гувейа (João Gouveia), главного технического специалиста специализирующейся в области ИБ компании Anubis Labs.

Освободившийся домен, не продленный вовремя Samsung, по словам Гувейа, с определенной долей вероятности мог бы быть зарегистрирован злоумышленниками, которые смогли бы получить дистанционный контроль за миллионами смартфонов и возможность установки на них вредоносных приложений.

На множестве старых, но используемых по сей день смартфонов производства Samsung установлено стоковое приложение S Suggest, предназначенное для рекомендаций других популярных приложений. Освободившийся недавно ввиду отсутствия домен ssuggest.com, ранее использовавшийся для контроля и управления приложением S Suggest, был зарегистрирован на прошлой неделе Жоао Гувейа.

Жив-здоров и по-прежнему потенциально опасен

Несмотря на тот факт, что, по данным Samsung, компания прекратила развитие и поддержку S Suggest еще в 2014 г., Гувейа утверждает, что всего лишь за 24 часа владения доменом успел зарегистрировать более 620 млн регистраций или подключений от более чем 2,1 млн уникальных устройств. 

Приложение S Suggests

Опасность ситуации заключается в том, что при приложение S Suggests требует ряд прав доступа к системе устройства, включая такие критичные опции как полная дистанционная перезагрузка смартфона, установка приложений и дополнительных пакетов.

Права доступа приложения S Suggests

После первой огласки этой истории, представители Samsung связались с редакцией Motherboard, попыталась оспорить претензии исследователей. По словам представителей компании, перехват управления доменом «не дает возможность установки вредоносных приложений, и не обеспечивает удаленный контроль за телефонами пользователей».

Вступивший в полемику Бен Актис (Ben Actis), независимый исследователь в области безопасности Android-устройств, полностью подтвердил опасения Жоао Гувейа. Если бы контроль за доменом перехватил не Гувейа, а хакеры, они бы смогли установить скрытые или вредоносные приложения на миллионы смартфонов Samsung, подчеркнул Бен Актис: «они [Samsung] несомненно сплоховали. Приложение определенно позволяет устанавливать на смартфон другие приложения».

По словам Жоао Гувейа, сейчас – после перерегистрации домена на его имя, пользователям смартфонов Samsung с предустановленным приложением S Suggest бояться нечего (разве что кроме использования гаджетов под управлением старой уязвимой версии ОС Android). 

По словам Гувейа, он хотел бы вернуть домен Samsung: «Надеюсь, они больше его не потеряют».

Источник: www.cnews.ru

19 июня 2017

Признание во взломе

25-летний хакер Шон Кэффри (Sean Caffrey) признал себя виновным в краже личных данных — пользовательских имен и почтовых адресов — из американской спутниковой системы связи, которую используют военные.

В 2014 г. ему удалось вломиться в эту систему и вывести из нее данные 800 пользователей системы в целом и некие данные еще о 30 тыс. пользователей спутниковых телефонов.

Каким именно образом ему удалось это сделать, не сообщается. Кэффри не удалось также украсть ни пароли, ни какие-либо другие, более существенные данные из этой системы.

Тем не менее, свою добычу Кэффри бережно хранил, и выследившие его британские полицейские обнаружили данные на жестких дисках принадлежавших хакеру компьютерах.

Хакер из Великобритании влез в американскую спутниковую сеть для военных и попался

Министерство обороны США инкриминирует Кэффри ущерб в размере $628 тыс. — только за кражу пользовательских имен и почтовых адресов.

Кэффри удалось выследить благодаря оставленным на Pastebin сообщениям, где содержались как подробности взлома, так и угрозы в адрес хакерской группировки Lizard Squad, в прошлом атаковавшей игровые сервисы PlayStation Network и Xbox Live.

Подробности ареста

Кэффри был арестован в марте 2015 г., и, видимо, все это время находился в тюрьме: только сейчас он признал вину в том, что «посредством компьютерных функций получил несанкционированный доступ к программе или данным».

Размер реального ущерба, причиненного хакером, правоохранительным органам явно был не столь важен, как сам факт поимки преступника.

«Никому не следует полагать, что у киберпреступлений нет жертв или что они могут оставаться безнаказанными. В Национальном агентстве по борьбе с преступностью работают люди с такими же навыками, как у Кэффри, но только находящиеся по другую сторону баррикад: они выявляют киберпреступников и привлекают их к ответственности», — говорит представитель Агентства Джейни Янг (Janey Young).

Источник: www.cnews.ru

16 июня 2017

Zecurion совместно с Управлением науки и внедрения научных разработок мэрии города Новосибирска проведет мероприятие, направленное на повышение уровня осведомленности о современных киберугрозах и средствах борьбы с ними.

«Неделя информационной безопасности» направлена на обсуждение перспектив внедрения и развития лучших разработок в сфере информационной и кибербезопасности на предприятиях города. 

В рамках конференции генеральный директор Zecurion Алексей Раевский расскажет о влиянии современных киберугроз на жизнь современного города. Роман Подкопаев, вице-президент Zecurion по России и СНГ, в рамках Круглого стола выступит с докладом на тему «Бесперебойная работа предприятий города и информационная безопасность: современные вызовы и решения». 

Деловая программа конференции охватит широкий спектр вопросов в области информационной безопасности. Среди тем — защита от внутренних угроз с помощью современных DLP-систем, сохранность коммерческих, личных и государственных данных в условиях открытости информационного пространства. Также будут рассмотрены практические ситуации по предотвращению утечек на примере разных отраслей городского хозяйства. 

Конференция «Неделя информационной безопасности в условиях "Умного города": внедрение ИТ-разработок для городского хозяйства и предприятий города Новосибирска» пройдёт с 19 по 23 июня 2017 г. в мэрии г. Новосибирска. В мероприятии примут участие предприятия всех сфер городского хозяйства и коммерческие компании из разных отраслей. 

Источник: www.cnews.ru