Profile cover photo
Profile photo
SPro
4 followers
4 followers
About
Posts

Post has attachment
Public
Рекламный троян AdService крадет данные из учетных записей в Facebook и Twitter

Вредонос использует метод подмены оригинальных DLL-библиотек Chrome для кражи информации из учетных записей пользователей в Facebook и Twitter.
Эксперты заметили новую кампанию по распространению трояна AdService, похищающего пароли от учетных записей. Вредонос, распространяющийся в составе комплектов рекламного ПО, использует метод подмены оригинальных DLL-библиотек (динамически подключаемая библиотека) Chrome для загрузки и хищения информации из учетных записей пользователей в Facebook и Twitter.
AdService помещает вредоносную версию winhttp.dll в папку C:\Program Files (x86)\Google\Chrome\Application. Таким образом при запуске Chrome процесс chrome.exe загрузит вредоносную winhttp.dll вместо оригинальной.
После запуска браузера троян связывается с удаленным сервером для отправки/получения информации и пытается подключиться к Facebook и Twitter с целью хищения различной информации, в том числе сведений о настройках профиля, закладках, используемых методах оплаты и сохраненных данных кредитных карт (типе карты, последних 4 цифрах карты, дате окончания срока ее действия и привязанном к карте почтовом индексе), списке друзей, адресе электронной почты и пр.
Ранее специалисты «Лаборатории Касперского» обнаружили новый мобильный рекламный троян Xafekopy, который незаметно для своих жертв подписывает их на различные платные сервисы. Вредонос осуществляет подписку посредством кликов по ссылкам или SMS-сообщений. В первом случае троян даже способен обходить CAPTCHA. Xafekopy нацелен преимущественно на жителей России и Индии.
Photo

Post has attachment
Public
Эволюция и эскалация: две ключевые тенденции киберугроз

Существующие угрозы обострились, и в турбулентном 2017 году появились новые угрозы. Ransomware (вирусы-вымогатели), DDoS-атаки на основе IoT угрожали интернету, политические диверсии и саботажи росли, а хакеры переходили к атакам без вредоносного ПО. Эти и другие угрозы освещены в новом докладе Symantec об угрозах безопасности Интернета.
Ransomware продолжили свое развитие. «Количество новых семейств вымогателей, обнаруженных в течение прошлого 2016 года, увеличилось более чем в три раза до 101, а Symantec зафиксировало 36% ное увеличение заражения для целей вымогательства». Требования выкупа также усилились: «средний размер выкупа в 2016 году вырос до 1 077 долларов, по сравнению с 294 годом ранее», — отмечается в отчете.
На самом деле угроза стала настолько серьезной, что на этой неделе советник по безопасности F-Secure Шон Салливан предупредил, что правительствам необходимо найти способ сократить использование биткойнов для выкупа. «Если США будет преследовать все формы потенциально нелегальных платежей, рост вымогательства может быть уменьшен. В противном случае мы ожидаем, что количество новых вирусов-вымогателей, обнаруженных нами в 2017 году, по крайней мере удвоится». Он пояснил SecurityWeek: «Правила не нуждаются в идентификации — им нужно только ограничить легкий доступ к счетам жертв, это увеличит накладные расходы и снизит прибыль для киберпреступников».
Кибер-угроза от небезопасных интернет-устройств (IoT) обсуждается уже в течение нескольких лет. Эта угроза стала фактом в 2016 году с появлением ботнета Mirai, который включает в себя сотни тысяч скомпрометированных устройств IoT, таких как маршрутизаторы и камеры видеонаблюдения, которые можно использовать для целенаправленной массированной DDoS-атаки. В октябре он использовался против DNS-компании Dyn и нарушил работу многих ведущих мировых веб-сайтов, включая Netflix, Twitter и PayPal. В сентябре Mirai провела крупнейшую в мире DDoS-атаку против французской хостинговой компании OVH, достигнув отметки 1 Тбит/с.
«Прогноз Gartner говорит о том, что к 2020 году в мире будет более 20 миллиардов устройств IoT, поэтому важно, чтобы проблемы безопасности были устранены, или кампании, подобные Mirai, можно будет увидеть в еще больших масштабах», предупреждает Symantec.
Появление политической подрывной деятельности на основе кибербезопасности стало одним из самых поразительных событий за год. Считается, что кибератаки против Демократической партии и последующая утечка информации были попыткой повлиять на президентские выборы в США в 2016 году. «Учитывая, что американское разведывательное сообщество приписывает атаки России и завершение кампании было оценено как успешное, — предупреждает Symantec, — вполне вероятно, что эта тактика будет повторно использоваться в попытках повлиять на политику и посеять разногласия в других странах».
Это уже происходит, и Франция, и Германия предупреждают, что российские деятели могут попытаться повлиять на их собственные выборы. В Великобритании GCHQ дает основным политическим партиям советы о том, как защитить свои сети, хотя публичных предложений о вмешательстве в референдум Брексита в 2016 году не поступало.
«На продолжающуюся войну в Украине, на выборы в США и на Олимпийские игры влияют кампании, направленные на кражу и утечку данных, способные влиять на общественное мнение, создавать атмосферу недоверия и, возможно, влиять на политические результаты», — отмечает Symantec.
Потенциал политического саботажа в киберпространстве проявился со времени нападений Stuxnet на иранскую ядерную программу в 2010 году. Это также проявилось в атаках по удалению дисков Shamoon саудовской нефтяной компании Aramco в 2012 году. Shamoon снова проявил себя новыми нападениями против нескольких саудовских компаний. В это же время аналогичный троянец для очистки дисков (KillDisk) использовался против энергетических объектов в Украине. Подобные атаки направлены в первую очередь на разрушение критической инфраструктуры и представляют собой серьезную угрозу.
«Жизнь на земле» — это термин, используемый Symantec для описания растущей практики хакеров, избегающих использования вредоносного ПО в своих атаках. Другие компании используют термин «файловый», в то время как Carbon Black использовал термин «атаки без вредоносного ПО». «Уязвимости нулевого дня стали менее важными, а некоторые противники больше не полагаются на вредоносное ПО, все больше « живут за счет земли » используют ресурсы, необходимые для проведения атак, включая законные инструменты для тестирования на проникновение и проверки на проникновение», — отмечает Symantec.
Цель атаки без файлов заключается в том, чтобы не вносить никаких файлов в зараженную сеть или внести минимум файлов. Не имея нового файла для обнаружения, для антивирусной защиты становится труднее обнаружить присутствие злоумышленника. Этот подход состоит из двух различных вариантов, первый из которых это проникновение в сеть без использования вредоносных программ. Прямой фишинг является предпочтительным методом, поскольку он может получить легитимные учетные данные доступа, которые не будут вызывать подозрения при использовании. Иногда это все, что нужно, например, если атака специально ищет доступ к электронным адресам цели.
В других случаях фишинговый адрес будет содержать документ MS Office, содержащий вредоносные макросы. Symantec отмечает, что версия этого метода была использована для распространения Shamoon.
«Если файл был открыт, макрос запускает скрипт PowerShell, который обеспечивает удаленный доступ и осуществляет базовую разведку зараженного компьютера. Если компьютер представляет интерес, они затем устанавливают вредоносное ПО» (Backdoor.Mhretriev).
«В дальнейшем злоумышленники использовали бесчисленное множество легитимных административных инструментов тестирования для проникновения в сеть, чтобы идентифицировать компьютеры для заражения». Если цель атаки достигнута или заплачен выкуп, то вредоносная программа может быть немедленно удалена — теоретически вредоносная программа может быть обнаружена, но это может произойти слишком поздно, чтобы что-либо исправить.
Если целью атаки является фильтрация данных, то атаку типа «жизнь на земле» можно осуществить даже не внося никаких вредоносных программ.
Два фундаментальных изменения кибер-угроз исходят от Symantec ISTR: эволюция и эскалация. Атакующие постоянно совершенствуют свои методы — как показано в атаке типа «жизнь на земле» и в использовании IoT для атак DDoS. Эскалация лучше всего видна в целях атак. В традиционных атаках наблюдается резкий рост числа нападений на банки и финансовые системы (например, SWIFT), где ранее большинство атак было направлено против клиентов банка. Это также можно увидеть в размерах возможных атак DDoS, а также в физических атаках саботажа и попытках повлиять на общественное мнение во всех геополитических регионах. «Новая сложность и инновации — это природа ландшафта угроз, но в этом году Symantec определила сейсмические сдвиги в мотивации и фокусе», — сказал Кевин Хейли, директор Symantec Security Response.
Photo

Post has attachment
Public
Как вы вирус назовете?

Petya, Misha, WannaCry, Friday 13th, Anna Kournikova… Имена компьютерных вирусов, вызвавших настоящие эпидемии в сети, долго остаются на слуху. Их постоянно повторяют СМИ, как правило, не вдаваясь в технические подробности и путая модификации между собой.

А вы когда-нибудь интересовались, как и кто дает имена вирусам? Ведь компьютерных зловредов много, их миллионы, и все надо как-то называть. Под катом — краткий экскурс в нейминг вирусов, троянов и прочей компьютерной нечисти.

Итак, чем же люди руководствуются, давая названия обнаруженным зловредам?

Имена-классификаторы

Когда в антивирусной лаборатории обнаруживают очередной вирус, аналитики «разбирают» его на части, изучают функциональность, а затем присваивают вирусу имя-идентификатор.

Имена унифицированы и напрямую зависят от возможностей вируса и его предшественника. Например, Backdoor.Win32.Odinaff.A – это вирус-backdoor («бэкдор»), то есть его основная задача обеспечить удаленный доступ к зараженной машине. Написан он под платформу Windows, в лаборатории вирусный аналитик дал ему название Odinaff. И это модификация A, его переписанная модификация будет иметь код B и так далее.

Имена-классификаторы могут отличаться от лаборатории к лаборатории. Очевидно, что при поиске информации о вирусе по его имени стоит указывать и конкретного вендора, продукт которого обнаружил данный вирус.

Но кому же интересно разбирать такие названия? Лучше выберем образцы вредоносов поинтереснее, отсортируем по типу получения названия и-и-и…, вот их «лабораторные карточки»!

По расширениям файлов

Имя образца: WannaCry.
Назначение: вирус-вымогатель.
Тип: червь-шифроващик.
Дата начала эпидемии: 12 мая 2017 года.
Ущерб: заражено более 500 тысяч компьютеров в более чем 150 странах мира.
Описание: один из самых известных вирусов последнего времени. Свое громкое имя WannaCry получил по расширению, которым он маркировал зашифрованные им файлы, – «.wncry». Хотя, судя по всему, подразумевалось «WN-cryptor».

Имя образца: Duqu.
Назначение: вирус-вымогатель.
Тип: червь-шпион.
Дата начала эпидемии: 1 сентября 2011 года.
Ущерб: неизвестен.
Описание: военный вирус, маркировавший создаваемые файлы префиксом «~DQ», получил имя Duqu, как тот самый Граф Дуку из «Звёздных войн». Способ заражения был аналогичен боевому вирусу Stuxnet. Использовал уязвимость нулевого дня MS11-087 в ядре Windows и, получив доступ к системе, собирал данные, которые могут быть использованы для доступа к АСУТП (пароли, скриншоты), и отправлял на командные серверы. Самоуничтожался через 36 дней.

По географическому принципу

Имя образца: Jerusalem.
Назначение: бесконтрольная саморепликация.
Тип: классический вирус.
Дата начала эпидемии: октябрь 1987 года.
Ущерб: неизвестен.
Описание: первый вирус, получивший название по месту первого обнаружения. Главная его «заслуга» в том, что помимо бесконтрольного размножения этот вирус породил еще и десятки собственных модификаций.

По особенностям активации

Очень часто разработчики вируса оставляют закладки («пасхалки»), и по их содержимому вирусу дают название. Как правило, это какие-нибудь шутки, отсылки к настольным или компьютерным играм, книгам и хакерской субкультуре.

Имя образца: Friday 13th.
Назначение: вайпер.
Тип: классический вирус.
Дата начала эпидемии: 1987 год.
Ущерб: неизвестен.
Описание: модификация вируса «Иерусалим». Название Friday 13th получил по способу активации: вирус активировался лишь в пятницу 13-го и уничтожал все файлы на компьютере. Видимо, авторы хотели поддержать суеверия в технологическую эпоху!

По «закладкам» от разработчиков

Имя образца: Cookie Monster.
Назначение: шуточный вирус.
Тип: локер.
Дата начала эпидемии: 1970 год.
Ущерб: миллиарды нервных клеток работников IT-сферы того времени.
Описание: откровенно шутливый вирус. Cookie Monster требовал дать ему печеньку, введя слово «cookie» в выводимом окне.

Имя образца: Melissa.
Назначение: вайпер.
Тип: макро-вирус.
Дата начала эпидемии: 26 марта 1999 года.
Ущерб: 80 миллионов долларов по оценкам правительства США.
Описание: вирус распространялся через электронную почту, во вредоносном вложении. А именно, в файле типа Microsoft Word со встроенными макросами. Основная его задача заключалась в модификации или удалении критичных для ОС файлов. После заражения вирус рассылал себя первым 50-и адресатам из адресной книги. Считается родоначальником всех стремительно распространяющихся вирусов. Название же произошло от «пасхалки» в виде ключа реестра:
HKEY_CURRENT_USERSoftwareMicrosoftOffice»Melissa?»=«...by Kwyjibo»

По способу распространения

Способов распространения вирусов предостаточно. И иногда конкретная реализация становится источником вдохновения для аналитиков, когда они дают вирусу название.

Имя образца: ILOVEYOU(LoveLetter).
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 4 мая 2000 года.
Ущерб: 3 миллиона компьютеров по всему миру заражено, 10-15 миллиардов долларов ущерба. Рекордсмен книги рекордов Гиннеса как самый разрушительный компьютерный вирус в мире.
Описание: знаменитый вирус ILOVEYOU распространялся в почтовом вложении с названием “LOVE-LETTER-FOR-YOU.txt.vbs”.
Он рассылал себя по всем контактам жертвы и даже использовал IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. Первый вирус, использовавший социальную инженерию как основу для распространения. Использовал также то обстоятельство, что в то время в Windows обработка скриптов была включена по умолчанию, а расширение было по умолчанию скрыто.

Имя образца: Anna Kournikova.
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 11 февраля 2011 года.
Ущерб: около 200 000 долларов.
Описание: названный в честь известной российской теннисистки и фотомодели, вирус распространялся в письме, где якобы находилось фото Анны. Однако во вложении была только вредоносная программа. Как и его предшественник ILOVEYOU, червь рассылал себя по контактам электронной почты и использовал социальную инженерию.

По случайному стечению обстоятельств

Имя образца: CIH («Чернобыль»).
Назначение: вайпер.
Тип: резидентный вирус.
Дата начала эпидемии: июнь 1998 года.
Ущерб: 1 миллиард долларов.
Описание: создатель вируса «Чернобыль» скорее всего не знал о том, что 26 апреля, когда он планировал запуск своего вируса, – годовщина аварии на Чернобыльской АЭС. К тому же инициалы автора (Чэнь Инхао) поспособствовали тому, чтобы вирус назвали CIH, или «Чернобыль». Но помнят вирус совсем не за это. После заражения системы вирус спал, ожидая ключевой даты, а после ее наступления перезаписывал первые 1024 КБ на жестком диске нулями, удаляя всю таблицу партиций. Но и это еще не все. Вторая часть «полезной нагрузки» вируса пыталась перезаписать и FLASH BIOS. Столь разрушительными последствиями он и памятен. Распространялся вирус путем заражения exe-файлов на серверах, распространяющих ПО.

Благодаря маркетинговой компании разработчиков

Имя образца: Петя и Миша (братья, видимо).
Назначение: вирусы-вымогатели.
Тип: троянцы-шифровальщики.
Дата начала эпидемии: май 2016 года.
Ущерб: неизвестен.
Описание: у вирусов-шифровальщиков Petya и Misha были очень старательные разработчики. В Даркнете они устроили самую настоящую пиар-акцию своим продуктам!

Вначале был создан логотип, который по умолчанию был красным, но потом мигал, каждую секунду меняя цвета – с красного на зеленый и обратно.

Потом был проведен ребрендинг, череп стал только зеленым, и к нему добавили еще и мини-логотипы вирусов.

Для чего хакеры всё это делали?

Очевидно, что имена они взяли, чтобы прикинуться уже превратившимися в мем «русскими хакерами». Но вышло не слишком удачно. Janus выглядел уж совсем дико: не знали ребята, что у нас правильно – Иван.

Но к чему вся пиар акция? А к тому, что вирусы предлагалось покупать и распространять за процент от полученного выкупа! Фактически, разработчики предлагали всем желающим поработать дилерами вредоносного ПО. Прямо-таки «заработок в интернете». Правда, с графиком «год через три»: год работаешь, три сидишь.

Резюме

Ежедневно в мире появляется около полумиллиона новых модификаций вирусов. Большинство из них получают названия-классификаторы и останутся лишь в памяти антивирусного ПО. И только единицы получают уникальные имена. Почти стопроцентный способ оставить свой след в истории информационной безопасности, так ведь? Правда, перед тем, как насладиться известностью, придется отмотать свой срок =)
Photo

Post has attachment
Public
Хакеры используют CDN-серверы Facebook для обхода антивирусов.
Злоумышленники эксплуатируют CDN-серверы Facebook для инфицирования систем пользователей банковскими троянами.
Группа злоумышленников эксплуатирует CDN-серверы Facebook для хранения вредоносных файлов, которые затем используются для инфицирования систем пользователей банковскими троянами. В последние две недели исследователи в области безопасности заметили несколько подобных кампаний. Предположительно, их организатором является та же группировка, ранее эксплуатировавшая облачные сервисы Dropbox и Google для хранения и распространения вредоносного ПО.
Новая вредоносная кампания была замечена экспертом в области безопасности, известным в Сети как MalwareHunter. Злоумышленники используют CDN-серверы Facebook, поскольку домену Facebook «доверяет» большинство защитных решений, пояснил исследователь.
Процесс заражения проходит в несколько этапов. На первом жертва получает спам-письмо якобы от местных властей, содержащее ссылку, которая ведет на CDN-сервер Facebook. Атакующие загружают вредоносные файлы на страницы различных групп в соцсети либо в другие публичные разделы ресурса, а затем добавляют соответствующие ссылки в спам-письма.
После того, как пользователь перейдет по ссылке, на его компьютер загрузится .rar или .zip архив, включающий ссылку на файл. Нажатие на ссылку приводит к запуску интерфейса командной строки или PowerShell и исполнению зашифрованного скрипта PowerShell. Данная техника, предполагающая использование легитимных приложений для сокрытия вредоносных операций, называется Squiblydoo и применяется для обхода защитных решений.
Далее скрипт PowerShell загружает и исполняет дополнительный скрипт PowerShell, выполняющий ряд операций. Он загружает DLL-библиотеку, которая, в свою очередь, загружает EXE-файл и вторую вредоносную DLL-библиотеку. Эта библиотека загружает и устанавливает на компьютеры жертв банковский троян Win32/Spy.Banker.ADYV.
По словам исследователя, злоумышленники проверяют местоположение пользователя по его IP-адресу. Если жертва находится не в целевой стране (в данном случае в Бразилии), все операции прекращаются.
В настоящий момент активность кампании значительно снизилась, однако эксперты предполагают, что в ближайшем будущем злоумышленники вновь запустят ее с некоторыми изменениями. Администрация Facebook уже проинформирована о проблеме.
Сеть доставки (и дистрибуции) содержимого - географически распределенная сетевая инфраструктура, позволяющая оптимизировать доставку и распространение контента конечным пользователям в сети Интернет.
Photo

Post has attachment
Public
Зафиксированы одни из крупнейших атак вымогателей в 2017 году.
Обнаружены сразу две масштабные кампании по распространению нового варианта Locky.
Специалисты двух ИБ-компаний независимо друг от друга обнаружили масштабные вредоносные кампании по распространению двух разных, совершенно новых образцов некогда популярного у киберпреступников вымогательского ПО Locky.
Как сообщают исследователи из AppRiver, 28 августа текущего года за 24 часа пользователи в США получили 23 млн вредоносных писем. Данная кампания является одной из наиболее масштабных во второй половине 2017 года. С целью обмануть пользователей злоумышленники указывали в теме фишинговых писем такие слова, как «документы», «пожалуйста, распечатайте», «фотографии», «сканы», «изображения» и «картинки».
Фишинговые письма содержали вредоносный ZIP-архив с VBS-файлом. Когда пользователь открывал его, VBS-файл запускал загрузчик, который в свою очередь загружал новую версию Locky под названием Lukitus. Вредонос шифровал все файлы на зараженном компьютере, добавляя к ним расширение .lukitus. На экране появлялось уведомление с инструкцией по установке браузера Tor. После установки браузера жертва должна была зайти на сайт преступников и получить дальнейшие указания по уплате выкупа за расшифровку своих файлов. Размер выкупа составлял 0,5 биткойна (порядка $2,3 тыс.). В настоящее время инструмента для восстановления файлов без уплаты выкупа не существует.
Исследователи из Comodo Labs обнаружили другую масштабную кампанию, имевшую место в начале августа. За три дня злоумышленники разослали 62 тыс. спам-писем, распространяющих новый вариант Locky под названием IKARUSdilapidated. Письма были разосланы с 11 625 IP-адресов в 133 странах мира, что явно указывает на использование ботнета. За восстановление файлов шифровальщик требовал от 0,5 до 1 биткойна.
Photo

Post has attachment
Public
«Человек посередине», использующий отозванные сертификаты. Часть 1
Что делать, если у вашего сервера утёк закрытый ключ? Вопрос, ставший особенно актуальным после Heartbleed.
Последовательность действий, сразу приходящая в голову:
1. Связаться с удостоверяющим центром.
2. Отозвать сертификат сервера.
3. Перегенерировать ключи.
4. Запросить для сервера новый сертификат.
5. Поднять бокал за успех операции и попытаться жить дальше.
К сожалению, всё не так просто. В этой и следующей статьях мы подробно ответим на следующие вопросы:
Какие механизмы проверки статуса сертификатов бывают?
Как они реализованы в современных Веб-браузерах?
Кто виноват? Почему они реализованы именно так?
Что делать? Какие есть перспективы?
Эта статья будет полезна тем, кому интересно разобраться в применяющихся на практике механизмах проверки статуса сертификатов (проверки, является ли сертификат отозванным).
Кратко о протоколе TLS и инфраструктуре открытых ключей X.509
Современный защищённый Веб стоит на двух китах: протоколе TLS и инфраструктуре открытых ключей X.509. Для установки защищённого TLS-соединения сервер должен передать клиенту свой открытый ключ. Аутентичность ключа сервера, пересылаемого через незащищённые публичные сети, обеспечивается цепочкой сертификатов открытых ключей инфраструктуры X.509.
Удостоверяющий центр (УЦ, certification authority, CA) может отозвать подписанный (изданный) им ранее сертификат, например, в случае компрометации закрытого ключа, соответствующего этому сертификату. Поэтому, чтобы исключить возможность подключения к «человеку посередине», при установке TLS-соединения клиент должен не только проверять корректность подписей всей предоставленной сервером цепочки сертификатов, но и проверять статус предоставленных ему сертификатов (сертификат действителен или отозван).
Механизмы проверки статуса сертификатов
Применяющиеся на практике механизмы проверки статуса сертификатов основаны на списках отозванных сертификатов (certificate revocation list, CRL) и протоколе онлайн-проверки статуса сертификатов (online certificate status protocol, OCSP).
Дальше в качестве примера будем рассматривать сертификат сервера с доменным именем www.example.com, выданный УЦ «Example Certification Authority».
Механизм CRL
УЦ публикуют CRL, в которые вносятся серийные номера отозванных сертификатов, в точках распространения CRL (CRL distribution point, CDP). Адреса (URL) точек распространения CRL, к которым следует обращаться для получения информации о статусе проверяемого сертификата, как правило, указываются в самом сертификате.
Для проверки статуса сертификата, изображённого на рисунке выше, нужно загрузить CRL, доступный по URL ca.example.com/crl, и проверить, содержится ли в нём серийный номер проверяемого сертификата (46:35:AC:5F).
В нём сообщается, что УЦ «Example Certification Authority» были отозваны три сертификата c серийными номерами 00:C9:79:0E, 46:35:AC:5F и 50:4E:6F:C7. Проверяемый сертификат является отозванным, поскольку его серийный номер находится в этом списке.
Клиенты получают свежие CRL одним из следующих способов:
(условно в «пассивном» или оффлайн режиме) с помощью периодических обновлений. CRL в базе клиента могут обновляться автоматически, например, при обновлении клиентского ПО или в ручную администратором;
(в «активном» или онлайн режиме) самостоятельно подгружая их по мере необходимости из CDP.
CRL чаще всего применяются для оффлайн-проверок и являются мало пригодными для систем, нуждающихся в наиболее актуальной информации о статусе сертификата и требующих упомянутых выше онлайн-загрузок CRL, по следующим причинам:
-CRL избыточны и плохо подходят для частых повторяющихся загрузок. Иногда их размеры приближаются к 1 МБ;
-CRL не защищены от атак повторного воспроизведения и позволяют «человеку посередине» подсовывать жертве неактуальные CRL, ещё не содержащие информацию о скомпрометированных ключах.
Механизм OCSP
OCSP, как следует из его названия, предназначен для получения наиболее актуальной информации о статусе сертификата в режиме онлайн и не обладает приведёнными выше недостатками CRL.
Рассмотрим работу этого протокола на примере для сертификата www.example.com. Для получения информации о статусе сертификата TLS-клиент с помощью OCSP-клиента отправляет запрос OCSP-серверу (OCSP responder) УЦ, указанному в расширении authority information access (AIA) сертификата.
В запросе указывается серийный номер проверяемого сертификата (46:35:AC:5F). Также в запросе опционально может быть передан случайный одноразовый код (nonce), предназначенный для защиты ответа OCSP-сервера от атаки повторного воспроизведения. В ответе OCSP-сервера сообщается, что сертификат с серийным номером 46:35:AC:5F был отозван, поскольку соответствующий ему закрытый ключ был скомпрометирован. OCSP-ответ защищён от подделывания и атаки повторного воспроизведения, поскольку подписан доверенным ключом OCSP-сервера и содержит полученный от клиента случайный одноразовый код.
Следует отметить, что защита от атаки повторного воспроизведения в OCSP является опциональной и её отсутствие имеет свои преимущества. Отключение проверки значения случайного одноразового кода на клиенте позволяет кэшировать OCSP-ответы на стороне сервера, снижая накладные расходы на функционирование протокола.
Проблемами OCSP являются:
-увеличение времени установки TLS-соединения;
-раскрытие истории подключений клиента третьей стороне (УЦ).
OCSP stapling
Для решения этих проблем было предложено расширение протокола TLS, позволяющее прикреплять OCSP-ответы к сертификатам (OCSP stapling) и переносящее ответственность за выполнение OCSP на TLS-сервер.
Схема описывает следующие шаги:
-TLS-сервер, выступая в роли OCSP-клиента, собирает информацию о статусе своей цепочки сертификатов, обращаясь к OCSP-серверам соответствующих УЦ;
-TLS-сервер кэширует полученные OCSP-ответы;
При установке TLS-соединения сервер передаёт клиенту свою цепочку сертификатов вместе с соответствующими ей OCSP-ответами.
Таким образом:
-время установки TLS-соединения не увеличивается, поскольку в момент установки соединения OCSP не выполняется ни клиентом, ни сервером;
-снижается нагрузка на OCSP-серверы УЦ;
-клиент не раскрывает УЦ используемые им сетевые ресурсы.
«Но где же тут защита от атаки повторного воспроизведения?» — спросите вы. Тут её действительно нет, однако рассматриваемое расширение протокола TLS позволяет клиентам пересылать случайный одноразовый код при установке соединения.
Такой вариант использования OCSP stapling не позволяет кэшировать OCSP-ответы на сервере, из-за чего растёт время установки TLS-соединения и увеличивается нагрузка на серверы УЦ.
Следует отметить, что существует две версии OCSP stapling. Первая версия по неясной причине позволяет прикреплять OCSP-ответ только для сертификата самого сервера. При использовании этой версии ответственность за получение информации о статусе остальных сертификатов цепочки лежит на клиенте. Этот недостаток исправлен в новой версии.
Photo

Post has attachment
Public
Новый вирус распространяется через мессенджер Facebook

Вирус для Windows/MacOS/Linux распространяется под видом ссылки на видео.
Исследователи «Лаборатории Касперского» обнаружили актуальную кроссплатформенную угрозу, распостраняемую через приложение Facebook Messenger. Пользователи получают ссылку, которая перенаправляет их на поддельный веб-сайт для установки вредоносного программного обеспечения.
Хотя до сих пор неясно, как именно распространяется вредоносное ПО, исследователи считают, что спамеры скорей всего используют взломанные учетные записи, уязвимости в браузерах, либо же кликджекинг для распространения вредоносной ссылки.
Для обмана пользователей злоумышленники используют следующую схему: от одного из друзей в Facebook приходит сообщение с текстом "<имя друга>:)" ,и ссылкой.
URL-адрес перенаправляет жертву на Google-документ, который отображает миниатюру видео, динамически генерируемую на основе изображений отправителя. Если на нее нажать, пользователь попадает на ещё одну страницу, настроенную в зависимости от браузера и операционной системы.
Например, пользователи Mozilla Firefox на базе Windows перенаправляются на веб-сайт, на котором отображается фальшивое уведомление об обновлении Flash Player, а затем предлагается установить исполняемый файл Windows, который является вредоносным рекламным ПО.
Пользователи Google Chrome перенаправляются на веб-сайт, замаскированный под YouTube с похожим логотипом, на котором отображается всплывающее сообщение об ошибке, если на него нажать, загружается вредоносное расширение Chrome из Google Web Store. Расширение по сути является приложением для загрузки вредоносного ПО на компьютер жертвы.
Пользователи браузера Safari от Apple попадают на веб-страницу, аналогичную используемой Firefox, но преднастроенную специальным образом для пользователей MacOS с загрузкой файла .dmg под видом обновления Flash player для OSX.То же самое происходит в случае с Linux, пользователя перенаправляет на другую целевую страницу, предназначенную для Linux.
Спам-кампании на Facebook довольно распространенное явление. Несколько лет назад киберпреступники использовали файлы изображений boobytrapped.JPG, для заражения пользователей программой-вымогателем Locky, которая шифровала все файлы на зараженном компьютере.
Photo

Post has attachment
Public
Один безопасный пароль на все случаи жизни
Спорить не буду, заголовок провокационный. Но и продолжение не лучше…
Доброе утро! Я законченный параноик. Поэтому я люблю сложные пароли. Но хранить их в голове очень хлопотно… Вы же еще помните, что я параноик? И поэтому не пользуюсь менеджерами паролей, кроме тех, что могу поставить на свои сервера и могу контролировать трафик. Но я все-равно физически не смогу проверить на закладки. Не хватит ни времени, ни опыта. Поэтому я боюсь пользоваться чужими менеджерами паролей.
Давайте представим, что один безопасный пароль на все ресурсы возможен. Традиционно, всех кто заинтересовался темой прошу под кат.
Однажды мне пришла идея — я могу хранить парольную фразу в голове! Она будет одна на все случаи жизни. Но благодаря односторонним функциям я могу хранить модификаторы к ней в виде открытого и доступного всем текста. Вот в таком виде:
| ресурс | логин | модификатор |
Например:
habrahabr.ru | acyp | Walhall |
И вести такой список просто в блокноте. Когда понадобилось зайти на ресурс, то простым Ctrl-F нахожу ресурс и вбиваю необходимые данные в форму.
В поле парольной фразы — ту самую СуперСекретнуюФразу, в поле модификатор — по определенным правилам сформированный из открытых данных модификатор. В целом конечно можно сильно не извращаться и забить просто модификатор, результат от этого не пострадает.
Из опыта: даже если все символы на влезают в поле ввода пароля на ресурсе, в любом случае при одинаковых действиях со стороны пользователя результат будет одинаковым, т.е. авторизация будет пройдена.
В целом предлагаемый мной подход позволит с одной стороны иметь один пароль на всех ресурсах, с другой — не опасаться компрометации пароля на одном из них, т.к «похищенное знание» не приведет к открытию других ресурсов.
На написание ушло около 2-х часов, что показывает низкий уровень сложности кода. Т.е. большинство жителей хабра при желании напишут такое для себя значительно быстрее. При этом пароли нигде не сохраняются и желающие могут пользоваться готовой формой. Ну или, если совсем интересно что это из себя представляет — опубликую код (говорю сразу он «некузявый», основное все-таки идея).
Инструкция для тех, кому лень писать свое
1. Заводите себе журнал или файл, который может храниться открыто к которому у Вас есть постоянный доступ. И ведете в нем всю открытую информацию. Т.е. даже если на ресурсе Вас заставляют поменять пароль (или возникла такая необходимость), просто меняете модификатор
2. Регистрируетесь на ресурсе, генерируя пароль по ссылке на форму passer'a. При этом заносите все необходимые данные (из поля модификатор) в журнал.
3. При необходимости войти на этот ресурс — берете данные из журнала и так же с помощью passer'a восстанавливаете пароль. Фича: В местах, где я не уверен, я делаю это с телефона, перенося пароль в форму ввода. Потом, находясь в доверенном месте, в журнале меняю модификатор и меняю пароль.
Сказать совсем честно — я поступаю проще: Парольная фраза в голове, в модификаторе ресурс на который я хочу получить доступ. А поскольку я менял пароли на малом числе ресурсов и все их помню, то просто к модификатору на таких ресурсах добавляю vN (N — номер смены пароля). И не веду даже журнала.
Photo

Post has attachment
Public
MICROSOFT: ПОЛЬЗОВАТЕЛИ WINDOWS 7 НЕ УСТАНАВЛИВАЮТ АНТИВИРУСНОЕ ПО
Пользователи Windows 7 либо вообще не устанавливают антивирусы, либо самостоятельно их отключают.
Несмотря на постоянное усовершенствование мер безопасности в новых версиях Windows, наличие самой актуальной версии антивирусного программного обеспечения всё ещё остается обязательным условием, особенно в свете участившихся в последнее время вирусных атак на пользователей.
Тем не менее, согласно статистике предоставленной Microsoft, большое количество пользователей вообще не имеет на компьютере установленного антивируса, а если и имеет, то часто просто не пользуется им.
В частности, исходя из данных, опубликованных в 22 аналитическом докладе по безопасности, Microsoft выразила беспокойство касательно систем, обозначенных как «незащищённые». Это, в свою очередь, означает, что в них отсутствуют актуальные версии антивирусного ПО.
В случае с Windows Vista и Windows 7 проблема заключается в отсутствии предустановленного антивируса, а больше половины незащищенных компьютеров используют как раз одну из этих операционных систем, отметил в докладе эксперт.
«Незащищённые компьютеры, использующие Windows Vista и Windows 7, в большинстве своём вообще не имеют установленной защиты от вредоносных программ. В более поздних версиях Windows при отсутствии хоть какого-то антивируса по умолчанию активирован Windows Defender и таким образом количество компьютеров без антивируса вообще крайне низкое», - пояснили в Microsoft.
Пользователи Windows 8/8.1 и Windows 10 преднамеренно отключают антивирус, либо просто забывают его обновить.
Как в Windows 8.1, так и в Windows 10 присутствует предустановленный Windows Defender, который обеспечивает защиту от вредоносных программ даже если не установлено никак сторонних антивирусов. Но, как и любое другое антивирусное ПО, Windows Defender нуждается в постоянном обновлении и Microsoft в свою очередь старается постоянно предлагает новые решения, дабы удостовериться в том, что даже новейшие угрозы будут вовремя выявлены и заблокированы.
Photo

Post has attachment
Public
Хакеры блокируют работу предприятий ради выкупа.
Долгое время киберворов интересовали банки, однако теперь они обратили внимание на промышленные предприятия.
В августе прошлого года одно из промышленных предприятий в Северной Каролине (США), выпускающее детали для автомобилей Toyota, стало жертвой хакеров. Вредонос попал в корпоративную сеть AW North Carolina через фишинговое электронное письмо, моментально распространился подобно вирусу и заблокировал производственные процессы. Хакеры пообещали вернуть все, как было, но потребовали за это кругленькую сумму. В итоге предприятие потеряло $270 тыс. прибыли плюс заработную плату для неработающих из-за простоя сотрудников.
Вышеописанный случай является лишь одним из многих подобных, сообщает Associated Press. Долгое время главными целями киберворов были финансовые организации, однако теперь киберпреступников заинтересовали промышленные предприятия. Задействованные в производственных процессах многочисленные автоматизированные линии, сканеры штрих-кодов и другое оборудование являются привлекательной мишенью для хакеров.
«Эти люди хотят взломать вашу сеть, так как знают, что у вас строгий график. Им известно, что каждый час очень важен для вашей работы. В цепочке поставок производство занимает лишь полтора дня. Если мы не выпустим продукт вовремя, Toyota тоже не выпустит свой продукт вовремя, а значит, у них не будет автомобилей для продажи на следующий день. Вот такой плотный график», - пояснил представитель AW North Carolina Джон Питерсон (John Peterson).
Как показало опрос Cisco 3 тыс. директоров по кибербезопасности из 13 стран мира, каждая четвертая промышленная компания в прошлом году потеряла от кибератак больше, чем в позапрошлом. В 2015 году ФБР получило 2673 сообщения об атаках вымогательского ПО – почти в два раза больше по сравнению с 2014 годом. По данным Министерства внутренней безопасности США, за последние два года число кибератак на АСУ ТП на американских предприятиях удвоилось и достигло четырех десятков.
Photo
Wait while more posts are being loaded