+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости информационной безопасности

Птн, 05 Окт 2018 04:00:50


Китайские субподрядчики якобы ставили аппаратные «закладки» во все поставляемые серверы
Подробнее...

Репортеру издания Bloomberg стало известно об опасной находке, обнаруженной в ходе секретного расследования с участием Агентства национальной безопасности США. По свидетельствам анонимных источников, около тридцати компаний, включая Amazon, Apple, ВМС США и ЦРУ могли использовать серверное оборудование, модифицированное на фабрике производителя в Китае. В ходе проверки на материнских платах серверов известного поставщика был найден вредоносный чип, а дальнейшее расследование привело АНБ на завод, где эти «закладки» устанавливает китайская разведка.

Журналист Bloomberg провел многочисленные интервью с источниками в государственных и бизнес-структурах, чтобы разузнать больше о предполагаемой хардверной атаке китайской разведки.

История началась в 2015 году. Тогда руководство Amazon планировало воспользоваться услугами компании Elemental Technologies для расширения сервиса Amazon Prime Video, но сначала наняло стороннюю фирму для аудита безопасности Elemental.

Elemental Technologies специализируется на аппаратных решениях для обработки видео. Среди клиентов компании — ЦРУ (обработка видеопотока с камер дронов), Олимпийский комитет, NASA и прочие крупные организации, сервисы которых требуют работы с большими видеофалами и их быстрой конвертации для устройств с разными размерами экрана.

Материнская плата Supermicro, красным отмечен лишний чип
Материнская плата Supermicro, красным отмечен лишний чип (изображение — Bloomberg)

Проверка обнаружила проблему в серверах для сжатия видео, которые клиенты Elemental включают в свои сети, так что пару таких серверов производства Super Micro Computer (Supermicro) отправили в Канаду на дополнительную проверку. На материнских платах этих серверов обнаружились крошечные микрочипы, которые отсутствовали в исходном дизайне.

Сообщение Amazon об этой находке заставило власти понервничать, ведь такие серверы были и в дата-центрах ЦРУ, и на борту военных кораблей ВМС. Найденные чипы могли создавать бэкдор, внедряясь в работу операционной системы. По информации нескольких источников чипы установили на фабриках субподрядчиков в Китае.

По сравнению с софтверными, хардверные атаки требуют куда больших усилий, но и последствия их намного разрушительнее, и ликвидировать их дороже и дольше. Внести вредоносные изменения в компьютерное оборудование можно либо во время транспортировки, либо прямо на производстве. А здесь, как известно, все козыри на руках у китайцев: они производят 75% телефонов и 90% компьютеров в мире.

Однако так глубоко вникнуть в устройство оборудования, произвести все манипуляции и удостовериться, что компоненты будут доставлены в нужное место — задача сложнейшая задача, и случаев ее реализации (да еще и в таких масштабах) пока что не было. Именно это и делает находку Bloomberg столь интересной.

Расследование выявило, что атака в конечном итоге затронула почти тридцать компаний, включая известный банк, государственных подрядчиков и даже Apple, об этом журналисту Bloomberg сообщил чиновник, пожелавший остаться неизвестным. Три высокопоставленных инсайдера в Apple подтвердили, что их компания тоже обнаружила проблему с оборудованием Supermicro, после чего руководство разорвало контракт с этой компанией.

В Bloomberg, конечно, запросили и официальные комментарии у всех участников истории. Amazon и Apple категорически отрицают, что находили вредоносные чипы или какие-либо модификации в своем оборудовании. Пресс-секретарь Supermicro также заявил, что компании неизвестно ни о каком расследовании в отношении их товаров. А китайское правительство выпустило уклончивое сообщение о том, что «безопасность поставок в киберпространстве — это общая проблема, и Китай также считает себя пострадавшей стороной».

Представители ФБР, ЦРУ и АНБ от комментариев отказались. Представитель Apple также посетовал, что в Bloomberg не допустили возможности, что их источник ошибается или неверно информирован. Он предположил, что речь на самом деле идет о другой истории, произошедшей в 2016 году. Тогда в лаборатории Apple на одном из серверов Super Micro обнаружили зараженный драйвер, но это была случайность, а не целенаправленная атака. Заметим, в статье Bloomberg специально подчеркнуто, что речь не об этом случае.

В пользу правдивости этой истории говорят подробные свидетельства шести бывших и действующих высокопоставленных должностных лиц, работающих в области национальной безопасности, а также несколько сотрудников Amazon Web Services, Apple и еще несколько участников самого расследования. В общей сложности 17 человек подтвердили корреспонденту Bloomberg рассказанную выше историю на условиях анонимности. Один правительственный источник предположил, что китайская разведка надеялась получить долговременный доступ к важным корпоративным секретам и конфиденциальной информации в правительственных сетях.

Чтв, 04 Окт 2018 14:03:38


Билли Андерсон за три года дефейснул более 11000 сайтов, чтобы оставить политическое послание.
Подробнее...

Билли Рибейро Андерсон (Billy Ribeiro Anderson), известный под псевдонимом Anderson Albuquerque или AlfabetoVirtual признал себя виновным в двух случаях компьютерного мошенничества в суде Южного округа Нью-Йорка. Прокуратура США обвиняет американца в незаконном доступе к более, чем 11 000 сайтам, в том числе находящихся в ведомстве военных и правительств разных стран.

На каждом из взломанных им сайтов хакер заменял содержимое главной страницы. Его причастность была очевидна для прокуратуры: мужчина оставлял свое послание, подписанное «Hacked by AlfabetoVirtual», «#FREEPALESTINE», либо «#FREEGAZA».

Пример взломанного сайта
Пример взломанного сайта

Сообщения в основном касаются политической ситуации с Палестиной и Израилем, а также спорной территорией Сектора Газа. Правозащитники и пропалестинские группы действуют под знаменем свободного движения с 2008 года.

Адерсону предстоит ответить за подвергнутое риску Казначейство в 2015 году и нападение на сайт Центра борьбы с терроризмом в Вест-Пойнте в 2016 году. В первом случае Андерсон эксплуатировал уязвимости в стороннем плагине, установленном на сайте, во втором — использовал XSS, чтобы скомпрометировать учетную запись администратора и обойти контроль доступа.

Правоохранительные органы заявили, что Андерсон несет ответственность не только за взлом сайтов, своими действиями он мог скомпрометировать тысячи веб-серверов, и не только в США.

Другой пример  из Аргентины
Другой пример — из Аргентины

Андерсону грозит до 10 лет тюрьмы по обвинению. Приговор будет вынесен в феврале 2019 года.

Чтв, 04 Окт 2018 13:00:06


Wi-Fi 802.11g теперь называется Wi-Fi 3, 802.11n станет Wi-Fi 4, а нынешний 802.11ac — Wi-Fi 5.
Подробнее...

Группа Wi-Fi Alliance представила новую схему нумерации Wi-Fi, в соответствии с которым следующий стандарт беспроводной связи будет называться не 802.11ax, а Wi-Fi 6. Все предыдущие поколения Wi-Fi тоже получат упрощенные названия.

Wi-Fi 6 обещает пользователям повышенную пропускную способность и сделает первые шаги на пути к решению проблем общественного Wi-Fi: производительность будет выше даже при большом количестве подключенных устройств.

Переименование коснется не только следующей версии, но и предыдущих. 802.11b переименуют в Wi-Fi 1, 802.11a в Wi-Fi 2, 802.11g в Wi-Fi 3, 802.11n станет Wi-Fi 4, а нынешний 802.11ac — Wi-Fi 5.

Упрощённая нумерация позволит неискушенным пользователям легче узнавать о том, какую версию Wi-Fi поддерживают их устройства. Предполагается, что новый вариант будет применяться в пользовательских интерфейсах операционных систем, и рядом со значком Wi-Fi со временем появится цифра с номером стандарта связи.

Также в Wi-Fi Alliance предлагают использовать новую схему для маркировки новых роутеров, чтобы покупателям было легче ориентироваться. Устройства с поддержкой Wi-Fi следующего поколения будут отмечены значком Wi-Fi 6.

Чтв, 04 Окт 2018 11:45:29


Свеженайденный вредонос заражает длинный список уязвимых роутеров, подменяет DNS и крадет банковские данные.
Подробнее...

Китайские исследователи безопасности обнаружили вредоносную программу, которой были заражены уже более 100 000 домашних маршрутизаторов. GhostDNS меняет настройки DNS, чтобы получить доступ к данным пользователей, в первую очередь — к информации, которая пересылается при работе с онлайн-банкингом.

GhostDNS имеет много общего с печально известной вредоносной программой DNSChanger. Она заражала компьютеры пользователей, изменяя настройки DNS, тем самым позволяя злоумышленникам маршрутизировать трафик через свой сервер и похищать конфиденциальные данные.

Отчет компании NetLab, подготовленный по заказу Qihoo 360, гласит, что как и DNSChanger, GhostDNS сканирует IP-адреса в поисках маршрутизаторов, которые используют слабый пароль или не используют его вовсе, после чего меняет адрес DNS-провайдера.

GhostDNS включает в себя четыре модуля, написанных на Shell, JavaScript, Python и PHP.

  • DNSChanger — основной модуль GhostDNS, предназначенный для эксплуатации целевых маршрутизаторов на основе собранной информации. Он состоит из трех подмодулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Каждый из них реализует несколько сценариев атак, ориентированных на разные модели маршрутизаторов (всего более 70).
  • Web Admin — вероятно, администраторская панель злоумышленников.
  • Rogue DNS — модуль, отвечающий за подмену адресов при резолве DNS.
  • Фишинговый веб-модуль — указывает на адрес фейковой версии подменяемого сайта.

Исследователям не удалось получить доступ к коду серверной части зловреда, чтобы узнать полный список подменяемых адресов. Однако проверив домены из первого миллиона в рейтинге Alexa, они обнаружили, что DNS-сервер злоумышленников, расположенный по адресу 139.60.162.188, подменяет 52 адреса, среди которых большинство — это онлайн-банки. Из популярных сервисов в списке присутствует Netflix.

По словам исследователей, с 21 по 27 сентября 2018 года кампания GhostDNS скомпрометировала более 100 000 маршрутизаторов, из которых 87,8% устройств находятся на территории Бразилии.

Чтобы обезопасить свой компьютер от этой и других схожих угроз рекомендуется обновить прошивку до последней версии и задать надежный пароль на панель администратора, а еще лучше — вообще отключить удаленное администрирование.

Чтв, 04 Окт 2018 09:30:56


Для подписчиков
Этот месяц не был богат на события в мире инфосека, о которых бы мы не написали в новостях. Поэтому сегодняшний дайджест исключительно программерский. Итак, в этом выпуске: семь новых инструментов программиста и дизайнера, советы по написанию производительного приложения, Observable-поля и структурированный параллелизм в Kotlin, бенчмарки и, конечно же, подборка свежих библиотек.
Подробнее...

Содержание статьи

Этот месяц не был богат на события в мире инфосека, о которых бы мы не написали в новостях. Поэтому сегодняшний дайджест исключительно программерский. Итак, в этом выпуске: семь новых инструментов программиста и дизайнера, советы по написанию производительного приложения, Observable-поля и структурированный параллелизм в Kotlin, бенчмарки и, конечно же, подборка свежих библиотек.

Структурированный параллелизм в Kotlin

Structured concurrency — статья Романа Елизарова из JetBrains о новой возможности библиотеки kotlinx.coroutines 0.26.0, а точнее даже не возможности, а об изменении в подходе к написанию распараллеленного кода на Kotlin.

Суть новой функции проста. Представим, что у нас есть такой код:

fun requestSomeData() {
    launch(UI) {
        updateUI(performRequest())
    }
}

Функция создает новую корутину в основном потоке приложения (контекст UI), а затем запускает блокируемую (suspend) функцию performRequest, которая делает какую-то фоновую работу, не блокируя основной поток.

Все хорошо, но у нас нет возможности контролировать жизненный цикл корутин. Что, если работа функции performRequest будет слишком долгой и пользователь, не дождавшись ответа, вернется на предыдущий экран приложения или запустит другой элемент интерфейса? Нам не нужны висящие в фоне корутины.

Как раз для этого и пригодится новая функция. Теперь корутины можно (и нужно) ограничить своего рода «областью действия». Например, если объявить активность, из которой вызывается функция requestSomeData, таким образом:

class MyActivity : AppCompatActivity(), CoroutineScope {
    ...
}

И слегка изменить саму функцию, исключив из нее контекст (UI):

fun requestSomeData() {
    launch {
        updateUI(performRequest())
    }
}

Тогда запуск всех корутин будет происходить в одной области действия, ограниченной активностью. Как только пользователь закроет активность, все корутины будут завершены.

Эту же возможность можно использовать для объединения зависящих друг от друга операций. Например, следующий код позволяет выполнить фоновую загрузку двух изображений одновременно, а затем объединить их:

suspend fun loadAndCombine(name1: String, name2: String): Image { 
    val deferred1 = async { loadImage(name1) }
    val deferred2 = async { loadImage(name2) }
    return combineImages(deferred1.await(), deferred2.await())
}

Хорошо и удобно, но есть проблемы. Что, если будет завершена корутина, вызывавшая эту функцию? Мы получим две корутины-беспризорника. А что, если загрузка одного изображения закончится неудачей? Второе изображение продолжит загружаться, хотя нам это уже не нужно.

Выход:

suspend fun loadAndCombine(name1: String, name2: String): Image =
    coroutineScope { 
        val deferred1 = async { loadImage(name1) }
        val deferred2 = async { loadImage(name2) }
        combineImages(deferred1.await(), deferred2.await())
    }

Бенчмарк последовательностей Kotlin

Benchmarking Kotlin Sequences — после обновления до Kotlin 1.2.70 каждый программист должен был заметить, что среда разработки теперь предлагает конвертировать коллекции (те же списки, например) в последовательности (sequence) перед их дальнейшей обработкой (Call chain on collection should be converted into Sequence). Но зачем это нужно и не приведет ли дополнительная конвертация к оверхеду?

Официальный текст анонса Kotlin 1.2.70 говорит нам о том, что такая конвертация позволит существенно увеличить производительность комплексных операций обработки данных.

В теории это звучит логично, потому что последовательности как раз и были придуманы для ускорения операций обработки коллекций. Они позволяют избавиться от оверхеда, вызванного тем, что такие операции, как filter и map, примененные к спискам, фактически создают новые списки. Но одно дело — теория, а другое — реальная жизнь.

Возьмем два семпла кода обработки списков. Классический код:

list.filter { true }.map { it }.filter { true }.map { it }

И код, использующий конвертацию в последовательности:

list.asSequence()
    .filter { true }.map { it }.filter { true }.map { it }
    .toList()

И протестируем их в разных ситуациях по отношению к разным спискам разной длины.

Результаты, как ни странно, почти одинаковы. Более того, последовательности дают совсем незначительный выигрыш в производительности на коротких списках и существенно проигрывают спискам на очень длинных. Что еще более интересно, если добавить в код небольшую задержку, симулировав реальные вычисления, разница пропадает вовсе.

Есть, однако, две ситуации, в которых последовательности выигрывают с очень большим отрывом: методы find и first. Происходит так потому, что поиск в случае последовательностей останавливается после того, как нужный элемент найден, но продолжается в случае списков.

Результаты теста
Результаты теста

7 новых инструментов разработчика

Lucky 7 new tools and plugins for Android developers & designers — подборка из семи свежих инструментов.

1. adb-enhanced — скрипт-обертка для ADB, существенно расширяющий его возможности. Позволяет, например, включить Doze (режим энергосбережения):

adbe doze on

Отключить передачу данных по мобильным сетям:

adbe mobile-data off

и многое другое.

2. deep-clean — скрипт, удаляющий все временные файлы, использованные при сборке приложения. Может пригодиться, если приложение по какой-то причине не собирается.

3. Android-drawable-preview-plugin — плагин Android Studio, показывающий превью изображений в папке Drawable.

4. Android Input — плагин Android Studio, позволяющий быстро вводить текст в эмулятор.

5. bundletool — официальная утилита Google для работы с Android App Bundle, новым форматом упаковки приложений Android Studio 3.2.

6. GradientDrawableTuner — приложение для генерации и трансформации Drawable.

7. ColorBox — инструмент для подбора цветов.

Превью Drawable
Превью Drawable

Как создать высокопроизводительное приложение на Kotlin

Writing an Android NES Emulator — Performance optimizations — небольшая статья, автор которой рассказывает, как создавал эмулятор NES на Kotlin (ktnes) и какие уроки из этого вынес.

  1. Не стоит вызывать нативные функции (JNI) в основном цикле эмулятора. Из-за необходимости маршалинга и демаршалинга данных JNI-вызовы будут существенно замедлять код.
  2. Аллокации памяти дороги, поэтому их также стоит избегать, а именно избавиться от создания объектов в основном цикле. Стоит иметь в виду, что объекты могут быть созданы неявно, например при проходе по коллекции в цикле; в этом случае будет создан объект класса Iterator.
  3. Стоит подумать о сокращении стека вызовов, другими словами — развернуть последовательность вызовов функций в сплошной последовательный код.

Топ библиотек для Kotlin

What’s in your Larder: Libraries for Kotlin Android development — очередной топ библиотек, в этот раз с акцентом на Kotlin-разработчиков.

1. Kovenant — библиотека асинхронного программирования для Kotlin. По сути, реализация паттерна Promise:

task {
    // some (long running) operation, or just:
    1 + 1
} then { 
    i -> "result: $i"   
} success { 
    msg -> println(msg)
}

2. Picasso — широко известная библиотека для загрузки, обработки и показа изображений. Позволяет сделать все эти действия с помощью одной строки кода:

Picasso.get().load(url).resize(50, 50).centerCrop().into(imageView)

3. Anko — библиотека, упрощающая разработку приложений на языке Kotlin. Кроме набора достаточно простых функций для показа сообщений на экране, включает в себя DSL, позволяющий программировать интерфейс прямо в коде:

verticalLayout {
    val name = editText()
    button("Say Hello") {
        onClick { toast("Hello, ${name.text}!") }
    }
}

4. Fuel — сетевая библиотека, использующая лямбды для обработки ответов, вместо традиционных для других библиотек листенеров.

5. Forge — простой в использовании парсер JSON, разработанный автором Fuel.

6. Result — библиотека, позволяющая вернуть из функции два значения разных типов. Например, Result.Success может содержать значение, если функция отработала правильно и вернула значение, Result.Failure — в случае ошибки.

Observable-поля в Kotlin

Hassle-free listeners with Observable — статья о функции языка Koltin под названием Observable property, которая позволяет выполнить код в момент записи или чтения значения поля.

Ты сразу поймешь, зачем это нужно, если программируешь для Android не первый день: при изменении модели мы сразу можем изменить View. В коде это выглядит так:

class Book {
    var title: String by observable("untitled") { _, oldValue, newValue ->
        // Твой код здесь
    }
}

При изменении названия книги выполняется твой код (очень жизненный пример, да).

У Observable есть антагонист под названием Vetoable. В отличие от Observable Vetoable выполняется не после, а до присвоения значения и может заблокировать присвоение нового значения, если колбэк вернет false. Пример:

class Book {
    var title: String by vetoable("untitled") { _, oldValue, newValue ->
        !newValue.isEmpty()
    }
}

Библиотеки

  • Awesome-Android-Persistence — список библиотек и фреймворков, предназначенных для хранения данных на диске;
  • Cockpit — встраиваемый в приложение инструмент, позволяющий на лету изменять параметры интерфейса;
  • Tink — простая библиотека Google для реализации максимально корректного и безопасного шифрования;
  • PatternLockView — экран для ввода графического ключа, аналогичный экрану блокировки Android;
  • WiseFy — враппер для более удобного управления модулем Wi-Fi;
  • AndroidWM — библиотека для пометки изображений с помощью водяных знаков;
  • CheckableChipView — переключатель в стиле приложения Google I/O 2018;
  • dresscode — библиотека для динамического теминга приложения;
  • StateProgressBar — прогрессбар с отметкой стадий загрузки;
  • Android LoadX — функция-расширение Kotlin, отображающая индикатор загрузки поверх любого View;
  • PowerMenu — простая в использовании библиотека для создания pop-up-меню;
  • InboxRecyclerView — расширяемый список в стиле приложения Inbox;
  • PixelShot — простая библиотека для сохранения любого View в файл;
  • Covert — библиотека для создания swipe actions (действий, вызываемых свайпом элемента в сторону) в списках RecyclerView;
  • download-manager — библиотека для управления длительными загрузками, автоматически возобновляет скачивание файла;
  • AppListManager — библиотека для получения списков установленных приложений и активностей.
Чтв, 04 Окт 2018 06:00:07


Появилась подробная информация о схеме кражи денег из банкоматов, которой успешно пользуется северокорейская хакерская группа Hidden Cobra.
Подробнее...

Появилась подробная информация о схеме кражи денег из банкоматов, которой успешно пользуется северокорейская хакерская группа Hidden Cobra. Техническую информацию опубликовала команда US-CERT, подразделение Министерства внутренней безопасности США. Речь об атаке, названной FASTCash, северокорейская хак-группа использует ее еще с 2016 года.

Исследователи проанализировали десять образцов малвари, связанной с FASTCash, и обнаружили, что злоумышленники удаленно атаковали серверы переключения приложений (Switch Application Servers, SAP) банков. Каждый раз при использовании банкомата или терминала PoS в магазине, ПО обращается к SAP для валидации пользователя. В зависимости от того, доступна ли сумма на счету, транзакция может пройти или не пройти.

SAP — один из основных элементов инфраструктуры банкоматов и терминалов PoS, он устанавливает соединение с основной банковской системой для валидации пользователя, чтобы можно было произвести транзакцию.

Малварь, установленная на серверы SAP, перехватывает запрос на транзакцию с платежной картой злоумышленника с минимальным или даже нулевым балансом и передает поддельный положительный ответ, без собственно обращения к банковской системе для валидации доступного баланса. Таким образом, банкомат выдает наличные, даже не уведомив банк. По оценке доверенных источников, за два с лишним года группе Hidden Cobra удалось украсть уже десятки миллионов долларов.

Пока неизвестно, как произошло изначальное заражение банков, но власти США предполагают целевой фишинг: вероятно, исполняемый файл рассылали сотрудникам банков по электронной почте. Малварь заражала компьютер сотрудника, давая хакерам доступ во внутреннюю сеть банка, где они разворачивали малварь в SAP.

Атаке FASTCash подверглись банки в Азии, Африке и, возможно, США. US-CERT рекомендует банкам использовать двухфакторную аутентификацию пользователей для доступа к серверам SAP и другие меры предосторожности. Также можно скачать индикаторы компрометации (IOS) для защиты от действий Hidden Cobra.

Группировка Hidden Cobra также известна как Lazarus Group или Guardians of Peace. Она якобы пользуется поддержкой правительства Северной Кореи. Hidden Cobra известна многочисленными атаками на организации, связанные с медиа, аэрокосмической отраслью и финансами и государственные структуры по всему миру. Ранее Hidden Cobra связывали с шифровальщиком WannaCry и атаками в том числе на Sony Pictures в 2014 и банковскую систему SWIFT в 2016 году.

Срд, 03 Окт 2018 17:01:13


Канадская сеть ресторанов испытывает серьезные проблемы из-за атаки пока что не идентифицированного вымогательского ПО.
Подробнее...

Канадская сеть ресторанов под управлением компании Recipe Unlimited испытывает серьезные проблемы из-за атаки пока что не идентифицированного вымогательского ПО. Некоторым ресторанам пришлось временно закрыть свои двери из-за блокировки компьютеров.

Вспышка эпидемии вредоносного ПО произошла в прошлую пятницу, 28 сентября. По словам представителя компании, когда об инциденте стало известно, ряд систем был переведён в автономный режим, а для уже зараженных локаций был приостановлен доступ в интернет.

По словам сотрудников, компьютеры некоторых ресторанов отображали требование выкупа. В нем неизвестные хакеры сообщают о существовании серьезной дыры, через которые они легко проникли в сеть. В сообщении также говорится о том, что файлы теперь зашифрованы «самыми сильными военными алгоритмами», а для восстановления данных компания должна выплатить сумму, растущую на 0,5 биткойна в день (более 3 тысяч долларов по текущему курсу).

В результате рестораны не смогли обрабатывать транзакции с кредитными и дебетовыми картами, на что пожаловались клиенты в социальных сетях. По пока что неизвестным причинам некоторые рестораны пострадали ещё сильнее: их руководством было принято решение о закрытии.

Согласно пресс-релизу, компании затронуты были далеко не все канадские рестораны, а только те, которые работают под брендами Swiss Chalet, Harvey’s, Milestones, Kelseys, Montana, Bier Markt, East Side Mario’s, The Landing Group of Restaurants и Prime Pubs.

В понедельник, 1 октября, на Facebook была опубликована фотография, на которой изображена записка на двери одного из ресторанов Harvey’s. В ней шла речь о «проблеме с компьютером в головном офисе», а также говорилось, что за день было закрыто 1400 ресторанов, по причине того, что «компьютер главного офиса был взломан».

Представитель Recipe Unlimited сказал, что компания работает с привлеченными экспертами и собственной командой по безопасности для решения проблемы.

«Мы поддерживаем соответствующие меры по обеспечению безопасности системы и данных, в соответствии со стандартными процедурами регулярно проводим резервное копирование системы, чтобы у нас была возможность восстановить поврежденные системы», — говорится в сообщении Recipe Unlimited.

Журналисты канадского сайта CBC News обнаружили, что вымогательское сообщение напоминает шифровальщик Ryuk, обнаруженный 13 августа 2018 года и нанесший значительный ущерб ряду американских компаний. Ryuk, по мнению экспертов Check Point, создан той же хакерской группой, что и рансомварь Hermes.

Срд, 03 Окт 2018 15:16:28


Начиная с 3 сентября 2018 года пользователи Windows 10 могут загрузить новое обновление, тогда как массовые апдейты начнутся 9 октября. October 2018 Update (так называется обновление) несет ряд значительных улучшений, которые в числе прочего затрагивают пользовательский интерфейс и добавляют новые функции.
Подробнее...

Начиная с 3 сентября 2018 года пользователи Windows 10 могут загрузить новое обновление, тогда как массовые апдейты начнутся 9 октября. October 2018 Update (так называется обновление) несет ряд значительных улучшений, которые в числе прочего затрагивают пользовательский интерфейс и добавляют новые функции.

Чтобы проверить наличие обновлений, следует зайти в «Настройки

Срд, 03 Окт 2018 14:30:34


В гостях у «Хакера» — Лев Матвеев, председатель совета директоров «СёрчИнформ». В линейке продуктов компании уже состоит DLP-система против утечек информации, SIEM-система для выявления цифровых угроз в режиме онлайн, программа для учета рабочего времени, однако рынок с каждым днем расширяет спектр задач, стоящих перед этими продуктами. О будущем корпоративных систем защиты — в сегодняшнем интервью.
Подробнее...
В гостях у «Хакера» — Лев Матвеев, председатель совета директоров «СёрчИнформ», компании-производителя решений для защиты бизнеса на всех уровнях. В линейке продуктов «СёрчИнформ» — DLP-система против утечек информации, SIEM-система для выявления цифровых угроз в режиме онлайн, а также программа для учета рабочего времени. Однако рынок с каждым днем расширяет спектр задач, стоящих перед этими продуктами. О будущем корпоративных систем защиты — в сегодняшнем интервью.

Расскажите о положении дел на рынке ИБ в России, что им движет сейчас?

— Мы переживаем знаковый период. Цифровизация стала чем-то осязаемым, уже нет заблуждения, что информация в цифровом мире неважна. Поэтому понимание, что безопасность — это не деньги на ветер, а необходимость, появилось и на обывательском, и на корпоративном, и на государственном уровне. И если говорить о корпоративной среде, тут подвижки наиболее заметны. Теперь не только специалисты по безопасности, но и руководители компаний все чаще задаются вопросом, как защитить информацию в компании, а это часто значит, что и бизнес в целом.

Как эта ситуация меняет рынок продуктов для ИБ?

— Мы стали более матерыми. Это естественно. Если раньше требования к DLP-системам были минимальными, то сейчас их много. И значит, новичкам выйти на этот рынок сложнее. Это как с автомобилями: пару веков назад машины были такими примитивными, что повторить их не составляло особого труда. Но повторять теперь — когда клиент хочет джип, который за пять секунд разгонится до ста километров и остановится за пару десятков метров, — стало сложно, трудоемко. Люди сегодня не покупают машин, которые заводятся с кривого стартера — рукояткой из радиатора. И DLP-систему они хотят удобную и чтоб много умела. Эти требования будут меняться постоянно.

Давайте обсудим требования к продуктам подробнее. Рынок систем защиты от внутренних угроз разделился на два лагеря. Представители первого стоят на том, что главная задача DLP — блокировать. Вы представляете второй лагерь и считаете, что для эффективной защиты блокировать мало, добавляете в свою DLP «нетипичные» для этого класса продуктов возможности. Почему?

— Мозги не заблокируешь. Если человек понял, что ему заблокировали один канал связи, он пойдет искать другой. В результате добьется своего, а служба безопасности ничего не узнает. Поэтому мы не советуем использовать блокировку, не говоря уж о том, что это нарушает рабочие процессы. Кроме того, я не видел такую службу безопасности, которая была бы экспертом во всех областях: в ИТ, в продажах, в маркетинге… Никто не может быть на сто процентов уверен, что именно нужно блокировать в каждом подразделении. Можно угадать с частью данных, но что с остальными?

Показательно, что в «КИБ СёрчИнформ» есть блокировка, но ее используют не больше 5% компаний. Остальные предпочитают работать на упреждение инцидентов.

Но разве блокировка — это не упреждение?

— Это такое упреждение «на авось». Вот ситуация: у снабженца с поставщиком устный договор на откат. Ставки известны, и в нужный день поставщик шлет в компанию КП. Это легально и по процедуре — как блокировка поможет от сговора? Никак, блокировать нечего. А компания потеряет лишние деньги.

Или вот еще: сотрудник пишет коллегам, мол, директор — дурак и вообще у нас в компании все по блату. Блокировать ему возможность переписки с коллегами? Нет. И какой смысл — в курилке все равно пообщаются. Иногда такие истории заканчиваются саботажем, а ведь можно заранее разрешить ситуацию: дать другую работу человеку, изолировать или уволить и тем самым избежать будущего инцидента. Это другой уровень взаимодействия и информационной безопасности.

Я не говорю, что блокировка — это однозначно вредный инструмент. Он должен использоваться, но очень точечно — как «замок» на самой критичной информации. В то же время блокировать движение остальных данных нельзя, служба безопасности должна понимать, что происходит с ними, и контролировать эти процессы. Такой подход решает гораздо больше задач безопасности: он защищает компанию от финансовых потерь из-за самых разных инцидентов, не только утечек. Эту формулировку придумали не мы, а один из наших клиентов. Ее же взяли за основу для продвижения продуктов за рубежом.

А чем отличается позиционирование в России и за рубежом?

— За рубежом привыкли, что DLP — это системы очень ограниченной функциональности, чья задача — предотвратить утечку. Но ведь есть и другие «паразиты», которые истощают бизнес: воровство, боковые схемы продаж, откаты, саботаж, шпионаж на конкурентов, внезапные увольнения и другие проблемы. Какие инструменты должны защищать от них? Наши продукты могут, и потому за рубежом мы называем весь комплекс Money Loss Prevention. Инструменты те же, отличается только маркетинг.

Выдержка из маркетингового описания продуктов «СёрчИнформ» для зарубежных рынков
Выдержка из маркетингового описания продуктов «СёрчИнформ» для зарубежных рынков

Поделитесь кейсами борьбы с чем-то, кроме утечек?

— Далеко за примерами ходить не надо. У одного из клиентов был случай: сотрудник службы безопасности заметил, что менеджер по закупкам часто запускает процесс Photoshop. Возник резонный вопрос: зачем сотруднику графический редактор, если он не дизайнер, не маркетолог? Посмотрели скриншоты, видео с рабочего монитора — и обнаружили, что менеджер занимался подделкой коммерческих предложений от поставщиков. Чтобы «нарисовать» печать, особых навыков не требуется, это легко делается в графическом редакторе. Таким образом менеджер лоббировал «своих» поставщиков, хотя цены у других были ниже. Компания теряла деньги.

У нас есть целая подборка кейсов от клиентов — недобросовестные сотрудники организуют фирмы-боковики, берут взятки, занимаются промышленным шпионажем, просто ничего не делают весь день, при этом получают зарплату. Один из недавних нестандартных примеров: специалисты заказчика обнаружили в облаке документ с подозрительным содержанием. В документе в одной колонке были вписаны граммы, во второй — адрес, в третьей, как позже выяснилось, указание на «закладку» (например, «слева от двери под первым окном»). Скриншоты документа показали руководству и связались с отделом по борьбе с наркотиками.

Любой из подобных кейсов — не утечка информации как таковая. Однако подобные случаи однозначно подпадают под задачи специалистов по безопасности, и им нужен инструмент, который позволит такие инциденты обнаружить и расследовать.

И мы с вами вернулись к злободневной для нашего ИБ-рынка теме: должна ли DLP делать больше, чем предотвращать утечки.

— Я считаю, российскому рынку тоже нужно больше, чем DLP. Просто нового названия для этого класса решений пока не нашлось, а исторически все задачи решаются силами систем против утечек. Наши клиенты приходят к нам за доработками, предлагают расширять функциональность продуктов, потому что угроз много, они разноплановые, для всех нужны инструменты. Но для оперативной работы эти инструменты должны быть интегрированы между собой. Если у клиента десять аналитиков, которые постоянно проводят расследования, такая хорошая интеграция продуктов в одном решении сэкономит каждому аналитику по двадцать минут в день, это в конечном итоге огромные деньги для компании.

Поэтому мы активно расширяем линейку продуктов (за последние три года — это два новых инструмента: SIEM и ProfileCenter), а также дополняем флагман «нетипичными» для DLP возможностями. Из последних обновлений — файловый аудитор в составе «КИБ СёрчИнформ».

Разве КИБ не отслеживал работу с файлами раньше и почему это нетипичная функция DLP?

— Контроль контролю рознь. Естественно, любая DLP позволяет контролировать оборот файлов с каким-либо критичным содержанием, но аудит активности всех операций файловой системы — возможность нетиповая. При этом очень нужная при расследованиях, реконструкции нарушений. Вы правы, в нашей системе эта возможность присутствует давно. Файловый аудитор же является функциональным продолжением, который объединяет контекст и контент, дает новые инструменты аналитики. Фактически для решения этой задачи заказчики сейчас должны использовать отдельный вид систем, называемых DCAP — Data Centric Audit and Protection. Мы же предлагаем его в составе нашей DLP.

Как планируете дальше развивать продукт?

— Прежде всего, работаем над улучшением производительности. По предварительным тестам она уже увеличилась на 30–40%. Дальше — оптимизация требований к железу, это критично для больших клиентов. Планы конкретизированы, их много, но я не вижу смысла раскрывать их подробно. Мы — компания практиков и стараемся не анонсировать, а рассказывать и сразу показывать.

Кроме того, мы видим, что конкуренты на нас равняются и выпускают аналогичные продукты, правда, с опозданием в три-четыре года, но мы бы не хотели давать им дополнительной форы. Пусть лучше смотрят на наши решения, когда они выйдут в релиз, как получилось с ProfileCenter.

А как получилось с ProfileCenter?

— Пока все говорили про UEBA и UBA, мы решили, что статистического анализа мало, и пошли другим путем: сосредоточились на психологии инсайдера. Спустя год выпустили продукт, и сегодня ProfileCenter уже говорит сам за себя. У нас есть десять продаж, порядка 200 компаний тестируют возможности, делятся кейсами. И это конкретные задачи информационной и собственной безопасности: разрешить конфликт с минимальными потерями для компании; проверить тех, кого хотят повысить; найти тех, кто будет возмущен повышением коллеги и настроит коллектив против; собрать команду, которая не разругается в длительной командировке и не сорвет проект. Мы активно развиваем продукт, видим спрос и теперь уже уверены, что не прогадали с выбором направления.

Интерфейс риск-рейтингов ProfileCenter
Интерфейс риск-рейтингов ProfileCenter

В завершение вопрос о недавней новости: вы готовы инвестировать в IT-проекты и создаете корпоративный венчурный фонд. Почему приняли такое решение?

— Создать венчурный фонд решили летом этого года. Мы стабилизировали собственный продукт, систему продаж и схему сопровождения клиентов. Имеем свободные ресурсы, считаем, что знаем, как нужно работать в корпоративном секторе, и умеем это. Так почему бы не монетизировать эти ресурсы и знания? До сих пор мы много инвестировали ресурсы и знания в собственный бизнес, вкладываясь в первую очередь в людей. Это всегда дает отдачу.

За период с мая 2017 года по текущий момент открыли два офиса: в Аргентине и Бразилии. Все это благодаря тому, что удалось найти надежных людей, которые будут достойно представлять наши интересы в регионе. Сейчас наша стратегия предполагает экспансию в Индию и Юго-Восточную Азию с центром региона в Сингапуре, но пока не нашли достойных представителей. Кстати, если кто-то подскажет, будет классно. А пока мы ищем людей для своих проектов, готовы поддержать и интересные сторонние ИТ-проекты.

Досье

Компания «СёрчИнформ» — разработчик средств информационной безопасности, который входит в тройку лидеров на российском рынке DLP-систем.

Представительства компании есть во всех ФО России и странах СНГ, а также в Европе, Латинской Америке и на Ближнем Востоке.

Продукты «СёрчИнформ» лицензированы ФСБ, сертифицированы ФСТЭК, входят в реестр отечественного ПО и помогают выполнять требования регуляторов. Продукты подходят компаниям из разных отраслей, от банковского дела до машиностроения.

Среди клиентов «СёрчИнформ» есть такие именитые фирмы, как «РуссНефть», «Газпром нефть», Московская биржа, НПФ Сбербанка, «Лукойл-информ» и ФГУП «Гознак» — всего более 2000 клиентов в 17 странах мира.

Ссылка на источник