+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости информационной безопасности

Птн, 22 Сен 2017 20:30:05


Злоумышленники, представляющиеся как Phantom Squad, разослали письма с угрозами тысячам компаний по всему миру и угрожают устроить DDoS-атаки, если те не заплатят выкуп.
Подробнее...

ИБ-спеицалисты обратили внимание на массовую спам-кампанию, стартовавшую еще 19 сентября 2017 года. Первым происходящее заметил исследователь Деррик Фармер (Derrick Farmer), процитировавший у себя в твиттере сообщение группировки Phantom Squad.

В письмах хак-группа, представляющаяся как Phantom Squad, пообещала устроить DDoS-атаки на тысячи компаний 30 сентября 2017 года, если те не заплатят выкуп. Злоумышленники требуют 0,2 биткона (порядка 720 долларов по текущему курсу) и обещают, что после 30 сентября сумма увеличится до 20 биткоинов, а затем будет возрастать на 10 биткоинов каждый день.

Данный случай интересен своей масштабностью. Как правило, вымогатели атакуют очень ограниченное число жертв, но Phantom Squad разослали свои угрозы всем, до кого только смогли дотянуться. Из-за этого о кампании вскоре заговорили в социальных сетях (1, 2, 3, 4) и на тематических ресурсах, где собираются системные администраторы.

Специалисты Cloudflare сообщают, что пока трудно подсчитать точное количество спамерских писем, отправленных злоумышленниками, но отмечают, что «эти гении прислали свои вымогательские угрозы даже на адреса крупнейших компаний, предлагающих защиту от DDoS-атак».

Получили вымогательские послания и в компании Radware, после чего специалисты фирмы опубликовали предупреждение о происходящем. Эксперты выразили сомнение, что группировка, стоящая за данной кампанией, это действительно настоящая Phantom Squad. Напомню, что эта группа известна в первую очередь тем, что любит подпортить веселье игрокам Xbox Live, PSN и Steam. Хакеры неоднократно атаковали игровые сервисы в праздники.

Эксперты Radware отмечают, что вымогательские сообщения почти идентичны письмам, которые в июле 2017 года рассылала группа, выдающая себя за известную Armada Collective. Тогда угрозы оказались совершенно пустыми, но некоторые компании все же предпочли заплатить.

Специалисты пишут, что поведение DDoS-вымогателей определенно меняется. Если раньше группировки атаковали тщательно отобранные цели, требовали у компаний огромный выкуп, а в случае неуплаты действительно начинали мощную атаку, теперь RDoS-атаки охватывают как можно больше целей, а сумма выкупа выставляется чисто символическая. Такая схема увеличивает шансы злоумышленников «заработать» хоть сколько-то. К тому же вымогатели еще в 2016 году поняли, что выгоднее выдавать себя за представителей других, известных группировок, чьи имена уже растиражировали СМИ. Так, подражатели появились у New World Hackers, Lizard Squad, LulzSec, Fancy Bear и Anonymous.

ИБ-эксперты уверены, что 30 сентября не произойдет ничего страшного, потому что как у Phantom Squad попросту не хватит ресурсов, чтобы осуществить DDoS-атаки на такое число целей. Так, японский CERT назвал вымогательскую кампанию фальшивкой, посоветовал сохранять спокойствие и обращаться в правоохранительные органы после получения подобных писем.

Птн, 22 Сен 2017 19:35:16


Специалисты ESET утверждают, что провайдеры как минимум в двух странах помогают распространению шпионского ПО FinFisher.
Подробнее...

Спайварь FinFisher, так же известная как FinSpy, была создана много лет назад компанией Gamma Group International (Мюнхен, Германия), а ее продажей занимается дочерняя компания Gamma Group в Великобритании. В основном FinFisher распространяется среди правительственных агентств и правоохранительных органов разных стран, но Gamma Group неоднократно ловили на продаже своих решений странам с диктаторскими режимами, так что ИБ-эксперты давно рассматривают это ПО как обычную и весьма опасную малварь.

FinFisher представляет собой классический образчик шпионского ПО, может включать камеры и микрофоны на зараженной машине, перехватывать нажатия клавиш, похищать файлы, «подслушивать» звонки через Skype и так далее.

Как правило, FinFisher распространяется так же, как другая малварь, посредством направленного фишинга, 0-day эксплоитов, drive-by загрузок, атак типа watering hole и так далее. Но теперь специалисты компании ESET заявляют, что FinFisher выходит на новый уровень, и к распространению подключились интернет провайдеры двух стран.

Так как компании-провайдеры могут контролировать трафик своих клиентов, они используют эту возможность для осуществления своеобразных MitM-атак. Когда пользователь пытается скачать определенную программу, его незаметно переадресуют на вредоносную версию этого ПО, содержащую FinFisher. Для этого провайдеры используют HTTP 307 Temporary Redirect.

По данным исследователей, таким образом провайдеры подменяют такие популярные приложения, как WhatsApp, Skype, Avast, WinRAR, VLC Player и многие другие. Аналитики ESET не раскрывают названия этих компаний-провайдеров «чтобы не подвергать никого опасности».

Стоит заметить, что выводы ESET подтверждаются и документами, опубликованными на Wikileaks. Согласно этим бумагам (PDF), один из пакетов FinFisher (FinFly ISP), распространяемых Gamma Group, предназначен для установки на уровне интернет-провайдеров.

Птн, 22 Сен 2017 18:30:23


Релиз Joomla 3.8 принес более 300 исправлений и улучшений, а также устранил две уязвимости, одна из которых могла использоваться для получения учетных данных администратора.
Подробнее...

Специалисты компании RIPS Technologies рассказали, что все версии Joomla между 1.5 и 3.7.5 были подвержены опасному багу (CVE-2017-14596), связанному с аутентификацией с использованием Lightweight Directory Access Protocol (LDAP). В Joomla LDAP представлен специальным аутентификационным плагином, включить который можно через Plugin Manager.

Исследователи предупреждают, что из-за некорректной «очистки» входящих данных непривилегированный атакующий может эксплуатировать баг на странице авторизации и вычислить логин и пароль администратора, подбирая их символ за символом.

«Через уязвимость на странице логина непривилегированный удаленный атакующий может извлечь все аутентификационные данные с LDAP-сервера, который используется установкой Joomla. Затем атакующий может использовать эти данные для входа в панель администратора и перехвата контроля как над установкой Joomla, так, в теории, и над веб-сервером, загружая кастомные расширения для выполнения произвольного кода», — пишут эксперты.

RIPS Technologies опубликовали не только подробную информацию о баге, но также представили proof-of-concept видео, демонстрирующее атаку. Исследователи подчеркнули, что для корректной работы эксплоита также необходимо осуществить обход фильтра, но как именно это сделать, специалисты не уточнили.

Уязвимость была обнаружена еще в июле 2017 года, и исправлена с выходом Joomla 3.8. Хотя специалисты RIPS Technologies классифицировали баг как критический, разработчики Joomla присвоили проблеме среднюю степень серьезности.

Также релиз Joomla 3.8 устранил уязвимость CVE-2017-14595, которая описывается как логический баг в работе SQL-запросов.

Птн, 22 Сен 2017 11:34:33


В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения их коллег. Где-то этим занимается секретариат, а где-то автоматизированные системы (корпоративный сайт, SharePoint и подобное). В этой статье я расскажу о простеньком скрипте на PowerShell, который работает с AD и рассылает уведомления по почте.
Подробнее...

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения их коллег. Где-то этим занимается секретариат, а где-то автоматизированные системы (корпоративный сайт, SharePoint и подобное). В этой статье я расскажу о простеньком скрипте на PowerShell, который работает с AD и рассылает уведомления по почте.

Поздравляем участника конкурса

Этот текст был прислан на конкурс авторов, который мы запустили весной. Мы разобрались с большим количеством пришедших материалов, подвели итоги и наградили победителей. Автор этой заметки получил приз — трехмесячную подписку на «Хакер». Поздравляем!

Итак, сценарий работы скрипта такой.

  1. Берем из AD всех пользователей.
  2. У каждого пользователя смотрим Extended attributes 10, в котором записана дата рождения сотрудника в формате дд.мм.гггг.
  3. Если дата следующего дня совпадает с датой в Extended attributes 10 сотрудника, делаем рассылку с напоминанием о предстоящем дне рождения этого сотрудника.

Дальше сам скрипт с комментариями.

# Фильтр по типу объекта и по OU
$UserFilter = "(objectCategory=User)"
$ObjSearch = New-Object System.DirectoryServices.DirectorySearcher
$ObjSearch.PageSize = 10000
$ObjSearch.Filter = $UserFilter
$ObjSearch.SearchRoot = "LDAP://OU=Company_Users,dc=company,dc=ru"

# Коллекция всех пользователей в OU
$AllUser = $ObjSearch. FindAll()

# Получаем завтрашний день в формате строки день.месяц и день.месяц.год
$NextDay = (get-date).AddDays(1).ToString("dd.MM")
$NextDayFormat = (get-date).AddDays(1).ToString("dd.MM.yyyy")

# Параметры для отправки почты
$EmailFrom = "notice@company.ru"
$SmtpServer = "192.168.0.25"
$EmailTo="all@company.ru"
$Msg = New-Object Net.Mail.MailMessage
$Encoding = [System.Text.Encoding ]::UTF8

# Авторизация для сервера Exchange
# При первом запуске скрипта сохраним в текстовый файл зашифрованный пароль от пользователя, под которым будем авторизовываться на почтовом сервере
$GetCred = Get-Credential
$GetCred.Password | ConvertFrom-SecureString | Set-Content C:Temppassex.txt
# После первого запуска две строки сверху можно закомментить

$Pass = Get-Content C:Temppassex.txt | ConvertTo-SecureString
$Cred = New-Object System.Management.Automation.PsCredential ("notice@company.ru", $Pass)

# Перебор всех элементов коллекции
foreach ($User in $AllUser) {

# Получаем все атрибуты пользователя
$UserInf = $User. GetDirectoryEntry()

# Если extensionattribute10 непустой, то есть там есть какая-то дата
if ($UserInf.extensionattribute10 -ne "") {

# Получаем эту дату из 10-го атрибута
[string] $DayOfBirth = $UserInf.extensionattribute10

# Берем из строки первые пять символов (пример 01.10)
$DayOfBirth = $DayOfBirth. substring(0, 5)

# Если дата из атрибута 10 = дате завтрашнего дня
if ($DayOfBirth -eq $NextDay) {

# Формируем сообщение в формате HTML
$Msg.IsBodyHtml = $true
$Msg.Subject = "Напоминание: $NextDayFormat г. день рождения у сотрудника " + $UserInf. displayname
$Msg.Body = "
ДЕНЬ РОЖДЕНИЯ!

Завтра ( $NextDayFormat г.), " + $UserInf.displayname + " празднует день рождения!

"
send-MailMessage -SmtpServer $SmtpServer -To $EmailTo -From $EmailFrom -Credential $Cred -Subject $Msg.Subject -Body $Msg.Body -BodyAsHtml -Encoding $Encoding
}
}
}

Конечно, код скрипта не оптимален, зато, скорее всего, будет понятен всем.

Конкурс продолжается

Мы решили продлить конкурс и превратить его в постоянную акцию. Прислав нам описание хака, полезный совет или описание клевой неизвестной проги, ты по-прежнему можешь получить подписку на месяц, три месяца или, если постараешься, на год. Следуй рекомендациям и присылай свой текст!

Птн, 22 Сен 2017 10:30:45


Стартап CoinDash, который взломали во время проведения ICO минувшим летом, получил обратно 10 000 ETH.
Подробнее...

16 июля 2017 года израильский стартап CoinDash запустил процедуру ICO (Initial Coin Offering, первичного размещения токенов), которая в итоге закончилась для проекта не слишком хорошо. Через три минуты после размещения токенов неизвестные злоумышленники взломали сайт CoinDash и подменили адрес официального Ethereum-кошелька на свой собственный.

Хотя атаку обнаружили почти мгновенно, только за первые пять минут после взлома на кошелек хакеров перевели более 6 млн долларов. В итоге злоумышленники «заработали» более 43 000 Ethereum, что равнялось примерно 8,3 млн долларов по курсу на тот момент (по текущему курсу более 10 млн долларов).

Тогда представители CoinDash пообещали, что выпустят токены для всех пострадавших, которые отправили средства на кошелек преступников.

Теперь, спустя два месяца после инцидента, представители CoinDash неожиданно сообщили, что злоумышленники вернули на один из кошельков компании 10 000 ETH, то есть почти 3 млн долларов. Транзакцию действительно можно увидеть здесь. При этом в кошельке злоумышленников до сих пор лежат оставшиеся 8 млн долларов.

Что именно подтолкнуло хакеров вернуть средства, неизвестно. Руководители CoinDash пишут, что преступники не выходили с ними на связь и не делали никаких официальных заявлений, поэтому об их мотивах остается лишь догадываться.

Представители CoinDash назвали случившееся «невероятным», но отметили, что расследованием июльского инцидента, в котором участвуют израильские правоохранительные органы, продолжается.

Птн, 22 Сен 2017 09:54:43


OCS Inventory NG расшифровывается как Open Computers and Software Inventory. Это ПО предназначено для инвентаризации компьютеров в сети, сбора информации о программном обеспечении и установленном оборудовании.
Подробнее...

Содержание статьи

OCS Inventory NG расшифровывается как Open Computers and Software Inventory. Это ПО предназначено для инвентаризации компьютеров в сети, сбора информации о программном обеспечении и установленном оборудовании.

Поздравляем участника конкурса

Этот текст был прислан на конкурс авторов, который мы запустили весной. Мы разобрались с большим количеством пришедших материалов, подвели итоги и наградили победителей. Автор этой заметки получил приз — трехмесячную подписку на «Хакер». Поздравляем!

Ключевые особенности:

  • удобный веб-интерфейс;
  • расширение возможностей плагинами;
  • поддержка IpDiscover и SNMP;
  • продвинутый поиск;
  • сбор ключей Windows и Office;
  • удаленное развертывание пакетов.

Этот продукт поддерживает все популярные ОС: Windows, Linux, BSD, Sun Solaris, IBM AIX, HP-UX, macOS, Android.

Устанавливать будем с официального сайта, так как в репозиториях Debian старые версии.

На такой конфигурации железа сервер спокойно может собирать информацию со 150 агентов с интервалом обновления четыре часа.

  • Софт: Debian Jessie (8.7.1) x64, OCSNG_UNIX_SERVER-2.3.1, OCSNG-Windows-Agent-2.3.0.0
  • VPS: OpenVZ, 2 vCPU, 512 Мбайт, 15 Гбайт SSD

Ссылки на исходники

Устанавливать OCS Inventory NG будем в связке с Apache 2 и MariaDB.

Подготовка

Проверим дату и время, чтобы соответствовали нашему часовому поясу. На некоторых виртуальных серверах они бывают неправильно установлены, из-за чего в базе данных отображаются некорректно.

date
ln -sf /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Подключаем репозиторий. Открываем список зеркал и добавляем репозиторий DotDeb.

nano /etc/apt/sources.list
DotDeb
deb http://packages.dotdeb.org jessie all
deb-src http://packages.dotdeb.org jessie all

Импортируем ключ DotDeb’а:

wget http://www.dotdeb.org/dotdeb.gpg -O - -q | apt-key add -

Обновляем список зеркал и пакеты:

apt-get update && apt-get upgrade

Установим необходимые пакеты:

apt-get install make apache2 php7.0-mbstring php7.0-soap php7.0-common libapache2-mod-php7.0 php-pear php7.0-cli php7.0-ldap php7.0-gd php7.0-zip mariadb-server php7.0-mysqlnd php7.0-curl

Во время установки задаем пароль для пользователя root MySQL.

Ставим модули Perl:

apt-get install libxml-simple-perl libio-compress-perl libdbi-perl libdbd-mysql-perl libapache-dbi-perl libnet-ip-perl libsoap-lite-perl libarchive-zip-perl
cpan -i XML::Entities

После этого устанавливаем MariaDB и создаем пользователя ocs и БД ocsweb.

Логинимся к БД:

mysql -u root -p

Создаем пользователя:

mysql> create user 'ocs'@'localhost' identified by 'pass_mysql';

Создаем БД:

mysql> create database `ocsweb` character set = 'utf8';

Присваиваем права:

mysql> GRANT ALL PRIVILEGES ON `ocsweb`.* to `ocs`@localhost;
mysql> FLUSH PRIVILEGES;
mysql> quit;

Установка и настройка

Скачиваем OCS-NG Server:

wget -P /tmp https://github.com/OCSInventory-NG/OCSInventory-ocsreports/releases/download/2.3.1/OCSNG_UNIX_SERVER-2.3.1.tar.gz
tar -xf /tmp/OCSNG_UNIX_SERVER-2.3.1.tar.gz -C /tmp
cd /tmp/OCSNG_UNIX_SERVER-2.3.1/

Запускаем скрипт установки (все настройки оставляем по умолчанию):

./setup.sh
  1. Мы уверены и хотим продолжить. [ENTER]
  2. Наш MySQL-сервер запущен на локальном хосте. [ENTER]
  3. И работает он на порте 3306. [ENTER]
  4. Бинарник демона apache2 находится в /usr/sbin/apache2ctl. [ENTER]
  5. Конфигурационный файл лежит тут: /etc/apache2/apache2.conf. [ENTER]
  6. Apache2 работает от пользователя www-data. [ENTER]
  7. Который входит в группу www-data. [ENTER]
  8. Программа установки поместит конфигурационный файл OCS Inventory NG в директорию /etc/apache2/conf-available. [ENTER]
  9. Бинарник PERL расположен тут: /usr/bin/perl. [ENTER]
  10. Да, мы хотим настроить конфигурационный сервер на этом компьютере. [ENTER]
  11. Размещаем логи сервера OCS в /var/log/ocsinventory-server. [ENTER]
  12. Конфигурационные файлы плагинов будут лежать тут: /etc/ocsinventory-server/plugins. [ENTER]
  13. Задаем расположение модулей Perl: /etc/ocsinventory-server/perl. [ENTER]
  14. Модуль PERL Apache2::SOAP не установлен, хотите продолжить? [ENTER] (Это опциональная функция OCS, без нее все будет корректно работать.)
  15. Чтобы Apache 2 загружал модули Perl до старта OCS, программа установки переименует ocsinventory-server.conf в z-ocsinventory-server.conf. [ENTER]
  16. Да, мы хотим настроить Web Administration Console. [ENTER]
  17. Наша версия OCS устанавливается впервые, поэтому продолжаем. [ENTER]
  18. Куда копировать статические файлы PHP Web Console /usr/share/ocsinventory-reports. [ENTER]
  19. Каталоги с возможностью записи/кеширования для пакетов развертывания, а также журналы консоли администрирования, IpDiscover и SNMP будут находиться в /var/lib/ocsinventory-reports. [ENTER]
  20. Готово! Рестарт веб-сервера пока не делаем. Журнал установки лежит в /tmp/OCSNG_UNIX_SERVER-2.3.1/ocs_server_setup.log.

Задаем в z-ocsinventory-server.conf директиву PerlSetVar OCS_DB_PWD, то есть пароль пользователя ocs.

nano /etc/apache2/conf-available/z-ocsinventory-server.conf

PerlSetVar OCS_DB_PWD pass_mysql

Включаем конфиги

Отключим дефолтные и включим новые. Далее сделаем рестарт демона apache2.

a2dissite 000-default
a2enconf ocsinventory-reports
a2enconf z-ocsinventory-server
/etc/init.d/apache2 restart

Предоставляем пользователю www-data права на директории:

chown -R www-data:www-data /usr/share/ocsinventory-reports/
chmod 0755 /var/lib/ocsinventory-reports/

Теперь подключаемся по адресу http://domen_or_ip/ocsreports. Нас уведомят о том, что следовало бы избавиться от install.php. Удаляем его:

rm /usr/share/ocsinventory-reports/ocsreports/install.php

Дополнительно можно отключить AccessLog в Apache 2:

nano /etc/apache2/sites-available/000-default.conf

Комментируем эту строчку:

CustomLog ${APACHE_LOG_DIR}/access.log combined

Убрать версию Apache 2:

nano /etc/apache2/apache2.conf

Добавляем:

Hide version
ServerTokens ProductOnly
ServerSignature Off

Рестартуем:

/etc/init.d/apache2 restart

Убрать версию PHP 7.0:

nano /etc/php/7.0/apache2/php.ini

Добавляем:

expose_php = Off

И снова рестартуем Apache.

Установка агента в Windows 10

Скачиваем последний установщик и запускаем. От типа установки зависит, как будет производиться инвентаризация. Есть два варианта:

  • Network inventory — работает через сеть;
  • Local inventory может потребоваться для локального импорта, когда у хоста нет сети.

Настройку параметров прокси оставляем как есть.

Пишем адрес сервера — домен или IP-адрес. Безопасность обмена между агентом и сервером будет обеспечиваться сертификатом cacert.pem.

Придумываем тег, который будет служить для объединения компьютеров в группы. В опциях указываем, что хотим сразу после установки начать инвентаризацию.

Установка плагинов

Ссылки на скачивание лучше брать с GitHub, так как на официальном сайте встречаются старые версии. Устанавливать будем на примере Office Pack. Этот плагин позволяет получать ключи от Microsoft Office.

Для установки нам понадобится положить скачанный плагин в /usr/share/ocsinventory-reports/ocsreports/download. Приступим.

wget -P /usr/share/ocsinventory-reports/ocsreports/download https://github.com/PluginsOCSInventory-NG/officepack/releases/download/1.1.1/officepack.zip

Далее в веб-интерфейсе нашего сервера открываем Plugins —> Plugins Manager, выбираем скачанный плагин и жмем Install. После успешной установки рестартуем демон Apache.

Осталось скачать плагин на компьютере с установленным агентом и распаковать файлик msofficekey.vbs (он лежит в officepack.zipagent) в C:Program Files (x86)OCS Inventory AgentPlugins.

В трее ищем наш агент, нажимаем правой кнопкой мыши и выбираем Run OCS Inventory NG Agent now.

Проверяем результат!

Конкурс продолжается

Мы решили продлить конкурс и превратить его в постоянную акцию. Прислав нам описание хака, полезный совет или описание клевой неизвестной проги, ты по-прежнему можешь получить подписку на месяц, три месяца или, если постараешься, на год. Следуй рекомендациям и присылай свой текст!

Птн, 22 Сен 2017 08:30:35


Специалисты из израильского университета имени Бен-Гуриона продемонстрировали два новых, экзотических способа атак на изолированные компьютеры.
Подробнее...

Специалисты из израильского университета имени Бен-Гуриона уже не первый год демонстрируют миру странные и весьма экзотичные концепты атак. В своих изысканиях они в основном концентрируются на особенно сложных случаях, то есть разрабатывают векторы атак для ситуаций, в которых, казалось бы, похитить информацию или проследить за пользователем попросту невозможно. К примеру, если компьютер физически изолирован о любых сетей и потенциально опасной периферии.

aIR-Jumper

На этот раз специалисты представили сразу два новых проекта, первым из которых стала малварь aIR-Jumper. Исследователи предложили использовать для извлечения данных с изолированных компьютеров камеры видеонаблюдения, которые оснащены IR LED (инфракрасными светодиодами).

Предполагается, что атакующие должны каким-то образом установить aIR-Jumper на компьютер, который взаимодействует с камерами наблюдения и их ПО, или на компьютер, который находится в одной сети с камерой.

Задача вредноса довольно проста, он разбивает информацию, собранную на зараженном устройстве, на простые нули и единицы, после чего эксплуатирует API камеры, чтобы помигать инфракрасным диодом в нужной последовательности и передать информацию вовне. Атакующему останется лишь записать предаваемые камерой данные, а затем преобразовать полученные нули и единицы обратно во что-то осмысленное.

Инфракрасный диод может использоваться для передачи новых команд малвари. aIR-Jumper способен «просматривать» видеопоток, поступающий с камер, и обнаруживать передачу информации через серию миганий и пауз. Вредонос может конвертировать полученный таким образом сигнал в команду, а затем выполнить ее.

Вся суть данной атаки заключается в том, что инфракрасное излучение невидимо невооруженным глазом, то есть странное поведение диодов вряд ли привлечет чье-то внимание, — мигания попросту никто не заметит. При этом исследователи отмечают, что такие атаки могут использоваться как против изолированных от интернета компьютеров, так и для более рядовых случаев, когда атакующему просто нужно не оставить в системе следов и не вызвать подозрений у антивирусов и прочих защитных решений.

Тестирование показало, что использовать инфракрасные диоды можно на расстоянии 10-100 метров, при этом одна камера способна передавать информацию вовне со скоростью 20 бит/сек и получать данные со скоростью 100 бит/сек.

Ранее специалисты из университета имени Бен-Гуриона уже установили, что наиболее быстрый способ извлечения данных из закрытых сетей предлагают светодиоды роутеров и свитчей. Однако сетевое оборудование, как правило, не разбросано по офису, а стоит в дата-центре, так что использовать этот вектор атак не всегда возможно. Камеры видеонаблюдения, в свою очередь, напротив установлены везде и для атакующих не в пример легче получить к ним доступ.

Сравнительная таблица скоростей извлечения данных из изолированных сетей

Также исследователи полагают, что использование IR – это более надежный способ, так как инфракрасный сигнал отражается от близлежащий поверхностей, а атакующему необязательно находиться в зоне прямой «видимости» камеры. Кроме того, aIR-Jumper может быть модифицирован для работы с «умными» дверными звонками и другими устройствами, которые комплектуются IR LED.

Для защиты от таких атак специалисты рекомендуют отключать поддержку IR, следить за активностью диодов, необычной активностью, связанной с API камер, а также держать окна в офисе зашторенными. Два видеоролика ниже демонстрируют атаку в работе и наглядно показывают, почему окна стоит держать закрытыми.

Подробный отчет, посвященный aIR-Jumper, можно найти здесь (PDF).

 HVACKer

Во втором случае исследователи предложили использовать в качестве «мостика» к изолированным сетям системы отопления, вентиляции и кондиционирования (heating, ventilation, and air conditioning, HVAC).

Для этого специалисты создали кастомную proof-of-concept малварь HVACKer, которая взаимодействует с температурными датчиками компьютера и считывает информацию о колебаниях температур, а затем конвертирует эти флуктуации в последовательность нулей и единиц. Как и в случае с камерами видеонаблюдения, атакующему вновь придется заранее озаботиться установкой HVACKer на целевой компьютер. Впрочем, как показывают примеры Stuxnet, Gauss и Flame, ничего невозможного нет, и порой доставка вредоноса посредством USB тоже отлично работает.

Для воплощения данного вектора атак в жизнь, исследователям также пришлось написать собственный line-encoding протокол, который позволит передавать команды посредством изменения температуры. Классические line-encoding методы показали себя слишком медленными и неточными.

Чтобы реализовать такую атаку, злоумышленнику нужно найти и взломать уязвимую HVAC-систему, которая «смотрит» в интернет или сообщается с подключенной к интернету сетью. При этом вовсе не обязательно искать именно HVAC-систему, можно проникнуть и в системы автоматизации здания, так как зачастую они содержат HVAC-компонент. Получив контроль над системами отопления, вентиляции и кондиционирования злоумышленник сможет влиять на температуру, тем самым передавая команды своей малвари в отельной комнате или на различных хостах, во всем здании. Скорость передачи данных при этом составляет примерно 40 бит/сек, и этого вполне достаточно для управления вредоносом.

Как уже можно догадаться по приведенному выше описанию, HVACKer подходит лишь для передачи команд зараженной системе, но не для извлечения из нее информации. Дело в том, что сами HVAC-устройства не имеют датчиков нужной точности и не способны принимать данные, передаваемые через изменения температур. Тем не менее, авторы HVACKer уверяют, что их методика может быть очень полезной: атаки на изолированные системы всегда очень сложны и, чаще всего, на их реализацию уходят месяцы и даже годы, а в большинстве случаев приходится задействовать еще и полевых агентов. HVACKer помогает упростить процесс, к примеру, для обновления малвари и передачи команд не придется хотя бы проникать в здание.

С подробным докладом о HVACKer можно ознакомиться здесь (PDF).

Напомню, что ранее мы не раз писали о других разработках специалистов из университета имени Бен-Гуриона. Вот только некоторых из них:

  • USBee: превращает почти любой USB-девайс в RF-трасмиттер для передачи данных с защищенного ПК;
  • DiskFiltration: перехватывает информацию посредством записи звуков, которые издает жесткий диск компьютера во время работы компьютера;
  • AirHopper: использует FM-приемник в мобильном телефоне, чтобы анализировать электромагнитное излучение, исходящее от видеокарты компьютера, и превращает его в данные;
  • Fansmitter: регулирует обороты кулера на зараженной машине, вследствие чего тональность работы кулера изменяется, ее можно прослушивать и записывать, извлекая данные;
  • GSMem: передаст данные с зараженного ПК на любой, даже самый старый кнопочный телефон, используя GSM-частоты;
  • LED-it-GO: использует для извлечения данных мигание обычного диода-индикатора работы HDD;
  • BitWhisper: использует термодатчики и колебания тепловой энергии;
  • Безымянная атака, задействующая для передачи информации планшетные сканеры и «умные» лампочки;
  • xLED: для хищения и передачи данных предложено использовать светодиоды сетевого оборудования.
Птн, 22 Сен 2017 07:30:23


26 и 27 октября 2017 года в Москве состоится одно из главных событий года в области блокчейн-технологий и криптовалют — Russian Blockchain Week 2017. На конференции выступят более 30 топовых спикеров отрасли.
Подробнее...

26 и 27 октября 2017 года в Москве состоится одно из главных событий года в области блокчейн-технологий и криптовалют — Russian Blockchain Week 2017. На конференции выступят более 30 топовых спикеров отрасли.
Соорганизатором конференции выступает один из крупнейших экономических вузов России – Российский экономический университет имени Г.В. Плеханова, в здании которого и пройдет мероприятие.

В ходе Russian Blockchain Week 2017 ведущие эксперты шаг за шагом расскажут обо всех возможностях применения технологии, реальных кейсах и, конечно же, ответят на один из основных вопросов: какие именно новые возможности открывает технология бизнесу и частным лицам?

Russian blockchain week 2017 будет состоять из нескольких частей:

  1. конференция;
  2. зал мастер-классов;
  3. презентации блокчейн-проектов;
  4. выставка.

Основные темы, которые будут затронуты на конференции:

Криптовалюты:

  • биткоины и альткоины (Etherium, Ethereum, Ripple, Zcash и т.д.);
  • инвестиции и заработок на криптовалютах;
  • какие валюты будут расти в ближайшее время: прогнозы экспертов.

Принципы технологии блокчейн и будущее применения:

  • что необходимо знать о технологии блокчейн. Принципы и прикладное значение;
  • каким будет будущее с блокчейном;
  • существующие проблемы и их решение.

ICO:

  • как создать свое ICO;
  • обзор успешных ICO-проектов;
  • проверка благонадежности ICO: как отличить серьезные проекты от мошеннических.

Законодательное регулирование:

  • перспективы законодательства в области оборота криптовалют;
  • как делать проекты на блокчейн-технологии и оставаться в правовом поле.

Блокчейн для бизнеса:

  • внедрение технологии в корпоративном бизнесе;
  • new business development на блокчейне;
  • стартапы и кейсы;
  • технология мастерчейн.

Майнинг и оборудование:

  • глобальные изменения: перспективы и тенденции в современном майнинге;
  • выбор оборудования, расчет окупаемости.

Разработчикам:

  • программирование смарт-контрактов;
  • разработки на технологии блокчейн в корпоративном бизнесе.

На мероприятии у посетителей будет возможность не только встретиться с экспертами и познакомиться с основателями ведущих стартапов и потенциальными инвесторами, но также в неформальной обстановке обсудить интересующие их вопросы.

В качестве спикеров на Russian Blockchain Week 2017 выступят:

  • Дмитрий Булычков — директор проектов Центра технологических инноваций Сбербанка;
  • Элина Сидоренко — руководитель межведомственной рабочей группы по оценкам рисков оборота криптовалюты Государственной думы;
  • Алексей Архипов — директор по развитию криптотехнологий QIWI, руководитель направления развития технологии распределенных реестров Ассоциации ФинТех;
  • Ярослав Кабаков — заместитель генерального директора АО «Инвестиционная компания «ФИНАМ»;
  • Юлий Зегельман — управляющий партнер Velton Zegelman PC;
  • Максим Азрильян — главный технический архитектор Альфа-Банка;
  • Степан Гершуни — управляющий партнер bits.capital;
  • Алексей Благирев — директор по инновациям, Банк Открытие;
  • Константин Гольдштейн — ведущий технический евангелист Microsoft;
  • Олег Иванов — основатель CryptoBazar.

Что лично вам даст участие в конференции?

Разберетесь в новой технологии и перспективах ее применения.
Что такое блокчейн? Как работают криптовалюты? В чем фундаментальный принцип и где здесь революция? Подробный поэтапный разбор с кейсами и примерами.

Сможете увидеть прикладное значение на примере крупных компаний и стартапов.
Поймете, как блокчейн и криптовалюты могут быть реализованы на практике: кейсы крупного бизнеса и небольших стартапов, уже использующих эту технологию.

 Зарядитесь новыми идеями для бизнеса и инвестиций.
На инвестициях в криптовалюты зарабатывают десятки тысяч долларов, не выходя из дома, майнеры получают пассивный ежедневный доход, корпорации запускают новые направления, а небольшие стартап-команды привлекают миллионы к своим проектам в течение нескольких месяцев.

Приобретете новые знакомства, связи и деловые контакты.
Участники конференции — ядро аудитории, заинтересованное передовыми технологиями и развитием бизнес-проектов. Максимальная концентрация блокчейн-сообщества России.

Подать заявку на участие, получить более подробную информацию о конференции, ее спикерах и программе можно на официальном сайте: blockchainweek.moscow или по телефону +7 (499) 404-17-03.

Читателям «Хакера» предоставляется скидка 25% на любой из пакетов! Акция действительна до 8 октября 2017 года. Промо-код для получения скидки – «Хакер».

Чтв, 21 Сен 2017 20:55:32


«Мы копаем могилу сами себе», — переживают киберпреступники и выражают опасения, что такие нашумевшие атаки, как WannaCry и NotPetya, играют вовсе не на руку хакерскому андеграунду.
Подробнее...

Компании Anomali и Flashpoint обнародовали совместное исследование, посвященное настроениям, которые царят на андеграундных хакерских ресурсах в даркнете и в открытой части сети. Как оказалось, многие администраторы подобных сайтов считают, что распространение вымогательского ПО лишь вредит «бизнесу» и привлекает ненужное внимание к их платформам.

ИБ-специалисты приводят примеры и пишут, что на хакерских сайтах нередко обсуждаются такие известные вымогательские инциденты, как взлом Голливудского пресвитерианского медицинского центра (Hollywood Presbyterian Medical Center) в 2016 году, а также эпидемии малвари WannaCry и NotPetya. Как оказалось, администрация большинства изученных ресурсов крайне редко высказывается об этих случаях в положительном ключе. Причем аргументация от раза к разу используется одна и та же, эксперты приводят основные доводы преступников:

  • вымогательское ПО привлекает слишком много внимания;
  • вымогательское ПО может мешать другим видам киберпреступлений;
  • вымогательское ПО может легко обернуться против России;
  • вымогательское ПО может подвигнуть власти действовать более решительно и бороться с андеграундными ресурсами гораздо жестче.

Стоит отметить, что пункт про Россию появился в списке не случайно, дело в том, что эксперты Anomali и Flashpoint преимущественно изучали ресурсы, где собираются жители Восточной Европы и стран СНГ. Бытует мнение, что пока малварь не распространяется на саму страну проживания хакеров и не атакует ее жителей, им почти не о чем беспокоиться. А вымогательское ПО, по мнению злоумышленников, может легко выйти из-под контроля.

«Позволяя операторам рансомвари продавать ее на форуме, мы копаем могилу сами себе, — пишет в обсуждении неназванный пользователь. — Конечно, бан на форумах не прекратит такой бизнес, но сведет его к минимуму, и мы можем использовать неодобрение сообщества, чтобы даже войти в этот бизнес стало сложно».

Также киберпреступники отмечают, что операторы вымогательской малвари часто «одалживают» различные механизмы и техники у других вредоносов. В результате производителям становится известно об узявимостях, которыми пользуются и другие представители преступного мира, для этих проблем выходят патчи, компании и пользователи обновляют и закрывают ранее уязвимые сети, что плохо сказывается на операциях отнюдь не только вымогательского ПО.

По данным Anomali и Flashpoint, в настоящее время за запрет на распространение рансомвари выступает 48,5% андеграундного сообщества. Мы вряд ли увидим фактический бан в сколь-нибудь скором будущем, так как вымогательское ПО все же приносит огромные прибыли не только своим создателям, но и операторам подпольных площадок, на которых оно продается и размещается. Тем не менее, исследование наглядно демонстрирует, что хакерское сообщество не слишком одобряет атаки с использованием вымогателей и шифровальщиков, считая этот бизнес низким и опасным.

Напомню, что прецеденты введения подобных запретов все-таки были. Так, в прошлом году, после волны мощных DDoS-атак с использованием малвари Mirai, операторы крупного подпольного ресурса HackForums приняли решение полностью закрыть раздел DDoS-атак по найму. Тогда администраторы ресурса сообщили, что DDoS привлекает слишком много внимания.

Чтв, 21 Сен 2017 20:00:14


Появляются все новые подробности о взломе бюро кредитных историй Equifax и, к сожалению, инцидент из-за них выглядит только хуже.
Подробнее...

8 сентября 2017 года стало известно о крупной утечке данных, которую допустило одно из крупнейших бюро кредитных историй в мире, Equifax. Тогда представители североамериканского подразделения Equifax сообщили, что неизвестные злоумышленники завладели личной информацией 143 млн человек (всего в США проживает 324 млн человек), включая номера социального страхования и водительских удостоверений, полные имена, адреса и так далее. Кроме того, в 209 000 случаях в документах также фигурировала информация о банковских картах пострадавших.

Подробностей о самой атаке сообщалось немного, лишь на прошлой неделе стало известно, что злоумышленники скомпрометировали компанию через уязвимость в Apache Struts. Хотя до этого специалисты предполагали, преступники эксплуатировали свежий критический баг CVE-2017-5638, оказалось, что неизвестные взломщики использовали уязвимость CVE-2017-9805, которая была устранена еще в начале марта 2017 года. Так как взлом Equifax произошел в мае, у компании было два месяца на установку обновления, однако по какой-то причине этим никто не озаботился.

Все это время компания подвергалась резкой критики со стороны СМИ и ИБ-специалистов. Дело было даже не в самом взломе, а в том, как представители Equifax справились с последствиями компрометации и утечки данных. Мы уже рассказали о множестве проблем, которые были обнаружены специалистами, начиная от сайта для пострадавших, работающего под управлением стоковой версии WordPress, и заканчивая практически неработающей системой подачи заявок на защиту от кражи личности TrustedID Premier.

К сожалению, за прошедшее время ситуация вокруг взлома Equifax не улучшилась. К примеру, стало известно, что официальные представители компании по ошибке направляли своих клиентов не на официальный сайт для пострадавших, а на поддельную страницу.

Путаницу с веб-сайтами представители Equifax спровоцировали сами. Дело в том, что для пострадавших был запущен специальный сайт equifaxsecurity2017.com, где можно найти ответы на наиболее распространенные вопросы, а также подать заявление на использование бесплатного кредитного мониторинга и воспользоваться сервисами по защите от кражи личности. Также на сайте со странным доменом trustedidpremier.com/eligibility/ клиенты компании могут проверить, числятся ли их данные в списках пострадавших. И не стоит забывать о существовании официального сайта equifax.com.

На этой неделе ИБ-специалисты и СМИ обратили внимание, что в официальном твиттере представители бюро кредитных историй неоднократно советовали пострадавшим посетить сайт securityequifax2017.com вместо настоящего equifaxsecurity2017.com. Подделку зарегистрировал ИБ-исследователь, который хотел продемонстрировать, насколько легко будет перепутать официальную и поддельную страницы. Ему это определенно удалось. В настоящее время все ошибочные сообщения уже были удалены, но некоторые из них можно увидеть на скриншотах ниже.

Когда к представителям Equifax за комментарием обратились журналисты издания ArsTechnica, те извинились, сообщили, что произошла ошибка и еще раз заверили, что настоящим ресурсом для пострадавших является equifaxsecurity2017.com.

Еще один неприятный нюанс, связанный со взломом, стал известен в среду, 20 сентября, благодаря публикации издания Wall Street Journal. Журналисты издания ссылаются на информацию, которую представители компании FireEye получили от некоторых клиентов Equifax. Оказалось, что первые признаки компрометации сети бюро кредитных историй появились еще в марте 2017 года, а не в мае, как гласили официальные заявления. К тому моменту о баге в Apache Struts уже было известно, а в силу доступности эксплоитов его уже начали использовать злоумышленники.

Ссылка на источник