Сказки о безопасности

02/03/2017

Том 1 https://ridero.ru/books/skazki_o_bezopasnosti/
Том 2 https://ridero.ru/books/skazki_o_bezopasnosti_1/
Том 3 https://ridero.ru/books/skazki_o_bezopasnosti_2/
Том 4 https://ridero.ru/books/skazki_o_bezopasnosti_3/
Том 5 
https://ridero.ru/books/skazki_o_bezopasnosti_4/

Цифровая гигиена
https://ridero.ru/books/cifrovaya_gigiena/

Цифровая гигиена том 2

Ежедневник «Правила цифровой гигиены»

reclama

Реклама

Новые вредоносные программы объединяют Ransomware, майнеры и ботнеты

21/09/2018

Оригинал

Пользователям Windows и Linux нужно быть осторожными, так как обнаружено разрушительное вредоносное ПО, которое включает в себя множество вредоносных программ, включая ransomware, криптовалютный майнер, бот-сеть и самораспространяющийся червь, предназначенный для Linux и Windows.

Новая вредоносная программа получила название XBash. Как полагают ее авторы Iron Group, известная как группа Rocke — группа известная из-за предыдущих кибератак, в которой участвуют вымогатели и криптовалютные майнеры.

По словам исследователей из Palo Alto Networks, которые обнаружили вредоносное ПО, XBash — это вредоносное ПО класса all-in-one, в котором реализованы возможности интеллектуального анализа данных и криптовалюта, а также червь, подобный WannaCry или Petya / NotPetya.

Помимо возможностей самораспространения, XBash также содержит еще не реализованные функциональные возможности, что позволяет быстро распространять вредоносное ПО в сети организации. Разработанная на Python, XBash охотится за уязвимыми или незащищенными веб-службами и удаляет базы данных, такие как MySQL, PostgreSQL и MongoDB, работающие на серверах Linux, в рамках своих возможностей для получения вымогательства.

Важно: оплата выкупа не принесет вам ничего!

Xbash был разработан для сканирования сервисов на целевом IP-адресе как на TCP, так и на UDP-портах, таких как HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin и PostgreSQL.

Найдя открытый порт, вредоносное ПО использует атаку имени пользователя и пароля, чтобы перевести ее в уязвимую службу, и один раз, удалив все базы данных, отобразит примечание о выкупе.

Вызывает беспокойство то, что сама вредоносная программа не содержит каких-либо функциональных возможностей, которые позволили бы восстановить удаленные базы данных после оплаты жертвами.

На сегодняшний день XBash заразил по меньшей мере 48 жертв, которые уже заплатили выкуп, что составляет около 6 000 долларов на сегодняшний день. Однако исследователи не видят никаких доказательств того, что платежи привели к восстановлению данных для жертв.

У вредоносного ПО также есть возможности для добавления целевых систем на базе Linux в бот-сети.

XBash Malware использует ошибки в Hadoop, Redis и ActiveMQ

С другой стороны, XBash нацелен на машины Microsoft Windows только для разработки криптовалют и самораспространения. Для самораспространения он использует три известные уязвимости в Hadoop, Redis и ActiveMQ:

Если точкой входа является уязвимая служба Redis, Xbash отправит вредоносную нагрузку JavaScript или VBScript для загрузки и выполнения coinminer для Windows вместо своего модуля ботнета и ransomware.

Как уже упоминалось выше, Xbash разработан на Python, а затем был преобразован в Portable Executable (PE) с помощью PyInstaller, который может создавать двоичные файлы для нескольких платформ, включая Windows, Apple MacOS и Linux, а также обеспечивает защиту от обнаружения.

Это, в свою очередь, позволяет XBash быть действительно межплатформенным вредоносным ПО , хотя на момент написания статьи исследователи обнаружили образцы только для Linux и не видели каких-либо версий Xbash для Windows или MacOS.

Пользователи могут защитить себя от XBash, следуя основным практикам кибербезопасности, в том числе:

  • изменить учетные данные для входа в систему по умолчанию,
  • использовать сильные и уникальные пароли,
  • постоянно обновляйте свою операционную систему и программное обеспечение,
  • избегать загрузки и запуска ненадежных файлов или щелчка по ссылкам,
  • регулярно делать резервные копии своих данных и
  • предотвратите несанкционированное соединение с помощью брандмауэра.

 


Подтвердил звание тренера по курсу 02.11 «Kaspersky Endpoint Security 11 для Windows»!!!

20/09/2018

Kaspersky_02.11_Cert


Сказки о безопасности: Родительский контроль

20/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203446

— Потапыч, совет нужен. Проблема у меня.

— Срочно? Я просто занят, извини, я ж на работе.

— Да нет, до вечера терпит.

— Ну тогда вечером.

— Только Потапыч, ты зайди вечерком на чай с медом. Боюсь тут по телефону все не расскажешь, я показать хочу.

— Конечно. Что-то захватить к чаю? Конфеты или что-то покрепче?

— Нет, Потапыч, тут дело серьезное. Сам приходи.

Вот и вечер настал. Тихий осенний вечер, когда так приятно посидеть на веранде и попить чаю с плюшками. Да еще с медом…

— Что случилось, Хрюша? Надеюсь, все здоровы?

— Да здоровы-то здоровы, проблема не у меня, а у моей соседки, впрочем, вот она идет.

— Привет, Петровна. Что произошло?

— Купила я своему оболтусу смартфон. Ну, в школе у многих есть, решила, почему нет, тем более парень он хороший, учится хорошо. Да и в семье у нас особых секретов нет друг от друга. Конечно, антивирус поставила и завела ему отдельную учетную запись. Ну, все как ты учил. И вот вылезла проблема.

— В чем?

— Знаешь, они сейчас в школе все помешаны на каких-то мессенджерах интернетовских. Ну и мой уговорил себе поставить вацап, мы с ним тоже там переписываемся. Дешевле получается.

— Да, знаю такой. И что?

— Да появился у него странный контакт, называет себя Хрюнделем. Он отправляет сообщения детям, представляясь другом, у которого теперь новый номер телефона. Однако после непродолжительного диалога контакт начинает присылать ссылки на порносайты.

— Фу, какая гадость.

— Ага, но самое противное, что мне теперь приходится периодически просматривать список друзей сына, смотреть его переписку. Хорошо, он терпит, но как долго? Ссориться с сыном я не хочу. Оставлять на самотек тем более. Не знаю, что и делать.

— А что делать? С сыном ты поговорила, нужно бы с детьми и родителями поговорить. Да вот только поймут ли дети и захотят ли делиться с родителями своими маленькими тайнами? На словах все родители выступают за родительский контроль, а когда доходит до дела, ничего делать не хотят. И что им сказать? Я не знаю…

А вы знаете, что делать? Вы готовы говорить с детьми откровенно? А они?


Опасные шпионские программы для Android и iOS развернуты в 45 странах

19/09/2018

1По сообщению Citizen Lab течение последних двух лет была обнаружена одна из самых опасных в мире шпионских программ для Android и iPhone, развернутых против целей в 45 странах мира

Печально известная шпионская программа, получившая название Pegasus, разработана NSO Group — израильской компанией, которая известна тем, что продает в разведывательные агентства по всему миру высокотехнологичные средства наблюдения, способные удаленно взламывать устройства iPhone и Android.

Pegasus — это самое мощное создание NSO Group, предназначенное для удаленного доступа к iPhone, Android и другим мобильным устройствам, позволяющее злоумышленнику получить доступ к невероятному количеству данных о жертве, включая текстовые сообщения, записи календаря, электронные письма, сообщения WhatsApp, местоположение пользователя, микрофон и камера. Все это происходит без ведома жертвы »

Ранее Pegasus использовался для нападения на правозащитников и журналистов в Мексике и Объединенных Арабских Эмиратах.

Только в прошлом месяце The Hacker News сообщила, что это шпионское ПО использовалось против одного из сотрудников Amnesty International.

2

Новый доклад, опубликованный в Университете Торонто Citizen Lab, показал, что жертвами Pegasus стали жители большего числа стран, чем считалось ранее.

36 экземпляров Pegasus Spyware найдены в 45 странах

Citizen Lab в прошлом месяце заявила, что до сих пор насчитывалось до 174 публично зарегистрированных случаев заражения во всем мире, но теперь обнаружила следы инфекций Pegasus сразу в 45 странах.

Согласно отчету, 36 операторов Pegasus используют шпионское ПО для проведения операций по наблюдению в 45 странах мира, и по меньшей мере 10 из этих операторов, по-видимому, активно занимаются трансграничным шпионажем.

В докладе далее говорится, что, хотя некоторые клиенты NSO могут на законных основаниях использовать Pegasus, по крайней мере 6 из этих стран со значительными операциями Pegasus были «известными злоумышленниками-шпионами», что означает, что они ранее были связаны с злоупотреблением шпионскими программами.

3

Эти «известные злоумышленники-шпионы» включают Бахрейн, Казахстан, Мексику, Марокко, Саудовскую Аравию и Объединенные Арабские Эмираты.

В список стран, охваченных Pegasus, входят Алжир, Бахрейн, Бангладеш, Бразилия, Канада, Кот-д’Ивуар, Египет, Франция, Греция, Индия, Ирак, Израиль, Иордания, Казахстан, Кения, Кувейт, Кыргызстан, Латвия, Ливан, Ливия , Мексика, Марокко, Нидерланды, Оман, Пакистан, Палестина, Польша, Катар, Руанда, Саудовская Аравия, Сингапур, Южная Африка, Швейцария, Таджикистан, Таиланд, Того, Тунис, Турция, ОАЭ, Уганда, Соединенное Королевство, США, Узбекистан, Йемен и Замбия.

Специалисты Citizen Lab признали, что в отчете могут быть некоторые неточности из-за возможного использования VPN и спутниковых соединений некоторыми из его целей.

Ответ создателей Spyware «NSO Group»:

В ответ на отчет Citizen Lab представитель пресс-службы NSO опубликовал заявление о том, что компания работает в полном соответствии со всеми странами, не нарушая никаких законов, включая правила экспортного контроля.

Группа NSO далее заявила, что были некоторые проблемы с исследованиями Citizen Lab и что компания не продавала свое ПО во многих из 45 стран, перечисленных в отчете.

 

Оригинал


Сказки о безопасности: Поддельное видео

18/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203273

— Иоганн, у нас серьезные проблемы.

— Господин директор, я понимаю, что если мне звонит глава департамента контрразведки империи, тем более по защищенному каналу, то это не от хорошей жизни.

— Собирайтесь! Я знаю, что сегодня выходной, но для вашего департамента, точнее для вас и тех, кого вы решите включить в группу, этот и последующие дни — рабочие. Машина доставит вас на ваш запасной командный пункт. Там все готово к вашему приезду. И еще, официально нашего разговора не было.

— Вызывайте Марка, Риту и их отделы. Вызовите наших стажеров, Татьяну, Поля. Вызывайте Софи, она показала себя весьма интересным аналитиком. Я через 10 минут у крыльца.

— Машина уже вас ждет.

Прошло полчаса.

— Доброе утро, коллеги! Я точно сам не знаю, что произошло. Мы ждем директора департамента контрразведки. Судя по тому, что он приезжает сам, дело предстоит неординарное.

— Доброе утро, господа! С этого момента вы переводитесь на казарменное положение с тройным окладом. Без налогов. Как во время боевых действий. Все звонки наружу идут только через закрытый коммутатор. Вашим родным сказали, что вы убыли в служебную командировку без доступа к связи. За вашей мамой, Рита, позаботятся наши врачи. Ее сейчас перевозят в имперский санаторий, не волнуйтесь! Софи, вашу проблему с водопроводом уже устраняют. Марк, над вашей машиной поработают в нашем служебном гараже. Весь ремонт и запчасти за счет императора. Ведь вы сегодня хотели отвезти ее в сервис, верно? У кого еще есть домашние проблемы? Мы все решим за вас. Главное разберитесь с этой проблемой.

— Господин директор, а что за проблема?

— Вчера какой-то злоумышленник передал на телестудию канала N видеоролик, на котором наш канцлер якобы произносит речь по поводу событий в республике К. Опубликование этого ролика может существенно осложнить наши отношения. Самое интересное, что все выглядит подлинно, но канцлер эту речь не произносил и не мог. Мы заинтересованы в мире с республикой К.

— То есть наша задача доказать, что это фальшивка?

— Не только. Ваша задача понять, как это сделано. Как вообще это стало возможным.

— Понятно. Итак, коллеги, ваши мысли?

— Сегодня подменить голос не проблема. Более того, можно сделать даже интонацию и подделать тон. Но вот видео… Рита, что скажут ваши умники?

— Нужно анализировать видео.

— Безусловно, однако меня сейчас интересует теоретическая возможность.

— Теоретически вполне возможно. Сегодня видеоролик на глазах перестаёт быть доказательством того, что определённый человек сказал те или иные слова: новая нейронная сеть может вложить в уста персонажа что угодно по воле создателя клипа. Правда, пока она работает лишь с изображением, а не со звуком. Разрабатывалась она для художественных фильмов. Технология является развитием методов, с помощью которых на изображения актёров «наклеиваются» лица известных людей. Новшество идёт дальше: оставляя персонажу видео его собственное лицо, оно придаёт ему нужную артикуляцию, заставляя произносить чужие слова.

— Погодите, но ведь тогда видеоролик перестанет быть компроматом на политика или доказательством в суде, ведь легко можно будет сфабриковать видео с любой речью, произносимой кем угодно!

— Если только не использовать специальное оборудование, которое будет подписывать видео с помощью электронной подписи. Это обойдется в кругленькую сумму, но другого выхода нет.

— Вы сможете провести анализ этого видеоролика?

— Да. Займемся анализом артефактов. Это займет до суток.

— Заказывайте любое оборудование, которое вам нужно, мои коллеги все вам доставят. И вообще, в вашем распоряжении любые суммы и средства. Империя стоит на грани войны.

Через три дня кризис был разрешен и получены необходимые доказательства. А оборудование для записи официальных лиц было закуплено заново.

Увы, это не сказка. Видеоролик на глазах перестаёт быть доказательством того, что определённый человек сказал те или иные слова: новая нейронная сеть, разработанная специалистами Университета Карнеги-Меллона, вкладывает в уста персонажа заданный текст.


Основы расследования киберинцидентов

18/09/2018

Сегодня очень распространено словосочетание «цифровая криминалистика», причем используют его весьма часто. Но что это такое? Вообще цифровая криминалистика (digitalforensics) — это наука о раскрытии преступлений, связанных с компьютерной информацией. Вместе с тем существует более полное
определение, которое, на мой взгляд, гораздо правильнее.
Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации, а целью — поиск и закрепление доказательств. Причисление к возможным объектам данного вида экспертизы удаленных объектов, не находящихся в полном распоряжении эксперта (прежде всего, компьютерных сетей) пока является спорным вопросом, и решается он
по-разному.

Win_9_18-pages-32-35


Сказки о безопасности: Расшифровка автомобиля

14/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203231

— Добрый день, Иоганн!

— Добрый день, господин комиссар! Что привело вас к нам в такую рань? Ведь явно же не просто так вы пришли. А выпить чашку хорошего кофе вы могли бы и у себя в кабинете. Тем более в такую мерзкую погоду.

А за окном вовсю хлестал дождь. Осень в империи началась вдруг резким похолоданием и дождями. Ветер и дождь, дождь и ветер. Казалось вода хлынула с небес сплошным потоком.

— Иоганн, вы же понимаете, что в такую погоду хорошая собака пожалеет хозяина и не будет проситься на прогулку. Значит меня привела очень важная причина. На самом деле у нас проблема. Нам нужно поставить прослушку в автомобиль Длинного Дэна. Он, как правило, проводит свои короткие совещания прямо в своем автомобиле.

— Ну так вскройте автомобиль и сделайте это.

— Ключевым является слово «вскройте». Мы не можем этого сделать. Он применяет электронный замок. А вскрыть его мы не можем.

— Понятно. Я поговорю с Ритой. Подумаем, чем мы можем вам помочь. Но, сами понимаете, это, увы, не мгновенно.

Прошло две недели.

— Иоганн, мы нашли решение.

— Какое?

— Автомобиль Длинного Дэна применяет беспроводную систему, которая использует относительно слабые алгоритмы шифрования для ключей. Наши исследователи разработали таблицу объемом в 6 Тб с возможными комбинациями кода — это примерно 216 возможный ключей. Помимо таблицы нужны еще радио-донгл, дубликатор и эмулятор RFID-меток, а также мини-компьютер. В общей сложности все оборудование стоит приблизительно 600 империалов.

— Погоди, но это же совсем не дорого!

— Более того, данный метод подходит для всех автомобилей, использующих беспроводные брелки, поскольку принцип работы таких систем одинаков: при нажатии на кнопку разблокировки брелок отправляет зашифрованный код, открывающий двери и запускающий бортовой компьютер. Оборудование способно удаленно считать сигнал с находящегося поблизости брелока, причем процесс получения криптографического ключа занимает менее 2 с.

— Ну что ж, Рита, получается мы можем порадовать комиссара?

— Да. И более того, мы продемонстрируем это на его собственном автомобиле.

— Господин комиссар, приезжайте к нам завтра с утра на вашем новом авто. Мы вам кое-что покажем.

Настало утро.

— Доброе утро, Иоганн, что вы хотели мне показать?

— Давайте подойдем к вашему автомобилю.

— Погодите, Иоганн, но я не оставлял на водительском сидении этот журнал. И тем более этот конверт. Что это?

— Откройте конверт, господин комиссар.

«Господин комиссар, мы успешно вскрыли ваш автомобиль, а значит и проблема Длинного Дэна успешно решена!»

— Иоганн, передайте мое восхищение вашим исследователям. Проблема действительно решена.

Увы, это не фантастика. Ключи от автомобиля Tesla сегодня подбираются за несколько секунд. Помните об этом.