Хакеры украли личные данные 80 000 человек, связанных с Университетом Осаки

20/12/2017

https://www.devicelock.com/ru/blog/hakery-ukrali-lichnye-dannye-80-000-chelovek-svyazannyh-s-universitetom-osaki.html

Университет Осаки (Япония) заявил в среду, что персональные данные около 80 000 студентов, выпускников, сотрудников, бывших сотрудников были похищены хакерами.

Инцидент произошел в период с мая по июнь.

Были похищены данные примерно 69 000 человек, включая имена, идентификационные номера и адреса электронной почты. Кроме того, была похищена информация, содержащаяся в электронной почте персонала, касающаяся около 11 000 человек. В украденной информации также содержатся данные о заработной плате.

Доступ к компьютерной системе университета, с целью установки вредоносного ПО, осуществлялся из-за границы. Использовались учетные данные одного из лекторов, возможно украденные ранее.

Всех пользователей компьютерной системы университета заставили сменить свои пароли.

Университеты, школы и прочие учебные заведения часто сталкиваются со случаями кражи персональных данных. Иногда это дело рук хакеров, но чаще это последствия внутреннего бардака в организации процесса хранения и перемещения данных. Например, неправильные настройки прав доступа на файловых серверах Стэнфордской высшей школы бизнеса сделали общедоступными персональные данные сотрудников и студентов университета. А Университет Восточной Англии случайно раскрыл конфиденциальную информацию о состоянии здоровья сотрудника в массовой электронной рассылке.

Автор: Владимир Безмалый

Реклама

Сказки о безопасности: Автомобильный медиа-центр

20/12/2017

http://www.itweek.ru/themes/detail.php?ID=199102

Погода этой зимой была какой-то странной. На улице снег сменялся дождем, постоянно за окном висели тучи и свет в комнате приходилось включать практически на весь день. Это очень раздражало Иоганна, ведь он любил яркое солнце, а тут день напоминал сумерки. Вот и сегодня с утра было непонятно, утро это или вечер. Любимую прогулку по парку пришлось отложить. В такую погоду не сильно хотелось идти пешком.

Заехав во двор департамента, Иоганн заметил на служебной стоянке арендованный автомобиль. Это было крайне необычно, и потому он подозвал к себе начальника караула.

— Доброе утро, Вилли! Что случилось? Кто это приехал на арендованном автомобиле и почему он стоит на площадке для служебных?

— Это Карл. Он сказал, что автомобиль нужен ему для какого-то расследования и просил предупредить, когда приедете вы, Марк и Рита.

— А они уже здесь?

— Да. Ждут только вас.

— Доброе утро, коллеги! Что случилось? Попросите кто-нибудь приготовить нам кофе, а то в такую погоду очень хочется спать, а не работать!

— Кофе готов! Сейчас принесут.

— Карл, что такое? Машина сломалась? Мог бы на такси доехать.

— Шеф, вчера моя жена арендовала машину и подключила свой телефон к ее медиа-центру.

— Для чего?

— Ну хотелось ей слушать любимую музыку со смартфона и использовать свою телефонную книгу в поездке. Кроме того, так как в прокатном автомобиле установлена навигационная программа, то она использовала ее для прокладки маршрута.

— Курт и что тут криминального? Я сама так иногда делаю.

— Рита, в принципе криминального ничего. Но самое интересное начинается дальше. Вы ж знаете о моей паранойе. Перед тем как вернуть автомобиль, я решил посмотреть, что осталось в его медиа-центре. Ведь при подключении происходит синхронизация вашего телефона с медиа-центром машины и все ваши данные сохраняются в его внутренней памяти. То же самое касается и маршрутов ваших поездок.

— И что ты увидел?

— Я увидел передвижения моей жены и шесть синхронизированных телефонных книг предыдущих водителей. Потом я дал запрос во все прокатные компании. Оказалось, политики стирать данные предыдущих клиентов нет ни у одной из них.

— Курт, ты поднял весьма и весьма интересную проблему. Но ты ж знаешь, у нас инициатива наказуема. Ты поднял вопрос, тебе и готовить документы. Нужно докладывать об этом императору. А кроме того, в пятницу вечером в вечерней передачи на первом канале телевидения империи тебе же придется выступать по этому поводу.

— Шеф, а давайте выступит Мари. Она куда фотогеничнее меня.

— Ну что ж, готовьтесь выступать вдвоем.

Увы, эта история совсем не фантастика, это реальность. Помните об этом, когда будете арендовать автомобиль.

 


Война с заражением IoT

20/12/2017

1

Сегодня мы наблюдаем как все большее распространение получают IoT, устройства так или иначе подключенные к Интернет. Маршрутизаторы, колонки, камеры, датчики и даже детские игрушки. Однако с распространением этих вещей все чаще оказывается, что разработчики в погоне за скоростью распространения забывают о безопасности. С одной сторон это понятно. Безопасность удорожает соответствующие устройства, а главное, замедляет выход такого устройства на рынок.  С другой – устройства все чаще и чаще подвергают опасности нашу жизнь.

Из-за подобного состояния безопасности, а фактически ее отсутствия, IoT фактически предоставляет хакерам миллионы все новых и новых целей. Атаки все чаще приводят к крупным инцидентам. Примером такой атаки стало создание ботнета Mirai, с помощью которого фактически был атакован весь Интернет.

Итогом произошедшего стало появление весьма любопытного вредоносного ПО IoT под названием BrickerBot. Целью данного вредоносного ПО был не захват или порабощение уязвимых устройств для использования в других атаках. Фактически данное ПО было разработано чтобы предотвратить дальнейшее распространение Mirai. BrickerBot атаковал устройства и сделал более 10 миллионов из них непригодными для использования. Фактически их нельзя атаковать другим вредоносным ПО, так как они не пригодны к эксплуатации.

Да, так делать нельзя, но создатель BrickerBot под ником The Janitor указывает что люди, организации и правительства не делают ничего для решения проблем безопасности IoT и у нас просто нет времени ждать большую катастрофу IoT, по сравнению с которой ботнет Mirai покажется детскими игрушками.

Что такое BrickerBot?

Ботнет Mirai в прошлом году превратил тысячи ненастроенных устройств IoT в огромную электронную армию, способную организовывать мощные атаки DDoS. Сегодня появилось новое вредоносное ПО, нацеленное на устройства IoT, которое навсегда оставляет эти устройства в автономном режиме.

Это новое вредоносное ПО называется BrickerBot, и оно просматривает Интернет в поисках плохо защищенных IoT с именами и паролями по умолчанию.

Если это ПО может войти в систему, то связь устройства с Интернет прерывается, его хранилище скремблируется и вытирается, оставляя устройство практически бесполезным. Исследователи ссылаются на уже осуществленные атаки, выполненные как PDoS (Permanent Denial of Service), что означает постоянный отказ в обслуживании.

PDoS — это атака, которая настолько сильно повреждает систему, что требует замены или переустановки оборудования. Используя уязвимости безопасности или неправильные конфигурации, этот тип кибер-атаки может уничтожить прошивку и / или базовые функции системы.

BrickerBot — обнаружение и анализ инструмента PDoS

За четыре дня атаки на Honeypot от Radware было зарегистрировано 1895 попыток PDoS, выполненные в нескольких местах по всему миру. Единственной целью атаки было скомпрометировать устройства IoT и повредить их хранилище. Помимо интенсивного, короткоживущего бота (BrickerBot.1), honeypot Radware зафиксировал попытки второго, очень похожего бота (BrickerBot.2), который начал попытки постоянных отказов в ту же дату — оба бота были обнаружены на протяжении менее одного часа в частности, с меньшей интенсивностью, но более тщательной.

Компрометация устройства

Для атаки на устройства BrickerBot использовал перебор паролей Telnet, фактически тот же эксплойт, который использует Mirai.

Bricker не пытается загружать двоичный файл, поэтому Radware не имеет полного списка учетных данных, которые использовались для атаки перебора паролей, но они смогли записать, что первой была пара имя пользователя / пароля «root» / ‘vizxv. ‘

Повреждение устройства

При успешном доступе к устройству бот BrickerBot выполняет ряд команд Linux, что в конечном итоге приводит к повреждению хранилища, а затем команды для нарушения подключения к Интернету, снижения производительности устройства и очистку всех файлов на устройстве.

Ниже приведена точная последовательность команд, выполняемых ботами PDoS:

2

Рисунок 1 Последовательность команд BrickerBot.1

3

Рисунок 2 Доступное устройство

Цели

Использование команды «busybox» в сочетании с специальными устройствами MTD и MMC означает, что эта атака предназначена специально для устройств IoT на базе Linux / BusyBox, которые открывают и открывают свой Telnet-порт в Интернете. Они соответствуют устройствам, на которые нацелены Mirai или связанные ботнеты IoT.

Попытки PDoS исходили из ограниченного числа IP-адресов, распространенных по всему миру. Все устройства выставляют порт 22 (SSH) и запускают более старую версию сервера Dropbear SSH. Большинство устройств были идентифицированы Shodan как сетевые устройства Ubiquiti

4

Рисунок 3 Исходные IP-адреса Geo для BrickerBot.1

5

Рисунок 4 Запрос ZoomEye для Dropbear, порт 22 показывает 21 миллион IP-адресов с почти 5,5 миллионами обнаруженных / обновленных в 2017 году

Параллельно, honeypot Radware записал более 333 попыток PDoS с другой сигнатурой команды. Исходные IP-адреса этих попыток являются узлами TOR и, следовательно, не идентифицируется фактический источник атак. Стоит отметить, что атакующий / автор использует узлы TOR, чтобы скрыть свои боты.  Последовательность команд, выполняемых этим ботом:

6

Рисунок 5 Командная последовательность BrickerBot.2

Целевые устройства хранения данных намного шире, и нет необходимости использовать «busybox» при попытке как «dd», так и «cat», в зависимости от того, что доступно на поврежденном устройстве.

Повреждение

Команды идентичны ранее описанным атакам PDoS и пытаются удалить шлюз по умолчанию, через rm -rf / * и отключить метки времени TCP, а также ограничить максимальное количество потоков ядра до одного. Однако на этот раз были добавлены дополнительные команды для очистки iptables всех брандмауэров и правил NAT и добавления правила для удаления всех исходящих пакетов.

Защита устройств IoT и защита сети

  • Изменитезаводские учетные данные по умолчанию.
  • Отключитедоступ к устройству Telnet.
  • Сетевой анализ поведенияможет обнаруживать аномалии в трафике и сочетаться с автоматической генерацией сигнатур для защиты.
  • Поведенческий анализ User / Entity (UEBA)для выявления ранговых аномалий в дорожном движении.
  • IPSдолжен блокировать учетные данные Telnet по умолчанию или перезапускать соединения Telnet. Используйте подпись для обнаружения командных последовательностей.