Советы киберполиции Украины и их краткий разбор

28/06/2017

Советы киберполиции Украины и их краткий разбор

  1. В случае выявления нарушений в работе компьютеров, которые работают в компьютерных сетях, немедленно отсоединить их от сетей (как сети Интернет, так и внутренней сети).
  2. С целью предотвращения случаев несанкционированного вмешательства в работу (в зависимости от версии ОС Windows) установить патчи (дополнительные разработки для данной проблемы) из официального ресурса компании «Microsoft».
  3. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует и обновлено должным образом. При необходимости нужно установить и обновить антивирусное программное обеспечение.
  4. Не загружайте и не открывайте дополнения в письмах, которые посланы из неизвестных адресов. В случае получения письма из известного адреса, которое вызывает подозрение относительно его содержимого, – следует связаться с отправителем и подтвердить факт отправления письма.
  5. Следует сделать резервные критически важных данных

 

А теперь вопросы

Пункты 2-5 стоит делать независимо от подозрения на заражение. Причем делать ДО атаки, после нее делать сложно, да и бессмысленно! Ведь если вы отсоединили компьютер от сети, КАК вы будете обновлять ПО??? Ну и последнее – о дополнениях. Снова-таки, поздно смотреть письма если дом горит. Это нужно делать ДО! Как и резервное копирование. Смысл его делать если вы уже заражены?

Мне интересно, эти советы кто-то читал перед публикацией???


Сказки о безопасности: Сигареты-шпионы

22/06/2017

 

— Господин комиссар! Нам срочно нужно как-то скачать файл с компьютера дона Витторио. Но проблема в том, что снаружи это сделать невозможно, а физического доступа к ноутбуку у нас нет.

— Позвоните в департамент интеллектуальных преступлений. Только вначале получите максимум сведений о доне Витторио. Вам могут задать крайне странные вопросы.

Прошло три дня.

— Иоганн, вас беспокоит комиссар полиции. У нас к вам просьба о помощи.

— Добрый день, господин комиссар. Что произошло?

— Нам нужно скачать файл с ноутбука дона Витторио. Но он никого, кроме своего сына не допускает к нему, а из интернета это сделать нельзя. Поможете?

— Конечно. А что вы знаете о его сыне?

— Молодой человек. Завсегдатай модных тусовок. Наркотиками не балуется. Курит только электронные сигареты. Часто бывает в баре «Полнолуние».

— Господин комиссар, а у вас есть свой искусный карманник?

— Спрашиваете! Конечно.

— Нам для начала нужно знать, сигареты какой компании курит молодой человек.

— Я был готов к такому вопросу. Это изделие фирмы А.

— Отлично. Достаньте нам два таких. Именно таких, как у этого молодого человека.

— Будут у вас через два часа.

Прошло два часа.

— Марк, нам нужно заменить контроллер этих сигарет таким образом, чтобы переписать определенный файл на флэшку при зарядке этих сигарет от USB-порта.

— Понял, шеф! Сделаем. Внешне ничего не будет заметно.

Прошел день.

— Шеф, вот ваши заказанные сигареты. Да, курить их тоже можно!

— Господин комиссар! Передайте эти сигареты вашему карманнику. Он должен будет подменить сигареты сына дона Витторио. А потом, через сутки, подменить их обратно. Сын всегда заряжает эту дрянь от ноутбука отца.

Прошло два дня.

— Иоганн! Огромное спасибо! Вы гений! Передайте мое восхищение вашими людьми! Мы получили все что хотели!

А вы тоже заряжаете ваши сигареты от USB-порта компьютера? Думайте!

http://www.itweek.ru/themes/detail.php?ID=196123

 


Сказки о безопасности: Правдоподобный разговор

20/06/2017

— Доброе утро, Генри!

— Доброе утро, Жанна!

— Вот документы, о которых вы мне звонили вчера. И нечего было орать! Я вам не жена!

— Погодите, Жанна! Я не звонил вам!

— Звонили и писали, требовали, чтобы я срочно уплатила фирме А по контракту!

— Жанна, вы уверены?

— Безусловно. Вот ваше письмо!

— Погодите, письмо отправлено с моего адреса, но я его не писал! А что вы говорили о звонке?

— Знаете, мой отец долго работал в службе безопасности и приучил меня записывать важные разговоры. Вот запись нашего вчерашнего разговора.

— Жанна, голос мой, но я не звонил, клянусь!

— Странно. И телефон определился как ваш. Хорошо, что я не перечислила деньги.

— Поехали в полицию.

— Поехали!

— Здравствуйте! Нам нужен дежурный детектив. У нас вот такие проблемы.

После того как Генри изложил проблему дежурному детективу, тот попросил подождать пять минут.

— Жорж, это к тебе! Иди сюда!

Выслушав Генри еще раз, Жорж попросил его компьютер и смартфон на исследование.

Прошло два дня.

— Генри, ваш почтовый ящик был взломан, что в принципе и неудивительно. В следующий раз устанавливаете более устойчивый пароль. Манеру писать письма и сведения о вас преступник получил из открытых источников и социальных сетей. А вот с телефоном все куда интереснее. Злоумышленник скопировал вашу симку. Но судя по всему вас прослушивали довольно долго. Вам нужно провести очистку дома, в вашем автомобиле и на работе. Преступник долго слушал вас, а потом с помощью специального ПО сымитировал ваш голос и манеру говорить. Скажите спасибо Жанне, а то бы вы в конце концов остались без денег. Увы, мы пока не можем арестовать преступника. Но постараемся его найти.

Вы думаете, это фантастика? Увы, нет! Потому думайте, что вы говорите, где, а уж тем более, что пишете!

http://www.itweek.ru/themes/detail.php?ID=196073


Выпущен инструмент для дешифрования Jaff Ransomware

15/06/2017

Kaspersky Labs выпустил обновленную версию RakhniDecryptor 1.21.2.1, своего бесплатного инструмента для дешифрования.

Исследователи из Kaspersky Lab обнаружили, что в коде Jaff Ransomware содержится уязвимость, позволяющая жертвам разблокировать их зашифрованные файлы.

Идентифицированный в прошлом месяце Jaff является относительно новым ransomware. Атака Jaff Ransomware выполняется путем отправки спам писем миллионам пользователей с присоединенным PDF, который открывает встроенный документ Word со злонамеренным макро-сценарием.

После этого Jaff ransomware загружается на компьютер, шифруя файлы жертвы и затем требуя выкуп от 0.5 до 2 Bitcoin (~ 1,500$ до 5,000$ сегодня).

Как использовать RakhniDecryptor

  1. Загрузите Kaspersky RakhniDecryptor
  2. Скачайте и распакуйте архив RakhniDecryptor.zip, используя программу-архиватор (например, 7zip).
  3. Запустите файл RakhniDecryptor.exe на зараженном компьютере.
  4. В окне Kaspersky RakhniDecryptor нажмите Изменить параметры проверки.
  5. В окне Настройки выберите объекты для проверки (жесткие диски / сменные диски / сетевые диски).
  6. Установите флажок Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями .locked, .kraken и .darkness).
  7. Нажмите ОК.
  8. В окне Kaspersky RakhniDecryptor нажмите Начать проверку.

Файл может быть зашифрован с расширением _crypt более одного раза.

Например, файл тест.doc зашифрован 2 раза. Первый слой утилита RakhniDecryptor расшифрует в тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Если файл зашифрован с расширением _crypt, подбор пароля для этого файла может длиться продолжительное время. Например, на процессоре Intel Core i5-2400 подбор пароля может длиться порядка 120 суток.


Сказки о безопасности: Интернет-ограбление

06/06/2017

— Алло! Это полиция?

— Да, это дежурный, сержант Вильямс. Слушаю вас. Что случилось?

— Ограбление ресторана на 5-й авеню.

— Экипаж уже выехал

Прошло два часа.

— Инспектор Кларк? Я по поводу ограбления на 5-й. Типичный сценарий. Снова ворвались грабители. Драгоценности не брали. Забрали только банковские карты, наличные и мобильные телефоны. Все ограбление продолжалось не более пяти минут. Грабители уехали на темном внедорожнике.

— Непонятно, зачем им карты?

— А что тут непонятного? Они с помощью карт быстро оплачивают товары в интернет-магазинах, своих же, а потом закрывают эти магазины. К следующему ограблению магазины будут другими. А когда банки начинают искать магазины, выясняется, что их уже нет, а соответствующие фирмы, открытые на подставных лиц, давно банкроты. Деньги с их счетов перечисляются на подставные счета в офшорные зоны. Результат? Деньги вернуть нельзя. Банки несут убытки.

— И что будем делать? Постараемся понять, где нанесут следующий удар?

— Да. Но кроме того желательно бы понять, что объединяет эти магазины.

— Придется обращаться в департамент интеллектуальных преступлений.

— Иоганн, мы к вам. Сможете нам помочь?

— Что могу сказать? Попробуем!

— Рита, посмотрите статистику по фирмам-банкротам, имевшим свои интернет-магазины и работавшим весьма небольшой срок.

— Хорошо! Но это часа на 3-4 работы.

— Сможете завтра доложить?

— Безусловно.

На следующее утро.

— Шеф, вот что объединяет все эти компании. Они все размещали свои интернет-магазины на серверах провайдера Т. Все магазины действовали 3-4 дня, потом закрывались. Одновременно их было не более десяти. Мы уже предупредили провайдера о возможном открытии новых магазинов. Более того, мы узнали, что перед открытием всегда звонили и заказывали дизайн магазинов их программистам. Мы поставили телефон их менеджера на прослушку. Звонил всегда один и тот же голос, но с разных телефонов.

— Понятно, придется подключать Карла. Если у нас будет образец голоса, то мы сможем найти телефон, с которого будет говорить этот человек. А установив номер, сможем понять, кто это.

— Отличный план. Действуйте.

Прошло три дня.

— Шеф, мы установили звонившего. Это М, студент местного университета. Мы установили за ним слежку и поняли, что ограбление состоится в ближайшую среду. Сам он не грабит. Он только помогает в создании магазинов. Но проанализировав записи его телефонных переговоров, мы нашли подельника.

— Он что, звонил боссу по сотовому?

— Нет. Он воспользовался мессенджером, считая, что так безопаснее.

— А на самом деле?

— А на самом деле мессенджер хранит сообщения в облаке. Мы сумели получить его маркер безопасности и прочесть сообщения.

В итоге банда была ликвидирована. А способ, который они применяли для обналичивания денег, пополнил копилку местной полиции.

Фантастика? Да нет, совсем нет!

http://www.weekit.ru/themes/detail.php?ID=195820

 


Сказки о безопасности: Самолет-троян

06/06/2017

— Алло! Это полиция?

— Да, это дежурный, сержант Маркос. Слушаю вас. Что случилось?

— Это лесничий из района горы М. Из заповедника. Только что над моей головой на малой высоте пролетел небольшой самолет и, как мне кажется, врезался в гору. Вижу пожар.

— Выезжаем.

Прошел час.

— Вот место аварии. Непонятно, почему он врезался в гору. По показанию высотомера, он шел на высоте 2400 м, но на самом деле высота была чуть более 1000 м. Кто-то испортил высотомер?

— Представители центра авиационной безопасности уже выехали. А вот и они.

— Добрый день. Что случилось?

— Упал самолет, пять трупов. Компьютер находился в носовой части, она не пострадала.

— Обратите внимание, компьютер находится в весьма неудобном месте и любой, кто попытался бы получить к нему доступ, оставил бы отпечатки пальцев. Займитесь этим.

Прошло три часа.

— Шеф, а у нас проблемы с отпечатками. Они размыты. И сильно.

— Пригласите специалистов нашего компьютерного отдела, может они смогут помочь их восстановить?

— Лучше сразу обратиться к нашим яйцеголовым.

— Иоганн, вам звонят из департамента полиции.

— Соедините.

— Иоганн, у нас проблема. Мы нашли отпечатки, но они весьма размыты.

— Не страшно. Пришлите их по электронной почте, мы попробуем помочь.

— Марк, гляньте, можно ли восстановить и идентифицировать отпечатки.

Через час.

— Иоганн, мы сумели восстановить отпечатки пальцев, воспользовавшись алгоритмом, и даже установить, кто владелец.

— И кто это?

— Программист фирмы, которой принадлежал самолет.

— Доставьте его к нам.

— Господин Джонс? Что вы устанавливали на компьютер этого самолета? Вы понимаете, что по вашей вине погибли люди?

— Я всегда устанавливаю обновления на компьютер нашего самолете. Управление воздушным движением выпускает несколько обновлений в год и их устанавливаю я, а не обслуживающий техник. Он в силу своих габаритов просто не может дотянуться. И что тут криминального?

— Криминального? Ничего за исключением того, что последние пару месяцев управление не выпускало обновлений. Что ж вы тогда устанавливали?

— То, что дал мне техник.

— Ребята, доставьте техника сюда.

Прошел час.

— Шеф, техник убит. Но это еще не все. При попытке разбора кода на компьютере самолета он самоуничтожился. Безусловно, мы работали с копией. Но самое печальное, что ребята из авиационной безопасности подключали его к себе в сеть. Думаю, что там был троян.

— Мы выезжаем в центр авиационной безопасности. Немедленно восстановить там содержимое с резервных копий. Я уверен, что это троян.

Прошло еще несколько часов.

— Иоганн, вы были правы. Это троян. Но какой-то странный. При вводе активационного кода он позволяет, введя контрольный номер самолета, просто заставить его исчезнуть с радаров. Совсем. Мы проверили. Непонятно только, зачем.

— Иоганн, — вмешался представитель полиции, — вот тут как раз все понятно! Ведь таким образом легко удалить с экрана радара любой самолет, перевозящий наркотики через южную границу.

— А если учесть, что авиатехник ранее работал в компании, которую уличили в перевозке наркотиков, то становится понятно, кому это выгодно.

— Погодите, но разбить самолет, убить пятерых только для того, чтобы заразить сервер управления воздушным движением!?

— А по-другому они бы просто не получили доступ!

https://www.weekit.ru/security/article/detail.php?ID=195813

 


Сказки о безопасности: Мобильный банк

05/06/2017

 

— Доброе утро, шеф! Есть интересная новость. Вчера в приложении «Мобильный банк» банка NT появилось подтверждение транзакций по отпечатку пальца. Клиенты смогут использовать дактилоскопический сканер смартфона не только для входа в мобильное приложение, но и для подтверждения операций в нем.

— Спасибо, Мишель! Думаю, теперь множество способов хищения денег со счетов клиентов данного банка существенно увеличилось.

— Вы так считаете?

— Да. Мы в этом еще убедимся. Возьмите происшествия, связанные с данным банком, на особый контроль.

Прошел месяц.

— Иоганн, я поражена. Вы заранее знали, что так произойдет?

— Мишель, вы о чем?

— Неделю назад произошло хищение со счета клиента банка NT именно с помощью приложения «Мобильный банк». При этом клиент клянется, что операцию не производил. Сейчас он пытается судиться с банком. Сумма не столь велика, но дело принципа.

— А что произошло?

— Со счета клиента произведена оплата виртуального персонажа известной компьютерной игры. Но клиент утверждает, что этого не делал и, более того, в это время спал после бурной вечеринки в баре, где обмывал удачную сделку.

— У него есть ребенок?

— Да, но вы откуда знаете? У него сын.

— А сколько ему лет?

— 13, а что?

— Привезите его вместе с родителями к нам, я думаю, что мы нашли злоумышленника.

Прошел час.

— Добрый день! У меня есть вопросы к вашему сыну, и я хотел бы, чтобы вы присутствовали при этом разговоре.

— Конечно!

— Молодой человек, может вы все же расскажете родителям, как оплатили виртуального персонажа в своей любимой игре? И не будете утверждать, что не знаете, как со счета отца пропали деньги?

— Я не брал! У него же телефон блокирован отпечатком пальца.

— Ну что же, тогда это придется рассказать мне. Вы увидели, что отец вернулся с вечеринки прилично пьян и упал спать, не раздеваясь, прямо на диван. Вы взяли телефон у него из кармана, приложили его палец к датчику на смартфоне, разблокировали и осуществили платеж. Так было?

— Да. Но вы откуда знаете?

— Да все просто. Мы проверили вашу учетную запись в игре. Убедились, что платеж произведен с телефона вашего отца.

— Так что вы можете отзывать ваше заявление из банка. И, пожалуйста, будьте внимательнее с вашим смартфоном.

Эта история вам может показаться фантастикой? Увы, нет. Банк ВТБ внедрил технологию Touch ID для приложения «Мобильный банк» для физических лиц. Клиенты смогут использовать сканер отпечатка пальца смартфона не только для входа в мобильное приложение, но и для подтверждения операций в нем. Технология доступна для устройств на платформе iOS.

https://www.weekit.ru/security/article/detail.php?ID=195782