Сказки о безопасности: Как обманули вымогателя-шифровальщика

15/05/2017

Потапыч, работая в компании N, неожиданно столкнулся с проблемой. Данные его компании оказались зашифрованы. Безусловно, не он был тому причиной. Кто-то из коллег, несмотря на неоднократные предупреждения и семинары, открыл файл, приложенный к очередному «письму сверху».

Потапыч поступил совершенно верно: крепко и неоднократно помянул раззяву и всех его родственников до седьмого колена, отключил зашифрованный компьютер от корпоративной сети и сел разбираться и чесать затылок.

Увы, критически важные для бизнеса данные были-таки зашифрованы. И руководство поставило естественную, но практически невыполнимую задачу — вернуть данные любой ценой.

Потапыч полез в Интернет, изучил вопрос и понял, что алгоритм, который применили в данном троянце, практически неуязвим при современных технологиях подбора пароля. Заразившие сеть злоумышленники на примере нескольких файлов показали, что могут ее расшифровать, и запросили цену в несколько десятков тысяч рублей.

Сумма была вполне адекватной. Но где взять деньги? Любые расходы должны быть обоснованы документально. Не попросишь же вымогателей выписать счет!

Но тут же услужливая контекстная реклама начинает показывать баннеры «Расшифровываем файлы, 100% гарантия,%имятроянца%».

Потапыч пришел к руководителю, мол, есть вот такое решение. Скорее всего, развод, но выхода-то нет, давайте попробуем выслать образцы.

— Михалыч, а ведь действительно расшифровали, да вот только за расшифровку хотят вдвое больше.

— Погоди, Потапыч, мы имеем классическую схему. Нам предлагают заплатить за расшифровку вполне легально, а они сами заплатят за расшифровку злоумышленникам.

— Ага, если это вообще не одни и те же злодеи. Но зато у нас нет проблем с налоговой, платим-то официально по счету.

— Да. А иначе выхода у нас нет. Придется договариваться.

— Грабители! Связывайся и договорись о встрече.

Прошло 20 минут.

— Михалыч, встреча назначена на завтра. На лавочке в торговом центре. Безусловно, это показывает их серьезность, адекватность и надежность J.

«Специалист» честно пришел, взяв с собой флэшку с дешифровщиком. Потапыч принес ноутбук с файлами и деньги, но договорился, что отдаст их и подпишет бумаги только после того, как данные будут восстановлены.

Процесс расшифровки — дело не быстрое. Может и полдня занять, может и больше. Решили они расшифровывать в ближайшем кафе. Все ж веселее, чем на лавочке. Решили пива выпить. А где пиво, там и туалет требуется. Вот и пришлось «специалисту» отлучиться в туалет. А Потапыч подумал, что флэшка с ключом у него, деньги тоже, чего ждать? И быстро рванул как на стометровке к стоянке такси. Забрав и ноутбук с работающим дешифровальщиком, и деньги.

Что потом писали Потапычу «специалисты»! Однако ни единой попытки решить конфликт законным путем не предприняли.

А на работе Потапычу за находчивость премию выписали. Вот так счастливо закончилась эта история. Увы, такие истории редко бывают счастливыми!

https://www.pcweek.ru/security/article/detail.php?ID=195364 


Сказки о безопасности: Разные цифры

12/05/2017

 

— Господин директор! Макс, смотрите! Это как понимать?

Такой взволнованной Жаклин на фирме никто не видел. Она вбежала в кабинет директора, держа в руках два листа бумаги.

— Что случилось?

— Вот. Смотрите. Вот этот документ я распечатала у себя на принтере, а вот — снимок экрана того же документа.

— И что?

— Обратите внимание! Цифры РАЗНЫЕ! В счете на экране — 2098 империалов, а в распечатанном счете мы должны уплатить 14 278 империалов! Но так быть не может!

— А вы проверяли электронную подпись на документе?

— Вы меня обижаете, конечно! Более того, я вызвала системного администратора, он тоже все проверил. Электронная подпись подлинная.

— Позовите администратора.

— Вызывали, шеф? — Люк, как всегда, был в том же черном свитере и джинсах. Всклокоченные волосы и борода кажется сегодня выглядели еще более вызывающе.

— Вы проверяли подпись?

— Безусловно. Все верно. Я распечатал этот документ у себя и получил те же цифры, а вот когда распечатал этот же документ у финансового менеджера, там все нормально. Пока я ничего не понимаю.

— А чем ваш ПК и ПК Жаклин отличаются от всех остальных?

— Да тем, что у нас последняя версия операционной системы и такие документы PDF мы можем просматривать и распечатывать прямо из нее.

— Жаклин, возьмите файл этого документа и распечатку себе домой. Я понимаю, что это странная просьба. Но я знаю, где работает ваш муж.

Настал вечер.

Вечером Карл приехал домой. Умылся, привел себя в порядок и пошел ужинать на кухню. Он никак не мог привыкнуть к тому, что он уже женатый человек.

— Карл, сейчас будем ужинать.

Очаровательная жена Карла, Жаклин, быстро расставила на столе приборы и положила ужин.

— Карл, у нас проблема.

— Что случилось, милая? Неужели?

— Да ну что ты. Нет, я не беременна. Да и это было бы не проблема, а счастье. Проблема в том, что мы договаривались никогда не говорить о рабочих делах дома. Причем я сама была инициатором. А теперь я сама же это нарушаю.

— Ой, милая, это неприятно конечно, да только это не проблема. Совсем. Что произошло?

— Знаешь, я тебе лучше покажу.

— Неужели ты с работы принесла рабочие документы?

— Не волнуйся! Я получила разрешение директора.

— Да что случилось то?

— Смотри!

И она рассказала ему историю, случившуюся на работе.

— Да, милая, спасибо что сказала мне. Я попрошу на работе разобраться. Что-то тут странное. Твой директор согласен, чтобы мы забрали ваши компьютеры к себе для исследования?

— Конечно.

Прошло несколько дней.

— Иоганн, у нас большие проблемы!

— Что? Вы разобрались с проблемой на работе жены?

— Да. Оказывается, это не только у нее проблема. Это проблема у всех пользователей последней операционной системы и пока для нее не существует «заплаток». Специалисты компании подтвердили наличие проблемы. Но исправлять ее пока не исправляют.

— Значит придется обратиться к ИТ-специалистам, чтобы не печатали документы из этого браузера, а устанавливали специальное приложение.

Увы, проблема в браузере Edge реально существует. Браузер отображает на экране один набор цифр, но, если отправить документ в печать, на бумаге цифры изменятся

https://www.pcweek.ru/security/article/detail.php?ID=195330

 


Сказки о безопасности: Unicode для фишинга

21/04/2017

— Доброе утро, шеф! У нас новости, — сияющее лицо Риты казалось светится радостью.

— Что случилось, Рита? Уж больно ты радостная.

— Да, увидела весьма интересный метод проведения фишинговой атаки. Организовывается подставной сайт под именем известного домена. Внешне адрес неотличим. Работает приблизительно на половине известных браузеров.

— Ух ты! Но как?

— Атака основывается на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Для обхода существующей защиты (смешивания символов из разных кодировок) достаточно зарегистрировать домен, состоящий только из unicode-символов.

— Погоди, но ведь в таком случае отличить адреса внешне невозможно!

— Да в том и дело! Мы уже отправили описание найденной уязвимости производителям браузеров. Ждем исправления.

— Рита, ваш исследовательский отдел вполне оправдывает вложенные деньги! Вы меня порадовали. Спасибо!

Увы, такая атака не фантастика. Сегодня метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave. Патч для Chrome разрабатывается.


Основы безопасности IoT от Microsoft

17/04/2017

Производители оборудования IoT и интеграторы должны соответствовать следующим требованиям:

  • Аппаратные средства должны соответствовать минимальным требования, таким образом, устройство не может выполнять больше функций, чем необходимо.
  • Гарантируйте, что все аппаратные средства защищены от несанкционированного использования, например, в них отсутствуют внешние USB-порты.
  • Оборудование IoT должно быть создано на основе безопасных аппаратных средств, таких как Trusted Platform Module (TPM).
  • Должны гарантировать, что существует безопасный путь для установки обновлений микропрограммы.

Разработчики решения IoT должны:

  • Использовать безопасную методологию разработки программного обеспечения.
  • Гарантировать что любое программное обеспечение с открытым исходным кодом, которое вы выбираете, имеет активное сообщество, отслеживающее и исправляющее любые возникающие проблемы безопасности.
  • Проверить все интерфейсы компонентов для обнаружения дефектов безопасности, обратив особые внимания на излишнюю функциональность, которая может быть доступной через уровень API.

Лица, осуществляющие развертывание решения IoT, должны:

  • Гарантировать, что все развернутые аппаратные средства защищены от несанкционированного использования — особенно там, где они оставлены без надзора или в общественных местах.
  • Бережно хранить аутентификационные ключи после развертывания. Любой скомпрометированный ключ может использоваться злонамеренным устройством для подмены существующего устройства.

Операторы решения IoT должны:

  • Устанавливать последние обновления ОС и драйверов.
  • Защищать от злонамеренной деятельности, защитив операционные системы устройства актуальными антивирусами (если это возможно).
  • Регулярно проводить аудит инфраструктуры IoT для обнаружения проблем безопасности.
  • Физически защищать инфраструктуру от злонамеренного доступа.
  • Защищать учетные данные аутентификации в облаке, изменяя часто изменяя пароли, при этом не входить в систему с общедоступных машин.

 

 

 


Сказки о безопасности: Слишком умный телевизор

10/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192330

— Иоганн, я нашел интересное дело. Причем кажется это будет очередным делом нашего департамента.

— И что же это, Майкл?

— Я купил маме «умный» телевизор. Но ты ж знаешь меня. Я всегда предпочитаю знать, кто «живет» в домашней сети. И обратил внимание, что у меня увеличился трафик изнутри сети наружу. Полез проверять, последовательно отключая устройства. Обнаружил, что наружу информацию отсылает мой телевизор.

— В случае, когда он работает в Интернете?

— Нет. Когда он показывает кабельное ТВ. Он отсылает какие-то данные, причем много. В частности, я обнаружил IP-адрес, почтовый индекс, что еще — не знаю. Нужно бы поковыряться.

— Бери Риту и ее подчиненных. Задача государственной важности.

Прошла неделя.

— Шеф, мы выяснили и готовы отдать материалы в суд. Компания установила ПО, которое следит за пользователями и собирает данные про их поведение. В частности, IP-адрес, имя и пароль подключенной точки доступа, имена ближайших точек доступа, индекс, дату и время просматриваемого канала, его название. Кроме того, просматривалась ли передача онлайн или в записи и т. д. Собранные сведения, как нам удалось узнать, продавались сторонним компаниям, использовавшим информацию для показа таргетированной рекламы.

Прошел месяц.

— Майкл, чем кончилось дело?

— Суд рассмотрел дело. В итоге компания согласилась выплатить штраф, удалить все собранные данные и прекратить несанкционированное отслеживание, а также получать предварительное согласие пользователей на сбор каких-либо данных.

А вы уверены, что ваше оборудование не собирает информацию о вас? Точно? Я — нет!


Польские банки были взломаны с помощью вредоносного ПО, установленного на правительственном сайте

07/02/2017

https://www.pcweek.ru/security/blog/security/9332.php

Самый массовый взлом в финансовом секторе в истории страны состоялся в Польше вследствие заражения вредоносным ПО. Казалось бы, что тут удивительного?
Источник вредоносного заражения – их собственный регулятор, Polish Financial Supervision Authority (KNF), который по иронии судьбы предназначается для того чтобы следить за безопасностью финансовых учреждений Польши.
На прошлой неделе службы безопасности нескольких польских банков обнаружили злонамеренное ПО на рабочих станциях своих банков.
KNF заявил, что внутренние системы банков подверглись атакам кем-то «из другой страны», но никаких пояснений и фактов не предоставили.
После того как было обнаружено, что загрузка подозрительных файлов была произведена с серверов регулятора, KNF решил привести в нерабочее состояние всю свою систему для защиты доказательств.
Что произошло на самом деле?
Неизвестный атакующий заразил веб-сайт KNF, изменив один из файлов JavaScript сайта, заставив посетителе сайта загрузит злонамеренный файл JavaScript.
После того как злонамеренный скрипт был загружен и выполнен, вредоносное ПО соединилось с внешними серверами для выполнения злонамеренных задач.
В некоторых банках злоумышленники даже управляли критическими серверами в инфраструктуре соответствующего банка.
Как считается атаке подверглись более 20 польских банков. И KNF и польское правительство подтвердило, что расследование продолжается


Сказки о безопасности: Онлайновый перевод

19/12/2016

http://www.pcweek.ru/themes/detail.php?ID=191071

В небольшом столичном банке М произошла утечка данных о сделке с зарубежным партнером. Непонятно откуда в общий доступ попал ряд документов. Причем на языке зарубежного партнера. Сотрудники банка утверждали, что не могут понять, что произошло. Пригласили специалистов департамента интеллектуальных преступлений.

— Марк, а что у нас с банком М?

— На первый взгляд все нормально, вредоносов в сети не обнаружено, внешние носители закрыты, по почте никто ничего подобного не отсылал. Пока ковыряемся.

— Проверьте в первую очередь компьютеры отдела переводов с иностранных языков.

— Да нет у них такого отдела. У них толком никто язык оригинала не читает.

— А вот это интересно. Как же тогда они переводят? Может у них есть купленная программа-переводчик?

— Нет, мы такую не обнаружили. Более того, даже ворованную такую тоже не обнаружили.

— Странно, но как-то ведь переводят?

— Да.

— Но как? Постарайтесь уточнить.

Прошло два дня.

— Шеф, мы поняли, как ушли документы.

— Как???

— Секретарь, на почту которой они пришли, решила прочесть, о чем там говорилось. Ведь ее обязанность не просто принести документы директору, а составить краткую справку. А так как документ был на иностранном, то она решила воспользоваться услугами сайта переводов и загрузила туда оригинал. И практически мгновенно получила перевод. Но оригинал-то остался на сервере переводов! Как нам удалось узнать, документы на этом сервере хранятся в течение некоторого времени, чтобы не переводить их повторно, а сам сервер был взломан не менее чем полгода, а то и год назад. Соответственно злоумышленники получали доступ ко всем хранящимся документам.

— Интересный способ. Кажется, это первая подобная атака?

— Да. Думаем, что под угрозой оказались не только сайты переводов, но и различные онлайн-конвертеры из одного формата в другой, видеоредакторы и так далее.

Такой или приблизительно такой может быть утечка и сегодня. Как вы думаете?