Обновился реестр сертифицированных ФСТЭК средств защит информации

https://fstec.ru/127-lenta-novostej/1656-informatsionnoe-soobshchenie-18

Грамотная статья, но тема DDoS-атак не раскрыта

https://www.securitylab.ru/news/495764.php

Сам не похвалишься - никто не похвалит! Лев настойчиво доказывает превосходство своей системы, втаптывая в грязь своих конкурентов. Это так этично...

https://xakep.ru/2018/10/03/interview-searchinform/

Сказ о том, как гордый Китай всех поимел. Если кратко - в материнские платы Super Micro (США) зашит крохотный чип, меньше зерна риса, который открывал дверку в сеть. Не доказано, что это конечно Super Micro, говорят, подрядчики во всем виноваты (Китай) на самом производстве материнских плат. К слову, эти системы работают по сей день в центрах обработки данных Мин. обороны США, беспилотниках, бортовых сетях военных кораблей ВМФ. С Китаем шутки плохи...

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

Facebook. 50 млн аккаунтов. Дыра в функции View As, которая позволяла видеть, как выглядит собственный профиль для кого-то другого.

В настоящий момент сброшены все токены доступа для этих 50 млн. человек и еще у 40 млн. потенциальных жертв, а также временно отключена функция View As.

Технических деталей к сожалению пока не раскрывается, а рынок уже отреагировал падением акций более чем на 3%. Пристегни ремни, Марк.

https://newsroom.fb.com/news/2018/09/security-update/

Ангел-хранитель Алексей или история о том, как активист из России пропатчил маршрутизаторы MikroTik

https://threatpost.ru/russian-gray-hat-hacks-into-mikrotik-routers-to-keep-them-safe/28737/

Не так страшен черт, как его малюют, а, возможно, дело и вовсе не в самом черте..

Со вчерашнего дня многие информационные сообщества, так или иначе связанные с информационной безопасностью, вовсю трубят о грядущей уязвимости более 60% сайтов, работающих на устаревшей ветке РНР 5.х, в связи с планируемым прекращением поддержки после 31 декабря 2018 года.

Неужели все настолько плохо и огромное количество сайтов, действительно, останутся на произвол судьбы и растерзание злоумышленникам?  

На самом деле, основная проблема не в прекращении поддержки языка, а скорее в том, что за почти 3 года, а именно столько лет назад вышла РНР 7.0, вы или разработчик web-приложения так не перешёл на более современную версию языка.

Безопасность сайта, в первую очередь, основана на технологиях, используемых при разработке. Не стоит забывать, что любое web-приложение требует постоянного внимания и усилий для обеспечения его безопасности. Если игнорировать банальные правила ИБ, не устраивать систематический анализ уязвимостей и использовать допотопные технологии, то веб-сайт автоматически попадает в зону риску и совсем не из-за языка написания и его версии.

Вчера в Москве прошла ежегодная конференция ROAD SHOW SEARCHINFORM, которую создатели легендарного КИБа провели  в своих «лучших» традициях.

Любой гость, посещающий  подобные мероприятия хочет  услышать объективное сравнение предлагаемого вендором решения с его конкурентами, ну или хотя бы получить исчерпывающие ответы на интересующие  его вопросы.

Ни первого, ни второго, к сожалению, не произошло.  Взамен спикеры во всей красе продемонстрировали присутствующим преимущества своего решения за счет принижения конкурентов и зачем-то вынесли внутренний ссор из избы, aka головного офиса SI, если вы понимаете, о чем мы. Ну а вишенкой на Серчинформовском торте стали доводы от создателя, скажем, не самой шустрой DLP-системы, что основным критерием выбора правильной DLP является скорость поиска информации, хотя очевидно, что совсем не в скорости дело,  а в необходимом Заказчику функционале.

Под угрозой не только деньги

«Предприимчивые» работники АЗС в Хабаровске, которые, по всей видимости, не смирились с повышением цен на бензин, решили обеспечить себя и всех своих родственником годовым запасом топлива, ну и подзаработать. Мошенники установили на АЗС вредоносное ПО, которое не доливало «драгоценную» жидкость в транспортные средства посетителей.

По официальным данным, злоумышленникам удалось похитить топливо на общую сумму свыше 10 млн. рублей, что, если переводить в объемные величины, почти 233 тысячи литров бензина.

Недостачу, а это почти 5% от общего объема, удалось обнаружить не сразу, поскольку злоумышленники отключали вредонос на время проведения аудита. Тем не менее, в ходе очередной внутренней проверки, сотрудники СБ выявили мошенническую схему и руководство обратилось в правоохранительные органы.

Мораль сей басни такова: из организаций выносят не только деньги, но и все, что   ̶н̶е̶ ̶п̶р̶и̶к̶о̶л̶о̶ч̶е̶н̶о̶ ̶  можно продать. Не уделяешь время на ИБ-защиту, будешь уделять на поиск утечек и списание убытков ;)

Минобороны закручивает гайки                        

Ведомство опубликовало тендер почти на пол ярда Infowatch Traffic Monitor, который, как вы знаете, следит за активностью пользователей и мониторит передаваемую во вне информацию. Кроме того,  в Госдуме готовится законопроект, по которому, военнослужащим запретят публиковать в Интернете фото и видео материалы, которые могут каким-либо образом раскрыть их принадлежность к ведомственной структуре.        

В общем, ни тебе фоточки  повыкладывать, ни годные мемасики полайкать ☹️ @in4security

Необъяснимо, но факт

CA Veracode выпустила увлекательное чтиво, оно же ежегодный отчет о состоянии безопасности программного обеспечения.

Согласно данному отчету большинство уязвимостей так и остаются непропатченными в течения месяца после их обнаружения. Что бы вы понимали, большинство это около 70%, и именно эти 70% дыр, вне зависимости от степени их критичности, производители ПО не считают нужным залатать в кратчайшие сроки.

«Месяц, это очень короткий срок» - можете подумать вы. Все бы ничего, если бы 55% все тех же уязвимостей так и не остались нетронутыми и в течение 3х месяцев, а это уже квартал. Только вдумайтесь, на протяжении квартала хакеры могут свободно эксплуатировать уязвимости.  

Ну а дальше все еще хуже – только через 9 месяцев вендоры таки удосуживаются устранить 25% критических брешей, причем четверть, не столь критических, так и остаются непропатченными и спустя год.

Возможно, этот отчет можно было бы и не воспринимать всерьез, собственно, производителей ПО миллионы, мало ли какие данные попали в отчет. Если бы не один интересный факт: колумбийский ИБ-специалист компании CSL еще в декабре 2017 года нашел уязвимость в Windows, которая позволяет повысить права гостевого пользователя до администраторских и сохранить их при перезагрузке. И знаете что? А патчей нет..
Но вы держитесь. @in4security

Октябрьский патч Windows вышел особенно богатым на баги. Сначала проблема с zip архивами и возможностью потерять свои личные данные, потом экран смерти и наконец то, что мы любим больше всего - 0day.

Но обо всем по порядку :)

Ситуация с первой проблемой скорее забавна, чем опасна: сам баг был обнаружен еще за 3 месяца до официального релиза и информация о нем четырежды (!) отправлялась в MS. Ну а устранили его только после выпуска релиза, собственно, ничего необычного.

Экраном смерти в наше время вообще никого не удивишь, поэтому двигаемся дальше.

0day. Вот тут куда интереснее.
Несмотря на комментарии специалистов и исследователя о сложности эксплуатации уязвимости,  пока что, только локальной эксплуатации, был упущен важный момент - уязвимость затрагивает в т.ч. и серверные версии. Следовательно, она позволяет повышать привилегии и на серверных ОС, которые как мы знаем, обновляют не так бодро как ПК-шные Windows 10.  

По итогу, вероятнее всего, мы получим еще один способ повышения привилегий на непропатченных системах, отлавливать который научатся далеко не сразу, и огромное количество организаций, которые полягут от такого обычного, как казалось бы, патча. @in4security

На фоне бури, вызванной утечкой базы данных Сбера, не содержащей критической информации, ушла в тень более значимая утечка, связанная с выложенными в сеть фотографиями интимного характера российских селебрити.

Более значимая она по нескольким причинам: хакеры произвели массовый взлом личных аккаунтов и получили доступ к, действительно, персональным данным, шантажировали и вымогали деньги у потерпевших, ну и решили разрекламировать свои услуги на 900 тысячную аудиторию взломанного аккаунта.
Напомним, что за все вышеуказанные действия в соответствии с законодательством РФ предусмотрена уголовная ответственность.

Любопытный факт - шантаж супруги Мамаева начался 11 октября, т.е на следующий день после задержания.
Вероятнее всего, сам взлом был совершен больше года назад, когда злодеи завладели многими аккаунтами российских звёзд, но воспользовались скомпрометированными данными только сейчас, чтобы выманить максимум денег у шокированной жены. @in4security

Не успел Сбербанк развеять слухи о вводе налога на переводы между клиентами и утрясти историю с утечкой данных, как на радаре появилась новая угроза – троян «GPlayed Banking», который построен с одной определенной ролью – произвести целевую атаку на пользователей Сбербанка, пользующихся функцией  автоплатежей.

Вредонос распространяется так же как и его старший собрат GPlayed, маскируясь под фейковое приложение в Google store.  

После установки зловред начинает получать права администратора на устройстве, запрашивая у пользователя изменение его настроек. Если пользователь отклоняет запрос, то диалоговое окно запроса будет появляться снова и снова через каждые 5 секунд, пока пользователь, наконец, не предоставит ему права администратора.

Следующим шагом троян скачивает и запускает WebView, и отправляет SMS на сервис автоплатежа Сбербанка  на номер 900 со словом «баланс». Получив ответ, вредонос анализирует его для определения баланса счета: если сумма ниже 3 000 руб., то троян ничего не сделает, но вот если больше, то запросит значение 66 000, и будет отправлять запросы, понижая шаг на  1 000, до тех пор пока не будет определен доступный размер денежных средств.

Далее зловреду  необходим проверочный код, здесь происходит анализ входящие SMS, содержащий это слово «пароль», чтобы извлечь его и ввести в ранее созданный WebView.

Мы считаем, эта вредоносная программа специально разработана, чтобы обойти механизм 3-D Secure, поскольку она вводит переменную под названием "s3dscode" с извлеченным значением в объект WebView, а пароль на самом деле является кодом проверки, необходимым для подтверждения транзакции. Обработчик приемника SMS, помимо анализа кода 3D secure, также отправит все SMS-сообщения на C2.

В итоге, история с перехватом смс кодов валидации для банковских троянов не нова, однако, этот троян, следом за GPlayed, показывает четкую эволюцию зловредов этого семейства вредоносных программ. Хотя эти файлы еще не были замечены в реальном использовании, они, безусловно, имеют громадный потенциал, для заражения большого количество пользователей и быстрой  компрометации банковских данных пользователей. @in4security

Вчера информационное агентство "Росбалт" сообщило о задержании сотрудниками ФСБ подозреваемого в продаже информации о перемещении через границу любителей шпилей Петрова и Боширова.

Вероятно, многие из вас, прочитав эту новость задумались: «А в чем цена подобного вопроса?».  Дабы приоткрыть завесу тайны, мы промониторили теневой рынок услуг по предоставлению информации из закрытых баз данных и… не обнаружили серьезных изменений )

Не смотря на все усилия ФСБ по выявлению и задержанию сотрудников за продажу данных, на рынке это никаким образом не отразилось. Как и прежде, стоимость информации о пересечении границы составляет всего около 100 долларов США.

Если говорить о более простых пробивках, к примеру, данных абонентов операторов большой тройки, то информация о черно-желто-полосатом абоненте, по-прежнему, остается самой дешевой на рынке (поиск абонента по номеру около $10, детализация звонков +- $ 20), в то время как цены на данные Мегафона, усилиями СБ оператора, применяющей соответствующие меры, возросли до $20 и $220 соответственно. @in4security

Продолжим вчерашнюю тему, но немного в другом русле.

После раскрытия информации о передвижениях через границу «солсберийских туристов» ФСБ организовала массовые мероприятия в отношении частных сыщиков и просто лиц, занимающихся продажей выписок из «закрытых» баз данных.  

По информации СМИ по результату спецоперации было возбуждено множество дел по статьям УК РФ -183 (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), 203 (превышение полномочий частным детективом), 137 (нарушение неприкосновенности частной жизни).

Мы же хотим обратить внимание на следующее: наши специалисты, не проводя спецопераций, а используя систему ETHIC, обнаружили в открытом доступе «детективное» агентство (http://moscow.infoproverka.ru), на сайте которого присутствуют прямые предложения услуг по взлому аккаунтов, внедрению в телефоны специализированного ПО для слежки, доступу к переписке/звонкам, что противоречит законодательству РФ.

Примечательно, что руководитель компании имеет действующую лицензию МВД на осуществление детективной деятельности, а компания множество благодарственных писем, которые размещены на их же сайте.

Надеемся, что сотрудники спецслужб обратят свое внимание на данную организацию и ее деятельность. @in4security

Недельный улов

или наша новая пятничная рубрика от специалистов ETHIC, где расскажем о новых фишинговых доменах и обо всем, что с ними связано.

Сегодня речь пойдет, естественно, о хайпе этой недели – Сбере и его доменах.

Но для начала немного общей статистики: всего за неделю зарегистрирован 1,1 🍋 новых доменов, из них в 1 960 содержится упоминание слова «банк», а название большого и зеленого присутствует в 23 штуках.

А вот вам списочек тех, что очень уж подозрительны и откровенно напоминают фишинг:
sberbnk24.ru
online-sberbank-24.ru
premier-sberbank.ru
sberbank-recovery.ru
bonuce-sber-sbasibo.ru
partner-sberbank-spasibo.ru
info-sberbank.online
sberservice.com

Создатели последнего домена, кстати, уже накрутили обертку для фишингового сайта.

Не попадайтесь на крючок браконьеров ;) @in4security