📌Эксперты подсчитали, во сколько компаниям обходится обеспечение ИБ
📝Обеспечение кибербезопасности обходится компаниям в $2,3 тыс. в год за одного сотрудника. Такие данные приводятся в отчете специалистов Deloitte и Центра информационного обмена и анализа финансовых служб (Financial Services Information Sharing and Analysis Center, FS-ISAC).
📝Согласно отчету, банки, страховые фирмы, инвестиционные и другие компании финансовой сферы тратят на кибербезопасность 6-14% от всех средств, выделяемых в год на информационные технологии. Это примерно 0,2-0,9% от всего дохода компании или от $1,3 тыс. до $3 тыс. на каждого сотрудника.
📝В отчете учтены различные аспекты операций по обеспечению кибербезопасности, в том числе их управление и организация – перед кем отчитывается директор по информационной безопасности, уровень заинтересованности правления в работе директора по ИБ и приоритетные области в обеспечении ИБ.
📝Крупные компании тратят примерно одну пятую от всех выделяемых на кибербезопасность средств на управление идентификацией и доступом. Представители среднего и малого бизнеса тратят на это в два раза меньше. Для них приоритетными областями является защита конечных точек и сети.
📝По словам авторов исследования, размер суммы, выделяемой на обеспечение кибербезопасности, необязательно пропорционален уровню защищенности. То есть, большой бюджет не всегда гарантирует высокий уровень кибербезопасности.
📝Наиболее успешные программы по ИБ характеризуются несколькими основными чертами. Во-первых, заинтересованность в них проявляется на уровне правления. Во-вторых, информация о кибербезопасности не сосредотачивается исключительно у сотрудников IT-отдела, а распространяется по всей организации, благодаря чему ей уделяется больше внимания. Третья основная черта – согласование программы компании по ИБ с ее бизнес-стратегией.
📝Исследование было проведено специалистами FS-ISAC при участии компании Deloitte осенью 2018 года. В нем приняли участие 97 компаний. Среднегодовой доход 39% из них превышает $2 млрд. 23% компаний позиционируют себя как средний бизнес с годовым доходом $0,5-2 млрд.
📝Обеспечение кибербезопасности обходится компаниям в $2,3 тыс. в год за одного сотрудника. Такие данные приводятся в отчете специалистов Deloitte и Центра информационного обмена и анализа финансовых служб (Financial Services Information Sharing and Analysis Center, FS-ISAC).
📝Согласно отчету, банки, страховые фирмы, инвестиционные и другие компании финансовой сферы тратят на кибербезопасность 6-14% от всех средств, выделяемых в год на информационные технологии. Это примерно 0,2-0,9% от всего дохода компании или от $1,3 тыс. до $3 тыс. на каждого сотрудника.
📝В отчете учтены различные аспекты операций по обеспечению кибербезопасности, в том числе их управление и организация – перед кем отчитывается директор по информационной безопасности, уровень заинтересованности правления в работе директора по ИБ и приоритетные области в обеспечении ИБ.
📝Крупные компании тратят примерно одну пятую от всех выделяемых на кибербезопасность средств на управление идентификацией и доступом. Представители среднего и малого бизнеса тратят на это в два раза меньше. Для них приоритетными областями является защита конечных точек и сети.
📝По словам авторов исследования, размер суммы, выделяемой на обеспечение кибербезопасности, необязательно пропорционален уровню защищенности. То есть, большой бюджет не всегда гарантирует высокий уровень кибербезопасности.
📝Наиболее успешные программы по ИБ характеризуются несколькими основными чертами. Во-первых, заинтересованность в них проявляется на уровне правления. Во-вторых, информация о кибербезопасности не сосредотачивается исключительно у сотрудников IT-отдела, а распространяется по всей организации, благодаря чему ей уделяется больше внимания. Третья основная черта – согласование программы компании по ИБ с ее бизнес-стратегией.
📝Исследование было проведено специалистами FS-ISAC при участии компании Deloitte осенью 2018 года. В нем приняли участие 97 компаний. Среднегодовой доход 39% из них превышает $2 млрд. 23% компаний позиционируют себя как средний бизнес с годовым доходом $0,5-2 млрд.
📌Путин подписал закон о суверенном Рунете
📝Президент РФ Владимир Путин подписал так называемый закон об изоляции Рунета, призванный обеспечить стабильную работу российского сегмента интернета в случае отключения от всемирной Сети или скоординированных атак. Документ опубликован на официальном портале правовой информации.
📝Согласно положениям закона, в случае возникновения угроз устойчивой, безопасной и целостной работе Рунета на 📝территории РФ и сети связи общего пользования Роскомнадзор сможет осуществлять централизованное управление трафиком согласно порядку, установленному российским правительством. При этом кабмин будет утверждать порядок такого управления, определять виды угроз и меры по их устранению.
📝Кроме того, правительство будет определять «случаи управления техническими средствами противодействия угрозам и передачи обязательных к выполнению указаний», а также определять условия и случаи, при которых операторы связи получат право не направлять трафик через технические средства противодействия угрозам. Такие средства будут предоставляться Роскомнадзором.
Операторы, установившие такие техсредства, освобождаются от обязанности ограничивать доступ к сайтам с запрещенной информацией. Согласно действующему законодательству, сейчас они должны сами блокировать такой контент.
📝Закон также предусматривает создание национальной системы доменных имен. Порядок ее создания, требования к ней и правила ее использования установит Роскомнадзор. Ведомство также установит список групп доменных имен, составляющих российскую национальную доменную зону. Координировать деятельность по формированию доменных имен будет некоммерческая организация, одним из учредителей которой будет РФ.
📝Закон вступит в силу с 1 ноября 2019 года, за исключением ряда положений, в частности о криптографической защите и национальной системе доменных имен, которые начнут действовать с 1 января 2021 года.
📝Президент РФ Владимир Путин подписал так называемый закон об изоляции Рунета, призванный обеспечить стабильную работу российского сегмента интернета в случае отключения от всемирной Сети или скоординированных атак. Документ опубликован на официальном портале правовой информации.
📝Согласно положениям закона, в случае возникновения угроз устойчивой, безопасной и целостной работе Рунета на 📝территории РФ и сети связи общего пользования Роскомнадзор сможет осуществлять централизованное управление трафиком согласно порядку, установленному российским правительством. При этом кабмин будет утверждать порядок такого управления, определять виды угроз и меры по их устранению.
📝Кроме того, правительство будет определять «случаи управления техническими средствами противодействия угрозам и передачи обязательных к выполнению указаний», а также определять условия и случаи, при которых операторы связи получат право не направлять трафик через технические средства противодействия угрозам. Такие средства будут предоставляться Роскомнадзором.
Операторы, установившие такие техсредства, освобождаются от обязанности ограничивать доступ к сайтам с запрещенной информацией. Согласно действующему законодательству, сейчас они должны сами блокировать такой контент.
📝Закон также предусматривает создание национальной системы доменных имен. Порядок ее создания, требования к ней и правила ее использования установит Роскомнадзор. Ведомство также установит список групп доменных имен, составляющих российскую национальную доменную зону. Координировать деятельность по формированию доменных имен будет некоммерческая организация, одним из учредителей которой будет РФ.
📝Закон вступит в силу с 1 ноября 2019 года, за исключением ряда положений, в частности о криптографической защите и национальной системе доменных имен, которые начнут действовать с 1 января 2021 года.
📌Украинец заработал миллионы на вредоносной рекламе
📝На этой неделе из Нидерландов в США был экстрадирован гражданин Украины Алексей Иванов, заработавший миллионы на вредоносной рекламе. Американские власти обвиняют 31-летнего украинца в компьютерном мошенничестве, мошенничестве с использованием средств связи и заговоре с целью осуществления мошенничества.
📝Согласно обвинительному акту, подписанному прокурором Нью-Джерси Крэйгом Карпентино (Craig Carpenito), в 2013-2018 годах Иванов совместно со своими неназванными сообщниками «зарабатывал» на рекламе в интернете, содержащей вредоносное ПО. В результате действий преступников ничего не подозревавшие жертвы просматривали 100 млн рекламных баннеров и другого контента.
📝Выдавая себя за главу несуществующей компании Veldex Limited, под именем Дмитрий Залескис Иванов подавал для распространения через сети американской маркетинговой фирмы вредоносную рекламу. Фирма несколько раз сообщала мошеннику, что его реклама детектируется как потенциально вредоносное ПО. Согласно уверению Иванова, с рекламой было все в порядке, и она продолжала публиковаться. В ходе одной из рекламных кампаний в 2014 году всего за один день реклама набирала свыше 17 млн просмотров.
📝Иванов проживал в Киеве, а в декабре прошлого года улетел в Нидерланды, где и был арестован.
📝На этой неделе из Нидерландов в США был экстрадирован гражданин Украины Алексей Иванов, заработавший миллионы на вредоносной рекламе. Американские власти обвиняют 31-летнего украинца в компьютерном мошенничестве, мошенничестве с использованием средств связи и заговоре с целью осуществления мошенничества.
📝Согласно обвинительному акту, подписанному прокурором Нью-Джерси Крэйгом Карпентино (Craig Carpenito), в 2013-2018 годах Иванов совместно со своими неназванными сообщниками «зарабатывал» на рекламе в интернете, содержащей вредоносное ПО. В результате действий преступников ничего не подозревавшие жертвы просматривали 100 млн рекламных баннеров и другого контента.
📝Выдавая себя за главу несуществующей компании Veldex Limited, под именем Дмитрий Залескис Иванов подавал для распространения через сети американской маркетинговой фирмы вредоносную рекламу. Фирма несколько раз сообщала мошеннику, что его реклама детектируется как потенциально вредоносное ПО. Согласно уверению Иванова, с рекламой было все в порядке, и она продолжала публиковаться. В ходе одной из рекламных кампаний в 2014 году всего за один день реклама набирала свыше 17 млн просмотров.
📝Иванов проживал в Киеве, а в декабре прошлого года улетел в Нидерланды, где и был арестован.
📌В ПО GE Communicator обнаружены множественные уязвимости
📝В решении GE Communicator, используемом для конфигурации измерителей мощности General Electric, выявлен ряд уязвимостей, в том числе наличие вшитых учетных данных и баги утечки информации.
📝Проблемы предоставляют возможность получить права администратора на рабочей станции, использующей ПО GE Communicator, однако их эксплуатация требует либо наличия сетевого доступа к станции (и настройкам межсетевого экрана Windows), либо локального доступа с привилегиями обычного пользователя. Удаленная эксплуатация также возможна, но маловероятна, поскольку ПО, как правило, работает на устройствах, где службы не открыты напрямую.
📝В общей сложности в решении выявлено пять уязвимостей. Одна из них (CVE-2019-6548) связана с наличием двух аккаунтов с встроенными учетными данными, с помощью которых атакующий может перехватить контроль над базой данных приложения. Согласно предупреждению команды ICS-CERT, эксплуатация уязвимости может быть предотвращена, если установлены дефолтные настройки межсетевого экрана Windows.
📝Уязвимости CVE-2019-6546 и CVE-2019-6564 позволяют пользователю без прав администратора поместить вредоносный файл в папку установки и получить права администратора во время процесса инсталляции или обновления либо, внедрив специально сформированный файл в рабочую папку, манипулировать виджетами и элементами интерфейса.
📝Еще одна проблема (CVE-2019-6566) предоставляет возможность повысить привилегии путем замены деинсталлятора GE Communicator вредоносным файлом. Наконец, последний баг (CVE-2019-6544) затрагивает службу, работающую с системными привилегиями. Атакующий с низкими привилегиями может воспользоваться уязвимостью для выполнения определенных административных действий, например, запустить запланированные скрипты с привилегиями администратора.
📝Уязвимости затрагивают версии GE Communicator (компоненты Communicator Installer, Communicator Application, Communicator PostGreSQL, Communicator MeterManager, Communicator WISE Uninstaller) до 4.0.517. Исправленные версии продукта доступны на сайте производителя.
📝В решении GE Communicator, используемом для конфигурации измерителей мощности General Electric, выявлен ряд уязвимостей, в том числе наличие вшитых учетных данных и баги утечки информации.
📝Проблемы предоставляют возможность получить права администратора на рабочей станции, использующей ПО GE Communicator, однако их эксплуатация требует либо наличия сетевого доступа к станции (и настройкам межсетевого экрана Windows), либо локального доступа с привилегиями обычного пользователя. Удаленная эксплуатация также возможна, но маловероятна, поскольку ПО, как правило, работает на устройствах, где службы не открыты напрямую.
📝В общей сложности в решении выявлено пять уязвимостей. Одна из них (CVE-2019-6548) связана с наличием двух аккаунтов с встроенными учетными данными, с помощью которых атакующий может перехватить контроль над базой данных приложения. Согласно предупреждению команды ICS-CERT, эксплуатация уязвимости может быть предотвращена, если установлены дефолтные настройки межсетевого экрана Windows.
📝Уязвимости CVE-2019-6546 и CVE-2019-6564 позволяют пользователю без прав администратора поместить вредоносный файл в папку установки и получить права администратора во время процесса инсталляции или обновления либо, внедрив специально сформированный файл в рабочую папку, манипулировать виджетами и элементами интерфейса.
📝Еще одна проблема (CVE-2019-6566) предоставляет возможность повысить привилегии путем замены деинсталлятора GE Communicator вредоносным файлом. Наконец, последний баг (CVE-2019-6544) затрагивает службу, работающую с системными привилегиями. Атакующий с низкими привилегиями может воспользоваться уязвимостью для выполнения определенных административных действий, например, запустить запланированные скрипты с привилегиями администратора.
📝Уязвимости затрагивают версии GE Communicator (компоненты Communicator Installer, Communicator Application, Communicator PostGreSQL, Communicator MeterManager, Communicator WISE Uninstaller) до 4.0.517. Исправленные версии продукта доступны на сайте производителя.
📌Microsoft встроит полноценное ядро Linux в Windows 10
📝Компания Microsoft представила обновленную подсистему WSL 2 (Windows Subsystem for Linux), предназначенную для запуска исполняемых файлов Linux в Windows. Ключевой особенностью обновления WSL 2 является встроенное полноценное ядро Microsoft Linux.
📝Первые тестовые сборки для участников программы Windows Insider будут выпущены в конце июня нынешнего года. Кастомное ядро обеспечит основу для архитектуры Microsoft Windows Subsystem for Linux (WSL) 2. Реализация полноценного ядра Linux в WSL 2 позволит улучшить совместимость, существенно повысить производительность приложений Linux под Windows, ускорить время загрузки, оптимизировать использование оперативной памяти, ускорить работу ввода-вывода файловой системы и запускать контейнеры Docker напрямую, а не через виртуальную машину.
📝Согласно результатам внутреннего тестирования Microsoft, вторая редакция WSL работает в 20 раз быстрее по сравнению с WSL 1 при распаковке архивов tarball и порядка в 2-5 раз быстрее при использовании git clone, npm install и cmake в различных проектах.
📝Первый релиз WSL 2 будет базироваться на долгосрочной стабильной версии Linux 4.19. По мере выхода исправлений для LTS ветки 4.19 ядро для WSL 2 будет оперативно обновляться через механизм Windows Update и тестироваться в инфраструктуре непрерывной интеграции Microsoft.
📝Согласно сообщению компании, ядро будет полностью открытым. Microsoft также предоставит разработчикам инструкции для создания собственных версий ядра. Всю информацию техногигант пообещал разместить на Github.
📝Компания Microsoft представила обновленную подсистему WSL 2 (Windows Subsystem for Linux), предназначенную для запуска исполняемых файлов Linux в Windows. Ключевой особенностью обновления WSL 2 является встроенное полноценное ядро Microsoft Linux.
📝Первые тестовые сборки для участников программы Windows Insider будут выпущены в конце июня нынешнего года. Кастомное ядро обеспечит основу для архитектуры Microsoft Windows Subsystem for Linux (WSL) 2. Реализация полноценного ядра Linux в WSL 2 позволит улучшить совместимость, существенно повысить производительность приложений Linux под Windows, ускорить время загрузки, оптимизировать использование оперативной памяти, ускорить работу ввода-вывода файловой системы и запускать контейнеры Docker напрямую, а не через виртуальную машину.
📝Согласно результатам внутреннего тестирования Microsoft, вторая редакция WSL работает в 20 раз быстрее по сравнению с WSL 1 при распаковке архивов tarball и порядка в 2-5 раз быстрее при использовании git clone, npm install и cmake в различных проектах.
📝Первый релиз WSL 2 будет базироваться на долгосрочной стабильной версии Linux 4.19. По мере выхода исправлений для LTS ветки 4.19 ядро для WSL 2 будет оперативно обновляться через механизм Windows Update и тестироваться в инфраструктуре непрерывной интеграции Microsoft.
📝Согласно сообщению компании, ядро будет полностью открытым. Microsoft также предоставит разработчикам инструкции для создания собственных версий ядра. Всю информацию техногигант пообещал разместить на Github.
📌Red Hat объявила об общей доступности RHEL 8
📝Компания Red Hat объявила об общей доступности дистрибутива Red Hat Enterprise Linux (RHEL) 8, основанного на Fedora 28. Установочные сборки доступны для архитектур x86 - 64, s390x (IBM System z), ppc64le и Aarch64. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Дистрибутив гарантированно будет поддерживаться до мая 2024 года.
📝Пакет с ядром Linux построен на базе выпуска 4.18, компиллятором по умолчанию является GCC 8.2. Системная библиотека Glibc обновлена до версии 2.28. В числе ключевых нововведений стоит отметить:
Wayland теперь является протоколом по умолчанию для рабочей среды GNOME.
Application Streams система поставки разных версий программного обеспечения (в виде модулей и rpm-пакетов).
YUMv4 новая версия пакетного менеджера теперь базируется на технологиях DNF и поддерживает работу с модульным програмным обеспечением.
📝Поддержка шифрования LUKS2 установщиком Anaconda по умолчанию. Криптографические правила применены по умолчанию. Доступна поддержка протоколов TLS 1.2 и 1.3, IKEv2, SSH2.
nftables теперь поставляется по умолчанию вместо iptables.
Добавлена страница настройки межсетевого экрана в Cockpit (web-интерфейс для администрирования сервера).
📝Компания Red Hat объявила об общей доступности дистрибутива Red Hat Enterprise Linux (RHEL) 8, основанного на Fedora 28. Установочные сборки доступны для архитектур x86 - 64, s390x (IBM System z), ppc64le и Aarch64. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Дистрибутив гарантированно будет поддерживаться до мая 2024 года.
📝Пакет с ядром Linux построен на базе выпуска 4.18, компиллятором по умолчанию является GCC 8.2. Системная библиотека Glibc обновлена до версии 2.28. В числе ключевых нововведений стоит отметить:
Wayland теперь является протоколом по умолчанию для рабочей среды GNOME.
Application Streams система поставки разных версий программного обеспечения (в виде модулей и rpm-пакетов).
YUMv4 новая версия пакетного менеджера теперь базируется на технологиях DNF и поддерживает работу с модульным програмным обеспечением.
📝Поддержка шифрования LUKS2 установщиком Anaconda по умолчанию. Криптографические правила применены по умолчанию. Доступна поддержка протоколов TLS 1.2 и 1.3, IKEv2, SSH2.
nftables теперь поставляется по умолчанию вместо iptables.
Добавлена страница настройки межсетевого экрана в Cockpit (web-интерфейс для администрирования сервера).
📌UC Browser и UC Browser Mini для Android-устройств уязвимы к URL-спуфингу
📝Последние версии браузеров UC Browser и UC Browser Mini для Android-устройств, насчитывающие более 600 млн загрузок, уязвимы к URL-спуфингу. Уязвимость была обнаружена исследователем безопасности Арифом Ханом (Arif Khan), который уведомил о ней разработчика UCWeb в прошлом месяце.
URL-спуфинг представляет собой кибератаку, основывающуюся на возможности атакующего менять URL в адресной строке браузера. Жертва видит знакомый адрес и думает, будто посещает доверенный сайт, хотя на самом деле оказывается на вредоносной странице. Эти страницы могут быть фишинговыми и предназначаться для похищения учетных данных, либо содержать вредоносную рекламу, инфицирующую устройство вредоносным ПО.
«Спуфинг URL представляет собой самую худшую из возможных фишинговых атак, поскольку адрес в адресной строке – это единственный способ идентифицировать посещаемый пользователем сайт», – отметил Хан.
Уязвимость в UC Browser и UC Browser Mini позволяет злоумышленникам выдавать один домен за другой. К примеру, blogspot.com можно выдать за facebook.com, просто заставив пользователя зайти на www.google.com.blogspot.com/?q=www.facebook.com.
📝Как пояснил исследователь, атака возможна из-за недостаточной проверки браузерами регулярных выражений. «Они пытаются улучшить пользовательский UX, поэтому, когда пользователь ищет что-то в поисковой системе наподобие Google, в адресной строке отображается только поисковый запрос», – отметил Хан. По его словам, браузеры только проверяют, начинается ли посещаемый пользователем URL-адрес с www.google.com. В результате атакующий может обойти проверку регулярных выражений и подменить адрес в адресной строке.
📝С целью обезопасить пользователей разработчики UC Browser и UC Browser Mini должны отказаться от подобного «улучшения» пользовательского UX и отображать настоящий домен, считает исследователь.
📝Уязвимость была обнаружена в версиях UC Browser 12.11.2.1184 и UC Browser Mini 12.10.1.1192 (в более старых версиях уязвимость отсутствует). Хан уведомил разработчика о проблеме 30 апреля, однако по состоянию на 8 мая она по-прежнему остается неисправленной. Более того, когда исследователь внес свой отчет об уязвимости в систему UCWeb, ему был присвоен статус «Ignored».
📝Последние версии браузеров UC Browser и UC Browser Mini для Android-устройств, насчитывающие более 600 млн загрузок, уязвимы к URL-спуфингу. Уязвимость была обнаружена исследователем безопасности Арифом Ханом (Arif Khan), который уведомил о ней разработчика UCWeb в прошлом месяце.
URL-спуфинг представляет собой кибератаку, основывающуюся на возможности атакующего менять URL в адресной строке браузера. Жертва видит знакомый адрес и думает, будто посещает доверенный сайт, хотя на самом деле оказывается на вредоносной странице. Эти страницы могут быть фишинговыми и предназначаться для похищения учетных данных, либо содержать вредоносную рекламу, инфицирующую устройство вредоносным ПО.
«Спуфинг URL представляет собой самую худшую из возможных фишинговых атак, поскольку адрес в адресной строке – это единственный способ идентифицировать посещаемый пользователем сайт», – отметил Хан.
Уязвимость в UC Browser и UC Browser Mini позволяет злоумышленникам выдавать один домен за другой. К примеру, blogspot.com можно выдать за facebook.com, просто заставив пользователя зайти на www.google.com.blogspot.com/?q=www.facebook.com.
📝Как пояснил исследователь, атака возможна из-за недостаточной проверки браузерами регулярных выражений. «Они пытаются улучшить пользовательский UX, поэтому, когда пользователь ищет что-то в поисковой системе наподобие Google, в адресной строке отображается только поисковый запрос», – отметил Хан. По его словам, браузеры только проверяют, начинается ли посещаемый пользователем URL-адрес с www.google.com. В результате атакующий может обойти проверку регулярных выражений и подменить адрес в адресной строке.
📝С целью обезопасить пользователей разработчики UC Browser и UC Browser Mini должны отказаться от подобного «улучшения» пользовательского UX и отображать настоящий домен, считает исследователь.
📝Уязвимость была обнаружена в версиях UC Browser 12.11.2.1184 и UC Browser Mini 12.10.1.1192 (в более старых версиях уязвимость отсутствует). Хан уведомил разработчика о проблеме 30 апреля, однако по состоянию на 8 мая она по-прежнему остается неисправленной. Более того, когда исследователь внес свой отчет об уязвимости в систему UCWeb, ему был присвоен статус «Ignored».
📌ЦРУ запустило сайт в сети Tor для анонимных наводок
📝Центральное разведывательное управление США объявило о запуске сайта в сети Tor. Ресурс предназначен главным образом для лиц, желающих анонимно предоставить ведомству важную информацию или стать сотрудником агентства.
📝Решение создать собственный .onion сайт является естественным шагом, поскольку «он более безопасный, анонимный и его невозможно отследить», пояснили в разведслужбе. По сути, ресурс станет полной копией официального сайта ЦРУ, однако зайти на него можно будет только через Tor или другие браузеры, поддерживающие доступ в анонимную сеть, например, через Brave, в котором уже предлагается встроенная версия Tor в альтернативном приватном режиме. Компания Mozilla также пообещала интегрировать Tor в браузер Firefox в рамках проекта Fusion.
📝Сеть Tor – система прокси-серверов, предназначенных для сетевого соединения в анонимном режиме, защищенном от прослушивания и без возможности отслеживания действий пользователя. Анонимность трафика возможна за счет применения распределенной по всему миру серверной сети с переадресацией на десятки (а в некоторых случаях и сотни) узлов. Использовать возможности такой сети может каждый, кто скачает браузер Tor и установит его на компьютер или мобильное устройство.
📝Центральное разведывательное управление США объявило о запуске сайта в сети Tor. Ресурс предназначен главным образом для лиц, желающих анонимно предоставить ведомству важную информацию или стать сотрудником агентства.
📝Решение создать собственный .onion сайт является естественным шагом, поскольку «он более безопасный, анонимный и его невозможно отследить», пояснили в разведслужбе. По сути, ресурс станет полной копией официального сайта ЦРУ, однако зайти на него можно будет только через Tor или другие браузеры, поддерживающие доступ в анонимную сеть, например, через Brave, в котором уже предлагается встроенная версия Tor в альтернативном приватном режиме. Компания Mozilla также пообещала интегрировать Tor в браузер Firefox в рамках проекта Fusion.
📝Сеть Tor – система прокси-серверов, предназначенных для сетевого соединения в анонимном режиме, защищенном от прослушивания и без возможности отслеживания действий пользователя. Анонимность трафика возможна за счет применения распределенной по всему миру серверной сети с переадресацией на десятки (а в некоторых случаях и сотни) узлов. Использовать возможности такой сети может каждый, кто скачает браузер Tor и установит его на компьютер или мобильное устройство.
📌В России запретили анонимное общение в мессенджерах
📝В России с 5 мая вступили в силу правила идентификации пользователей мессенджеров. Теперь, чтобы пользоваться сервисом, надо подтвердить номер телефона. Для этого мессенджер будет направлять сотовому оператору запрос, чтобы узнать, есть ли абонент в базе данных. На ответ у оператора будет до 20 минут.
📝Если процедура идентификации прошла успешно, в базу данных сотовых операторов внесут информацию о том, в каком именно приложении переписывается их клиент. Мессенджер также присвоит пользователю уникальный код. Если телефонного номера в базе сотового оператора нет, мессенджер должен запретить пользователю отправлять сообщения.
📝Представители так называемой "большой четверки" мобильных операторов – МТС, "Билайн", "Мегафон", Tele2 – уже заявили, что готовы исполнять новые требования. Представители Facebook Messenger, Whats App, Instagram и Viber ситуацию пока не комментируют.
📝Новые правила идентификации пользователей мессенджеров в конце прошлого года ввёл глава правительства Дмитрий Медведев. Перед этим российские власти пытались заблокировать мессенджер Telegram, заявляя в том числе о террористической угрозе со стороны сервисов.
📝В России с 5 мая вступили в силу правила идентификации пользователей мессенджеров. Теперь, чтобы пользоваться сервисом, надо подтвердить номер телефона. Для этого мессенджер будет направлять сотовому оператору запрос, чтобы узнать, есть ли абонент в базе данных. На ответ у оператора будет до 20 минут.
📝Если процедура идентификации прошла успешно, в базу данных сотовых операторов внесут информацию о том, в каком именно приложении переписывается их клиент. Мессенджер также присвоит пользователю уникальный код. Если телефонного номера в базе сотового оператора нет, мессенджер должен запретить пользователю отправлять сообщения.
📝Представители так называемой "большой четверки" мобильных операторов – МТС, "Билайн", "Мегафон", Tele2 – уже заявили, что готовы исполнять новые требования. Представители Facebook Messenger, Whats App, Instagram и Viber ситуацию пока не комментируют.
📝Новые правила идентификации пользователей мессенджеров в конце прошлого года ввёл глава правительства Дмитрий Медведев. Перед этим российские власти пытались заблокировать мессенджер Telegram, заявляя в том числе о террористической угрозе со стороны сервисов.
📌Великобритания может отложить развертывание сетей 5G из соображений безопасности
📝Власти Великобритании могут приостановить развертывание сетей 5G в случае, если будут наложены ограничения на использование оборудования китайской компании Huawei. Об этом сообщил глава Министерства по делам цифровых технологий, культуры, СМИ и спорта Великобритании Джереми Райт (Jeremy Wright).
📝«Существует вероятность отсрочки в процессе развертывания 5G … Если вы хотите запустить 5G быстрее, вы делаете это без учета безопасности. Мы не готовы это сделать, поэтому я не исключаю вероятность некоторой отсрочки», - заявил Райт на заседании парламентского комитета.
📝Правительство Великобритании оценивает возможный ответ на кампанию США, призвавших другие страны отказаться от использования технологий Huawei из-за опасений в связи с возможным сотрудничеством производителя со спецслужбами КНР, пишет Bloomberg. Окончательное решение будет принято по итогам собственного исследования цепочки поставок телекоммуникационного оборудования.
📝По данным агентства, Великобритания намерена ужесточить правила работы Huawei в стране, не прибегая к прямому запрету. По словам Райта, основным фактором в принятии решения станет то, сможет ли Великобритания устранить возможные риски, связанные с использованием оборудования китайской компании. Если устранить риски будет невозможно, министр не исключил, что страна может последовать примеру Австралии и запретить участие Huawei в развертывании сетей 5G.
📝Напомним, ранее Великобритания раскритиковала подход Huawei к разработке программного обеспечения. Как указывалось в отчете Наблюдательного совета Национального центра кибербезопасности, компания не совершенствует свои устройства и технологии.
📝Власти Великобритании могут приостановить развертывание сетей 5G в случае, если будут наложены ограничения на использование оборудования китайской компании Huawei. Об этом сообщил глава Министерства по делам цифровых технологий, культуры, СМИ и спорта Великобритании Джереми Райт (Jeremy Wright).
📝«Существует вероятность отсрочки в процессе развертывания 5G … Если вы хотите запустить 5G быстрее, вы делаете это без учета безопасности. Мы не готовы это сделать, поэтому я не исключаю вероятность некоторой отсрочки», - заявил Райт на заседании парламентского комитета.
📝Правительство Великобритании оценивает возможный ответ на кампанию США, призвавших другие страны отказаться от использования технологий Huawei из-за опасений в связи с возможным сотрудничеством производителя со спецслужбами КНР, пишет Bloomberg. Окончательное решение будет принято по итогам собственного исследования цепочки поставок телекоммуникационного оборудования.
📝По данным агентства, Великобритания намерена ужесточить правила работы Huawei в стране, не прибегая к прямому запрету. По словам Райта, основным фактором в принятии решения станет то, сможет ли Великобритания устранить возможные риски, связанные с использованием оборудования китайской компании. Если устранить риски будет невозможно, министр не исключил, что страна может последовать примеру Австралии и запретить участие Huawei в развертывании сетей 5G.
📝Напомним, ранее Великобритания раскритиковала подход Huawei к разработке программного обеспечения. Как указывалось в отчете Наблюдательного совета Национального центра кибербезопасности, компания не совершенствует свои устройства и технологии.
📌Представлен способ отслеживания курсора мыши с помощью HTML и CSS
📝Исследователь в области безопасности Дэви Вибирал (Davy Wybiral) продемонстрировал новый метод, с помощью которого сайты могут отслеживать перемещение курсора мыши посетителей, используя исключительно HTML и CSS. Более того, данный метод позволяет обойти все известные технологии защиты от отслеживания.
📝На сегодняшний день большинство методов отслеживания задействуют код JavaScript, загружаемый на сайты или встраиваемый в рекламные объявления. Таким образом сайты и рекламные компании могут отслеживать, какие ресурсы посещают пользователи, и другое их поведение в Сети. Защититься от подобных скриптов можно с помощью блокировщиков рекламы или специальных программ и расширений для браузеров.
📝Однако Вибирал нашел способ, позволяющий отслеживать перемещение курсора мыши на интернет-странице без использования JavaScript. Для данной цели применяется только HTML и CSS, что значительно затрудняет блокирование такого метода отслеживания.
📝Новый метод предполагает создание сетки из DIV, в которых применяется CSS псевдокласс :hover. Данный псевдокласс подставляет новое фоновое изображение всякий раз, когда пользователь наводит курсор мыши на блок в сетке. Поскольку запрос изображения осуществляется в фоновом режиме, браузер не отображает данную информацию и таким образом все запросы проходят незаметно для пользователя.
📝Как отметил исследователь, подобный подход работает и в браузере Tor с отключенным JavaScript. Вибирал опубликовал видео с демонстрацией новой технологии (ниже), а также разместил на GitHub PoC-код.
📝Исследователь в области безопасности Дэви Вибирал (Davy Wybiral) продемонстрировал новый метод, с помощью которого сайты могут отслеживать перемещение курсора мыши посетителей, используя исключительно HTML и CSS. Более того, данный метод позволяет обойти все известные технологии защиты от отслеживания.
📝На сегодняшний день большинство методов отслеживания задействуют код JavaScript, загружаемый на сайты или встраиваемый в рекламные объявления. Таким образом сайты и рекламные компании могут отслеживать, какие ресурсы посещают пользователи, и другое их поведение в Сети. Защититься от подобных скриптов можно с помощью блокировщиков рекламы или специальных программ и расширений для браузеров.
📝Однако Вибирал нашел способ, позволяющий отслеживать перемещение курсора мыши на интернет-странице без использования JavaScript. Для данной цели применяется только HTML и CSS, что значительно затрудняет блокирование такого метода отслеживания.
📝Новый метод предполагает создание сетки из DIV, в которых применяется CSS псевдокласс :hover. Данный псевдокласс подставляет новое фоновое изображение всякий раз, когда пользователь наводит курсор мыши на блок в сетке. Поскольку запрос изображения осуществляется в фоновом режиме, браузер не отображает данную информацию и таким образом все запросы проходят незаметно для пользователя.
📝Как отметил исследователь, подобный подход работает и в браузере Tor с отключенным JavaScript. Вибирал опубликовал видео с демонстрацией новой технологии (ниже), а также разместил на GitHub PoC-код.
📌
📝Киберпреступная группировка, предположительно российского происхождения, выставила на продажу информацию, похищенную у трех американских производителей антивирусного ПО. Речь идет о группировке под названием Fxmsp, долгое время специализирующейся на продаже подлинных корпоративных данных. Как сообщает ИБ-компания Advanced Intelligence (AdvIntel), нелегальный бизнес принес киберпреступникам порядка $1 млн.
📝Fxmsp существует с 2017 года и хорошо известна на киберпреступных форумах. По данным AdvIntel, в группировку входят русско- и англоговорящие хакеры. Главной целью киберпреступников являются правительственные учреждения по всему миру, у которых они похищают конфиденциальную информацию. Продажа похищенных данных осуществляется через надежную сеть доверенных посредников.
📝Как правило, Fxmsp проникает в корпоративные сети через доступные извне серверы RDP и незащищенные активные каталоги (active directory). Кроме того, киберпреступники создали ботнет, способный выуживать у жертв нужные учетные данные.
📝В марте 2019 года Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов, Искусственного интеллекта и плагинов безопасности. За предоставление доступа к корпоративным сетям и похищенную информацию группировка просит более $300 тыс.
📝Киберпреступники не сообщают названия скомпрометированных компаний, но предоставляют индикаторы для их идентификации. Fxmsp также предлагает «скриншоты папок с 30 терабайтами данных, предположительно извлеченных из корпоративных сетей». В папках содержится документация по разработке, модели искусственного интеллекта, решения для обеспечения безопасности в Сети, а также код антивирусного ПО.
📝Киберпреступная группировка, предположительно российского происхождения, выставила на продажу информацию, похищенную у трех американских производителей антивирусного ПО. Речь идет о группировке под названием Fxmsp, долгое время специализирующейся на продаже подлинных корпоративных данных. Как сообщает ИБ-компания Advanced Intelligence (AdvIntel), нелегальный бизнес принес киберпреступникам порядка $1 млн.
📝Fxmsp существует с 2017 года и хорошо известна на киберпреступных форумах. По данным AdvIntel, в группировку входят русско- и англоговорящие хакеры. Главной целью киберпреступников являются правительственные учреждения по всему миру, у которых они похищают конфиденциальную информацию. Продажа похищенных данных осуществляется через надежную сеть доверенных посредников.
📝Как правило, Fxmsp проникает в корпоративные сети через доступные извне серверы RDP и незащищенные активные каталоги (active directory). Кроме того, киберпреступники создали ботнет, способный выуживать у жертв нужные учетные данные.
📝В марте 2019 года Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов, Искусственного интеллекта и плагинов безопасности. За предоставление доступа к корпоративным сетям и похищенную информацию группировка просит более $300 тыс.
📝Киберпреступники не сообщают названия скомпрометированных компаний, но предоставляют индикаторы для их идентификации. Fxmsp также предлагает «скриншоты папок с 30 терабайтами данных, предположительно извлеченных из корпоративных сетей». В папках содержится документация по разработке, модели искусственного интеллекта, решения для обеспечения безопасности в Сети, а также код антивирусного ПО.
📌Обнародован план работы центра управления автономным Рунетом
📝Правительство РФ опубликовало план работы Центра мониторинга и управления сетью связи общего пользования, который будет обеспечивать работу российского сегмента Интернета в изолированном режиме в случае внешних угроз. В постановлении также прописаны правила, по которым будет выделяться финансирование на создание и функционирование структуры. Документ размещен на портале правовой информации.
📝Согласно плану, в задачи центра войдут анализ интернет-маршрутов, по которым распространяется информация, разработка программно-аппаратных средств, обеспечивающих мониторинг и управление Рунетом, управление устройствами для защиты Рунета от угроз и блокировки запрещенных сайтов, а также запуск системы фильтрации интернет-трафика при использовании информационных ресурсов детьми.
📝Документ ориентирован на 2019 - 2024 годы. В ближайшие три года на создание центра предлагается выделить 1,8 млрд рублей. До 2022 года почти всю работу по созданию программных и аппаратных продуктов будут выполнять подрядчики. Сам центр будет насчитывать не более 70 сотрудников с заработной платой, не превышающей среднюю по Москве.
📝1 мая нынешнего года президент РФ Владимир Путин подписал так называемый закон об изоляции Рунета, призванный обеспечить стабильную работу российского сегмента интернета в случае отключения от всемирной Сети или скоординированных атак. Закон вступит в силу с 1 ноября 2019 года, за исключением ряда положений, в частности о криптографической защите и национальной системе доменных имен, которые начнут действовать с 1 января 2021 года.
📝Правительство РФ опубликовало план работы Центра мониторинга и управления сетью связи общего пользования, который будет обеспечивать работу российского сегмента Интернета в изолированном режиме в случае внешних угроз. В постановлении также прописаны правила, по которым будет выделяться финансирование на создание и функционирование структуры. Документ размещен на портале правовой информации.
📝Согласно плану, в задачи центра войдут анализ интернет-маршрутов, по которым распространяется информация, разработка программно-аппаратных средств, обеспечивающих мониторинг и управление Рунетом, управление устройствами для защиты Рунета от угроз и блокировки запрещенных сайтов, а также запуск системы фильтрации интернет-трафика при использовании информационных ресурсов детьми.
📝Документ ориентирован на 2019 - 2024 годы. В ближайшие три года на создание центра предлагается выделить 1,8 млрд рублей. До 2022 года почти всю работу по созданию программных и аппаратных продуктов будут выполнять подрядчики. Сам центр будет насчитывать не более 70 сотрудников с заработной платой, не превышающей среднюю по Москве.
📝1 мая нынешнего года президент РФ Владимир Путин подписал так называемый закон об изоляции Рунета, призванный обеспечить стабильную работу российского сегмента интернета в случае отключения от всемирной Сети или скоординированных атак. Закон вступит в силу с 1 ноября 2019 года, за исключением ряда положений, в частности о криптографической защите и национальной системе доменных имен, которые начнут действовать с 1 января 2021 года.
📌Обзор инцидентов безопасности за период с 6 по 12 мая 2019 года
📝Эксперты ESET рассказали о новом бэкдоре в арсенале APT-группы Turla, специально созданном для атак на серверы Microsoft Exchange. Вредоносная программа под названием LightNeuron работает как агент пересылки сообщений, позволяя операторам контролировать все данные, проходящие через инфицированный почтовый сервер. Злоумышленники могут не только перехватывать, но также отправлять, переадресовывать, блокировать и редактировать письма.
📝На минувшей неделе одна из пяти крупнейших криптовалютных бирж мира Binance сообщила о «масштабном взломе», в результате которого неизвестные злоумышленники похитили более 7 тыс. биткойнов (порядка $41 млн) из «горячего» кошелька сервиса, используемого для нескольких аккаунтов. По словам представителей биржи, для доступа к аккаунтам пользователей злоумышленники использовали различные техники, включая «фишинг, вредоносное ПО и прочие атаки».
📝Исследователи из компании Symantec опубликовали доклад, согласно которому группировка Buckeye (она же APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе. Группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года). Экспертам не удалось выяснить, как группировке удалось получить доступ к инструментам.
📝Армия обороны Израиля (АОИ) пресекла кибератаку со стороны палестинской организации ХАМАС с помощью ракетного удара по зданию в секторе Газа. Реакция Израиля является первым случаем в истории, когда страна ответила военными действиями на хакерскую атаку во время активного конфликта. Власти не сообщили, какую именно цель преследовали атакующие, однако, по словам представителя вооруженных сил, атака была направлена на нанесение «ущерба качеству жизни израильских граждан».
📝В Сети в открытом доступе обнаружена база данных «умного» города, содержащая гигабайты информации, в том числе изображения сотен людей, собранных системой распознавания лиц в течение нескольких месяцев. БД принадлежала китайскому технологическому гиганту Alibaba, который оперативно отключил доступ к ней после сообщения о проблеме.
📝Эксперты ESET рассказали о новом бэкдоре в арсенале APT-группы Turla, специально созданном для атак на серверы Microsoft Exchange. Вредоносная программа под названием LightNeuron работает как агент пересылки сообщений, позволяя операторам контролировать все данные, проходящие через инфицированный почтовый сервер. Злоумышленники могут не только перехватывать, но также отправлять, переадресовывать, блокировать и редактировать письма.
📝На минувшей неделе одна из пяти крупнейших криптовалютных бирж мира Binance сообщила о «масштабном взломе», в результате которого неизвестные злоумышленники похитили более 7 тыс. биткойнов (порядка $41 млн) из «горячего» кошелька сервиса, используемого для нескольких аккаунтов. По словам представителей биржи, для доступа к аккаунтам пользователей злоумышленники использовали различные техники, включая «фишинг, вредоносное ПО и прочие атаки».
📝Исследователи из компании Symantec опубликовали доклад, согласно которому группировка Buckeye (она же APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе. Группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года). Экспертам не удалось выяснить, как группировке удалось получить доступ к инструментам.
📝Армия обороны Израиля (АОИ) пресекла кибератаку со стороны палестинской организации ХАМАС с помощью ракетного удара по зданию в секторе Газа. Реакция Израиля является первым случаем в истории, когда страна ответила военными действиями на хакерскую атаку во время активного конфликта. Власти не сообщили, какую именно цель преследовали атакующие, однако, по словам представителя вооруженных сил, атака была направлена на нанесение «ущерба качеству жизни израильских граждан».
📝В Сети в открытом доступе обнаружена база данных «умного» города, содержащая гигабайты информации, в том числе изображения сотен людей, собранных системой распознавания лиц в течение нескольких месяцев. БД принадлежала китайскому технологическому гиганту Alibaba, который оперативно отключил доступ к ней после сообщения о проблеме.
📌Версии ядра Linux до 5.0.8 уязвимы к удаленному выполнению кода
📝Дистрибутивы Linux с версией ядра до 5.0.8 уязвимы к неопределенности параллелизма или так называемому «состоянию гонки» (race condition), которое может привести к использованию памяти после высвобождения.
📝Проблема затрагивает реализацию TCP/IP rdstcpkillsock в net/rds/tcp.c и позволяет злоумышленнику вызвать отказ в обслуживании или удаленно выполнить код на уязвимой Linux-машине. Проэксплуатировать уязвимость можно путем отправки уязвимым системам особым образом сконфигурированных TCP-пакетов, способных вызвать ошибки использования памяти после высвобождения. Для осуществления атаки ни авторизация, ни участие пользователя не требуются.
📝Уязвимости присвоен идентификатор CVE-2019-11815 (для Red Hat, Ubuntu, SUSE и Debian). Согласно системе CVSS 3.0, с ее помощью потенциальный злоумышленник может получить доступ ко всем ресурсам, модифицировать любые файлы и блокировать доступ к ресурсам.
📝Патчи для уязвимости были выпущены в течение марта нынешнего года. Проблема исправлена в версии ядра Linux 5.0.8, вышедшей 17 апреля.
📝Дистрибутивы Linux с версией ядра до 5.0.8 уязвимы к неопределенности параллелизма или так называемому «состоянию гонки» (race condition), которое может привести к использованию памяти после высвобождения.
📝Проблема затрагивает реализацию TCP/IP rdstcpkillsock в net/rds/tcp.c и позволяет злоумышленнику вызвать отказ в обслуживании или удаленно выполнить код на уязвимой Linux-машине. Проэксплуатировать уязвимость можно путем отправки уязвимым системам особым образом сконфигурированных TCP-пакетов, способных вызвать ошибки использования памяти после высвобождения. Для осуществления атаки ни авторизация, ни участие пользователя не требуются.
📝Уязвимости присвоен идентификатор CVE-2019-11815 (для Red Hat, Ubuntu, SUSE и Debian). Согласно системе CVSS 3.0, с ее помощью потенциальный злоумышленник может получить доступ ко всем ресурсам, модифицировать любые файлы и блокировать доступ к ресурсам.
📝Патчи для уязвимости были выпущены в течение марта нынешнего года. Проблема исправлена в версии ядра Linux 5.0.8, вышедшей 17 апреля.
📌Европол обезвредил операторов банковского трояна GozNym
📝В ходе международной операции Европол при содействии правоохранительных органов Болгарии, Германии, Украины, Молдовы и других стран ликвидировал крупную киберпреступную группировку, стоящую за распространением банковского трояна GozNym, с помощью которого злоумышленники пытались похитить порядка $100 млн у более чем 40 тыс. компаний по всему миру.
📝Вредоносное ПО GozNym разработано на основе банковскго трояна Gozi ISFB, впервые замеченного в 2012 году, и загрузчика Nymaim, который также может функционировать как программа-вымогатель.
📝Согласно сообщению полицейского ведомства, власти США предъявили обвинения десятерым участникам преступной сети, пять из них были арестованы в Болгарии, Грузии, Украине и Молдове. Еще пятеро членов группировки, являющиеся гражданами РФ, находятся в бегах, в том числе создатель GozNym, который занимался разработкой, управлением и сдачей трояна в аренду. По данным ФБР, в настоящее время подозреваемые находятся в России.
По информации ведомства, участники группировки заражали компьютеры жертв трояном и с его помощью похищали банковские учетные данные, крали денежные средства и отмывали их, используя счета в американских и иностранных банках.
📝Группировка рекламировала свои услуги на различных русскоязычных хакерских форумах, именно на них руководитель группировки, под контролем которого находилось более чем 41 тыс. зараженных компьютеров, вербовал «сотрудников». Лидеру группы и его помощнику предъявлены обвинения в Грузии.
📝В ходе международной операции Европол при содействии правоохранительных органов Болгарии, Германии, Украины, Молдовы и других стран ликвидировал крупную киберпреступную группировку, стоящую за распространением банковского трояна GozNym, с помощью которого злоумышленники пытались похитить порядка $100 млн у более чем 40 тыс. компаний по всему миру.
📝Вредоносное ПО GozNym разработано на основе банковскго трояна Gozi ISFB, впервые замеченного в 2012 году, и загрузчика Nymaim, который также может функционировать как программа-вымогатель.
📝Согласно сообщению полицейского ведомства, власти США предъявили обвинения десятерым участникам преступной сети, пять из них были арестованы в Болгарии, Грузии, Украине и Молдове. Еще пятеро членов группировки, являющиеся гражданами РФ, находятся в бегах, в том числе создатель GozNym, который занимался разработкой, управлением и сдачей трояна в аренду. По данным ФБР, в настоящее время подозреваемые находятся в России.
По информации ведомства, участники группировки заражали компьютеры жертв трояном и с его помощью похищали банковские учетные данные, крали денежные средства и отмывали их, используя счета в американских и иностранных банках.
📝Группировка рекламировала свои услуги на различных русскоязычных хакерских форумах, именно на них руководитель группировки, под контролем которого находилось более чем 41 тыс. зараженных компьютеров, вербовал «сотрудников». Лидеру группы и его помощнику предъявлены обвинения в Грузии.
📌Microsoft выпустила патч для защиты от атак наподобие WannaCry
📝Компания Microsoft выпустила обновление для устаревших версий ОС Windows (Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008), устраняющий уязвимость, предоставляющую возможность осуществить атаки наподобие эпидемии WannaCry, в 2017 году поразившей сотни тысяч компьютеров по всему миру.
📝Баг (CVE-2019-0708) затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). В компании подчеркнули, что собственно протокол Remote Desktop Protocol (RDP) уязвимости не подвержен.
📝«Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году», -пояснил сотрудник центра реагирования на киберугрозы Microsoft Саймон Поуп (Simon Pope). Он также добавил, что пока компания не фиксировала случаи эксплуатации уязвимости, но это всего лишь вопрос времени.
📝Патч представлен в составе майского пакета обновлений, устраняющего в общей сложности 79 уязвимостей в различных продуктах компании. Пакет включает в том числепатчдля уязвимости повышения привилегий (CVE-2019-0863) в Службе регистрации ошибок Windows (Windows Error Reporting, WER), которую уже активно используют преступники, и обновления, предотвращающие эксплуатацию нового классауязвимостейв процессорах Intel.
📝Компания Microsoft выпустила обновление для устаревших версий ОС Windows (Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008), устраняющий уязвимость, предоставляющую возможность осуществить атаки наподобие эпидемии WannaCry, в 2017 году поразившей сотни тысяч компьютеров по всему миру.
📝Баг (CVE-2019-0708) затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). В компании подчеркнули, что собственно протокол Remote Desktop Protocol (RDP) уязвимости не подвержен.
📝«Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году», -пояснил сотрудник центра реагирования на киберугрозы Microsoft Саймон Поуп (Simon Pope). Он также добавил, что пока компания не фиксировала случаи эксплуатации уязвимости, но это всего лишь вопрос времени.
📝Патч представлен в составе майского пакета обновлений, устраняющего в общей сложности 79 уязвимостей в различных продуктах компании. Пакет включает в том числепатчдля уязвимости повышения привилегий (CVE-2019-0863) в Службе регистрации ошибок Windows (Windows Error Reporting, WER), которую уже активно используют преступники, и обновления, предотвращающие эксплуатацию нового классауязвимостейв процессорах Intel.
📌ЕС разработал механизм санкций за кибератаки
📝Совет Европы разработал юридический механизм по введению санкций за кибератаки. Об этом говорится в сообщении, распространенном в пятницу, 17 мая.
«Совет разработал фреймворк, который позволит ЕС ввести ограничительные меры в ответ на кибератаки, представляющие внешнюю угрозу Европейскому Союзу или его государствам-членам, включая кибератаки против третьих государств или международных организаций, где ограничительные меры необходимы для достижения целей общей внешней политики и политики безопасности», - отмечается в сообщении.
📝В частности, документ позволяет ЕС ввести санкции против лиц или организаций, которые несут ответственность за кибератаки, их финансируют или поддерживают оборудованием, а также тех, кто причастен к этим кибератакам другим образом.
📝Под новый режим санкций подпадают атаки, которые:
инициируются или осуществляются с территорий вне Евросоюза;
используют инфраструктуру, расположенную вне ЕС;
производятся лицами или организациями, созданными или действующими за пределами ЕС;
осуществляются при поддержке лиц или организаций, действующих за пределами Евросоюза.
📝Режим также распространяется на попытки кибератак, которые потенциально могли бы нанести значительный ущерб.
📝Ограничительные меры включают запрет на въезд на территорию Евросоюза, замораживание активов физических и юридических лиц, а также запрет для граждан или компаний из ЕС на финансирование подобных лиц и организаций.
📝Совет Европы разработал юридический механизм по введению санкций за кибератаки. Об этом говорится в сообщении, распространенном в пятницу, 17 мая.
«Совет разработал фреймворк, который позволит ЕС ввести ограничительные меры в ответ на кибератаки, представляющие внешнюю угрозу Европейскому Союзу или его государствам-членам, включая кибератаки против третьих государств или международных организаций, где ограничительные меры необходимы для достижения целей общей внешней политики и политики безопасности», - отмечается в сообщении.
📝В частности, документ позволяет ЕС ввести санкции против лиц или организаций, которые несут ответственность за кибератаки, их финансируют или поддерживают оборудованием, а также тех, кто причастен к этим кибератакам другим образом.
📝Под новый режим санкций подпадают атаки, которые:
инициируются или осуществляются с территорий вне Евросоюза;
используют инфраструктуру, расположенную вне ЕС;
производятся лицами или организациями, созданными или действующими за пределами ЕС;
осуществляются при поддержке лиц или организаций, действующих за пределами Евросоюза.
📝Режим также распространяется на попытки кибератак, которые потенциально могли бы нанести значительный ущерб.
📝Ограничительные меры включают запрет на въезд на территорию Евросоюза, замораживание активов физических и юридических лиц, а также запрет для граждан или компаний из ЕС на финансирование подобных лиц и организаций.
📌Google начала отслеживать 0Day-уязвимости, активно эксплуатируемые злоумышленниками.
📝Команда Google Project Zero запустила проект под названием 0Day ‘In the Wild’, который позволит отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
По сути, речь идет о списке, включающем уязвимости нулевого дня. В настоящее время в нем насчитывается более сотни багов, эксплуатируемых в реальных атаках с 2014 года. Таблица содержит ряд разделов, в которых указаны идентификатор CVE уязвимости, производитель затронутого программного или аппаратного обеспечения, собственно уязвимый продукт, тип уязвимости, ее краткое описание, дата обнаружения, дата выхода патча, ссылки на официальное предупреждение и отчет об уязвимости, а также данные, кем эксплуатируется баг.
📝На данный момент перечень содержит информацию об уязвимостях, затрагивающих решения от ряда компаний, в том числе Facebook, Microsoft, Google, Apple, Adobe, Mozilla, Cisco, Oracle, IBM и Ghostscript, а также данные, какими 📝киберпреступными группировками использовалась та или иная уязвимость (APT3, FruityArmor, ScarCruft (APT37), BlackOasis, APT28 (Fancy Bear, Sofacy), Equation Group, AdGholas, APT31, Sandworm, Animal Farm и пр.).
Как отмечается, проект не распространяется на все уязвимости нулевого дня, а только на баги, охватываемые исследованиями команды Project Zero. Кроме того, проект не включает уязвимости в продуктах, срок поддержки которых был прекращен к тому времени, как был обнаружен баг, или проблемы, эксплуатировавшиеся в период, когда о них уже было известно, но патч еще не был выпущен.
📝«Данные собираются из открытых источников. Информация не новая, но нам кажется, что объединить ее в одном месте будет полезно», - отметил участник Project Zero Бен Хоукс (Ben Hawkes).
📝Как показывают собранные данные, в среднем экспоиты для уязвимостей нулевого дня выявляются каждые 17 дней, а исправление активно эксплуатируемых багов занимает у вендоров 15 дней. Также оказалось, что источником примерно 60% проблем являются уязвимости повреждения памяти.
📝Команда Google Project Zero запустила проект под названием 0Day ‘In the Wild’, который позволит отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
По сути, речь идет о списке, включающем уязвимости нулевого дня. В настоящее время в нем насчитывается более сотни багов, эксплуатируемых в реальных атаках с 2014 года. Таблица содержит ряд разделов, в которых указаны идентификатор CVE уязвимости, производитель затронутого программного или аппаратного обеспечения, собственно уязвимый продукт, тип уязвимости, ее краткое описание, дата обнаружения, дата выхода патча, ссылки на официальное предупреждение и отчет об уязвимости, а также данные, кем эксплуатируется баг.
📝На данный момент перечень содержит информацию об уязвимостях, затрагивающих решения от ряда компаний, в том числе Facebook, Microsoft, Google, Apple, Adobe, Mozilla, Cisco, Oracle, IBM и Ghostscript, а также данные, какими 📝киберпреступными группировками использовалась та или иная уязвимость (APT3, FruityArmor, ScarCruft (APT37), BlackOasis, APT28 (Fancy Bear, Sofacy), Equation Group, AdGholas, APT31, Sandworm, Animal Farm и пр.).
Как отмечается, проект не распространяется на все уязвимости нулевого дня, а только на баги, охватываемые исследованиями команды Project Zero. Кроме того, проект не включает уязвимости в продуктах, срок поддержки которых был прекращен к тому времени, как был обнаружен баг, или проблемы, эксплуатировавшиеся в период, когда о них уже было известно, но патч еще не был выпущен.
📝«Данные собираются из открытых источников. Информация не новая, но нам кажется, что объединить ее в одном месте будет полезно», - отметил участник Project Zero Бен Хоукс (Ben Hawkes).
📝Как показывают собранные данные, в среднем экспоиты для уязвимостей нулевого дня выявляются каждые 17 дней, а исправление активно эксплуатируемых багов занимает у вендоров 15 дней. Также оказалось, что источником примерно 60% проблем являются уязвимости повреждения памяти.
📌Пользователи антивирусов Sophos столкнулись с проблемами после установки майских обновлений для Windows
📝У пользователей решений безопасности Sophos могут возникнуть проблемы с установкой майских плановых обновлений для Windows. Как сообщает Sophos, в процессе установки обновлений система может «зависать» на экране установки обновлений. Проблема затрагивает компьютеры под управлением Windows 7 и Windows 8.1 с установленными решениями безопасности Sophos Endpoint Security and Control и Sophos Central Endpoint Standard/Advanced.
📝По данным антивирусной компании, проблему вызывают бюллетени KB4499164 («2019-05 Security Monthly Quality Rollup for Windows 7») и KB4499165 («2019-05 Security Only Quality Update for Windows 8.1 and Windows Server 2012 R2»), выпущенные Microsoft 14 мая 2019 года. Согласно уведомлению Sophos, проблема была выявлена на Windows 7 и Windows Server 2008 R2, однако теоретически она также может затрагивать Windows 8.1 и Windows Server 2012 R2.
📝Столкнувшимся с неполадками пользователям Sophos рекомендует удалить обновления в безопасном режиме, после чего система должна снова заработать. В случае возникновения трудностей с удалением обновлений в безопасном режиме пользователи могут отключить антивирусный продукт и затем попытаться снова.
📝У пользователей решений безопасности Sophos могут возникнуть проблемы с установкой майских плановых обновлений для Windows. Как сообщает Sophos, в процессе установки обновлений система может «зависать» на экране установки обновлений. Проблема затрагивает компьютеры под управлением Windows 7 и Windows 8.1 с установленными решениями безопасности Sophos Endpoint Security and Control и Sophos Central Endpoint Standard/Advanced.
📝По данным антивирусной компании, проблему вызывают бюллетени KB4499164 («2019-05 Security Monthly Quality Rollup for Windows 7») и KB4499165 («2019-05 Security Only Quality Update for Windows 8.1 and Windows Server 2012 R2»), выпущенные Microsoft 14 мая 2019 года. Согласно уведомлению Sophos, проблема была выявлена на Windows 7 и Windows Server 2008 R2, однако теоретически она также может затрагивать Windows 8.1 и Windows Server 2012 R2.
📝Столкнувшимся с неполадками пользователям Sophos рекомендует удалить обновления в безопасном режиме, после чего система должна снова заработать. В случае возникновения трудностей с удалением обновлений в безопасном режиме пользователи могут отключить антивирусный продукт и затем попытаться снова.
📌Госдума сформирует рабочую группу по защите персональных данных
Председатель Госдумы Вячеслав Володин во вторник, 21 мая, поручил создать рабочую группу по защите персональных данных россиян. Руководство рабочей группой Володин предложил поручить зампреду ГД Петру Толстому. Об этом сообщается на сайте Госдумы.
📝«В ситуации, когда цифровая экономика развивается, есть предложение создать рабочую группу … В эту рабочую группы мы могли бы пригласить представителей правительства … экспертов, членов Совета Федерации, представителей профильных комитетов», - сказал спикер, комментируя выступление парламентария на тему защиты персональных данных. Присутствующие в зале депутаты инициативу поддержали.
На пленарном заседании во вторник Петр Толстой напомнил, что недавно в открытый доступ попали личные данные миллионов россиян. По его словам, сначала утекает информация, а потом собственность и деньги с электронных счетов.
«Речь идет о персональных данных, которые вытекли за пределы восьми государственных систем. Это не сворованные хакерами данные, это системы реестра Минфина, Минюста, Минтруда, электронные торговые площадки. Это говорит об отсутствии защиты этих данных, и, в принципе, большая часть информации — она находится в открытом доступе, ее надо найти, систематизировать и использовать», — сказал он.
📝Петр Толстой напомнил, что в РФ есть проект «Цифровая экономика», который предусматривает адекватную защиту прав граждан. По его мнению, сбор всей информации о человеке под одним файлом противоречит закону о персональных данных и является крайне опасной идеей.
📝Предполагается, что первые предложения по решению указанной проблемы рабочая группа предоставит через месяц. В состав новой структуры должны войти депутаты из комитетов по информационным технологиям, финансовому рынку и промышленности.
Председатель Госдумы Вячеслав Володин во вторник, 21 мая, поручил создать рабочую группу по защите персональных данных россиян. Руководство рабочей группой Володин предложил поручить зампреду ГД Петру Толстому. Об этом сообщается на сайте Госдумы.
📝«В ситуации, когда цифровая экономика развивается, есть предложение создать рабочую группу … В эту рабочую группы мы могли бы пригласить представителей правительства … экспертов, членов Совета Федерации, представителей профильных комитетов», - сказал спикер, комментируя выступление парламентария на тему защиты персональных данных. Присутствующие в зале депутаты инициативу поддержали.
На пленарном заседании во вторник Петр Толстой напомнил, что недавно в открытый доступ попали личные данные миллионов россиян. По его словам, сначала утекает информация, а потом собственность и деньги с электронных счетов.
«Речь идет о персональных данных, которые вытекли за пределы восьми государственных систем. Это не сворованные хакерами данные, это системы реестра Минфина, Минюста, Минтруда, электронные торговые площадки. Это говорит об отсутствии защиты этих данных, и, в принципе, большая часть информации — она находится в открытом доступе, ее надо найти, систематизировать и использовать», — сказал он.
📝Петр Толстой напомнил, что в РФ есть проект «Цифровая экономика», который предусматривает адекватную защиту прав граждан. По его мнению, сбор всей информации о человеке под одним файлом противоречит закону о персональных данных и является крайне опасной идеей.
📝Предполагается, что первые предложения по решению указанной проблемы рабочая группа предоставит через месяц. В состав новой структуры должны войти депутаты из комитетов по информационным технологиям, финансовому рынку и промышленности.