У меня есть команда, с которой мы проверяем границы конфиденциальности компаний и частных лиц. Подробнее можно прочитать тут в Telegram, на Хабре, в VK или на нашем официальном сайте.
Я регулярно публикую открытые вакансии!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤38🤯4🤡3👍2🫡2🎉1
Если ты думаешь, что Netflix - это только развлекательная компания, которая снимает и показывает сериалы, то ты несколько ошибаешься. Работа Netflix напрямую зависит от вопросов защиты информации, поскольку без браузеров и мобильных платформ компания просто не смогла бы предоставлять свои услуги. Так что, прокастинируя с очередным сериалом, не забывай про безопасность. Тем более,что компания сама напоминает о ней.
Недавно Netflix опубликовала отчёт (https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md), в котором указала на уязвимости, обнаруженные в протоколе HTTP/2. Что же такого нарыли сериальщики в самом распространённом сетевом протоколе?
Оказывается, что злоумышленнику достаточно просто подключиться к серверу по протоколу HTTP/2 и начать посылать запросы, принципиально не отвечая на предыдущий ответ сервера.
В силу того, что HTTP/2 использует мультиплексирование запросов посредством транспортного протокола TCP, клиенту нужно открыть сразу несколько потоков, по которым такой "разговор"и будет осуществляться. И поскольку TCP должен обеспечивать передачу данных без потерь, бедняга-сервер, следуя требованиям, будет вынужден хранить целую очередь ответов, которая, разрастаясь, займёт всё предоставленное и не предоставленное ей пространство. В итоге, сервер либо начнёт просто тормозить, либо совсем перестанет отвечать на запросы, придавленный тяжестью собственных воспоминаний.
Такому типу DoS-атак подвержены Amazon, Apache, Apple, Facebook, Microsoft, Nginx. Ну и вообще, 40% самых популярных интернет-ресурсов. То есть, все, кто пользуется протоколом HTTP/2.
Microsoft, Apple и другие заинтересованные интернет-компании уже заявили, что частично исправили уязвимости в протоколе, ведь протокол - это всего лишь последовательность, в которой клиент и сервер обмениваются сообщениями, а значит, каждый может внести корректировки в логику работы своих сервисов.
А на сегодня у меня всё. Мой друг, наращивая скорость и производительность, не забывай и о безопасности! Иными словами, не гони.
Недавно Netflix опубликовала отчёт (https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md), в котором указала на уязвимости, обнаруженные в протоколе HTTP/2. Что же такого нарыли сериальщики в самом распространённом сетевом протоколе?
Оказывается, что злоумышленнику достаточно просто подключиться к серверу по протоколу HTTP/2 и начать посылать запросы, принципиально не отвечая на предыдущий ответ сервера.
В силу того, что HTTP/2 использует мультиплексирование запросов посредством транспортного протокола TCP, клиенту нужно открыть сразу несколько потоков, по которым такой "разговор"и будет осуществляться. И поскольку TCP должен обеспечивать передачу данных без потерь, бедняга-сервер, следуя требованиям, будет вынужден хранить целую очередь ответов, которая, разрастаясь, займёт всё предоставленное и не предоставленное ей пространство. В итоге, сервер либо начнёт просто тормозить, либо совсем перестанет отвечать на запросы, придавленный тяжестью собственных воспоминаний.
Такому типу DoS-атак подвержены Amazon, Apache, Apple, Facebook, Microsoft, Nginx. Ну и вообще, 40% самых популярных интернет-ресурсов. То есть, все, кто пользуется протоколом HTTP/2.
Microsoft, Apple и другие заинтересованные интернет-компании уже заявили, что частично исправили уязвимости в протоколе, ведь протокол - это всего лишь последовательность, в которой клиент и сервер обмениваются сообщениями, а значит, каждый может внести корректировки в логику работы своих сервисов.
А на сегодня у меня всё. Мой друг, наращивая скорость и производительность, не забывай и о безопасности! Иными словами, не гони.
GitHub
security-bulletins/advisories/third-party/2019-002.md at master · Netflix/security-bulletins
Security Bulletins that relate to Netflix Open Source - Netflix/security-bulletins
❤2🔥2👍1
Всё началось в тот день, когда ребята из Эклипсиум нашли уязвимости в примерно сорока драйверах разных известных производителей. О чём и рассказали в статье Screw Drivers (ссылка https://eclypsium.com/2019/08/10/screwed-drivers-signed-sealed-delivered/).
Суть статьи такова. Ребята выяснили, что с помощью уязвимостей в драйверах злоумышленник может очень здорово повысить свои привилегии в системе. Драйвера бывают очень разные. Кто-то отвечает за видеокарту, кто-то за сетевой адаптер. Выбери нужный драйвер и получишь доступ к передаваемым данным по сети, сможешь писать в память новую информацию, читать уже записанную, контролировать внутренние процессы ядра. В конце концов, ты можешь навязать свои интересы и сам решать, кто сегодня будет тусоваться в элитном клубе.
Ты только что был простым парнем, без прав и привилегий. Но вот, ты попал в святая святых и имеешь всю полноту власти.
Но вопрос банального принципиального механизма перехода с ring 3 на ring 0 не ограничивается простым получением привилегий.
Если ты, мой друг, считаешь себя крутым специалистом (я уверен, что считаешь), то почти наверняка, скажешь мне, что сам по себе вывод из строя ядра системы неинтересен.
Гораздо круче получить доступ в ядро и иметь возможность контролировать внутренние процессы, оставаясь незамеченным!
Выход на уровень нулевого кольца позволяет установить недетектируемый бэкдор. Многие месяцы ты будешь постоянным участником на закрытой вечеринке, и никто не заметит подставы.
Ситуация усугубляется тем, что злоумышленнику даже не нужно устанавливать какой-то особенно сложный вредонос. Достаточно просто проверить, драйверы каких вендоров используются в системе. Далее - подкат от ребят из Эклипсиума и, вуаля, командование ядром переходит в невидимые руки незванного гостя.
На данный момент, производители подлатали дыры в своей защите, выпустили патчи и рекомендации. Казалось бы, вопрос закрыт. Но мы-то знаем, что никогда нельзя быть уверенным на сто процентов...
Мне остаётся сказать лишь о том, что повышать привилегии без спросу нехорошо. А вот свои ядра надо защищать. Сверься со списком вендоров ниже и накати обновления.
American Megatrends International (AMI)
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
Суть статьи такова. Ребята выяснили, что с помощью уязвимостей в драйверах злоумышленник может очень здорово повысить свои привилегии в системе. Драйвера бывают очень разные. Кто-то отвечает за видеокарту, кто-то за сетевой адаптер. Выбери нужный драйвер и получишь доступ к передаваемым данным по сети, сможешь писать в память новую информацию, читать уже записанную, контролировать внутренние процессы ядра. В конце концов, ты можешь навязать свои интересы и сам решать, кто сегодня будет тусоваться в элитном клубе.
Ты только что был простым парнем, без прав и привилегий. Но вот, ты попал в святая святых и имеешь всю полноту власти.
Но вопрос банального принципиального механизма перехода с ring 3 на ring 0 не ограничивается простым получением привилегий.
Если ты, мой друг, считаешь себя крутым специалистом (я уверен, что считаешь), то почти наверняка, скажешь мне, что сам по себе вывод из строя ядра системы неинтересен.
Гораздо круче получить доступ в ядро и иметь возможность контролировать внутренние процессы, оставаясь незамеченным!
Выход на уровень нулевого кольца позволяет установить недетектируемый бэкдор. Многие месяцы ты будешь постоянным участником на закрытой вечеринке, и никто не заметит подставы.
Ситуация усугубляется тем, что злоумышленнику даже не нужно устанавливать какой-то особенно сложный вредонос. Достаточно просто проверить, драйверы каких вендоров используются в системе. Далее - подкат от ребят из Эклипсиума и, вуаля, командование ядром переходит в невидимые руки незванного гостя.
На данный момент, производители подлатали дыры в своей защите, выпустили патчи и рекомендации. Казалось бы, вопрос закрыт. Но мы-то знаем, что никогда нельзя быть уверенным на сто процентов...
Мне остаётся сказать лишь о том, что повышать привилегии без спросу нехорошо. А вот свои ядра надо защищать. Сверься со списком вендоров ниже и накати обновления.
American Megatrends International (AMI)
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
Eclypsium | Supply Chain Security for the Modern Enterprise
Screwed Drivers - Signed, Sealed, Delivered - Eclypsium | Supply Chain Security for the Modern Enterprise
Download the PDF > Common Design Flaw In Dozens of Device Drivers Allows Widespread Windows Compromise Listen in as Eclypsium researchers Jesse Michael and Mickey Shkatov discuss this research, and subsequent developments in a recorded webinar. As part of…
🤔1
Глубокие проблемы дипфейков
С Китайским приложением по замене лиц в видео начали борьбу
Признайся, ты ведь тоже представлял себя на месте героя какого-нибудь крутого боевика, фантазировал, как надираешь пятые точки плохим парням. И ещё чтобы спецэффекты были крутые!
О да, мой друг! Всем нам хочется побывать в шкуре крутых парней.
Некоторым хочется сильно, а некоторые - китайцы. Они создали приложение, которое позволяет заменить любимого персонажа тобой! Надо ли говорить, что Zao (так называется сие творение) приобрело бешеную популярность. В своей основе это приложение использует нейросеть, которая создает фейковые видео, неотличимые от реальных.
Но добро без худа случается редко.
Только успев появиться, Zao мгновенно завирусилось (в позитивном смысле). Китайцы буквально набросились на него, чтобы наконец посмотреть любимые фильмы с самими собой в главной роли.
Zao, как и некоторые другие приложения, позволяющие вытворять что-то с твоим или чужим лицом, использует в своей основе алгоритм генерации дипфейков. Это очень “глубокий”, сложный фейк, который собирает специальная нейросеть. История дипфейков началась совсем недавно, а особую остроту приобрела, когда в декабре 2018 года ребята из Nvidia опубликовали на Github исходный код нейросети, способной прекрасно генерировать лица несуществующих людей, и подкрепили это дело статьёй (https://arxiv.org/pdf/1812.04948.pdf).
С этого момента, механизм создания глубокофейковой реальности стал доступен каждому. Делая фотографии несуществующих людей или, скажем, квартир на сервисах бронирования, интернет начал массово наполнять мир знаниями о том, чего никогда не было.
Теперь вернёмся к Zao. Чтобы попасть на большой экран от тебя требуется всего лишь сделать несколько селфи, на которых ты будешь улыбаться, подмигивать и всячески выделять мимику своего лица.
Потрясающе? Да. Но что если твои фотографии будут отправлены не тобой? Что если некто накачает твои фотки из инстаграма и "снимет" с тобой откровенное видео?
Представь, какой простор открывается для политических интриг? А просто шантажа? Теперь любого можно обвинить вообще в чём угодно и подкрепить обвинение эксклюзивным роликом!
Практически сразу волну роста популярности Zao нагнала вторая - критики и недовольства. Несогласные требуют от разработчиков из компании Momo Inc. (китайский Тиндер) принять меры. Разрабы клянутся, что некоторые меры по защите приватности уже приняты, но в целом, им понадобится время. Лично я с нетерпением жду, что же они сделают.
И вот совсем свежая новость: Facebook, сам неоднократно попадавшийся на сборе приватной информации, предоставил пользователям возможность отключить распознавание их лиц, а также ввёл возможность автоматического оповещения о том, что кто-то использует вашу фоторафию, как свою. Совпадение? Нет, конечно.
Что я могу сказать? Очевидно, что история дипфейков и недовольства вокруг них только начинается. Одновременный рост популярности и недовольства этой технологией говорит лишь о том, что нас ждут очень интересные времена и фильмы.
С Китайским приложением по замене лиц в видео начали борьбу
Признайся, ты ведь тоже представлял себя на месте героя какого-нибудь крутого боевика, фантазировал, как надираешь пятые точки плохим парням. И ещё чтобы спецэффекты были крутые!
О да, мой друг! Всем нам хочется побывать в шкуре крутых парней.
Некоторым хочется сильно, а некоторые - китайцы. Они создали приложение, которое позволяет заменить любимого персонажа тобой! Надо ли говорить, что Zao (так называется сие творение) приобрело бешеную популярность. В своей основе это приложение использует нейросеть, которая создает фейковые видео, неотличимые от реальных.
Но добро без худа случается редко.
Только успев появиться, Zao мгновенно завирусилось (в позитивном смысле). Китайцы буквально набросились на него, чтобы наконец посмотреть любимые фильмы с самими собой в главной роли.
Zao, как и некоторые другие приложения, позволяющие вытворять что-то с твоим или чужим лицом, использует в своей основе алгоритм генерации дипфейков. Это очень “глубокий”, сложный фейк, который собирает специальная нейросеть. История дипфейков началась совсем недавно, а особую остроту приобрела, когда в декабре 2018 года ребята из Nvidia опубликовали на Github исходный код нейросети, способной прекрасно генерировать лица несуществующих людей, и подкрепили это дело статьёй (https://arxiv.org/pdf/1812.04948.pdf).
С этого момента, механизм создания глубокофейковой реальности стал доступен каждому. Делая фотографии несуществующих людей или, скажем, квартир на сервисах бронирования, интернет начал массово наполнять мир знаниями о том, чего никогда не было.
Теперь вернёмся к Zao. Чтобы попасть на большой экран от тебя требуется всего лишь сделать несколько селфи, на которых ты будешь улыбаться, подмигивать и всячески выделять мимику своего лица.
Потрясающе? Да. Но что если твои фотографии будут отправлены не тобой? Что если некто накачает твои фотки из инстаграма и "снимет" с тобой откровенное видео?
Представь, какой простор открывается для политических интриг? А просто шантажа? Теперь любого можно обвинить вообще в чём угодно и подкрепить обвинение эксклюзивным роликом!
Практически сразу волну роста популярности Zao нагнала вторая - критики и недовольства. Несогласные требуют от разработчиков из компании Momo Inc. (китайский Тиндер) принять меры. Разрабы клянутся, что некоторые меры по защите приватности уже приняты, но в целом, им понадобится время. Лично я с нетерпением жду, что же они сделают.
И вот совсем свежая новость: Facebook, сам неоднократно попадавшийся на сборе приватной информации, предоставил пользователям возможность отключить распознавание их лиц, а также ввёл возможность автоматического оповещения о том, что кто-то использует вашу фоторафию, как свою. Совпадение? Нет, конечно.
Что я могу сказать? Очевидно, что история дипфейков и недовольства вокруг них только начинается. Одновременный рост популярности и недовольства этой технологией говорит лишь о том, что нас ждут очень интересные времена и фильмы.
🔥3
Не все рефераты одинаково полезны
Топ “образовательных” вредоносов от Лаборатории Касперского
Возможно ты не в курсе, но я начал увлекаться безопасностью с раннего детства и именно поэтому стал очень крутым специалистом. Я уверен, что и среди моих читателей обязательно есть те, кто недавно начал новый учебный год.
Специально для тебя, мой юный друг, Лаборатория Касперского провела анализ зловредов (https://www.kaspersky.ru/blog/back-to-school-malware-2019/23477/), которых легко подхватить, когда гуглишь учебники и готовые рефераты.
Начнём со статистики.
В общей сложности антивирус Касперского фиксирует более 350 тысяч атак через учебные материалы в год. На первом месте - учебники и рефераты по английскому языку, на втором - математика, а на третьем - литература. То есть теперь можно на полном серьёзе подхватить что-нибудь от Лолиты.
Самым безопасным предметом оказалось естествознание. Но и от него чуть было не пострадали 18 человек! Воистину, многие знания рождают скорбь!
Теперь давай посмотрим на четвёрку самых распространённых заболеваний, которые твой компьютер может подхватить, пока ты пытаешься скачать готовый реферат бесплатно, без смс и без регистрации.
Самым слабеньким, по данным Лаборатории Касперского, оказался загрузчик торрент-приложения MediaGet. Его очень просто заметить: вместо нужного материала попросту скачается торрент-клиент.
Сложнее обнаруживается загрузчик WinLNK.Agent.gen, который не только маскируется под текстовый файлик, но и прячется в архив. После распаковки ты получишь документ с ярлыком реферата. Но как только файлик будет открыт, запустится процесс загрузки вредоноса, который либо начнёт доставать тебя неотключаемой рекламой, либо станет втихаря майнить золотишко на твоём заднем дворе и отсылать его своему хозяину (не тебе).
Занимается майнингом и загрузчик вредоносных программ Win32.Agent.ifdx, который уютно расположился на второй строчке рейтинга. Он вообще внаглую притворяется документом с рефератом. Причём, по факту, это он и есть. Просто параллельно он качает всякую гадость на твой компьютер. Обычно - это майнеры. Но ничто не мешает ему пригласить к тебе в гости и всяческий шпионский малварь, который уведёт твои данные, пароли, счета, семью и собаку.
Ну и как бы напоминая нам, что яблоко познания нередко оказывается червивым, на первом месте прочно закрепился Worm.Win32.Stalk.a.
Как и положено червю, Stalk не просто обживёт твой компьютер под видом готового реферата, но и расползётся по всей доступной ему локальной сети и попытается разослать себя по почте твоим друзьям. Если они такие же школьники или студенты, как ты, то наверняка им будет интересно почитать, что за учебные материалы ты им прислал.
Червь сначала размножится в твоей сети, а затем и в сети учебного заведения, когда ты принесёшь реферат на флешке, чтобы распечатать его.
Да, мой друг, в наше время почти бесплатно знаниями делятся только учителя. Книжный червь Stalk не только пропишется на твоём компе, но и с радостью выкрадет всё, что вообще можно украсть.
Подытоживая рейтинг из трёх загрузчиков и одного червя, Лаборатория Касперского предлагает и список механизмов защиты от них. Сюда входит правило не ходить по сомнительным ссылкам и сайтам, не сильно похожим на учебные, а также совет обновлять операционную систему, поскольку, например, тот же Stalk живёт именно на устаревшем ПО, которое чаще всего и стоит в школах и университетах.
Что же мне остаётся сказать? Старайтесь писать рефераты сами, не доверяйте халяве и докладам по английскому языку.
Топ “образовательных” вредоносов от Лаборатории Касперского
Возможно ты не в курсе, но я начал увлекаться безопасностью с раннего детства и именно поэтому стал очень крутым специалистом. Я уверен, что и среди моих читателей обязательно есть те, кто недавно начал новый учебный год.
Специально для тебя, мой юный друг, Лаборатория Касперского провела анализ зловредов (https://www.kaspersky.ru/blog/back-to-school-malware-2019/23477/), которых легко подхватить, когда гуглишь учебники и готовые рефераты.
Начнём со статистики.
В общей сложности антивирус Касперского фиксирует более 350 тысяч атак через учебные материалы в год. На первом месте - учебники и рефераты по английскому языку, на втором - математика, а на третьем - литература. То есть теперь можно на полном серьёзе подхватить что-нибудь от Лолиты.
Самым безопасным предметом оказалось естествознание. Но и от него чуть было не пострадали 18 человек! Воистину, многие знания рождают скорбь!
Теперь давай посмотрим на четвёрку самых распространённых заболеваний, которые твой компьютер может подхватить, пока ты пытаешься скачать готовый реферат бесплатно, без смс и без регистрации.
Самым слабеньким, по данным Лаборатории Касперского, оказался загрузчик торрент-приложения MediaGet. Его очень просто заметить: вместо нужного материала попросту скачается торрент-клиент.
Сложнее обнаруживается загрузчик WinLNK.Agent.gen, который не только маскируется под текстовый файлик, но и прячется в архив. После распаковки ты получишь документ с ярлыком реферата. Но как только файлик будет открыт, запустится процесс загрузки вредоноса, который либо начнёт доставать тебя неотключаемой рекламой, либо станет втихаря майнить золотишко на твоём заднем дворе и отсылать его своему хозяину (не тебе).
Занимается майнингом и загрузчик вредоносных программ Win32.Agent.ifdx, который уютно расположился на второй строчке рейтинга. Он вообще внаглую притворяется документом с рефератом. Причём, по факту, это он и есть. Просто параллельно он качает всякую гадость на твой компьютер. Обычно - это майнеры. Но ничто не мешает ему пригласить к тебе в гости и всяческий шпионский малварь, который уведёт твои данные, пароли, счета, семью и собаку.
Ну и как бы напоминая нам, что яблоко познания нередко оказывается червивым, на первом месте прочно закрепился Worm.Win32.Stalk.a.
Как и положено червю, Stalk не просто обживёт твой компьютер под видом готового реферата, но и расползётся по всей доступной ему локальной сети и попытается разослать себя по почте твоим друзьям. Если они такие же школьники или студенты, как ты, то наверняка им будет интересно почитать, что за учебные материалы ты им прислал.
Червь сначала размножится в твоей сети, а затем и в сети учебного заведения, когда ты принесёшь реферат на флешке, чтобы распечатать его.
Да, мой друг, в наше время почти бесплатно знаниями делятся только учителя. Книжный червь Stalk не только пропишется на твоём компе, но и с радостью выкрадет всё, что вообще можно украсть.
Подытоживая рейтинг из трёх загрузчиков и одного червя, Лаборатория Касперского предлагает и список механизмов защиты от них. Сюда входит правило не ходить по сомнительным ссылкам и сайтам, не сильно похожим на учебные, а также совет обновлять операционную систему, поскольку, например, тот же Stalk живёт именно на устаревшем ПО, которое чаще всего и стоит в школах и университетах.
Что же мне остаётся сказать? Старайтесь писать рефераты сами, не доверяйте халяве и докладам по английскому языку.
www.kaspersky.ru
Сюрприз для студента: зловреды в учебниках и рефератах
Зловреды притворяются не только играми и сериалами, но и учебными материалами. Рассказываем, какими и как не заразиться.
💯4
Про репутацию, целесообразность и хихикающий отряд в Twitter
Дружище, сегодня я хочу поговорить с тобой о вопросах целесообразности.
Вот скажем, у меня есть два миллиона долларов и я не хочу, чтобы их украли. Тогда я положу их в сейф и буду хранить там. Но стану ли я покупать такой сейф, взломать который можно только с помощью средств, стоящих два или больше миллиона? Конечно нет! Никакой вор не станет тратить два миллиона, чтобы получить два миллиона!
Но есть и обратная ситуация. Представим, что у тебя есть куча денег, которые напрямую связаны с твоей репутацией и репутацией твоей компании. Говоря "куча", я имею в виду очень большое количество денег, несоизмеримое с возможными затратами на их кражу. Теперь подумай, как часто злоумышленники будут пытаться украсть твоё имущество? Думаю, ты и сам уже понял ответ на этот вопрос.
А теперь, история, которая случилась совсем недавно.
Основатель и генеральный директор известной всем нам социальной сети Twitter Джек Дорси, у которого больше четырёх миллионов подписчиков и больше четырёх миллиардов долларов на счетах, заявил, что будет бороться за чистоту соцсетей от унижений, оскорблений, разжиганий ненависити и всего такого. Учитывая то, что сам по себе Дорси серьёзно богат, а Twitter не раз отличался тем, что блокировал "неправильные" по его мнению аккаунты, можно смело утверждать, что злоумышленники только и ждали повода, чтобы подорвать репутацию генерального директора соцсети.
После громких заявлений Джека Дорси в его аккаунте в твиттере стали появляться расистские и нецензурные сообщения, а вишенкой на торте стала запись о том, что нацисты вообще не сделали ничего плохого.
Эти сообщения были замечены в течение двадцати минут и стремительно удалены. Но как мы с тобой знаем, Интеренет ничего не забывает. Принтскрины компрометирующих записей разлетелись по сети и породили цунами шумихи, которое обрушилось на Дорси и его социальную сеть.
В основном недовольство пользователей заключается именно в защите их аккаунтов. Ведь если даже основатель социальной сети не может защитить себя, находясь в своей социальной сети, то где гарантия, что у прочих пользователей не возникнут проблемы с сообщениями, которых они не писали?
Здесь, конечно, стоит оговориться, что в первую очередь под удар могут попасть политики и общественные деятели, вся карьера которых построена на репутации. Вряд ли злоумышленники станут специально ломать аккаунт Васи Пупкина, чтобы подставить его. Принцип целесообразности неумолим.
Теперь немного об атаке. Известно, что в сообщениях, которые сам Джек не писал, использовался хештег #ChucklingSquad (Хихикающий отряд). Эти ребята временами атакуют известных блогеров и каналы на Youtube. Подставные твиты были отправлены через смс-сервис Cloudhopper. Этот сервис изначально являлся самостоятельным и лишь впоследствии был куплен Twitter.
В связи с этим, аналитики выдвигают версии подмены сим-карт или какой-то иной уязвимости, которая возможно содержится в сервисе Cloudhopper.
А что же по этому поводу скажу тебе я? Всё просто. Используй двухфакторную аутентификацию и не ставь на кон собственную репутацию.
Дружище, сегодня я хочу поговорить с тобой о вопросах целесообразности.
Вот скажем, у меня есть два миллиона долларов и я не хочу, чтобы их украли. Тогда я положу их в сейф и буду хранить там. Но стану ли я покупать такой сейф, взломать который можно только с помощью средств, стоящих два или больше миллиона? Конечно нет! Никакой вор не станет тратить два миллиона, чтобы получить два миллиона!
Но есть и обратная ситуация. Представим, что у тебя есть куча денег, которые напрямую связаны с твоей репутацией и репутацией твоей компании. Говоря "куча", я имею в виду очень большое количество денег, несоизмеримое с возможными затратами на их кражу. Теперь подумай, как часто злоумышленники будут пытаться украсть твоё имущество? Думаю, ты и сам уже понял ответ на этот вопрос.
А теперь, история, которая случилась совсем недавно.
Основатель и генеральный директор известной всем нам социальной сети Twitter Джек Дорси, у которого больше четырёх миллионов подписчиков и больше четырёх миллиардов долларов на счетах, заявил, что будет бороться за чистоту соцсетей от унижений, оскорблений, разжиганий ненависити и всего такого. Учитывая то, что сам по себе Дорси серьёзно богат, а Twitter не раз отличался тем, что блокировал "неправильные" по его мнению аккаунты, можно смело утверждать, что злоумышленники только и ждали повода, чтобы подорвать репутацию генерального директора соцсети.
После громких заявлений Джека Дорси в его аккаунте в твиттере стали появляться расистские и нецензурные сообщения, а вишенкой на торте стала запись о том, что нацисты вообще не сделали ничего плохого.
Эти сообщения были замечены в течение двадцати минут и стремительно удалены. Но как мы с тобой знаем, Интеренет ничего не забывает. Принтскрины компрометирующих записей разлетелись по сети и породили цунами шумихи, которое обрушилось на Дорси и его социальную сеть.
В основном недовольство пользователей заключается именно в защите их аккаунтов. Ведь если даже основатель социальной сети не может защитить себя, находясь в своей социальной сети, то где гарантия, что у прочих пользователей не возникнут проблемы с сообщениями, которых они не писали?
Здесь, конечно, стоит оговориться, что в первую очередь под удар могут попасть политики и общественные деятели, вся карьера которых построена на репутации. Вряд ли злоумышленники станут специально ломать аккаунт Васи Пупкина, чтобы подставить его. Принцип целесообразности неумолим.
Теперь немного об атаке. Известно, что в сообщениях, которые сам Джек не писал, использовался хештег #ChucklingSquad (Хихикающий отряд). Эти ребята временами атакуют известных блогеров и каналы на Youtube. Подставные твиты были отправлены через смс-сервис Cloudhopper. Этот сервис изначально являлся самостоятельным и лишь впоследствии был куплен Twitter.
В связи с этим, аналитики выдвигают версии подмены сим-карт или какой-то иной уязвимости, которая возможно содержится в сервисе Cloudhopper.
А что же по этому поводу скажу тебе я? Всё просто. Используй двухфакторную аутентификацию и не ставь на кон собственную репутацию.
🔥3
Про то, как пользователи "Вконтакте" подглядывали друг за другом
Что если бы я предложил тебе пилюлю, которая показала, что у твоих друзей на уме? Стал бы ты ее пить? Я бы нет. Во-первых, уверен, что половину мыслей я бы предпочел не знать, а вторую гораздо приятнее выяснить в процессе общения.
Однако такой выбор делают далеко не все.
Неделю назад в новости просочилась информация про скрипт программиста Даниила Суворова PRNHB для соцсети «Вконтакте». Запуская его, пользователи могли узнать, кто из их друзей сидит на PornHub. Соцсеть и популярный видеохостинг уже 2 года партнеры и не в плане контента. Ресурсы договорились, что будут ограничивать доступ к видео всей тусовки лысого из Brazzers для несовершеннолетних: зайти на сайт можно, только подтвердив свой аккаунт во «Вконтакте», иначе «кина не будет». И хотя соцсеть гарантировала, что не сохраняет действия на сайте с горячими видео, смышленый автор бота нашел замочную скважину для подглядывания. Ещё в мае 2018 года во «ВКонтакте» обнаружили баг, позволяющий просмотреть пользователей приложений. Скрипт просто сопоставлял списки пользователей приложения PornHub и контакт-лист друзей человека, который его запускал.
Стоит сказать, что соцсеть достаточно оперативно прикрыла «лавочку» - закрыла список пользователей приложения с ХХХ-контентом. Хотя первые сбои в работе бота начались задолго до этого. Обновление токенов аутентификации в некоторых случаях «дробила» информацию. Ну а самый серьезный обвал боту организовала публикация TJ ((https://tjournal.ru/internet/114930-kak-minimum-polovina-druzey-bot-vo-vkontakte-pokazyvaet-kto-iz-polzovateley-avtorizovalsya-na-pornhub)) про его супервозможности. Сервер с пропускной способностью до 75 запросов в секунду прилег всерьез и надолго – столько любопытствующих друзей решили поближе познакомиться с сексуальными вкусами своих товарищей. Кстати, сделать этого они не могли, потому что бот информировал только о самом факте работы с приложением.
По некоторым данным, PRNHB продолжил работу и после закрытия доступа к спискам PornHub-юзеров, но менее стабильно.
Сложно понять, зачем это нужно, кроме шантажа, ведь если это твой хороший знакомый – всегда можно спросить, а если дальний - какая разница. Вывод простой – смотри, с кем дружишь и удаляй использованные приложения.
Что если бы я предложил тебе пилюлю, которая показала, что у твоих друзей на уме? Стал бы ты ее пить? Я бы нет. Во-первых, уверен, что половину мыслей я бы предпочел не знать, а вторую гораздо приятнее выяснить в процессе общения.
Однако такой выбор делают далеко не все.
Неделю назад в новости просочилась информация про скрипт программиста Даниила Суворова PRNHB для соцсети «Вконтакте». Запуская его, пользователи могли узнать, кто из их друзей сидит на PornHub. Соцсеть и популярный видеохостинг уже 2 года партнеры и не в плане контента. Ресурсы договорились, что будут ограничивать доступ к видео всей тусовки лысого из Brazzers для несовершеннолетних: зайти на сайт можно, только подтвердив свой аккаунт во «Вконтакте», иначе «кина не будет». И хотя соцсеть гарантировала, что не сохраняет действия на сайте с горячими видео, смышленый автор бота нашел замочную скважину для подглядывания. Ещё в мае 2018 года во «ВКонтакте» обнаружили баг, позволяющий просмотреть пользователей приложений. Скрипт просто сопоставлял списки пользователей приложения PornHub и контакт-лист друзей человека, который его запускал.
Стоит сказать, что соцсеть достаточно оперативно прикрыла «лавочку» - закрыла список пользователей приложения с ХХХ-контентом. Хотя первые сбои в работе бота начались задолго до этого. Обновление токенов аутентификации в некоторых случаях «дробила» информацию. Ну а самый серьезный обвал боту организовала публикация TJ ((https://tjournal.ru/internet/114930-kak-minimum-polovina-druzey-bot-vo-vkontakte-pokazyvaet-kto-iz-polzovateley-avtorizovalsya-na-pornhub)) про его супервозможности. Сервер с пропускной способностью до 75 запросов в секунду прилег всерьез и надолго – столько любопытствующих друзей решили поближе познакомиться с сексуальными вкусами своих товарищей. Кстати, сделать этого они не могли, потому что бот информировал только о самом факте работы с приложением.
По некоторым данным, PRNHB продолжил работу и после закрытия доступа к спискам PornHub-юзеров, но менее стабильно.
Сложно понять, зачем это нужно, кроме шантажа, ведь если это твой хороший знакомый – всегда можно спросить, а если дальний - какая разница. Вывод простой – смотри, с кем дружишь и удаляй использованные приложения.
TJ
Как минимум половина друзей: бот во «ВКонтакте» показывает, кто из пользователей авторизовался на Pornhub — Интернет на TJ
В личные сообщения приходит список из ссылок на страницы друзей, что недавно заходили на порносайт.
🔥1
Непотопляемая Википедия пережила DDOS
Привет, мой смышлённый друг!
Мы с тобой уже говорили и о "школьных" вирусах, и о принципе целесообразности. Хотя, как показал опыт с PornHub`ом, среди злоумышленников встречаются ребята, которые творят свои тёмные делишки не ради какой-то определённой цели, а просто, потому что могут.
Вот и на прошлой неделе, неизвестные замахнулись на святое! Несколько серверов Википедии оказались под DDOS`ом. Я держу руку на пульсе, но не могу понять кому и зачем это в принципе могло быть нужно.
Давай по порядку.
DDoS-атака (Distributed denial of service - распределённая атака типа "отказ в обслуживании") направлена в первую очередь на доступность информации. По команде злоумышленника на ресурс жертвы обрушивается огромное количество трафика, генерируемого предварительно заражёнными машинами. Ты вообще будешь не в курсе, когда твой компьютер начнёт ддосить Википедию. Под напором бессмысленных запросов, которые нужно как-то обрабатывать, атакуемый ресурс сначала начинает тормозить, а потом и вовсе отрубается. Случается, что несчастная железка может и сгореть на работе, пытаясь справиться со всеми никому не нужными задачами. Знакомая ситуация, совсем как в жизни, да?
Кстати, отследить источник атаки, по понятным причинам, не просто. В пятницу пользователи из Европы, Северной Америки и с Ближнего Востока обнаружили проблемы с доступом к отдельным статьям на Википедии. Почему же Википедия не легла полностью? Да потому что она размещена на распределённых серверах. Их много, но атаке подверглись только пять.
Привет, мой смышлённый друг!
Мы с тобой уже говорили и о "школьных" вирусах, и о принципе целесообразности. Хотя, как показал опыт с PornHub`ом, среди злоумышленников встречаются ребята, которые творят свои тёмные делишки не ради какой-то определённой цели, а просто, потому что могут.
Вот и на прошлой неделе, неизвестные замахнулись на святое! Несколько серверов Википедии оказались под DDOS`ом. Я держу руку на пульсе, но не могу понять кому и зачем это в принципе могло быть нужно.
Давай по порядку.
DDoS-атака (Distributed denial of service - распределённая атака типа "отказ в обслуживании") направлена в первую очередь на доступность информации. По команде злоумышленника на ресурс жертвы обрушивается огромное количество трафика, генерируемого предварительно заражёнными машинами. Ты вообще будешь не в курсе, когда твой компьютер начнёт ддосить Википедию. Под напором бессмысленных запросов, которые нужно как-то обрабатывать, атакуемый ресурс сначала начинает тормозить, а потом и вовсе отрубается. Случается, что несчастная железка может и сгореть на работе, пытаясь справиться со всеми никому не нужными задачами. Знакомая ситуация, совсем как в жизни, да?
Кстати, отследить источник атаки, по понятным причинам, не просто. В пятницу пользователи из Европы, Северной Америки и с Ближнего Востока обнаружили проблемы с доступом к отдельным статьям на Википедии. Почему же Википедия не легла полностью? Да потому что она размещена на распределённых серверах. Их много, но атаке подверглись только пять.
🤔1
Арахнофобия - довольно распространённое явление. Я знаю мало людей, спокойно переносящих встречу с пауками. Но обычные пауки редко представляют угрозу, в отличие от тех, что могут забраться к тебе в компьютер. Сегодня мы поговорим об одном из таких пауков.
SALTY SPIDER (Солёный паук) - это группа хакеров, наиболее известная своей разработкой ботнета Sality. Исследователи (https://www.crowdstrike.com/blog/who-is-salty-spider/) сообщают, что следы мёда и кусочки бешбармака указывают на то, что группировка тусуется где-то на просторах Башкирии.
Но нас с тобой, конечно, гораздо больше интересует ботнет Sality. Что это за зверь такой?
Как ты уже понял, я не хочу просто так разбрасываться непонятными терминами и нагонять на тебя тоску. Раз ты пришёл сюда, то очевидно хочешь разобраться в причинах и смыслах.
Поэтому мы снова начнём издалека.
Впервые Sality попался в руки безопасников в 2003 году. Тогда он представлял из себя полиморфный вирус, который забирался в компьютер жертвы и давал своему хозяину возможность использовать мощности заражённой машины в своих целях. Причём, цели у злоумышленников могли быть самые разные.
К 2008 году по сети гуляло по меньшей мере три версии этой малвари. Одна серьёзнее другой.
Пик развития Sality пришёлся на 2017 год. В тот год, как ты помнишь, мир содрогнулся от вымогателей WannaCry и Petya, которые использовали ставший недавно общедоступным эксплойт ETERNALBLUE, суть работы которого сводилась к получению доступа к системе через протокол SMB.
Это была четвёртая версия зловреда, которая остаётся самой "успешной" и по сей день.
Вместе с ETERNALBLUE Sality перепрофилировался с разнорабочего на добытчика криптовалюты. Собственно, на отмывании золотишка на чужих машинах он и попадается.
Наиболее часто этот зверь встречается почему-то в Румынии и Венесуэле.
Не сказать, что Sality именно опасен. Он просто использует вашу машину в своих целях. Это неприятно и лишний раз напоминает нам о том, что нужно соблюдать самые простые правила безопасности в сети - не открывать левые файлы и ссылки. А ещё, нужно чаще проверяться на паразитов.
SALTY SPIDER (Солёный паук) - это группа хакеров, наиболее известная своей разработкой ботнета Sality. Исследователи (https://www.crowdstrike.com/blog/who-is-salty-spider/) сообщают, что следы мёда и кусочки бешбармака указывают на то, что группировка тусуется где-то на просторах Башкирии.
Но нас с тобой, конечно, гораздо больше интересует ботнет Sality. Что это за зверь такой?
Как ты уже понял, я не хочу просто так разбрасываться непонятными терминами и нагонять на тебя тоску. Раз ты пришёл сюда, то очевидно хочешь разобраться в причинах и смыслах.
Поэтому мы снова начнём издалека.
Впервые Sality попался в руки безопасников в 2003 году. Тогда он представлял из себя полиморфный вирус, который забирался в компьютер жертвы и давал своему хозяину возможность использовать мощности заражённой машины в своих целях. Причём, цели у злоумышленников могли быть самые разные.
К 2008 году по сети гуляло по меньшей мере три версии этой малвари. Одна серьёзнее другой.
Пик развития Sality пришёлся на 2017 год. В тот год, как ты помнишь, мир содрогнулся от вымогателей WannaCry и Petya, которые использовали ставший недавно общедоступным эксплойт ETERNALBLUE, суть работы которого сводилась к получению доступа к системе через протокол SMB.
Это была четвёртая версия зловреда, которая остаётся самой "успешной" и по сей день.
Вместе с ETERNALBLUE Sality перепрофилировался с разнорабочего на добытчика криптовалюты. Собственно, на отмывании золотишка на чужих машинах он и попадается.
Наиболее часто этот зверь встречается почему-то в Румынии и Венесуэле.
Не сказать, что Sality именно опасен. Он просто использует вашу машину в своих целях. Это неприятно и лишний раз напоминает нам о том, что нужно соблюдать самые простые правила безопасности в сети - не открывать левые файлы и ссылки. А ещё, нужно чаще проверяться на паразитов.
crowdstrike.com
Who is SALTY SPIDER (Sality)?| Threat Actor Profile | CrowdStrike
SALTY SPIDER is an eCrime group whose actions likely indicate that it’s operating out of Russia. Learn about the adversary's origins, targets, and Sality malware so you can better protect your organization.
😁1
"Не болтай!"
Или хотя бы заклеивай камеру
Когда я был ещё совсем юнцом и только начинал постигать азы информационной безопасности, один из наставников сказал, что нет ничего опаснее угрозы, которую ты не ожидаешь. Нужно быть готовым отразить любую атаку, сказал он мне.
- Но, учитель, значит ли это, что безопасник должен быть параноиком, который везде видит опасность? - воскликнул я.
Наставник подумал и многозначительно ответил:
- Да.
Сегодня, мой друг, мы и будем говорить о паранойе. И, что самое весёлое, о паранойе оправданной.
Если тебе кажется, что твой компьютер следит за тобой, то ты вряд ли удивишься, узнав, что тебе не кажется.
Ребята из wired.com выпустили обзорную статью (https://www.wired.com/story/windows-10-privacy-settings/) о том, как минимизировать сбор информации о пользователе Windows 10.
Статья сводится к перечислению механизмов сбора информации и способов их отключения через панель управления винды. Здесь имеет смысл подробно остановиться на самих механизмах.
Самыми очевидными источниками утечки информации смело можно назвать камеру и микрофон. Действительно, ты, наверное, замечал заклеенные фронталки на ноутбуках или телефонах. В основном, это делается для того, чтобы обезопасить своё лицо от злоумышленников. Но известны случаи (полно), когда сбор информации через видео и звук вёлся в маркетинговых целях, что, вообще-то, тоже отлично вписывается в само понятие слежки.
Далее, ребята из wired.com рекомендуют отключать отслеживание местоположения. Эта функция сама по себе выглядит довольно "шпионской", хотя и заметно упрощает жизнь тем, кто плохо ориентируется в пространстве реального мира.
Вместе с такими очевидными функциями, в статье указываются и более интересные. Например, отключение таргетированной рекламы. Дело в том, что десятая винда заботливо следит за твоими предпочтениями и готова подсовывать тебе рекламу на их основе. И здесь предлагается два варианта сопротивления. Первый - полное отключение таргетинга. Второй - сброс твоих личных настроек с тем, чтобы в дальнейшем сбор информации о твоих интересах начал вестись по новой. В обоих случаях рекламы меньше не станет. Но её, во всяком случае, можно несколько деперсонифицировать.
Кроме того, настоятельно рекомендуется отследить, какие приложения имеют доступ к информации о твоём аккаунте, твоих контактах, регулярно чистить куки и историю браузера.
Для предотвращения утечки личной информации авторы статьи советуют разграничивать доступ посредством создания разных аккаунтов для разных пользователей.
Если подумать, эти механизмы актуальны далеко не только для десятой винды. Любой смартфон нынче становится источником примерно такого же набора информации о тебе и твоих интересах, независимо от операционки. Поэтому от себя я посоветую тебе основательно исследовать свои гаджеты на предмет сбора той информации, которой ты бы не хотел делиться с посторонними.
Или хотя бы заклеивай камеру
Когда я был ещё совсем юнцом и только начинал постигать азы информационной безопасности, один из наставников сказал, что нет ничего опаснее угрозы, которую ты не ожидаешь. Нужно быть готовым отразить любую атаку, сказал он мне.
- Но, учитель, значит ли это, что безопасник должен быть параноиком, который везде видит опасность? - воскликнул я.
Наставник подумал и многозначительно ответил:
- Да.
Сегодня, мой друг, мы и будем говорить о паранойе. И, что самое весёлое, о паранойе оправданной.
Если тебе кажется, что твой компьютер следит за тобой, то ты вряд ли удивишься, узнав, что тебе не кажется.
Ребята из wired.com выпустили обзорную статью (https://www.wired.com/story/windows-10-privacy-settings/) о том, как минимизировать сбор информации о пользователе Windows 10.
Статья сводится к перечислению механизмов сбора информации и способов их отключения через панель управления винды. Здесь имеет смысл подробно остановиться на самих механизмах.
Самыми очевидными источниками утечки информации смело можно назвать камеру и микрофон. Действительно, ты, наверное, замечал заклеенные фронталки на ноутбуках или телефонах. В основном, это делается для того, чтобы обезопасить своё лицо от злоумышленников. Но известны случаи (полно), когда сбор информации через видео и звук вёлся в маркетинговых целях, что, вообще-то, тоже отлично вписывается в само понятие слежки.
Далее, ребята из wired.com рекомендуют отключать отслеживание местоположения. Эта функция сама по себе выглядит довольно "шпионской", хотя и заметно упрощает жизнь тем, кто плохо ориентируется в пространстве реального мира.
Вместе с такими очевидными функциями, в статье указываются и более интересные. Например, отключение таргетированной рекламы. Дело в том, что десятая винда заботливо следит за твоими предпочтениями и готова подсовывать тебе рекламу на их основе. И здесь предлагается два варианта сопротивления. Первый - полное отключение таргетинга. Второй - сброс твоих личных настроек с тем, чтобы в дальнейшем сбор информации о твоих интересах начал вестись по новой. В обоих случаях рекламы меньше не станет. Но её, во всяком случае, можно несколько деперсонифицировать.
Кроме того, настоятельно рекомендуется отследить, какие приложения имеют доступ к информации о твоём аккаунте, твоих контактах, регулярно чистить куки и историю браузера.
Для предотвращения утечки личной информации авторы статьи советуют разграничивать доступ посредством создания разных аккаунтов для разных пользователей.
Если подумать, эти механизмы актуальны далеко не только для десятой винды. Любой смартфон нынче становится источником примерно такого же набора информации о тебе и твоих интересах, независимо от операционки. Поэтому от себя я посоветую тебе основательно исследовать свои гаджеты на предмет сбора той информации, которой ты бы не хотел делиться с посторонними.
WIRED
The Windows 10 Privacy Settings You Should Check Right Now
Whether you're new to Windows 10 or have been using it for years, take a minute to lock down your privacy.
"Как я провел этим летом"
Обычно я стараюсь рассказать о каком-то одном факте или событии. Но сегодня, мой друг, я сделаю исключение. Всё дело в том, что The Hacker News выпустили топ вредоносов за лето.
Я немного попыхтел и написал для тебя краткий обзор этой статьи на русском.
Если коротко, этим летом в тренде вредоносов были вымогатели, атаки на цепь поставок и бесфайловые атаки.
Про вымогателей мы иногда вспоминаем и в этом блоге. Поэтому сейчас давай поговорим про два других типа атак.
Атаки на цепь поставок - это внедрение вредоносного кода ещё в процессе разработки ПО. Например, когда ты делаешь приложение для онлайн-оплаты, а оно, кроме номера карточки, "случайно" начинает запоминать и отправлять куда-то cvv каждого клиента.
Бесфайловые атаки - это красиво. Такой вредонос не хранит себя в постоянной памяти устройства, он живёт в оперативке.
Ну а теперь все тренды в подробностях.
Вредоносные программы всё чаще используются для обхода средств контроля безопасности. "Специализаций" здесь несколько.
Во-первых, это изменение хэша для обхода антивирусов.
Во-вторых, использование шифрованных каналов связи для общения с C2-серверами, то есть, с серверами, которые отвечают за раздачу указаний вредоносам.
Нехило развиваются и такие зловреды, которые умеют выявлять механизмы искусственного интеллекта, машинного обучения и песочницы, сознательно замедляя их работу. Иными словами, малварь способна сообразить, что попала в руки к исследователям, и начать сбивать их с толку.
Особняком стоят бесфайловые зловреды, о которых мы уже говорили, и LOTL-атаки - это атаки, которые проводятся с помощью локальных приложений во вредоносных целях.
Кроме того, хакеры стали частенько арендовать чужие готовые ботнеты, чтобы использовать их для доступа к большому количеству машин. Такую историю, когда на твой комп незаметно влезает бот-зловред, а потом через него приходит другой злоумышленник, называют Jack-in-the-box в квадрате. То есть тут такая логика, что из коробки выскакивает один чёрт, а из него выскакивает второй.
Из самых экзотичеких и смертоносных вредоносов The Hacker News выделили Astaroth. Названный в честь демона, он обходит привычные механизмы защиты по схеме, выявленной специалистами Microsoft (https://www.anti-malware.ru/news/2019-07-09-1447/30104), и похищает учётные и финансовые данные пользователей. 76% европейских и бразильских компаний, проверившихся на возможность заражения, оказались не готовы к защите от этого гада.
Кроме Astaroth в статье говорится и о вымогателе Sodinokibi, который заливается в систему под видом сервиса с провайдеров услуг, попавших под атаку на цепь поставок. Подробнее о Sodinokibi можно прочитать здесь
http://id-ransomware.blogspot.com/2019/04/sodinokibi-ransomware.html
Список "успешных" вымогателей продолжают GermanWiper и MegaCortex. Первый зловред, следуя своему названию, атакует в основном немецких пользователей. Главной фишкой этого шифровальщика является то, что он не является шифровальщиком. Эта зараза просто обнуляет все "зашифрованные" файлы и вымогает деньги за ключ, который уже никак не поможет жертве. Подробнее о поганце можно прочитать здесь https://xakep.ru/2019/08/05/germanwiper/.
Второй вымогатель действительно является шифровальщиком. Для своей тёмной работы зловред использует шифр AES. Подробное досье на него ты сможешь найти здесь http://id-ransomware.blogspot.com/2019/05/megacortex-ransomware.html.
Обычно я стараюсь рассказать о каком-то одном факте или событии. Но сегодня, мой друг, я сделаю исключение. Всё дело в том, что The Hacker News выпустили топ вредоносов за лето.
Я немного попыхтел и написал для тебя краткий обзор этой статьи на русском.
Если коротко, этим летом в тренде вредоносов были вымогатели, атаки на цепь поставок и бесфайловые атаки.
Про вымогателей мы иногда вспоминаем и в этом блоге. Поэтому сейчас давай поговорим про два других типа атак.
Атаки на цепь поставок - это внедрение вредоносного кода ещё в процессе разработки ПО. Например, когда ты делаешь приложение для онлайн-оплаты, а оно, кроме номера карточки, "случайно" начинает запоминать и отправлять куда-то cvv каждого клиента.
Бесфайловые атаки - это красиво. Такой вредонос не хранит себя в постоянной памяти устройства, он живёт в оперативке.
Ну а теперь все тренды в подробностях.
Вредоносные программы всё чаще используются для обхода средств контроля безопасности. "Специализаций" здесь несколько.
Во-первых, это изменение хэша для обхода антивирусов.
Во-вторых, использование шифрованных каналов связи для общения с C2-серверами, то есть, с серверами, которые отвечают за раздачу указаний вредоносам.
Нехило развиваются и такие зловреды, которые умеют выявлять механизмы искусственного интеллекта, машинного обучения и песочницы, сознательно замедляя их работу. Иными словами, малварь способна сообразить, что попала в руки к исследователям, и начать сбивать их с толку.
Особняком стоят бесфайловые зловреды, о которых мы уже говорили, и LOTL-атаки - это атаки, которые проводятся с помощью локальных приложений во вредоносных целях.
Кроме того, хакеры стали частенько арендовать чужие готовые ботнеты, чтобы использовать их для доступа к большому количеству машин. Такую историю, когда на твой комп незаметно влезает бот-зловред, а потом через него приходит другой злоумышленник, называют Jack-in-the-box в квадрате. То есть тут такая логика, что из коробки выскакивает один чёрт, а из него выскакивает второй.
Из самых экзотичеких и смертоносных вредоносов The Hacker News выделили Astaroth. Названный в честь демона, он обходит привычные механизмы защиты по схеме, выявленной специалистами Microsoft (https://www.anti-malware.ru/news/2019-07-09-1447/30104), и похищает учётные и финансовые данные пользователей. 76% европейских и бразильских компаний, проверившихся на возможность заражения, оказались не готовы к защите от этого гада.
Кроме Astaroth в статье говорится и о вымогателе Sodinokibi, который заливается в систему под видом сервиса с провайдеров услуг, попавших под атаку на цепь поставок. Подробнее о Sodinokibi можно прочитать здесь
http://id-ransomware.blogspot.com/2019/04/sodinokibi-ransomware.html
Список "успешных" вымогателей продолжают GermanWiper и MegaCortex. Первый зловред, следуя своему названию, атакует в основном немецких пользователей. Главной фишкой этого шифровальщика является то, что он не является шифровальщиком. Эта зараза просто обнуляет все "зашифрованные" файлы и вымогает деньги за ключ, который уже никак не поможет жертве. Подробнее о поганце можно прочитать здесь https://xakep.ru/2019/08/05/germanwiper/.
Второй вымогатель действительно является шифровальщиком. Для своей тёмной работы зловред использует шифр AES. Подробное досье на него ты сможешь найти здесь http://id-ransomware.blogspot.com/2019/05/megacortex-ransomware.html.
Anti-Malware
Microsoft предупреждает об атаках бесфайлового трояна Astaroth
Команда исследователей в области безопасности Microsoft предупреждает о распространении бесфайлового трояна Astaroth. Злоумышленники загружают похищающий данные вредонос прямо в память компьютера
Русскоязычная Advanced Persistent Threat (Сложная постоянная угроза, APT) группировка Silence использует весьма продуманную схему. Её боты-вредоносы используют шифрованные команды, трафик общения с C2-серверами туннелируется, что позволяет сохранять невидимость для большинства систем защиты. Вообще, APT-угрозы опасны в первую очередь для крупных организаций и имеют своей конечной целью получение доступа к защищённым учётным записям руководителей. Но для того, чтобы подобраться к главе компании поближе, злоумышленники заражают машины пользователей, находящихся с ними в одной рабочей сети. Говорят, что Silence "наполучали доступ" на 4 миллиона долларов за прошлый год.
Ну и напоследок, возвращаясь к Jack-in-the-box в квадрате, авторы статьи упоминают малварь Turla. Этот зверь захватил ботнет связанной с Ираном группы Oilrig APT и через него начал атаковать правительственные ресурсы разных стран, используя как LOTL-атаки, так и собственные механизмы. Жертвами Turla стали министерства, правительства и организации, занимающиеся коммуникационными технологиями, в десяти разных странах.
Если бы мне было лет на 20 меньше, тут бы я написал “вот так я провел это лето”. Здесь, друг мой, сложно подвести какую-то мораль. Скажу только, что, как видишь, зло не дремлет. Оно развивается и постоянно ищет новые пути залезть в нашу жизнь. Чтобы не допустить это, нужно быть бдительным.
Ну и напоследок, возвращаясь к Jack-in-the-box в квадрате, авторы статьи упоминают малварь Turla. Этот зверь захватил ботнет связанной с Ираном группы Oilrig APT и через него начал атаковать правительственные ресурсы разных стран, используя как LOTL-атаки, так и собственные механизмы. Жертвами Turla стали министерства, правительства и организации, занимающиеся коммуникационными технологиями, в десяти разных странах.
Если бы мне было лет на 20 меньше, тут бы я написал “вот так я провел это лето”. Здесь, друг мой, сложно подвести какую-то мораль. Скажу только, что, как видишь, зло не дремлет. Оно развивается и постоянно ищет новые пути залезть в нашу жизнь. Чтобы не допустить это, нужно быть бдительным.