Архив тегов: cyber warfare

Киберпалеонтология: звучит гордо, работается сложно.

Перефразирую известный философский постулат: «профессия определяет бытие или бытие определяет профессию?». Рассказывают, что заруба по поводу ответа на этот (точнее, оригинальный) вопрос в философских кругах идёт уже полторы сотни лет, а с изобретением интернетов и в широких народных массах, регулярно охватывая неистовым холиваром разные слои сетевого населения в неожиданных концах мира. Я не претендую на поддержку какой-либо стороны, но хочу свидетельствовать личным опытом в пользу дуализма профессии и бытия, которые влияют друг на друга взаимно, многогранно и постоянно.

В конце далёких 80-е компьютерная вирусология возникла как ответ на распространение вредоносных программ. Через 30+ лет вирусология эволюционировала (точнее, слилась в экстазе с другими смежными отраслями) в индустрию кибербезопасности и зачастую диктует развитие бытия IT – в условиях конкуренции выживает технология с лучшей защитой.

За 30 лет как только нас не обзывали: санитары леса, патологоанатомы, бактериологический кордон… ассенизаторами тоже приходилось :) Но лучше всего, имхо, специфику нашей профессии и её связь с бытием на данном этапе характеризует мем «киберпалеонтолог».

Действительно, индустрия научилась бороться с массовыми эпидемиями: проактивно (как мы защитили пользователей от крупнейших эпидемий последних дцати лет Wannacry и ExPetr) или реактивно (при помощи облачного анализа и быстрой рассылки обновлений) — не суть разница. А вот с точечными, целевыми кибератаками пока что не очень: по технической зрелости и ресурсам с ними справляются единицы, а по принципиальной позиции разоблачать всех кибернегодяев вне зависимости от происхождения и целей воля есть, пожалуй, только у нас. И это немудрено – иметь такую волю дорого стОит, это непростая позиция в современном геополитическом шторме, но наш опыт показывает, что это правильная позиция — пользователь голосует за неё кошельком .

Кибершпионская операция – очень долгий, дорогостоящий и высокотехнологический проект. Разумеется, авторы таких операций сильно расстраиваются, когда их палят и есть мнение, что они пытаются устранить неугодных разработчиков разными грязными методами через манипуляции СМИ.

Но есть и другие мнения «откуда ноги растут», в том числе:

Впрочем, я отвлёкся.

Дальше: аутсорсинг киберпалеонтологических функций…

Ай-да новости: мобильное недоверие и IT «феминитивы».

Сегодня разбираем свежие и знаковые новости кибербезопасности, и на повестке дня у нас угрозы от маленького устройства, с которым многие не расстаются даже в постели.

Каждый второй, если не каждый первый сейчас доверяет ой-как-много своему смартфону — банковские операции, доступ к важным рабочим и личным документам, переписку в мессенджерах порой с теми деталями, которые не очень-то хочется надо кому-то ещё показывать. Да вы сами всё знаете! Но как в старой поговорке – пока гром не грянет, мужик не перекрестится.

В конце августа наблюдался резкий рост распространения андройдного троянца Asacub, который бил по известной человеческой слабости – любопытству. Троян рассылал смс-ки типа: «Серёжа, и тебе не стыдно после этого?! (ссылка)» или «Серёга, тебе пришло MMS-сообщение от Васи: (ссылка)». Серёга чесал репу, удивлялся, что ж там за фото, кликал по ссылке, загружал приложение, а дальше невольно, веером заражал всю свою записную книжку, обращаясь к новым жертвам по имени записанному в своих же контактах. Хитрая малвара может ещё, например, читать входящие смс и отсылать их содержимое злоумышленникам или отправлять сообщения с указанным текстом на указанный номер. А возможность перехватывать и отправлять смс-ки позволяет авторам трояна, в том числе, переводить деньги с банковской карты жертвы, если эта карта привязана к ее номеру телефона. Ну, и счёт за отправку смс по всей адресной книге может быть очень нехилым.

Как себя обезопасить? 1. Не ходить по подозрительным ссылкам; 2. Внимательно проверять, какие права запрашивает скаченное приложение; 3. Ну, и самый очевидный и простой шаг — установить надёжную защиту для смартфона.

Картинки к этому выпуску не простые, а специально для нас нарисованные Васей Ложкиным, чьё творчество я давно люблю. Наслаждайтесь!

А вот ссылочка специально для тех, кто прочитал про Asacub и подумал: «Хорошо, что у меня айфон»:

Дальше: и ещё одна…

За агрессивный детект зловредов!

За последние несколько лет я много всякого разного начитался в американской прессе и вышедшая в прошлый четверг статья Wall Street Journal поначалу показалась очередной конспирологической кляузой.  Согласно анонимным источникам, несколько лет назад русские госхакеры, якобы, при помощи взлома продуктов вашего покорного слуги похитили с домашнего компьютера сотрудника АНБ секретную документацию. Наш формальный комментарий этой истории тут.

Однако, если отбросить шелуху про «русских хакеров Кремля», то в этой истории проступают очертания другого вероятного сценария, названного в статье «агрессивной борьбой с киберугрозами». Что же на самом деле могло произойти?

Итак, читаем статью ещё раз.

В далёком 2015-м году некий сотрудник АНБ, разработчик американских кибершпионских операций, решил поработать на дому и для этого скопировал на домашний компьютер секретную документацию. Для безопасности домашнего компьютера он справедливо выбрал лучший антивирус (догадайтесь какой), а для пущей надёжности (всё правильно сделал) включил защиту из облака (KSN). Вот в таком ландшафте он продолжил допиливать гос-вредоноса.

Ещё раз.

Разработчик шпионского софта трудился над проектом у себя дома, имея весь необходимый для этого инструментарий и документацию, защищая себя от мирового компьютерного зловредства нашим продуктом с подключением в облако.

Что должно произойти дальше?

Правильно: гос-вредонос должен быть распознан как подозрительный и отослан в облако для дальнейшего анализа. Это стандартный процесс обработки новых зловредов – и не только у нас. Все наши коллеги-конкуренты используют подобную логику в том или ином виде. Практика доказала, что это очень эффективное средство для борьбы с кибер-угрозами.

Что же происходит с данными в облаке? В 99,99% случаев анализом подозрительных объектов занимаются технологии машинного обучения, зловреды отправляются на детект и в архив, остальное – в мусор. Прочее уходит на «ручную обработку» вирусным аналитикам, у которых жёсткая инструкция: если к нам помимо малвары попадут какие-либо конфиденциальные данные, то они будут категорически уничтожены вне зависимости от их происхождения. Здесь всё чисто.

Далее – как я оцениваю вероятность взлома наших продуктов русскими гос-хакерами?

Теоретическая возможность есть (программы пишутся людьми, а людям свойственно ошибаться), но её практическую реализацию я оцениваю как нулевую. В том же году, когда случилась описанная WSJ история, мы выпасли в своей сети атаку неизвестной кибервоенщины – Duqu2. По этой причине мы провели тщательный аудит исходных кодов, обновлений и других технологий и не нашли никаких признаков стороннего проникновения. Впрочем, мы очень серьёзно относимся к любым сведениям о возможных уязвимостях продуктов и поэтому аудит повторим.

Вывод:

Если история с обнаружением госвредоноса на домашнем компьютере сотрудника АНБ действительно имела место быть, то это, дамы и господа, предмет для гордости. Проактивно задетектить неизвестную кибервоенную малвару – это очень круто! Это лучшее доказательство превосходства наших технологий и подтверждение принципа защищать от любой киберугрозы, вне зависимости от её происхождения и целей. Даже если это кому-то не нравится.

Ну, за Агрессивный™ детект зловредов!

 

Ай-да новости: кибер гоп-стоп.

Сегодняшний новостной выпуск в этой традиционной рубрике посвящен одной особенно противной и неприятной проблеме в киберпростанстве. Проблеме гопников шифровальщиков-вымогателей, также известных как ransomware.

Поток неприятных новостей про этот крайне подлый вид криминальной деятельности не просто не иссякает, а как раз наоборот. Причем, надежды на кардинальное улучшение ситуации в ближайшее время немного. Скорее наоборот: победная поступь информатизации и «Интернета вещей» пока что приводит к тому, что количество дырявых устройств и систем, соединенных с Интернетом растёт как на дрожжах. И вот к чему это приводит в нынешней неблагоприятной киберэпидемиологической обстановке:

Как заработать 140 тысяч долларов, наломав дров на миллиард

Дальше: межконтинентальная рансомварь стратегического назначения…

Прогноз кибер-погоды 2017.

Так устроен homo sapiens, что ему постоянно и отчаянно хочется хоть одним глазком заглянуть за горизонт — увидеть какое будущее нам уготовано, как выглядит завтра? Да простится ему сие неразумное любопытство, поскольку homo sapiens «уготавливает» своё будущее сам, каждый божий день, своими собственными делами. Ну, если, конечно, не принимать в расчёт циклы Миланковича и другие силы природы :)

А по-научному заглянуть в будущее можно внимательно проанализировав настоящее. Это, кстати, относится и к кибербудущему, а особенно безопасности этого кибербудущего. Именно таким анализом мы занимаемся каждый год на киберслёте лучших секюрити-умов планеты — Security Analyst Summit (SAS):

Ой, не то. Вот:

Опс, вернее как-то так :)

В общем, каждый год я не перестаю удивляться как оно хорошо получилось и недоумеваю как это можно превзойти. И таки в следующий раз мы превосходим и улучшаем, делаем мероприятие «быстрее, выше, сильнее», привлекая всё больше экспертов по кибербезопасности и наглядно улучшая качество контента в том числе эксклюзивными материалами.

Вот о материалах сейчас и пойдёт речь. Предлагаю топ-5 на мой вкус самых-самых презентаций. Это не значит, что остальные были «соу-соу»: во-первых, все презентации, особенно происходящие в разных залах, посетить невозможно. А во-вторых, на вкус и цвет все фломастеры разные (c)

Ну, поехали!

Дальше: угнать дрон за 11 милисекунд…

Вайпер-пати на большой дороге. Ближневосточная версия.

Что общего между кибербезопасностью и палеонтологией?

Настолько много, что впору открывать новую науку «кибербез-палеонтологию». У нас даже есть отряд кибер-ниндзя (также известный как GReATGlobal Research and Analysis Team), который на ней специализируется. При этом анализ цифровых следов, останков и прочих костей невозможно переоценить. Наоборот — артефакты прошлого дают бесценные данные для изучения кибератак настоящего.

Об одном из таких случаев сейчас и пойдёт рассказ.

Не так давно в глобальном кибер-серпентарии буйным цветом расцвёл новый вид вредоносов под названием Wiper. Эта гадость действует довольно топорно – она полностью уничтожает данные на заражённых компьютерах, не оставляя шанса на их восстановление (если, конечно, нет резервной копии). Пожалуй, наиболее известным представителем этого вида является Shamoon, который в 2012г. уничтожил данные на 30+ тысяч девайсов в нефтяной компании Saudi Aramco. Только представьте себе тридцать тысяч неработающих компьютеров и разнообразных серверов в сети крупнейшего мирового производителя нефти.

Мы покопались в Shamoon и нашли StoneDrill. Покопались в StoneDrill и вышли на след серьёзной кибершпионской операции

С тех пор о Shamoon ничего не было слышно – казалось кибер-негодяи ушли в глубокое подполье. Новая инкарнация зловреда Shamoon 2.0 появилась только в конце 2016г. и всё там же – на Ближнем Востоке. Угрозу отловили, проанализировали, настроили защиту, начали изучать «останки и кости» вокруг и… немного прифигели. На поверхность всплыл принципиально новый «вайпер» — StoneDrill.

StoneDrill основан на своём оригинальном коде, отличном от Shamoon, и использует более продвинутые методы сокрытия в заражённой системе. Что самое неприятное в этой истории – StoneDrill целит за границы региона. На данный момент наши сенсоры нашли две жертвы, одна из которых находится в Европе. Это очень тревожный звонок, который свидетельствует о выходе серьёзного игрока кибервоенной сцены на глобальный уровень. К этому звонку необходимо прислушаться правительственным и коммерческим организациям во всём мире – мы видим, что ближневосточные «вайперы» расширяют свою географию.

Но вернёмся к киберпалеонтологии.

Дальше: неожиданная кульминация!…

Ай-да новости: маркетинг vs. кибергопники + перезагрузка Лайнера Мечты.

Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.

Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»

Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.

«Зарази братуху — получи скидку»

Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!

Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.

Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.

Дальше: хэдхантинг по-хакерски…

Ай-да новости: о спасении мира от шифрователей и о лучших в мире исследователях.

Привет, друзья, снова в эфире рубрика «Кошмарный сон сисадмина становится явью». Обычно у нас в ней звучит композиция в стиле «всё плохо и становится хуже». Там что-то взломали, здесь что-то обрушили. Видеокамеры устроили ДДоС, например, бетономешалкам. Повсюду черви, троянцы, вирусы, их всё больше, и они всё наглее и скрытнее. Так выглядит мир глазами специалиста по IT-безопасности.

Но на этот раз, удивительное дело, почти все новости хорошие. И в нашей параноидальной отрасли такое случается! И, что приятно, появляются хорошие новости не без нашей помощи.

Ударным трудом по вымогателям и шифрователям!

В понедельник мы запустили новый проект для помощи жертвам шифрователей-вымогателей. Называется он ‘No More Ransom’ и содержит новый бесплатный расшифровщик для вымогателя Shade. Кроме этого там лежат расшифровщики для некоторых других негодяйских программ включая CoinVault и TeslaCrypt. Проект этот совместный с голландской полицией, Европолом, а также с уважаемыми конкурентами из Интел Секьюрити, также известными человечеству как Макафи.

inews1

Что тут сказать? Эпидемия шифровальщиков захлестнула человечество. Больницы, коммунальные предприятия, полицейские участки, многие тысячи и тысячи бизнесов и без счёта обычных граждан пострадали от этой подлой дряни. Легко рекомендовать не платить вымогателям, но что делать, если вдруг бизнес без своих данных как будто на полном ходу въехал в стену? Если вы обычный пользователь и вдруг потеряли все семейные фотографии? Многие, к сожалению, вынуждены платить. Наша цель – чтобы этого делать не надо было в принципе. И в этот проект будут добавляться всё новые дешифраторы.

Дальше: кибер-олимпиада и вредные кибер-советы…

Ай-да новости: о червях в реакторе и хакерах-троечниках.

Иногда от текущего новостного фона рука тянется проверить фон радиационный. Тревожные какие-то сообщения попадаются последнее время. Или это я эмоционально реагирую? Вот, например:

История первая, ядрёная.

inews-1Баварская, а точнее швабская АЭС, фото с просторов Википедии

Немецкая Гундреммингенская АЭС в солнечной Баварии, а точнее даже в Швабии, аккурат в 30-ю годовщину аварии в Чернобыле докладывает, что одна из её внутренних IT-систем, обслуживающих реактор Б, была заражена гадкими зловредами. Также сообщают, что волноваться не стоит, опасности никакой, все нормально, спите спокойно, дорогие граждане, всё под контролем, уровень опасности самый низкий, практически отрицательный.

Ну, хорошо, думаешь, и читаешь дальше.

По мере чтения новостей, однако, в сообщениях об этом инциденте появляются некоторые дополнительные подробности. Вроде бы всё хорошо, и фон радиационный не изменился. Но как-то неуютно. Поточил добрый дедушка бритву и убрал в коробочку. А мог бы и полоснуть.

Например, заражение произошло в изолированной от интернета системе, которая управляет движением топливных (ядерных) стержней. Тут останавливаешься, трёшь глаза, перечитываешь…

Дальше: ЕМНИХВОХЧЛЫЫВЛО!!!!!!!??…

Большая картина.

Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! — продукт официально зарелизен и готов к употреблению!

Kaspersky Anti Targeted Attack Platform

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Дальше: Раньше не только солнце было ярче и небо синéе…