Архив тегов: i-news

Всем привет!

Для тех, кто ещё не успел с головой уйти в digital detox отпуск, у нас в эфире снова рубрика «Ай-да-новости» про удивительные события и загадочные происшествия в мире кибербеза.

Начну сей пост с истории про весьма нетривиальный криптовзлом.

Геймерское сообщество наверняка помнит, как этой весной Axie Infinity, известная в широких криптокругах игра, в которой можно, в частности, обменивать виртуальный выигрыш на реальные деньги, подверглась одному из крупнейших ограблений всех времен. Highly likely северокорейские хакеры взломали блокчейн Ronin, управляющий игрой, и им удалось украсть ни много ни мало $625 млн (точные цифры варьируются) со счетов пользователей. Инцидент какое-то время оставался нераскрытым, выявив уязвимости в системе безопасности игры и поставив под удар репутацию разработчика компании Sky Mavis.

Да, неплохо кибернегодяи поживились. Но и это ещё не всё!

Совсем недавно стало известно, как именно хакерам удалось пробраться к блокчейну и взломать его.

Оказалось, что несколько месяцев назад подставные сотрудники несуществующей компании через LinkedIn рассылали предложения работы сотрудникам Sky Mavis. И вот на одну из таких фальшивых вакансий откликнулся старший разработчик Axie Infinity. Он даже прошёл несколько раундов постановочных собеседований, после чего ему предложили работу с крайне привлекательной зарплатой. В общем, сделали предложение, от которого нельзя было отказаться! В итоге разработчик получил оффер в виде PDF-документа… который он без задней мысли загрузил и открыл на своём рабочем компьютере. А дальше уже дело техники — шпионская программа проникла в системы Ronin, и уже оттуда злоумышленники смогли захватить четыре из девяти валидаторов, защищавших сеть. Доступ к пятому валидатору (необходимому для окончательного взлома и вывода денег) хакеры получили через децентрализованную автономную организацию, созданную для поддержки игровой экосистемы. Итог: у компании минус 625 миллионов долларов в крипте. Цель достигнута. Бинго!

Дальше: небанально и поучительно…

Мальчики и девочки, давненько у нас не было материалов из рубрики «Ай-да-новости» — удивительное и невероятное в мире кибербезопасности или около него, а также что из этого следует, и какие пора готовиться делать выводы.

Кратко о новости: в США завершился судебный процесс по делу компании Merck, нехило пострадавшей от шифровальщика NotPetya (он же ExPetr, он же Petya). Ущерб от атаки оценили в 1.4 миллиарда(!!!) долларов США и присудили страховой компании компенсировать ущерб.

Краткое содержание предыдущих серий: в июне 2017 года на дикие интернет-прерии вырвался злобный и технологически продвинутый червь-шифровальщик NotPetya, который начал свою победоносную мировую экспансию с Украины, где атаковал жертв через популярное бухгалтерское ПО: пострадали банки, правительственные сайты, аэропорт Харькова, системы мониторинга Чернобыльской АЭС (!!!) и т.д. и т.п. Дальше эпидемия перекинулась на Россию, а потом по цепочке прокатилась по всему земному шару. Некоторые источники считают атаку NotPetya самой разрушительной за всю цифровую историю человечества. Количество пострадавших от атаки компаний огромно, десятки из них оценили свои потери в сотни миллионов долларов, а общий ущерб мировой экономике оценивается как минимум в десять миллиардов долларов!

Одной из самых значимых жертв атаки и была американская фармацевтическая Merck. Пишут, что первых 15 000 компьютеров они лишись за 90 (!) секунд от начала заражения, резервный дата-центр был подключён к основной сети, и его тоже сразу потеряли. Всего же по данным журналистов у Merck грохнуло более 30 000 рабочих станций и 7.5 тыс. серверов. Ушли месяцы на устранение последствий атаки, ущерб оценили в 1.4 миллиарда долларов. Из-за остановки производства компании пришлось одалживать вакцины из внешних источников на сумму $250 млн.

Так вот, переходим к самому интересному.

Дальше: а именно…

Вот и пролетел первый месяц этого странного карантинно-самоизоляционного лета.

Полёт весьма нормальный! Мы приняли решение перестраховаться и пока остаться на удалёнке. Хоть киберпреступники не дремлют, но и мы не расслабляемся – работа отлажена. Крупных изменений в глобальной картине угроз сейчас не замечаем. А что там в мире интересного творилось за последний месяц?

0-day в «супер-безопасном» Linux Tails

В этом месяце всплыла история о том, что Facebook за очень круглую и вполне себе шестизначную сумму спонсировала создание уязвимости нулевого дня в ОС Tails (Linux, заточенный под privacy) для расследования ФБР, которые ловили какого-то местного педофила. Изначально было известно, что он «параноик» и пользуется именно этой осью.

Сначала FB включил свою мощь сопоставления аккаунтов и связал все, которыми преступник пользовался. Но вот перейти от них к реальному почтовому адресу всё равно не получалось. Утверждается, что дальше была заказана разработка эксплойта под видеоплеер. Неочевидный, но вполне логичный выбор софта, т.к. от своих жертв преступник требовал видеоролики и с большой долей вероятности включил бы их на том же компе.

Говорят, что разработчиков Tails о дыре не оповещали, а потом вдруг оказалось, что она уже и так закрыта. Сотрудники компании молчат об этом случае, как рыбы об лёд – оно и понятно, уязвимости под заказ – так себе паблисити. Остаётся надежда, что разработка была «индивидуально» под конкретного негодяя и для любого пользователя не подойдёт.

Тезис здесь следующий: любой супер-секьюрный проект на базе Линукса не гарантирует отсутствия дырок. Для этого требуется поменять принцип работы и архитектуру всей операционки. Да, это я «пользуясь случаем передаю привет» вот сюда.

Источник

Дальше: взлом — дешёво и ненадёжно…

Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине.

Хочется съязвить что-то на тему «кто сидел на карантине, тому «День сурка» совершенно не смешное кино». Особенно если погода за окном с марта вообще никак не поменялась! (в Москве как минимум). Короче, бытие наше «подтверждает старый тезис, что сегодня тот же день, что был вчера» (с). Но верно ли это утверждение по отношению к мировому кибер-злодейству? Интересно же, как у них там дела обстоят в наши неспокойные, но при этом совершенно однообразные карантинные времена? Чем там сейчас заняты кибернегодяи, пока мы все сидим по домам? Про это уже рассказывал две недели назад, но пора и обновить нашу кибер-стенгазету. // Кстати, если кто интересуется всей архивной подшивкой ай-новостей – тыкать вот сюда.

Для начала немного статистики. Позитивная динамика (в хорошем смысле этого слова) явно присутствует, и это радует. За прошедшие месяцы наблюдения апрель оказался самым вредоносным месяцем, когда мы действительно наблюдали наибольший всплеск киберпреступной активности. В мае цифры значительно снизились и вернулись плюс-минус к своим обычным среднемесячным значениям.

*Базы данных «Лаборатории Касперского» за 26.05.2020

Заодно мы видим и постепенный спад по всякой «коронавирусной» малваре:

*Базы данных «Лаборатории Касперского»

// Под «короновирусным» зловредством понимаются кибератаки, которые так или иначе маскируются под или ассоциируют себя с темой этого самого злобного биовируса, который уже несколько месяцев кошмарит популяцию хомосапиенсов на всей планете.

Дальше: браузер с сюрпризом…

Один из самых частых вопросов, который мне задают в эти непростые самоизоляционные времена – как изменилась кибер-эпидемиологическая обстановка? Как отразился на «среднем градусе по больнице» переход миллионов людей на удалённую работу? Какие новые трюки изобрели кибер-негодяи и где пользователям нужно «подкрутить» и «прокачать», чтобы не стало мучительно больно?

Рассказываю и показываю.

Разумеется, криминал всегда следует за наживой и приспосабливается к изменяющейся обстановке, чтобы максимизировать прибыль. Пользователь перевёл большинство своих операций (работа, досуг, общение, покупки и т.д.) на «удалёнку» — и к ней тотчас же присосалась жирная кибер-пиявка.

А именно. Очень многие вынужденно проводят эти весенние дни по домам-квартирам-дачам. Дела все поделаны, книжки перечитаны, умения новые освоены, все иностранные языки выучены, пресс и бицепс прокачан до невозможности. Так?

Да и нет – конечно же большинство (подавляющее или очень многие) значительную часть времени проводят в интернетах – гораздо больше, чем до того. Что это означает для общего фона кибер-злодейства и безопасности? Правильно! В сети стало больше потенциальных жертв, которые проводят в сети всё больше времени.

Плюс к тому, большинство все из тех, кто с городостью называет себя «офисным планктоном» (а таких в эпоху непрекращающихся промышленных революций становится всё больше и больше) – вынужденно работают из дома. Увы, не все компании могут обеспечить надёжную защиту своих сотрудников. Что означает, что у кибер-преступников появляются новые шансы хакнуть офисные сети через домашние компы-мобилы. Чем они, увы, и не ленятся пользоваться.

Эту живописную тенденцию мы наблюдаем прежде всего по резко возросшему количеству брутфорс-атак на серверы баз данных и RDP (технология удалённого подключения к компьютерам).

Дальше: они возвращаются!…

Что там у нас с хорошими новостями за прошедшую неделю? В Челябинске был — 1 новость. Так, надо поработать над цифрами :) А этого есть у нас! Судейский свисток, продолжаем игру. 1:0…

На поле выходит звено наших боевых патентных юристов :) и тоже с хорошей новостью. Мы выиграли ещё один патентный процесс в США! Не буду тратить лишних слов, лучше процитирую вести с передовой: «В нашу копилку успеха добавилось ещё одно большое судебное дело! Дело закрыто, «ни цента троллю»!»

В чём суть претензий?

Если кратко, то компании Greater Boston Authentication Solutions (GBAS) не понравилось как работает наша технология «Активация 2.0», которая позволяет перевести пробную версию в полнофункциональную на основе верификации тикета, содержащего различную информацию. GBAS посчитала, что «Активация 2.0» залезает на территорию следующих принадлежащих ей патентов: US5982892, US6567793 и US7346583.

// Специально привожу ссылки на патенты, а то вдруг кому будет интересно самостоятельно там покопаться.

Эти патенты родом из 1997 года и описывают технологию активации программного обеспечения с использованием цифровой подписи. Всё относительно просто: разработчик создаёт цифровую подпись из полученных данных, передаёт её на сторону продукта, продукт верифицирует подпись, используя вшитый публичный ключ на предмет соответствия данным пользователя для того, чтобы решить — предоставлять ли доступ и вообще тот ли это пользователь?

Вот как у нас это выглядит:

Дальше: 3:1…

28 января мир отмечал международный день защиты данных. Действительно есть что отметить. Цифровые данные – это валюта нового тысячелетия, аккумулированные знания о триллионах кликах и транзакций, золотое дно для крупных корпораций. На продаже этих кибер-ресурсов строятся многомиллиардные бизнесы, и их много.

Международные IT-компании зачастую имеют доступ к бóльшему объёму данных, чем государства и профильные ведомства. Тема исключительно важная, но – увы! – токсичная.

Само собой разумеется, что всяческих мошенников и нечистых на руку компаний было, есть и будет великое множество. Кибер-Паниковские, -Бендеры, -Рога-and-Копыта плодятся и размножаются поактивнее новомодного китайского вируса. Но есть и рецидивы у вполне уважаемых компаний, которые уже не один десяток лет на рынке. Но об этом чуть позже.

Сейчас же мне бы хотелось задать один простой вопрос, на который пока нет ответа в глобальном IT-пространстве. «Что такое хорошо и что такое плохо?» (с) Маяковский. Где грань между общечеловеческой моралью и бизнес-этикой? Где эта тонкая грань??

К сожалению, вопрос кибер-этики и кибер-морали остаётся понятием довольно размытым. Смею заверить вас, что с внедрением 5G и ростом вездесущих IoT девайсов наших данных с каждым годом будет собираться всё больше и больше.

Источник

Теперь подробнее. По пунктам. По самым главным и злободневным и весьма интересным вопросам.

Дальше: ахтунг!…

Сегодня в рубрике «Ай-да-новости» новая порция IoT-страшилок.

Во-первых, не могу не прокомментировать нашумевшую дрон-атаку на Saudi Aramco. Имхо что это лишь первая ласточка среди множества подобных атак, о которых нам предстоит узнать в будущем. В Саудовской Аравии так ещё и не разобрались, кто виноват, а мы тем временем уже решили, что делать. И выпустили новый программно-аппаратный комплекс Kaspersky Antidrone.

Как сей зверь будет работать?

Устройство считывает координаты движущегося объекта, нейросеть определяет является ли он дроном, в положительном случае после этого блокируется его связь с пультом управления. В результате дрон самостоятельно возвращается к точке старта, либо совершает мягкую посадку. Система может быть стационарной или передвижной — например, для установки на автомобилях. Основное предназначение антидрона — защита критически важной инфраструктуры, аэропортов, промышленных объектов, а также частной и коммерческой собственности. Случай с Saudi Aramco – яркое подтверждение насущной необходимости во внедрении подобных технологий. В 2018 году мировой рынок беспилотников оценивался в $14 млрд, а к 2024 году, по прогнозам аналитиков, достигнет $43 млрд. Одновременно с рынком беспилотников будет расти и рынок решений, защищающих от их вторжения. Но наш Kaspersky Antidrone — пока единственный вариант на отечественном рынке, умеющий детектировать объекты по видео с помощью нейросети и первый в мире использующий лазерное сканирование для обнаружения дронов.

Дальше: IoTмагеддон…

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. «Казалось бы» – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

«Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении»

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные «белые» хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем «монополию на исследования» в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что «в Багдаде всё спокойно». Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что «доступ независимых разработчиков к системе = потенциальный вектор атаки». Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять «монополию на исследования» и маркетинговую отстройку.

Всем привет!

С летних каникул возвращается рубрика «Ай-да-новости». И сразу бахнем нетривиальной темой промышленной кибербезопасности.

Если кто-то пропустил посты о том, как я провёл это лето, то ознакомится можно здесь. А вот как провели лето некоторые сотрудники Южно-Украинской АЭС стало известно из… криминальной хроники. Служба безопасности Украины этим летом пресекла майнинг криптовалюты (sic!) в режимных помещениях этой станции. Результатом этого внештатного хобби стала утечка сведений о физической защите станции, которые составляют гостайну. А это уже не только печально, но даже как-то страшновато.

источник

Дальше: цифры говорят…>