Поиск

В последнее время все больше железнодорожных компаний по всему миру настраивают в своих поездах сети Wi-Fi для пассажиров.Тем не менее, возможность пользоваться интернетом не только делает поездки гораздо комфортнее, но и развязывает руки хакерам. К такому выводу пришли исследователи безопасности на основании ряда тестов на проникновение, результаты которых опубликовал специалист компании Pen Test Partners Кен Манро. В процессе тестирования исследователи обнаружили отсутствие разделения между сетями для пассажиров, сотрудников железной дороги и для управления поездом. Получив доступ к пассажирской сети, исследователям затем удалось получить доступ и к управлению поездом. Вторая обнаруженная исследователи проблема заключалась в учетных данных по умолчанию. С их помощью специалисты смогли получить персональную информацию пассажиров и данные их платежных карт (в поездах некоторых компаний пассажиры второго класса должны платить за пользование Wi-Fi). Манро не назвал компанию, в поездах которой были обнаружены описанные выше проблемы, но дал несколько рекомендаций по их исправлению. Прежде всего, отмечает исследователь, необходимо изолировать пассажирскую сеть от остальных (трафик должен проходить только между пользовательскими устройствами и интернетом). Интерфейс панели управления беспроводным маршрутизатором не должен быть доступен для пассажиров, поэтому администраторам рекомендуется настроить список тех, кому разрешен доступ. По словам Манро, лучший способ отделить сети друг от друга – использовать отдельное аппаратное обеспечение. Все оборудование должно находиться вне физической досягаемости злоумышленников, а ПО – регулярно обновляться. Все учетные данные администратора должны быть надежными, а спутниковые терминалы – изолированы от публичного интернета и регулярно получать обновления.

Valve заплатит пользователям за найденные в её сервисах баги и уязвимости. Заработать на ошибках компании смогут участники платформы HackerOne. Сумма денежного вознаграждения зависит от масштаба выявленной проблемы. Максимальная награда за нахождение мелких багов — $200. Если пользователь выявит ошибки средней сложности, он может рассчитывать на сумму от $250 до $1000. Огрехи разработчиков и уязвимости, оказывающие сильное влияние на работу сервиса или игры, оцениваются от $500 до $2000. Выплаты за критические ошибки начинаются от $1500 и определяются индивидуально. Valve предупредила, что хакеры должны искать ошибки только в программном обеспечении. DDoS-атаки, социальная инженерия, фишинг, взлом серверов и попытки проникнуть в офисы компании могут повлечь за собой уголовную ответственность. Искать уязвимость следует на сайтах, принадлежащих Valve, Steam и сопутствующих сервисах платформы. Так, примером может послужить опыт студента Руби Нилона (Ruby Nealon), которому удалось добавить в Steam игру, минуя необходимые процедуры и проверки. Подросток изучил работу сервиса и нашёл уязвимость, которая позволила ему определить статус проекта без участия модераторов.

Останкинский районный суд завершил рассмотрение дела группы хакеров, обвиняемых во взломе защиты карты «Тройка» и других проездных билетов. Дениса Казьмина, Юрия Путина и Павла Андрюшина обвиняют в причинении имущественного ущерба ГУП «Мосгортранс» и Центральной пригородной пассажирской компании (ЦППК) на сумму более 2 млн руб. Также Казьмина и Путина обвиняют в неправомерном доступе к компьютерной информации (ст. 272 УК РФ) и создании и использовании вредоносных компьютерных программ (ст. 273 УК РФ). Обвиняемые свою вину не признали. Вынесение приговора ожидается 31 августа. По данным следствия, хакеры заранее создали и внедрили вредоносную программу для осуществления доступа к локальной сети ЦППК. Для несанкционированного доступа использовался бэкдор, который был заранее загружен на плату турникета. Программа предназначалась для несанкционированного копирования информации ЦППК, нейтрализации средства защиты данных, находящихся в памяти плат турникетов на станции «Москва-3». Таким образом обвиняемые получили доступ к охраняемой законом информации, в том числе ключам шифрования, и произвели ее копирование. Используя полученные данные, обвиняемые самостоятельно пополняли проездные билеты. В ходе следствия у них изъяли более 200 карт. Проездные хакеры продавали и использовали сами. По словам экспертов в сфере информационной безопасности, мошенничество с транспортными картами не самый выгодный криминальный бизнес. Средств на них хранится немного, а шифрование данных затрудняет хакерам доступ. В “Мосгортрансе” отметили, что за последние два года было возбуждено три уголовных дела о мошенничестве с транспортными картами, одно из них рассматривается в суде.

«ВКонтакте» объявила о том, что за два года участия в программе по поиску уязвимостей HackerOne социальная сеть выплатила свыше $148 тыс. 292 специалистам по информационной безопасности, которые сообщили об обнаружении технических уязвимостей в сервисах компании и официальных мобильных приложениях. Всего с мая 2015 г. «ВКонтакте» получила свыше 3000 отчетов — 385 из них оказались полезными и поэтому их авторы получили вознаграждение. Размер вознаграждения прямо пропорционален серьезности уязвимости, минимальная награда составляет $100. Выплата производится только первому исследователю, сообщившему об ошибке. Эксплуатация уязвимостей против пользователей «Вконтакте» влечет за собой полный отказ в выплате. HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение. В программе также участвуют Adobe, Twitter, Uber, Snapchat, Pornhub, Dropbox и другие крупнейшие мировые IT-компании.

Исследователи Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии обнаружили новый класс атак на Android, который называется Cloak and Dagger. Он позволяет злоумышленникам осуществлять действия на смартфоне втайне от пользователя: например, записывать нажатия кнопок и устанавливать программное обеспечение. Уязвимости класса Cloak and Dagger используют особенности пользовательского интерфейса Android и требуют лишь двух разрешений: SYSTEM ALERT WINDOW (draw on top) и BIND ACCESSIBILITY SERVICE (a11y). Это обеспокоило исследователей, поскольку Android автоматически предоставляет разрешение на рисование поверх окон (draw on top) всем приложениям из Google Play. После получения этого разрешения хакер легко может получить и второе — a11y. Приложения с поддержкой Cloak and Dagger скрывают слой вредоносной активности под безвредными визуальными эффектами, из-за чего пользователь может нажимать на невидимые элементы и активировать алгоритмы регистрации нажатия кнопок. «Что ещё хуже, мы заметили, что приложение с доступом может запускать события, разблокировать телефон и взаимодействовать с любыми другими приложениями, когда экран отключен, — пишут исследователи. — Так хакер может совершить серию вредоносных операций, когда экран полностью отключен, а затем снова заблокировать телефон и оставить пользователя в неведении». Google уже известно об уязвимости. «Мы тесно работали с исследователями и, как всегда, ценим их усилия, направленные на обеспечение безопасности наших пользователей, — заявил представитель компании. — Мы обновили Google Play Protect — наши службы безопасности на всех устройствах на базе Android с Google Play, — чтобы обнаружить и предотвратить установку этих приложений. Ещё до появления этого отчёта мы встроили новые системы безопасности в Android O, которые укрепят защиту от этих проблем». Один из исследователей, Яник Фратантонио (Yanick Fratantonio), рассказал TechCrunch, что последние обновления для Android могут защитить от Cloak and Dagger. Команда проведёт ряд тестов и обновит сайт. Пока он советует не загружать незнакомые приложения и следить за упомянутыми разрешениями.

ПАО "Мобильные ТелеСистемы" (МТС) до конца года планирует выйти на рынок услуг информационной безопасности (ИБ) для продажи сторонним заказчикам коммерческих сервисов по противодействию киберугрозам. МТС считает это логичным шагом в трансформации из телеком-оператора в ИТ-компанию. Как сообщил пресс-секретарь МТС Дмитрий Солодовников, у компании есть глубокая экспертиза в области ИБ. Оператор не только использует системы кибербезопасности от мировых вендоров, но и разрабатывает такие системы внутри себя. Эксперты МТС по ИБ проводят расследование инцидентов, на которые реагируют системы безопасности, выявляют возможные угрозы для абонентов. "Объем капитальных затрат МТС в России за последние пять лет превышает 400 млрд руб. Значительная часть этих средств расходуется на ИТ-системы, в том числе на системы, обеспечивающие ИБ. Мы готовы предложить наши уникальные ресурсы внешнему рынку", - отметил Дмитрий Солодовников. Для выхода на новый рынок МТС запустила центр мониторинга информационной безопасности (Security Operations Center, SOC), работающий в режиме 24х7. SOC создан на базе ресурсов департамента информационной безопасности МТС. Компания модернизировала системы управления событиями безопасности и контроля защищенности, расширила штат соответствующих специалистов. Пока SOC работает для нужд МТС и позволяет эффективнее бороться с киберугрозами, быстрее выявлять попытки проникновения в системы, оперативно разрешать инциденты. Кроме того, на базе SOC оператор начал тестировать сервисы с несколькими компаниями - проводить глубокий анализ событий безопасности, а потом использовать этот опыт в разработке продуктов для внешнего рынка. Причем компания планирует создать продукты как по типу информационных угроз, так и вертикальные решения для разных отраслей. Для этого МТС намерена использовать не только свои ресурсы, но и компетенции "дочки" - ЗАО "Энвижн Груп" (NVision Group). "МТС трансформируется из традиционного оператора связи в ИТ-компанию с масштабной телеком и ИТ-инфраструктурой. Мы уже предоставляем клиентам комплекс ИТ-решений - облачные услуги, сервисы на основе анализа Big Data, услуги системной интеграции, финансовые сервисы, мобильные приложения и др.", - говорит Дмитрий Солодовников. По его словам, совокупный эффект от решений Big Data в 2016 г. составил 536 млн руб. Теперь оператор хочет выйти на рынок с экспертизой в области ИБ. "Выход на рынок ИБ нового игрока свидетельствует о признании крупными игроками ИТ и телеком-рынка необходимости развития компетенций в области инхаус-разработок в сфере безопасности и включения в продуктовую линейку сервисов защиты от кибератак. Мы оцениваем данный тренд как возможность реализации совместных проектов с операторами связи, в том числе с МТС, по созданию эшелонированной системы защиты от DDoS-атак на базе нашей системы invGUARD, позволяющей гарантировать абонентам устойчивость облачных сервисов к DDoS-атакам на федеральном уровне", - сообщила пресс-секретарь группы компаний Inoventica Екатерина Хробостова. Напомним, драйвером роста бизнеса Inoventica, как заявляет сама компания, является предоставление облачных услуг и услуг по информационной безопасности. Менеджер по развитию бизнеса в области информационной безопасности Orange Business Services в России и СНГ Андрей Прошин считает, что решение МТС о диверсификации продуктового портфолио выглядит закономерным. "Рынок традиционных ИКТ-услуг уже пришел к стадии насыщения. Более того, многие из операторов за рубежом уже давно проходят подобную трансформацию. Являясь международным оператором связи, мы уже несколько лет реализуем стратегию по репозиционированию в поставщика полностью управляемых услуг, в том числе и в области информационной безопасности", - подчеркнул он. Андрей Прошин говорит, что такая стратегия приносит плоды. Зафиксированный Orange Business Services темп прироста выручки в 2016 г. составил 26% в ИТ-сфере против 6% в телекоммуникационной. Для операторов связи сегмент ИБ является одним из наиболее привлекательных направлений для развития. Например, через Orange Business Services как международного оператора проходят огромные объемы трафика, что позволило сформировать экспертизу по самым разным видам атак. "В России у нас уже действует SOC для защиты от DDoS-атак, в 2018 г. мы запустим SOC по остальным услугам", - подчеркнул Андрей Прошин. Оператор предоставляет клиентам такие решения, как защита от DDoS-атак, шифрование по ГОСТ, межсетевые экраны, MDM, консалтинг (проектирование, аудиты) и интеграция. "Если речь идет об услугах класса Managed SOC, то это скорее хороший знак для рынка. Это направление является классическим для MSSP-провайдеров (Managed Security Service Provider) и пока в России представлено весьма ограниченно, всего несколькими, но сильными решениями - например, компанией Solar Security. Появление нового подобного предложения на рынке позволит увеличить конкуренцию и за счет этого, возможно, снизить немного цены подобных услуг и повысить их качество", - полагает менеджер по развитию бизнеса "Лаборатории Касперского" Кирилл Керценбаум. Директор по технологиям "Акадо Телеком" Дмитрий Медведев заявил, что позитивно относится к инициативе МТС. "Во-первых, на рынке расширяется спектр предлагаемых услуг, а во-вторых, добавляется экспертиза еще одного игрока. Как следствие - корпоративный потребитель получает больше конкурентного сервиса", - подчеркнул он. По его словам, тема информационной безопасности после известных событий недельной давности приобретает наивысший приоритет внимания серьезных игроков рынка, как со стороны заказчиков, так и со стороны компаний, предлагающих данный сервис и услуги. Напомним, 12 мая началась масштабная кибератака, коснувшаяся более 200 тыс. пользователей и организаций в 150 государствах. Хакеры заразили компьютеры с операционной системой Windows вирусом-вымогателем WannaCry, который требовал от пользователя "выкуп" в биткоинах за снятие блокировки с операционной системы. В России хакеры атаковали компьютеры Сбербанка, мобильного оператора "МегаФон", МВД и МЧС.

В ближайшие несколько дней следует особенно внимательно относиться к файлам Microsoft Word. В офисном пакете редмондской компании обнаружилась уязвимость, которая позволяет злоумышленникам с лёгкостью заражать компьютеры ничего не подозревающих пользователей. Баг раскрывается через заражённые документы Word, открытие которых приводит к загрузке вредоносных HTML-приложений, замаскированных под RTF-файлы. После открытия приложение связывается с удалённым сервером и запускает специальный скрипт, незаметно устанавливающий вредоносное программное обеспечение. Обычно Office предупреждает человека об опасности, если он пытается открыть документ с включёнными макросами. Но недавно обнаруженная атака создана таким образом, что потенциальную атаку предотвратить было крайне сложно. Уязвимость первыми обнаружили исследователи McAfee, после чего компания из сферы кибербезопасности FireEye рассказала о той же проблеме. Она решила не раскрывать подробности найденного в Office бага до тех пор, пока Microsoft не сможет его исправить. Обе компании отмечают, что проблема связана с Object Linking and Embedding (OLE) — технологией связывания и интеграции объектов в другие документы, разработанной Microsoft. За последние несколько лет функция использовалась злоумышленниками не раз и не два. Уязвимость распространяется на все версии Office, включая Office 2016 для Windows 10. Представитель Microsoft заявил, что компания исправит проблему в ежемесячном обновлении, которое выйдет 11 апреля. Пока же исследователи McAfee рекомендуют открывать документы только в защищённом режиме и воздержаться от запуска файлов, загруженных из ненадёжных источников.

В течение одного месяца по крайней мере десять хакерских группировок взламывали системы с web-приложениями, созданными с помощью фреймворка Apache Struts. Злоумышленники устанавливали бэкдоры, ботов для DDoS-атак, ПО для майнинга криптовалюты и программы-вымогатели в зависимости от атакуемой ОС (Windows или дистрибутивов Linux). В ходе атак киберпреступники эксплуатировали уязвимость нулевого дня в Apache Struts, раскрытую и исправленную в прошлом месяце. Уязвимость CVE-2017-5638 позволяет выполнять команды на сервере путем загрузки контента в используемый в некоторых приложениях Struts компонент Jakarta Multipart. Как сообщают эксперты компании F5, атаки начались сразу же после раскрытия уязвимости исследователями Cisco Talos и публикации ряда PoC-эксплоитов. С начала марта текущего года атаки с эксплуатацией уязвимости постепенно эволюционировали. Вначале хакеры атаковали реализации Struts только на Linux-серверах, где затем устанавливали вредоносное ПО для осуществления DDoS-атак PowerBot (также известно как PerlBot и Shellbot). Позднее некоторые группировки стали устанавливать майнер «minerd» для генерирования криптовалюты Monero. Также были зафиксированы атаки с использованием бэкдора Perl. По данным экспертов технологического института SANS, после 20 марта одна из группировок начала атаковать реализации Struts на Windows-серверах. Используя слегка модифицированный эксплоит, злоумышленники выполняли различные shell-команды для запуска утилиты BITSAdmin, а затем через FTP загружали вымогательское ПО Cerber. Программа шифровала хранящиеся на системе файлы и отображала уведомление с требованием выкупа за их восстановление. По словам исследователей, для нескольких кампаний злоумышленники использовали один и тот же биткойн-кошелек. На их счету числится 84 биткойна (около $100 тыс.). Ежедневно кошелек пополняется в среднем на 2,2 биткойна (около $2,6 тыс.).

Исследователи компании SiteLock обнаружили вредоносный плагин WordPress под названием WP-Base-SEO, подделанный под настоящий инструмент для поисковой оптимизации WordPress SEO Tools. На первый взгляд файл кажется вполне легитимным, включая ссылку на базу данных плагинов WordPress и техническую документацию. Однако в ходе более подробного анализа эксперты обнаружили зашифрованный с использованием base64 запрос eval. Eval представляет собой популярную у киберпреступников PHP-функцию, выполняющую произвольный PHP-код. Из-за частого применения хакерами php.net рекомендовал полностью отказаться от ее использования. Директория плагина содержит два файла. Один из них, wp-sep.php, использует различные функции и имена в зависимости от установки. Второй, wp-seo-main.php, использует «родной» функционал WordPress для присоединения запроса eval к «шапке» сайта. С его помощью злоумышленники получают доступ к ресурсу. Как пояснили эксперты, инициализация запроса происходит при каждой загрузке темы в браузере. Исследователи обнаружили множество сайтов с установленным вредоносным плагином. Тем не менее, поиск по названию WP-Base-SEO не предоставляет никакой информации. Из этого следует, что данное вредоносное ПО в настоящее время практически не детектируется.