• Перший канал і безліч інших ЗМІ розповіли про хакерів-мільйонерів, які змогли «зламати мережі» різних операторів і дистанційно керувати телефонами жертв, списуючи з них гроші. Кількість недомовок і відвертого нерозуміння, брехні, у цій історії перевищує розумні межі. Давайте розберемося, що саме сталося і що такого унікального в тій схемі, що використовували злодії. Поспішаю також заспокоїти, чудес не буває і стандарт GSM ніяк не скомпрометований поточної атакою.
    викладені Факти прес-служба управління
    - затримана Злочинна група у Москві, їх розробка проводилася близько півроку.
    - Постраждало 50.000 людей по всій країні за рік. Сума збитку близько 3 мільйонів рублів
    - Шахраї використовували автомобіль з якого здійснювали злом телефонів
    - В машині було встановлено обладнання незаконно і контрабандно ввезене в РФ
    - У відео показали також два ноутбуки встановлених в машині
    - Программист сидів на квартирі і дистанційно зламував телефони, він не перебував у машині
    - Радіус до 5 кілометрів від автомобіля, в його межах міг здійснювати злом
    - Всім процесом керував диспетчер
    - Використовували послуги фрілансерів, щоб доопрацювати програми для злому телефонів
    - У схемі брало участь 7 осіб, організатор не спійманий. Виконавці отримували від 30 до 50 тисяч рублів
    - на сполох забили в одному з операторів, випадково виявивши схему
    Як журналісти трактували історію
    Мені за коментарем подзвонили в обідній час і розповіли, що зловмисники зламали мережі операторів і змогли відводити дистанційно гроші з рахунків. Журналіст говорив про деякої базової станції, яка їздила по Москві і до якої приєднувалися звичайні громадяни, після чого їх телефони потрапляли в підпорядкування. Подібного бреда мені давно не доводилося чути, але це був тільки початок. Потім подібні байки стали з'являтися в масі джерел. А в операторів відмовлялися коментувати ситуацію, посилаючись на таємницю слідства і те, що не хочуть давати зброю зломщиків. З іншого боку, тим, хто займається цим давно зрозуміло, як їх знайшли і чому, а ось режим секретності шкодить звичайним споживачам.
    Давайте разом розбиратися, що сталося і як.
    Геніальна злочинна схема
    Отже, у газелі яка маскувався під агентство нерухомості знаходився водій і ще один чоловік, вони подорожували по Москві і встали в людних місцях. Далі другий співробітник підприємства «Роги і Копита» включав два ноутбуки та починалася робота. Дистанційно до цих ноутбуків підключався інший співробітник і починав сканувати ефір на предмет відкритого bluetooth/з'єднання wifi на мобільних телефонах у радіусі до 5 кілометрів. Ось тут і знадобився сканер ефіру, який і назвали дуже складним і відсутнім в Росії обладнанням. Це не так, інша справа, що подібне обладнання не сертифіковане і його застосування каране.
    Отже, виявивши працюючий блютуз або вайфай на телефоні зловмисники обирали пароль (стандартні нулі, одинички і так далі). При цьому залежно від моделі та виробника використовувалися різні уразливості. Якщо пароль не був підібраний протягом 5-10 хвилин, то це заняття кидали і переходили до іншого апарату. Підібравши пароль з зламаного телефону здійснювали дзвінок або відправляли смс на платний номер (вартість від 30 до 80 рублів). Зломщики не скупилися, не викачували всі гроші, вели себе непомітно. Одним словом, здійснювали відбір коштів в невеликих кількостях. І це гарантувало їх непомітність і можливість працювати тривалий час.
    У цій схемі назва не сам метод злому, використовувалося стандартне устаткування і якийсь софт, який був написаний для полегшення злому, але базувався на пз, яке можна легко знайти в мережі. Немає. У схемі унікально саме як організатор, якого не зловили все зробив. Ніхто з учасників не знав його. Протягом півроку До управління виходило на диспетчера, але знайти того, хто стоїть за ним так і не вдалося. Тобто рівень безпеки був дуже непоганим. Впевнений, що таких машин було небагато, а смішний рівень збитку пояснюється тим, що зловили тільки одну бригаду і один номер для відправлення платних SMS.
    Організувавши з десяток машин, можна було з легкістю вилучати гроші на більшій кількості людей. Чому я думаю, що це була не одна машина? У сюжеті на першому каналі було показано, що хтось керував районами в яких працює машина. Тобто вказував, де треба попрацювати. Це потрібно тільки у випадку, коли таких машин і кілька необхідно добитися того, щоб вони не перетиналися між собою. Це найпростіше пояснення.
    І шансів знайти при такій організації того, хто реально стоїть за зломами, майже немає. Просто він розумніші і хитріше тих хто його ловить. За півроку не зловити організатора означає, що операція управління До провалилася. Де факто. З іншого боку, поліцейські переможно повідомили про свій успіх, але вважати його таким чи ні, вирішувати вам. Я дотримуюся думки, що успіху немає зовсім. Забрали виконавців, устаткування, копнули лише верхівку айсберга.
    розкрили Схему випадково в центрі спостереження за мережею компанії Мегафон. Побачили, що на один з платних номерів СМС йдуть, як правило, з різних районів міста, але одночасно. І це здалося дивним. З'ясовуючи у абонентів, що вони робили, дізналися, що ніхто не відправляв нічого. Самі абоненти не помічали крадіжки грошей з рахунків. Дивно добре продумана схема, що й доведено на практиці.
    P.S. Для абонентів це привід вимикати bluetooth/wi-fi, коли він не потрібен. Режим невидимості пристрою в цій ситуації не рятує, необхідно саме вимикати. Також варто придумувати свої паролі, які відрізняються від стандартних і складніше їх. Прості правила, яких не дотримується більшість людей.
    Також у нас є привід для гордості. Це перший в світі задокументований випадок масового злому телефонів.
    Автор: EldarMurtazin. Джерело: habrahabr


  • Хакери створили сайт, що дозволяє встановлювати на девайси від Apple програми в обхід App Store
    Стів Джобс в люті! Так прискіпливо вибудовує його компанією система по прив'язці всіх ігаджетов до єдиним офіційним магазину додатків і програм App Store тріщить по швах. Волелюбні хакери не тільки знайшли спосіб зламувати популярну техніку від Apple, щоб встановлювати на пристрій піратський софт, але і зробили цей процес загальнодоступним.
    Група iPhone Dev Team створила сайт, що дозволяє зламувати мобільну техніку Apple навіть непродвинутою юзерам. Для цього потрібно всього лише відкрити сторінку порталу в браузері гаджета, після чого відбувається так званий джейлбрейк. Це офіційно не підтримувана Apple операція, яка дозволяє відкрити програмного забезпечення повний доступ до файлової системи пристрою, що розширює можливості апарату. Користувач може завантажувати на девайс піратський софт в обхід офіційного магазину додатків App Store. Раніше подібну процедуру умільці могли зробити, підключивши мобільний пристрій до комп'ютера і запустивши спеціальну програму. Злому можна піддати пристрої на базі операційної системи iOS: плеєри iPod touch, смартфони iPhone і планшетника iPad, у тому числі і останню модель iPad2.
    Apple всіляко засуджує саму можливість джейлбрейка і позбавляє гарантії виробника будь-який пристрій піддане злому. Але американське законодавство на цей рахунок не так однозначно. Закон про "копірайт в цифрову епоху" (DMCA - Digital Millennium Copyright Act) допускає можливість встановлення будь-якого програмного забезпечення на мобільний пристрій і зняття прив'язки апарату до стільникового оператора.
    Процедури злому, аналогічні джейлбрейк для iOS, існують і для інших мобільних платформ з обмеженнями на встановлення додатків і доступ до файлової системи, включаючи Android і Symbian 9 і для ігрових консолей PS3.


  • Широка доступність веб додатків, які проникають у всі сфери нашого життя, - це палиця про два кінці: їх дуже легко зламати. Популярність і значущість порталу не мають значення, оскільки "принцип Невловимого Джо вже не працює. Під загрозою перебувають практично всі сайти: якщо ситуація не зміниться, одні ресурси зламають цілеспрямовано, інші "зачеплять" випадково, в ході автоматизованої масової атаки. Втрати можуть бути різні: від банальної заміни головної сторінки або включення в ботнет до перехоплення управління виробничим циклом, крадіжки коштів та клієнтської бази.
    Проводячи аналіз веб додатків ключових російських компаній і промислових підприємств, експерти компанії Positive Technologies шукали відповіді на декілька питань. Наскільки добре захищені великі інтернет-сайти? Від чого залежить безпека додатків? Який інформації не вистачає для ефективного управління ризиками? Чи існують ефективні способи підвищити безпеку важливих для бізнесу веб додатків?
    Об'єктами дослідження стали 123 порталу компаній і організацій державного і фінансового секторів, телекомунікаційної, промислової та інших галузей російської економіки. Відносно невелика кількість сайтів не повинно вводити в оману: детального аналізу піддалися саме ті бізнес-системи і державні об'єкти, безпека яких інвестуються значні кошти. На вивчення і усунення вразливостей кожного об'єкта було витрачено кілька людино-місяців.
    Незважаючи на добре збудовані в цих організаціях ІБ-процеси, 10% проаналізованих сайтів не тільки утримані критичні уразливості, але і вже були зламані. Дві третини веб ресурсів мали критичні уразливості, і майже на всіх сайтах (98%) були виявлені проблеми з безпекою середнього рівня ризику.
    Вільні CMS: заражений кожен четвертий сайт
    Дослідники звертають увагу на низьку безпека сайтів, що використовують CMS власної розробки (на таких веб-ресурсах значно частіше зустрічалися критичні уразливості, ніж на порталах з комерційними і вільними системами). Єдиний виняток стосується фактичного зараження шкідливим кодом: серед ресурсів, сконструйованих на базі CMS власної розробки, заражені виявилися тільки 5%. Частки сайтів з ознаками злому на комерційних і вільних системах були помітно вище: 8% і 24% відповідно. Це пов'язано з тим, що веб-додатки на базі саморобних CMS, незважаючи на наявність великої кількості вразливостей, менше схильні до "випадкового" злому в рамках масової атаки з використанням автоматизованих засобів.
    З іншого боку, портали з ексклюзивними движками - відмінна мішень для цілеспрямованого нападу. Якщо ваші секрети знадобляться конкурентові - веб-додаток, швидше за все, зламають.
    Сайти телекомів уразливі найбільше
    Поступове перетворення телефонів в електронні гаманці відбувається на тлі вкрай низькою інформаційної безпеки сайтів телекомунікаційного сектора: приблизно 88% ресурсів містять критичні уразливості.
    Велике число уразливих веб додатків пов'язано з екстенсивним зростанням телекомунікаційних компаній. Широке поширення угод по злиттю і поглинанню створює надмірне різноманіття типів інформаційних систем та обладнання, значно ускладнює обслуговування технологічного парку.
    ІТ і держсектор
    Достатньо багато порталів з критичними уразливими місцями було виявлено також у сфері інформаційних технологій та державному секторі, де частки ресурсів з найбільш критичними уразливими місцями становлять відповідно 75% і 65%.
    При запуску державних інтернет-порталів їх творці і власники основну увагу приділяли контенту і функціональності, але не захищеності. Наслідком стала можливість витоку персональних даних громадян, які обробляються державними веб-ресурсами, доступу зловмисників до внутрішньовідомчої інформації, листуванні, документів та іншої важливої інформації.
    Концентрація вразливостей в промислових веб-додатках
    Рівень захищеності в промисловій галузі можна охарактеризувати як середній. Критичні уразливості були знайдені на 50% сайтів (це краще ситуації в телекомі і держсекторі). З іншого боку, у промисловій сфері експерти Positive Technologies виявили цілий ряд ресурсів, на яких концентрація критичних вразливостей вкрай висока.
    Парадоксально, але факт: найуразливіші програми були пов'язані з критичними з точки зору безпеки завданнями. Серед них - удаленный і термінальний доступ, системи управління підприємством (ERP, включаючи SAP R/3), доступні з інтернету або офісної мережі елементи систем управління виробничим процесом (АСУ ТП, SCADA). На жаль, інформація про останні інциденти і погрози APT (Advanced Persistent Thread), таких як Night Dragon, Stuxnet, Duqu, - показує, що саме ці системи є метою мотивованих зловмисників.
    Сайти банків й системи ДБО: позитивний ефект Compliance
    Найбільшу увагу захищеності своїх сайтів від критичних вразливостей приділяють власники веб ресурсів з фінансової галузі: тільки 43% проаналізованих веб додатків містять критичні уразливості. У системах дистанційного банківського обслуговування усунені практично всі критичні уразливості, такі як SQL Injection або Remote Code Execution. Це пояснюється високими бізнес-ризиками і жорстким регулюванням з боку платіжних систем в рамках стандарту PCI DSS, який, зокрема, стосується і безпеку веб додатків.
    Якщо застосувати вимоги PCI DSS до всіх веб додатків фінансового сектора, то тільки 10% відповідають необхідного рівня захищеності. Низький рівень відповідності обумовлений досить великою кількістю вразливостей середньої і низької ступеня ризику: 98 з кожних 100 недоліків, виявлених у системах ДБО та інших веб-додатках фінсектора, не є критичними.
    У результаті сучасному кіберзлочинці набагато зручніше використовувати для атаки комп'ютер клієнта банку, який виявляється найслабшою ланкою в системах віддаленого надання банківських послуг. Такі уразливості, як межсайтовая підміна запитів (CSRF, знайдена в 6% систем ДБО) і міжсайтового виконання сценаріїв (XSS, 18%), не будучи критичними, при певних умовах дозволяють зловмисникові здійснити фішинг-атаку і здійснити крадіжку. Ще одна проблема веб додатків ДБО - логічні уразливості, пов'язані з помилками при розробці додатків.
    Основні причини зараження шкідливим кодом
    У ході дослідження були детально вивчені ресурси, на яких виявився шкідливий код (їх частка склала 10%). Практично всі сайти, заражені шкідливим кодом (92%), написані на мові PHP і працюють під управлінням веб сервера Apache. Половина зламаних веб додатків функціонують під управлінням вільних CMS. Експерти Positive Technologies з'ясували, що зараження інформаційного ресурсу найбільш сприяє наявність вразливостей Виконання команд ОС" і "Неправильні права доступу до файлової системи". Третина всіх сайтів з уразливістю Виконання команд ОС" виявилася інфікована.
    "Найчастіше при спробі оцінити ті або інші ризики в області безпеки фахівцям бракує тривіальної речі - точки звіту, можливості порівняти поточний рівень своєї захищеності з ситуацією в галузі в цілому, - прокоментував результати дослідження Сергій Гордейчик, технічний директор Positive Technologies. - Ми сподіваємося, що надана інформація допоможе компаніям виважено проаналізувати актуальні загрози безпеки веб додатків і вибрати адекватні механізми захисту. Зрозуміло, що не можна судити про ймовірності компрометації виходячи тільки з статистики вразливостей. Але той простий факт, що 10% найбільших корпоративних сайтів і веб додатків містили шкідливі програми, тобто вже були зламані, - змушує замислитися про поточний рівень захищеності".
    Висновки
    Індустрія інформаційної безпеки поки не відлила свою "срібну кулю" - універсальне рішення для захисту веб додатків. Міжмережеві екрани (web application firewall), що стоять на сторожі більшості досліджених додатків, виявляються неефективними, якщо у компанії відсутня можливість систематично аналізувати ризики і виробляти необхідні правила інформаційної безпеки. Тримати руку на пульсі допомагає регулярний аналіз захищеності і контроль відповідності, як вручну, так і з використанням автоматизованих засобів. Але далеко не всі компанії завчасно оцінюють можливі втрати від кібератак та встигають вчасно прийняти вірне рішення.
    повною версією дослідження компанії Positive Technologies представлені також десятка найбільш поширених вразливостей, поквартальна динаміка, порівняння характерних вразливостей в залежності від різних факторів (мови програмування, веб сервера, галузі економіки, типу CMS).


  • На думку експертів, застаріла система захисту і неоновленою веб сервер призвели до того, що персональна інформація користувачів Sony Playstation Network опинилися в руках хакерів.
    Справу про злом віртуальної користувача мережі Playstation Network, яка поєднує власників ігрових приставок Sony, набуває все більший резонанс. Фактом хакерської атаки на PSN зацікавилася Палата представників конгресу США. Комітет комерції провів слухання у цій справі, на яке представники японської корпорації Sony не з'явилися.
    Голова ради директорів Sony Computer Entertainment America Казуо Хіраї (Kazuo Hirai) вирішив дати відповіді на всі питання Палати представників у письмовій формі. Казуо повідомив, що було проведено ретельне розслідування, яке показало, що хакерська атака, проведена на Playstation Network, була ретельно спланованою і виконаної справжніми професіоналами. Казуо назвав цей злом глобальним, підтвердивши, що PSN і раніше піддавалася атак (успішними вони були чи ні - невідомо).
    Між тим, за інформацією ресурсу slashgear.com, група незалежних експертів провела власне розслідування причин злому віртуальної ігровий мережі. Фахівець з безпеки мереж Джин Спаффорд (Gene Spafford) з'ясував, що Sony перейнялася установкою мережного екрану (брандмауер) на сервера Playstation Network, а оновлення веб сервера Apache не проводилося, і його системи безпеки застаріли. На думку експерта, Sony сама відкрила доступ до особистої хакерам інформації користувачів, використовуючи застаріле програмне забезпечення та нехтуючи елементарними правилами захисту інформації.
    Компанія Sony відмовилася давати коментарі щодо уразливості мережі PSN, вона лише заявила про активне проведення робіт по «латання дірок» в системі безпеки. Між тим мережа PSN по -, як і раніше не працює в повному обсязі, але Sony обіцяє повернути її до життя найближчим часом. Злом мережі Playstation Network, в результаті якого була вкрадена особиста інформація більше 100 мільйонів користувачів, вважається одним з найбільших в історії. Компанії Sony вже пред'явлено позов на суму $1 мільярд.


  • Стихійні лиха не попереджають нас про свій візит, так що буря, пожежа, землетрус або інше лихо може бути особливо руйнівним, коли вражає непідготовленої людини.
    Більшість компаній роблять регулярно копії своїх особливо важливих даних. Але що станеться, якщо резервна копія знаходяться в офісі, який одного разу залило водою?
    Просте резервне копіювання даних недостатньо. Необхідно зробити такі кроки, які будуть гарантувати інформації живучість і збереження після катастрофи.
    Ось що потрібно робити:
    Більше песимізму. Спробуйте уявити собі найгірші сценарії можливого катастрофи: інциденти, які можуть зруйнувати ваші ключові ІТ-ресурси. Потім, спробуйте уявити собі, яким чином ви будете відновлюватися після таких руйнівних подій. Визначте ті дані, які будуть потрібні в першу чергу, щоб була можливість продовжити роботу як можна швидше, а також ті архівні дані, які будуть корисні у майбутньому.
    Сплануйте ваші дії. Підходи до архівування даних можна розділити на дві основні категорії: внутрішні і онлайнові. Обидва методу мають свої переваги і недоліки. Внутрішні архіви забезпечують контроль за збереженням та недоторканністю даних, але вимагають для зберігання файлів власні носії, а також необхідно обладнати місце, де дані будуть в безпеці, будуть надійно збережені і в той же час доступні. При онлайн-архівуванні автоматично зберігається важлива інформація на зовнішніх носіях провайдера, заощаджуючи час, необхідний для організації внутрішнього резервного копіювання. Але при онлайн резервному копіюванні відкритим залишається питання безпеки і надійності провайдера.
    Виберіть носій. Якщо Ваша компанія буде використовувати внутрішню стратегію резервного копіювання, ви повинні вибрати носій. Протягом багатьох років підприємства використовують різні засоби резервного копіювання, такі як дискети, касети для стриммера, компакт-диски і так далі. Сьогодні, кращим вибором для резервного копіювання більшості підприємств є DVD. Ці диски компактні, недорогі, щодо міцні і сумісні. Портативні USB/eSATA пристрої зберігання даних є ще однією альтернативою носія, але вони є більш дорогими і складними в організаційному плані.
    Зараз зовнішні жорсткі диски з високою пропускною здатністю продаються за цілком доступною ціною і багато підприємства здійснюють резервне копіювання даних шляхом копіювання файлів з комп'ютера на зовнішній жорсткий диск. Це не погана ідея в короткостроковій перспективі, тому що дані зберігаються щодо швидко і резервне копіювання можна виконувати кілька разів в день. Але архіви повинні зберігатися і тривалий час, тому потрібно носій, який може бути фізично переміщений в інше приміщення. В кінці кінців, ви ж не хочете, щоб пожежа, повінь або інше стихійне лихо зруйнувало основні і резервні дані одночасно.
    Створення резервних копій. Використовуючи технології резервного копіювання, які Ви вибрали, в першу чергу робіть архіви даних, які не можуть бути швидко відновлені: дані про клієнтів, фінансова документація і власне програмне забезпечення. З іншого боку, не має сенсу витрачати час і вільний простір на пристрої, зробивши копії широко поширених і відкритих даних.
    Створіть і дотримуйтесь графіка резервного копіювання. Дані, які вкрай важливі, повинні архівувати в погодинному або навіть більш частому режимі, у той час як інші дані можуть бути архівовані з періодом від одного дня до тижня. Подивіться на ваші дані і визначте, які файли є найбільш важливими. Необхідно визначити, які дані потрібно архівувати часто (особливо значимі дані для роботи підприємства), а які рідко, тому що вони рідко змінюються.
    Виберіть безпечне і надійне місце. Якщо ви зберігайте резервні копії в мережі(онлайн), вам потрібно буде вибрати постачальника(датацентр) для зберігання даних. Виберіть провайдера, який знаходиться далеко від вашого підприємства, і знаходиться в такому місці, що робить зберігання даних безпечним і одночасно доступним. Якщо ваше підприємство знаходиться недалеко від річки або океану, виберіть стратегію внутрішнього зберігання. Якщо Ваша компанія знаходиться поблизу лісових масивів, що робить його вразливим від стихійного вогню, подивіться у бік віддалених провайдерів. Можливі місця зберігання - віддалений офіс із супутниковим зв'язком, банківський сейф або захищене сховище (архів). Найбільш дорогим методом зберігання особливо цінних і часто змінних даних є побудова геокластера. Побудуйте на великій відстані точно таке ж сховище даних, як і на вашому підприємстві і пов'язати їх захищеним оптоволоконним каналом зв'язку (бажано з резервуванням). Дані в основному сховище повинні автоматично дублюватися в резервне сховище. Іноді відстані між такими віддаленими "близнюками" може обчислюватися тисячами кілометрів, але якщо Ваші дані коштують дорожче - то мета виправдовує засоби.
    Резервне копіювання є життєво важливим ключем для відновлення діяльності підприємства після аварії, але воно принесе користь, тільки якщо дані будуть зберігатися безпечно і доступно для швидкого відновлення.


  • Не встиг світ толком розібратися з грізним хробаком Stuxnet, розробленим явно не без допомоги державних спецслужб, як в Мережі з'явився DUQU, що використовує той же вихідний код. На думку Берда Ківі, у ґрунтовно доопрацьованого спадкоємця є всі шанси перемогти батька, але що саме стане його метою?
    Під час Другої світової війни мав одного разу місце такий випадок. Зовсім молода по тим часам американська розвідслужба OSS (з якої згодом вийшло ЦРУ) на прохання англійських колег зайнялася викраденням криптографічних ключів Іспанії. Дуже вже британцям було потрібно регулярно читати шифровану дипломатичне листування генерала Франко, як одного з головних союзників Гітлера в Європі, а аналітичними методами іспанські шифри розкрити не вдавалося.
    Викрадення криптоключей відбувалося абсолютно тривіальним чином. У відповідну ніч умільці по злому з OSS проникали в іспанське посольство у Вашингтоні і копіювали потрібний англійцям черговий комплект ключів. Щоправда, оскільки комплекти мінялися кожен місяць, то й нічні візити в посольство доводилося наносити теж щомісяця. І ось, після завершення четвертого з таких відвідин, співробітників американської розвідки ФБР заарештувало США...
    Звичайно ж, сталося це зовсім не випадково і не через непорозуміння. Просто голова ФБР Едгар Гувер - у роки війни став ще і головним контррозвідником країни - був абсолютно впевнений, що подібного роду таємні справи на американській території можуть відбуватися тільки з його відома і під його контролем. А оскільки шеф зовнішньої розвідки Вільям Донован про операції в іспанському посольстві не тільки з Гувером не радився, але і взагалі не вважав за потрібне ставити його, то директор ФБР вирішив як слід провчити зарвалися шпигунів з суміжного відомства.br/>Нічого путнього, втім, з цього уроку не вийшло. Розлючений Донован (відомий також під прізвиськом Дикий Білл) велів своїм співробітникам зібрати на Гувера суворий компромат. А коли такий був здобутий, всі проблеми розвідки з ФБР стали вирішуватися легко і просто - елементарним методом під назвою «цинічний і нещадний шантаж». Але це вже зовсім інша історія...
    Попередження про загрозу
    Цей кумедний епізод сьогодні ми згадуємо ось з якої причини. Під кінець жовтня відразу кілька державних відомств США, що відповідають за певні аспекти національної безпеки країни, випустили інформаційні бюлетені з попередженнями про нової комп'ютерної загрозу - шкідливої програми під назвою DUQU (читати це буквосполучення в англомовному середовищі пропонується як «дью-кью», однак для російської мови куди більш природно було б просто «дуку»).
    На фоні величезної кількості різноманітних шкідливих кодів, постійно з'являються в системах і мережах, програма DUQU виділяється як особливо небезпечна тим, що несе в собі безперечні особливості фамільного подібності і загального походження зі знаменитим «хробаком черв'яків» по імені Stuxnet. Нагадаємо, в минулому році він просто-таки вразив антивірусну індустрію і мережеву публіку в цілому своєї небувалою складністю і витонченістю. А конкретно для Ірану Stuxnet став проблемою, серйозно затормозившей прогрес у збагачення урану і національну ядерну програму в цілому.
    І хоча документальних - або тим більше офіційних - підтверджень цьому немає, серед фахівців практично ніхто не сумнівається, що створенням коду Stuxnet займалися в секретних лабораторіях державних спецслужб. Більше того, є достатня кількість свідчень, які недвозначно вказують на розвідки держав, які приклали до нього руку, а саме США і Ізраїлю.
    Інакше кажучи, є наступні факти нашої дивною життя. В комп'ютерах безлічі різних держав оголошується нова, досить складні шпигунська програма, за своїм ключовим ознаками явно спрацьована за участю розвідки США. А у відповідь американські органи безпеки начебто DHS (Департамент держбезпеки) і ICS-CERT (Реагування на кіберзагрози в області систем промислового управління) розсилають документи про те, як цієї важковловлюваної напасті слід протистояти (якщо «віджати» всі багатослівні рекомендації, то виходить, що, у загальному-те, ніяк, крім регулярного оновлення штатних антивірусів).
    З одного боку, звичайно, було б дивно, якби не було ніякої реакції взагалі - враховуючи вкрай нервове ставлення суспільства до появи Stuxnet. З іншого ж боку, незрозуміло, яким чином одні структури держави здатні реально захищати від інших - більше потужних, ефективних і засекречені.
    Готових відповідей на такі питання, природно, ні в кого немає. Але щоб краще зрозуміти суть проблеми і масштаб обозначившейся загрози, має сенс детальніше розглянути історію появи Дуку та особливості пристрою цієї цікавої програми.
    Історія явища DUQU
    Хоча першою офіційною публікацією про виявлення нової шкідливої програми, що несе в собі відомі ознаки Stuxnet, став звіт антивірусної фірми Symantec від 17 жовтня цього року, реальна історія виявлення DUQU антивірусним співтовариством почалася на півтора місяці раніше.
    Причому основну роль зіграли угорські дослідники та іспанський антивірусний проект VirusTotal. VirusTotal.com - це веб-сервіс, організований у свій час фірмою Hispasec з Малаги, де здійснюється «тотальний аналіз» присилаються сюди підозрілих файлів за допомогою безлічі різних антивірусних систем. На виході надається список імен впізнання, присвоєних даному шкідливого коду різними компаніями (якщо, звичайно, такий код був вже ким-то виявлений раніше). Нині VirusTotal є спільним підприємством всього антивірусного спільноти. На даний момент кількість набраних разом антивірусних програм становить 43, а кожен новий виявлений зразок коду-шкідника оперативно надсилається всім компаніям і лабораторій, які беруть участь у роботі сервісу.
    Саме тут і сталося «перше побачення» DUQU з антивірусним співтовариством, коли 1 вересня 2011 року якийсь невідомий джерело з Угорщини надіслав в VirusTotal на предмет сканування підозрілий файл під назвою ~DN1.tmp. Найбільш відомі антивірусні програми не побачили в цьому файлі нічого підозрілого, проте два менш популярних движка, BitDefender і AVIRA (точніше, чотири працюють на них антивірусні програми), детектировали його як шкідливий троянець-шпигун. Незабаром після цього початкового детектування цей файл був доданий до бази даних багатьох антивірусних фірм. Проте абсолютно нічого примітного у зв'язку з цим далі не сталося - просто звичайний


  • Корпорація Microsoft протягом 29 вересня надасть загальний доступ до свого нового програмного продукту - безкоштовною антивірусної програми Security Essentials.
    Даний антивірус призначений для захисту користувачів від різного роду шкідливого програмного забезпечення (вірусів, шпигунського пз, троянів і руткітів). Security Essentials працює на комп'ютері у фоновому режимі і попереджає користувача про небезпеку тільки в тому випадку, якщо для цього необхідно його рішення. Незначні загрози програма буде нейтралізувати самостійно.
    Для своєї роботи Microsoft Security Essentials використовує обмежений обсяг ресурсів продуктивності ПК. Оновлення баз даних по шкідливе пз здійснюється в режимі онлайн. Антивірус працює на комп'ютерах під управлінням операційних систем Windows (XP SP2, SP3), Vista, Windows 7. Бета-версія доступна на 8 мовах. В даний час скачати програму можуть користувачі 19 країн. Росії в цьому списку поки немає.
    Як відзначили в Microsoft, антивірус призначений для звичайних користувачів і повинен замінити платну програму Windows Live OneCare, підтримка якої закінчився 30 червня 2009 року. Для корпоративних клієнтів компанія пропонує більш функціональну програму Forefront Client Security, здатну забезпечити централізований захист для всіх комп'ютерів організації.


  • У розпал водохресних морозов з російськомовним IM-каналах прокотилася хвиля нової інфекції, в результаті якої багато втратили доступ до своїх рахунків.
    Користувачі ICQ, QIP, Miranda та ін. стали отримувати від знайомих повідомлення, що пропонують скачати по посиланню файл Piggy.zip. При запуску він виводить флеш-картинку із зображенням симпатичною свинки і написом «Ви інфіковані вірусом N1H1».
    Шкідливою програмою, прихованої в архів, ЛК привласнила найменування IM-Worm.Win32.QiMiral.x. Вона миттєво змінює облікові дані і розсилає спам з «свинський» посиланням за всіма контактам користувача. Як і Hoax.Win32.IMPass.al, демонстрував головоломку з жабами, зловред використовує бот-компонент, здатний підтримати простий діалог, якщо співрозмовник не поспішає завантажувати шкідливий файл і пускається в розпитування.
    Якщо ви отримали аналогічне повідомлення - НЕ ВІДКРИВАЙТЕ ПОСИЛАННЯ. Якщо спокуса було дуже велике і ви «підхопили вірус», перевірте диспетчер завдань і проведіть у комп'ютері пошук процесів і файлів piggy. Потім скористайтеся процедурою відновлення пароля, який після входу на сервіс потрібно буде відразу змінити. І не забудьте розіслати усього контакт-листу попередження, що прийшло від вас повідомлення з посиланням на Piggy.zip небезпечно і завантажити файл не можна. Вам також можуть допомогти обговорення теми на форумах Kaspersky Lab, VirusInfo і в блозі ХабраХабр.
    Будьте пильні: зловмисні повідомлення в системі обміну миттєвими повідомленнями - не рідкість, ЛК реєструє по 2-3 таких розсилки в тиждень. За оцінкою експертів, чергове «свинство» - найчисленніша за останні півроку спам-кампанія на IM-сервісі, і вона ще не закінчилася.


  • Жоден локальний закон проти спаму не може бути по-справжньому ефективним. У разі посилення законів, спамери швидко переносити свою діяльність в регіони, де антиспам-законодавство дуже м'яке або його немає взагалі.
    Прикладом тому служить Австралія: австралійський Spam Act 2003 - один з найсуворіших у світі законодавчих актів з даної тематики. Він висуває безліч вимог до відправника та передбачає високі суми штрафів - близько 800 тисяч доларів США за кожну масову розсилку непрошених повідомлень. Після прийняття закону Австралія вийшла з двадцятки країн - головних джерел спаму. Однак спаму, у тому числі в самій Австралії, не стало менше, спамери просто перенесли свої сервери в інші регіони.
    Ефективним правовим методом боротьби з цим злом може бути тільки міжнародне антиспам-законодавство, прийняття суворих законів у всіх країнах і об'єднання зусиль.
    В цьому напрямку вже зроблені перші кроки. Починаючи з 90-х років ХХ століття, антиспамові закони прийняло значне число різних країн. Спочатку США і європейські країни, потім, в 2006 році, антиспамові закони беруть Росія і Китай, в 2008 - Індія і Бразилія. Включення азіатських, східноєвропейських і латиноамериканських країн у цей процес дуже важливо, так як вони входять до числа лідерів по розсилці спаму. У 2009 р. Росія, Бразилія та Індія виявилися відповідно на 2 -, 3-і 4-м місцях в рейтингу країн-джерел спаму, і Китай теж увійшов в Топ10 цього рейтингу.
    З повною версією аналітичної статті "Спам і закон" можна ознайомитися на сайті www.securelist.com/ru.


  • Однією з найгучніших новин минулого тижня став черговий "хакер" скандал з викраденням електронних адрес власників iPad через проломи в системі безпеки мобільного оператора AT&T.
    до Речі, американський гігант не в перший раз за останній час звинувачується в легковажне ставлення до персональних даних своїх клієнтів. Так, минулого тижня AT&T викрили в серйозною витоку даних - сотні контрактів на підключення з інформацією про клієнтів були виявлені в сміттєвому баку.
    Компанії, що спеціалізуються на захист персональних даних, відзначають зростаючий інтерес зловмисників до мобільних пристроїв. Із зростанням популярності смартфонів серед користувачів, ці пристрої стають все більш привабливою метою і для хакерських атак.
    Але якщо мобільні хакери поки тільки входять в раж, розважаючись пошуком "дірок" для смартфонів, діяльність комп'ютерних піратів продовжує розвиватися загрозливими темпами і відрізняється лякає винахідливістю. А все тому, що для інтернет-піратів доступ до чужих даними - не розвага. Це вже сформувалася і діюча структура заробітку, певною мірою інтернет-індустрія, в якій одним вигідно зламувати сайти, іншим - продавати украдені дані, а третім - поширювати віруси і отримувати доступ до ПК користувачів. І все це робиться аж ніяк не з дозвільної інтересу, наприклад, до особистих фотоархивам.
    "Сьогодні кількість ланок у ланцюзі, що приводить до успішної атаки, збільшилася, - розповів BFM.ru керівник Центру вірусних досліджень і аналітики компанії ESET Олександр Матросів. - Приміром, одна група шахраїв написала шкідливий код, інші впровадили його у себе на веб-серверах, а треті зробили так, щоб ця шкідлива сторінка потрапила на першу сторінку результатів пошуку. Впровадження шкідливих сценаріїв на легальні веб сторінки за рахунок вразливостей стали носити вже глобальний характер. Знайшовши уразливість в популярній системі управління сайтом, кіберзлочинці можуть автоматизувати процес пошуку вразливих ресурсів та їх зараження".
    Часто розповсюджувачами шкідливих програм стають навіть сайти компаній з непорочної репутацією, куди користувачі заходять, не побоюючись підхопити вірус. Так, на минулому нещодавно прес-конференції "1С-Бітрікс", присвяченій безпеці сайтів, були приведені приклади, коли розповсюджувачами "троянів" ставали досить респектабельні компанії. Втім, їх назви компанія не розголошує. Була порушена і тема бот-мереж, яку поки обходять стороною представники компаній, що випускають антивіруси. Причина проста - ефективно боротися з цією проблемою поки ніхто не навчився.
    Генеральний директор компанії "1С-Бітрікс" Сергій Рижиков в інтерв'ю BFM.ru навів приклад реального ланцюжка шахрайства з використанням бот-мережі:
    - Історія почалася з того, що до нас звернулися за консультацією в ході розслідування однієї зі справ. Картина, яку нам намалювали, виглядала так: два молодих людини, не айтішника, зайнялися онлайн-шахрайством.
    Весь обсяг інвестицій, який вони зробили, склав близько 500 доларів. Суть полягала в тому, що ці дві людини на одному з інтернет-проектів купили клієнт бот-мережі. Цей програмний комплекс обійшовся їм в 150 доларів. Він був зібраний індивідуально для них і не розпізнався ніякими антивірусами. Ще за 50 доларів вони придбали у Китаї серверну частину для цього вірусу - ресурс, на який їх "троян" пересилав дані, зібрані на заражених комп ’ ютерах.
    Наступним кроком "два товариші" зашифрували спеціальний код-кадр (frame) на одному з сайтів, за допомогою якого відбувається зараження сайтів. Зауважте, їх знань в області IT не вистачало навіть на те, щоб самим зашифрувати його. Шифрування обійшлося їм приблизно в 50 доларів. І останній крок перед початком "справи" - вони вийшли на біржу "зламаних" сайтів. Це ресурс, де наприклад, сайт з відвідуваністю до тисячі людей коштує близько 50 доларів, до 10 тисяч - вже до тисячі доларів, іноді до 5 тисяч, якщо хороший ресурс, "вигідний".
    Зібравши всі ці "запчасти", хлопці купили недорогі, але пристойні сайти "дорослих" компаній з відвідуваністю близько тисячі чоловік.
    Відповідно, вони заражали ці сайти придбаним вірусом, використовуючи куплений кадр, і як наслідок, отримували запису з заражених машин користувачів.
    У результаті, через два тижні вони отримали близько сотні заражених комп'ютерів, з яких попалися дві з системою "клієнт-банк". Тобто вони отримали доступ до двох рахунках. Один з них - на десять тисяч доларів, він належав приватній особі. Другий, на 30 мільйонів рублів - юридичній особі, компанії.
    В обох випадках шахраї вирішили зняти гроші. У першому - вони спробували перевести гроші за кордон на спеціальну компанію. Але валютний контроль не пропустив інвойс, клієнтові було відправлено SMS, і він заблокував операцію.
    У випадку з рахунком компанії вони спробували зробити переклад на всю суму - 30 мільйонів рублів - однієї платіжкою, боячись спізнитися отримати гроші в відповідної конторі. Але і ці гроші не пішли, тому що операціоністка банку знала головного бухгалтера компанії, здивувалася, зв'язалася з нею і з'ясувала, що ніхто не збирався відправляти гроші в невідому контору.
    І вся ця схема, з точки зору правоохоронних органів, вкрай складно розкривається, тому що всі її частини розрізнені. Дуже важко довести, що китайський сервер належить саме цим людям. Вони не виготовляли сам вірус, вони його не шифрував, вони не ламали самі сайти. Одним словом, при такій розподіленої діяльності шахраїв можна залучити тільки за виведення грошей, за викрадення, що вкрай складно вдається зробити нашим правоохоронним органам.
    Як зазначив у фіналі історії Сергій Рижиков, в даному випадку важливо, щоб користувачі розуміли ступінь ризиків. Заходячи на звичайний, добропорядний сайт, наприклад, держорганів, вони через помилки браузера можуть разом з картинками і графікою отримати клієнта бот-мережі. Вірус, який буде "сидіти" в комп'ютері, не буде заважати діяльності, але всю інформацію буде зливати на якій-небудь китайський сервер.
    Однак слід розуміти, що за звичайним користувачем зловмисники не стануть полювати цілеспрямовано. Тому намагатися захистити себе від випадкового попадання в мережі шахраїв все-таки можна.
    "Якщо давати банальні рекомендації, то це - ліцензійний софт, - розповів Сергій Рижиков. - Якщо у вас Windows і Internet Explorer - обов'язково проводити регулярні оновлення. В принципі, вірогідність потрапити на уразливості нульового дня не дуже висока. Є "трояни" для старих браузерів, а є дуже дорогі "трояни", навіть недокументируемой уразливості. Найперше - оновлюватися максимально регулярно. Друге правило - ніколи не відкривати pdf файли від невідомих відправників. Дуже масовий спосіб зараження зараз - це через .pdf і flash".
    "Способи захистити свій комп'ютер на 100% не існує, так як немає жодної гарантії того, що завтра кіберзлочинці не знайдуть принципово новий спосіб атаки", - розповів BFM.ru керівник Центру вірусних досліджень і аналітики компанії ESET Олександр Матросів. - Це постійне протистояння броні і снаряди, яке триває вже багато років. Але, тим не менш, можна знизити ймовірність зараження, використовуючи антивірусну програму і вчасно встановлюючи системні оновлення. Однак на жаль, поки Росія входить в топ країн, де створено сприятливі умови для розвитку і функціонування кіберзлочинності.
    "Лабораторія Касперського", у свою чергу, також порекомендувала своєчасно використовувати "латки". "Для надійного захисту свого комп'ютера треба встановити і використовувати антивірусний продукт, постійно оновлюючи антивірусні бази. При цьому важливо, щоб антивірусний продукт перевіряв і інтернет-трафік", - розповіли в компанії.
    Крім того, в обов'язкову програму експерти рекомендують включити використання в якості додаткового захисту веб-браузерів з вбудованими фільтрами, блокуючими фішингові і шкідливі сайти. Такий захист використовуються практично у всіх нових версіях популярних браузерів Mozilla Firefox, Internet Explorer, Chrome і Opera.