Anonymous сегодня провели день "продуктивно". Было взломано сразу несколько государственных сайтов. Среди которых сайт Министерства юстиции Греции, а также целый ряд государственных сайтов Ирландии.
Сайт греческого Министерства юстиции был взломан в качестве протеста против новой политики жесткой экономии, которую требуют от Греции взамен на поддержку Евросоюз и МВФ. Пресс-служба министерства подтвердила факт взлома сайта и сообщила, что сайт будет находиться в офлайне до тех пор, пока не будет обеспечена надлежащая защита проекта. Хакеры, атаковавшие сайт, заявили, что протестуют против политики греческих властей, которая направлена на обеспечение жесточайшей экономии в практически обанкротившейся стране, в обмен на кабальные международные кредиты.
Что касается Ирландии, в связи с приближением обсуждений принятия нового законодательства в Ирландии в отношении защиты авторских прав, были взломаны сайты политика Шона Шерлока (Sean Sherlock), а также Министерства финансов и Министерства Юстиции Ирландии. Кроме этого, Anonymous инициировали кампанию OpIreland, в рамках которой осуществлялись DDoS на сайты, взломать которые движение Anonymous не смогло.
Также был опубликован список паролей, полученный в результате взлома. Оказалось, что сотрудники государственных сайтов, в большинстве, ставят очень простые пароли - password, pass и так далее.
В Microsoft на основании проведенного исследования говорят о возможности проведения хакерских атак нового типа, совершаемых за счет кражи файлов cookie. В Microsoft говорят, что новый тип потенциальной атаки предусматривает возможность кражи сессионных файлов-cookie. В дальнейшем краденные cookie можно использовать для доступа к различным веб-сервисам.
Используя данные о нескольких сотнях миллионов устройств, подключенных к сервису e-mail на hotmail в августе 2010 года, специалисты выяснили, что некоторый процент подключенных используют сервис для работы с более чем одного устройства, используя более одного AS (Autonomous System).
Отследив cookie, которые Hotmail использует для привязки к этим устройствам, специалисты установили, что подавляющее их большинство легитимны и второе подключение - это либо подключение через VPN, либо мобильное подключение. Однако был выявлен и небольшой процент cookie, представляющих нетипичное поведение. Например, когда насколько идентичных файлов идентификаторов имеют доступ к одной и той же сессии, однако подключаются к этой сессии пользователи из разных стран, либо второе подключение идет через анонимный прокси-сервер. Либо, когда по одному и тому же файлу-cookie подключаются из разных стран с разницей в несколько минут.
В результате в корпорации не исключают возможности того, что потенциальные хакеры занялись созданием небольших бот-сетей для кражи файлов-cookie, что позволяет хакерам со своих компьютеров открывать параллельные сессии на веб-сервисах и получать доступ к пользовательским данным.
Google представила новый сервис Bouncer, призванный обеспечить автоматизированную проверку приложений в каталоге Android Market на предмет наличия троянских вставок. Для выявления вредоносного кода Bouncer обеспечивает анализ добавляемого в каталог приложения через проверку наличия следов известных вредоносных программ. После этого осуществляется запуск приложения в специальном симуляторе, моделирующем работу типичного Android-устройства и выявляющем аномалии в поведении, такие как выполнение скрытых от пользователя действий, попутно сопоставляя работу новой версии с прошлым выпуском.
Отмечается, что Bouncer не первое и не последнее средство защиты в Android Market. В частности, предпринятые в прошлом году меры позволили сократить на 40% число потенциально опасных загрузок во второй половине 2011 года по сравнению с первым полугодием. Кроме средств по выявлению вредоносных программ, отмечаются также встроенные механизмы платформы Android по блокированию нежелательной активности: изоляция приложений друг от друга и от системы; гибкая система контроля доступа, требующая от пользователя подтверждения выполнения определённых типов операций (например, отправки SMS, доступа в сеть и т.п.); средства препятствующие скрытию приложений и поддержка инициирования удалённого удаления вредоносных программ с телефонов пользователей.
В США был недавно принят закон, согласно которому компании обязаны в своих годовых отчётах указывать о случаях вторжения в их информационную инфраструктуру. Подчиняясь этим требованиям, Verisign, одна из крупнейший компаний, заведующих доменными зонами COM, ORG и NET, объявила о том, что в 2010 она несколько раз подвергалась взломам.
В результате взломов инфраструктуры Verisign хакеры слили базы данных и, возможно, произвели какие-то другие действия, масштаб которых до сих пор неизвестен. Подобного рода атаки могут иметь колоссальные последствия для всего мира, ибо ломающие теоретически могли заменить DNS записи интересующих их сайтов, перенаправив трафик на свои серверы. Ещё следует учесть, что компания VeriSign занимается выдачей сертификатов, хакеры могли сгенерировать валидные сертификаты для интересующих их сайтов.
О фактах проникновения во внутренние сети руководителям компании VeriSign стало известно лишь в сентябре 2011 года, до этого последствия взломов оперативно устранялись в штатном режиме службой, занимающейся решением пробоем с информационной безопасностью, без акцентирования особого внимания руководства. О масштабах и характере атак в отчёте ничего не сообщается.
Полиция штата Джорджия провела громкий арест индийских кардеров в 2010 году, подробности о котором стали известный только сейчас. В результате был арестован главный обвиняемый - индиец Ядав.
По данным следствия, Ядав приехал в США, чтобы поступить в университет Джорджии. Он учился в Фармацевтическом колледже, где получил в 2004 году степень магистра. После этого медик стал похищать личные данные и снимать дампы пластиковых карт. Подозреваемый устанавливал на банкоматах скиммеры по всей территории США.
Бизнес приносил большой доход. Соседи считали Ядава крупным бизнесменом, так как он передвигался на престижных автомобилях - Hummer, Mercedes Benz и BMW. Однако в 2008 году кардера арестовали, попался он по неосторожности - он лично сделал покупку в гипермаркете Walmart в Нью-Олбани штата Миссисипи на ворованную карту. Его задержали, обыскали автофургон и нашли там поддельные карточки в больших количествах.
Интересен факт того, как группа искала себе дропов. Ядав лично подыскивал людей для грязной работы среди посетителей садомазохистских чатов. По его расчетам, туда заходит настолько специфическая публика, что встретить там ФБР или полицию почти невозможно. Для большей верности Ядав предлагал собеседникам заняться групповым сексом «в реале». Некоторые оргии фиксировались на видео. Компрометирующие записи должны были стать дополнительной гарантией того, что дропы будут молчать.
В январе 2012 осуждены трое его партнеров - Дуайт Риддик, Дашун Макквиллер и Шон Гриттнер. Риддик признал себя виновным в транспортировке фальшивых кредитных карт и получил 2 года тюрьмы. Макквиллер и Гриттнер получили 30 и 10 месяцев тюрьмы соответственно.
Аналитическая компания FICO опубликовала результаты последнего исследования в сфере карточного мошенничества в Европе. Анализу подверглись 55 миллиона активных кредитных карт, на основе чего был сделан вывод: в период с марта 2009 по март 2011 годы количество фрод операций снизилось на 60%.
Данные FICO показывают, что 69% всех счетов, ставших объектом внимания кардеров, подверглись нападению именно при помощи карт, с этим связано 72% всех потерь мошенничества. 30% от всего количества преступлений составляют преступления в 10 областях. Их список возглавляют такие категории, как отели/жилье, туристические агентства и банкоматы.
“Наше исследование зафиксировало серьезные изменения, которое произошли в области мошенничества в Европе, – сказал Мартин Варвик (Martin Warwick), руководитель отдела FICO. – Микрочипы и одноразовые ПИН-коды намного снизили уровень подделки карт и другие формы карточного мошенничества в Великобритании, где всего лишь 3 года совершалось примерно 60% преступлений с кредитными картами в Европе. В ответ преступники стали расширять границы своей работы, приходя в менее защищенные в этом смысле страны, например, в Германию, а также меняя направления своей деятельности”.
В распространенном сегодня US Cert сообщении говорится, что группа популярных Android-телефонов подвержена действию программной уязвимости, эксплоит для которой уже существует в сети и позволяет потенциальным хакерам похищать реквизиты доступа к бесплатным сетям, передавая их удаленно.
Эксплоит полагается на мошенническое приложение, использующее дыры в коде операционной системы Android, точнее ее сборки, используемой в смартфонах компании HTC. В US Cert говорят, что ранее уведомили HTC об обнаруженной уязвимости в их версии Android, после чего тайваньская компания выпустила патч, информация о котором присутствует в разделе технической поддержки на сайте HTC.
Уязвимые модели ставят под удар пароли для WiFi-сетей 802.11х, так как имеют неверно расставленные права доступа к системным файлам и позволяют мошенническим приложениям считывать пароли, хранящиеся в системе. Особенно опасной данная уязвимость становится, если пользователь работает с корпоративной сетью через свой смартфон.
Согласно данным US Cert список уязвимых смартфонов состоит из моделей: Desire HD, Glacier - Version FRG83, Droid Incredible, Thunderbolt 4G, Sensation Z710e, Sensation 4G, Desire S, EVO 3D, EVO 4G
В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённо выполнить код на сервере, независимо от того какие PHP-скрипты используются.
Уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP. Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена ошибка, которая сделала возможным совершение более опасной атаки.
Суть проблемы в том, что при портировании кода с поддержкой директивы max_input_vars был пропущен блок "else" с освобождением памяти и выходом из функции. Без этого блока, при превышении заданного директивой max_input_vars лимита, который по умолчанию установлен в 1000, если превышающая лимит переменная является массивом (например, "a[]=1"), то эта переменная оказывается на месте указателя, который в дальнейшем получает управление.
Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено.
В течение 2011 года во Вьетнаме было зафиксировано 64 млн. случаев кибер-атак и заражений вирусами. По сравнению с аналогичным показателем 2010 года количество хакерских атак в стране возросло более чем на 10%. По мнению сотрудников Министерства общественной безопасности Вьетнама, эта ситуация может создать угрозу национальной безопасности и общественному порядку в стране.
Наивысший пик вирусной активности в отчетный период приходится на июнь. За весь минувший год сетевые администраторы зафиксировали 38 тысяч новых вирусов, часть из которых была разработана и применена местными хакерами. Различным видам атак были подвержены свыше 2,2 тысяч сайтов государственных и коммерческих учреждений Вьетнама.
Одной из основных причин относительно высокого уровня уязвимости вьетнамского сегмента Интернет называется недостаточное финансирование сферы информационных технологий. Главное технологическое управление Министерства общественной безопасности Вьетнама регулярно фиксирует хакерские атаки на сайты правительственных ведомств.
Румынская прокуратура накануне по запросу американских правоохранительных органов арестовала 20-летнего хакера, обвиняемого во взломе ресурсов Пентагона и НАСА. В США его обвиняют в незаконном доступе к информации, краже закрытых данных и других преступлениях.
Известно, что 20-летний Равзан Маноле Цернаяну сейчас является студентом одного из румынских университетов, в онлайне он известен как TinKode. Ранее в персональном блоге он опубликовал информацию и софт для взлома серверов НАСА и Пентагона, а также разместил пошаговые инструкции по обходу систем безопасности.
В официальном заявлении посольства США в Бухаресте говорится, что Цернаяну "использовал продвинутые хакерские инструменты для получения несанкционированного доступа к правительственным и коммерческим системам". Дополнительные подробности об аресте румынская и американская стороны не приводят.
TinKode также стал известен благодаря взлому серверов британского Королевского флота, он нашел на сайтах SQL-инъекции. Хакер опубликовал полученные имена, логины и пароли администраторов сайта. Также он взломал серверы Европейского космического агентства, американских НАСА, Пентагона и разместив в открытом доступе спутниковые данные. Сам хакер сообщал о взломе на своем блоге в Twitter, а также на сайте ZoneH.
Сам TinKode говорит, что его атаки носили исключительно академический характер и, взломав серверы ЕКА, он сам же уведомил администраторов, указав на слабые места в системе безопасности. Пресс-служба ЕКА заявляет, что на данный момент космическое ведомство не планирует предпринимать каких-либо действий против румынского хакера.
По какой-то причине командные сервера ботнетов на базе Zeus и других крупных троянов уходят с доменов .RU на домены .SU. По статистике, несколько «худших» командных серверов Zeus с самым большим аптаймом уже размещаются на доменах .SU.
По мнению специалистов по безопасности, это может быть связано с тем, что владельцы ботнетов больше не чувствуют себя в безопасности в доменной зоне .RU. Раньше иностранным организациям и антивирусным компаниям было трудно добиться закрытия домена в .ru, вероятно, сейчас ситуация начинает меняться. С другой стороны, доменная зона .su, которая находится под управлением RIPN, до сих пор является активной, хотя и принадлежит несуществующему государству СССР.
Интересно, что всего в Zeus трекере 693 командных сервера на доменах .su. Активных из них - 193, а средний уровень определения бинарников антивирусами - 36.4%.
Впрочем, пока рано делать выводы. Возможно, переезд нескольких C&C серверов в зону .su — это просто случайность. Однако, представитель Abuse.ch, которая поддерживает работу Zeus-трекера, высказывает мнение, что провайдерам имеет смысл полностью блокировать доменную зону .SU на сетевом уровне, поскольку в этой зоне всё равно практически нет легитимных сайтов. Заявление звучит довольно эгоистично, например, в доменных зонах .info и .cn тоже много C&C серверов и фишинговых сайтов, но это не значит, что нужно полностью заблокировать эти доменные зоны.
Компания Digital Security опубликовала отчет о результатах исследований защищенности банк-клиентов ведущих российских производителей за 2009 по 2011г. Основной вывод исследования - общий уровень защищенности систем ДБО находится на крайне низком уровне. Банк-клиенты содержат большое количество критических уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы.
Так, в совокупности с отсутствием защитных механизмов и наличием уже далеко не новых уязвимостей, в системах ДБО актуальны атаки, приводящие к подделке кардерами платежных поручений с корректной ЭЦП пользователя. Атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор ПИН-кодов с вредоносного сайта и подпись любых данных.
Алексей Синцов, руководитель департамента аудита ИБ Digital Security, заявил: "Опыт нашей работы показал печальный факт: критичность ПО не влияет на уровень его защищенности. Разработчики уделяют внимание безопасности кода, только когда их продукт начинают массово взламывать. Пример такого отношения – то, что сейчас происходит с ПО АСУ ТП. Точно такая же ситуация – и с банковским ПО".
ssl)
||
Exploit.IO (
Безопасность
Другое