Архив метки: Безопасность

ZeroNet 0.3.4

23 декабря 2015. Разработчики ZeroNet поставили себе правильные стратегические цели:

  • Курс на анонимизацию пользователей ZeroNet.
  • Предельная простота и дружелюбность клиента по отношению к пользователям.

Сейчас они работают над полной поддержкой Tor. Это позволит хостить сайты и соединяться с другими пирами через сеть Tor (.onion адреса). Читать

Медицинский фишинг на 5 млрд долларов

Недавно мы рассказывали об эффективности тренингов по повышению осведомленности сотрудников о сетевых угрозах. Сегодня поговорим о том, что бывает, если подобными вопросами не заниматься. Речь пойдет о краже особо чувствительных персональных данных, так или иначе связанных с врачебной тайной.
 

 

На днях журналисты Financial Times со ссылкой на министерство здравоохранения и социальных служб США сообщили, что в течение уходящего года хакерами была похищена медицинская информация более чем 100 млн клиентов. 
 
В таблице Financial Times не указаны атаки на страховую компанию CareFirst (1,1 пользователей), а о двух крупнейших утечках 2015 года (Anthem и Premera) стало известно не в марте, а в феврале, но суть от этого не меняется – минувший год стал наиболее результативным для злоумышленников, нацеленных на компании в области здравоохранения. И вновь самые крупные операции начинались с помощью фишинговых ресурсов. 
 
5 февраля выяснилось, что хакерам удалось получить доступ к личным данным почти 80 млн клиентов одной из крупнейших американских страховых компаний – Anthem. Нападающие зарегистрировали сайт «we11point.com», маскирующийся под официальный ресурс компании Anthem, которая до конца 2014 года называлась именно Wellpoint. Была развернута сеть вызывающих доверие поддоменов, в частности «extcitrix.we11point.com» и «hrsolutions.we11point.com», что вполне соответствует статистике PhisheMe – проще всего обмануть сотрудников, сделав упор на безопасность (Citrix предоставляет VPN-сервисы) и внутренние коммуникации (hr).

 



Как и в последующем взломе службы управления персоналом США (OPM), для проникновения в сеть Anthem применялся один из вариантов вредоносного ПО Derusbi (подробнее о нем в докладе Fortinet) под названием Sakula. Зловред был заверен электронной подписью с сертификатом, похищенным у корейской софтверной компании DTOPTOOLZ Co.
 
27 февраля стало известно об утечке персональных данных 11 млн клиентов страховщика Premera Blue Cross. На этот раз сотрудники были обмануты с помощью сайта «prennera.com». Злоумышленники небезосновательно предполагали, что две буквы «n» некоторыми пользователями будут приняты за букву «m».
 
20 мая были опубликованы подробности об атаке на компанию Carefirst с помощью фишингового сайта «caref1rst.com». Похищены сведения о 1,1 млн клиентов страховой компании.
 
Размер ущерба посчитать практически невозможно, известны лишь расценки на черном рынке за информацию такого рода. Средняя стоимость медицинской карты, по данным World Privacy Forum, составляет около 50 долл., тогда как сведения о номерах кредитных карт оцениваются всего в один долл. О пятидесятикратной разнице в цене говорит и Линн Данбрак (Lynne Dunbrack), вице-президент по исследованиям IDC Health Insights. Цифры далеко не предельные. По информации Карла Леонарда (Carl Leonard), аналитика компании Raytheon Websense, полное медицинское досье на одного человека в даркнете может стоить от 200 до 2000 долл.
 

 

Большинство жителей США, по всей видимости, могут спать относительно спокойно. Во-первых, американские страховщики уверены, что хакеры не получили информацию о диагнозах пациентов и их платежных данных, хотя это и вызывает определённые сомнения, учитывая, что нападающие по несколько месяцев «сидели» в сетях страховщиков. Во-вторых, украденные данные не появились на подпольных биржах, что является очередным «индикатором компрометации» групп, сотрудничающих с китайскими спецслужбами (Deep Panda, Axiom, Group 72, Shell_Crewи т.д.), которые, скорее всего, и стоят за этими атаками.
 
В 2016 году в борьбу за потребителя активно включатся группировки, напрямую монетизирующие информацию о здоровье пациентов. В декабре отдел Health Insights компании IDC выпустил прогноз, согласно которому в 2016 году медицинские данные каждого третьего пользователя будут скомпрометированы. Среди основных причин – недостаточное внимание к вопросам безопасности в сфере здравоохранения и увеличение количества онлайн-данных пациентов.
 
В докладе утверждается, что к 2018 году такие суперкомпьютеры, как IBM Уотсон, помогут снизить смертность пациентов и расходы на лечение на 10%, а виртуальное здравоохранение и телемедицина (о ней, в частности, немного говорил Владимир Путин с представителями Рунета) войдут в обиход уже в ближайшее время. По прогнозу, к 2018 году 30% мировых систем здравоохранения будут применять системы когнитивного анализа. Машинное обучение и системы Big Data станут использоваться для борьбы с раком и другими тяжелыми заболеваниями. При этом системам потребуется самая полная информация о пациентах. По словам аналитиков IDC, помимо клинических данных, системы Big Datа будут анализировать информацию об образовании и финансовом благополучие пациента, о местных погодных явлениях, таких, как смог или пыльца в воздухе.
 
Давайте представим, какие риски могут нести за собой утечки персональных медицинских данных с учетом российских реалий, где результаты анализов постороннего человека можно получить простой подстановкой номера договора в адресной строке, а ответственность организации за разглашение информации, содержащей врачебную тайну, по прежнему весьма расплывчата
 
  • Телефонный фишинг (представиться врачом и убедить приобрести дорогостоящее лекарство; подобные аферы в отношение пожилых больных людей происходят повсеместно).
  • Шантаж пациента (угроза разглашения информации об инфекционных заболеваниях, половых инфекциях и т.д.).
  • Шантаж организации (угроза судебных преследований компании, допустившей утечку, со стороны пациентов).
  • Недобросовестная конкуренция (кража информации о платежеспособных пациентах, внесение изменений в документацию и т.д.)
  • Развитие рынка черной трансплантологии (поиск клиентов и носителей органов, один из примеров).

 

Кредитные карты можно перевыпустить, но изменить медицинские данные значительно сложнее, что хорошо известно, например, американским кадровикам, допустившим утечку более 5 млн отпечатков пальцев. Как защитить хотя бы часть данных о пациентах? Основной совет аналитиков IDC заключается в повышении базовой компьютерной грамотности сотрудников медицинских (и околомедицинских компаний) для противодействия фишинговым атакам. 

 

Автор:
Дата публикации:

Исследование PhishMe: когда сотрудники перестанут доверять фишинговым письмам?

Производители средств защиты любят говорить о технологиях самообучения и поведенческом анализе, но в 2015 году человеческий фактор остался непобеждённым. Каждая третья утечка происходит из-за ошибок сотрудников (данные Association of Corporate Counsel), и почти все самые грандиозные потери данных последних лет связаны с фишинговыми письмами. К счастью, служащие достаточно эффективно впитывают информацию о новых угрозах, о чем свидетельствуют результаты отчета, опубликованного 21 декабря компанией PhishMe.

За 13 месяцев специалисты PhishMe отправили около 8 млн псевдо-фишинговых писем 3.5 млн сотрудникам компаний из 23 отраслей. Рассылка проводилась в рамках тестирования подготовленности пользователей к настоящим атакам. Как выяснилось, адресаты быстро учатся отличать мошеннические послания от рабочей почты. Читать

Атака социального инженера: подборка любопытных инцидентов

От 25 до 100 тыс. долларов — в такую сумму оценивали участники опроса Check Point потери от одной атаки с использованием методов социального инжиринга. Разумеется, это лишь средние цифры. В опросе вряд ли участвовали компании и организации, о которых мы расскажем дальше. В этих случаях большинство жертв несли либо колоссальные репутационные издержки, либо теряли суммы с шестью и семью нулями.
В ряде случаев мошенничество приобретает комичный характер. Наглость и остроумие социальных инженеров помогают им обводить вокруг пальца не только среднестатические компании с типичными проблемами в области безопасности, но и, к примеру, режимные заведения или высокотехнологичных «революционеров индустрии».

 

Отдельные сюжеты достойны Голливуда. Может ли заключенный сбежать из тюрьмы, сверстав на смартфоне поддельный сайт Королевского суда и отправить начальнику тюрьмы инструкции о своем освобождении? Оказывается, может. Реально ли захватить контроль над сайтом и аккаунтом в твиттере компании уровня Tesla Motors с помощью звонка в службу поддержки AT&T? Вполне. И все это происходит не десять лет назад, а в 2015 году.


Флешка против ядерной программы

История с вирусом Stuxnet хорошо переформатировала отношение общества к киберугрозам: впервые компьютерная программа физически разрушала инфраструктуру предприятия. Скрытные модификации данных между ПЛК и рабочими станциями SCADA-системы постепенно вывели из строя 1368 из 5000 центрифуг на заводе в Натанзе, что приостановило развитие ядерной программы Ирана. Вредоносное приложение имело сложнейшую структуру и использовало несколько уязвимостей нулевого дня в Windows, но попало в заводскую компьютерную сеть благодаря человеческому любопытству. Сотрудник компании открыл на рабочем компьютере флеш-накопитель, подброшенный ему на улице злоумышленниками. Аналитики называли авторами Stuxnet спецслужбы США и Израиля, что имело определенные последствия.


Ответ Ирана

Тегеран в долгу не остался. По даннымISight Partners, с 2011 года иранскими хакерами предпринимались множественные попытки войти в доверие к американским и израильским чиновникам, журналистам, государственным деятелям. Для ведения дружеской переписки в социальных сетях, главным образом в Facebook и LinkedIn, были созданы аккаунты вымышленных личностей, часть из которых представлялись журналистами поддельного новостного ресурса NewsOnAir.org. Основная цель атакующих заключалась в получение паролей от аккаунтов корпоративной почты, Gmail, социальных сетей. Жертве, к примеру, могли прислать ссылку на ролик на YouTube, вместо которого пользователь переправлялся на фейковую форму ввода пароля в Gmail. Атаки велись в отношении более 2000 американских и израильских дипломатов, военных подрядчиков, персонала конгресса, представителей финансовых и энергетических отраслей, а также чиновников, занятых вопросами нераспространения ядерного оружия. На принадлежность хакеров из Тегерана косвенно указывали график работы и почти единодушная привычка брать выходные по пятницам. Специалисты iSight уверены, что кампания по взлому была успешной.


Директор ЦРУ тоже человек

Многие пользователи пересылают служебные документы на личную почту, особенно если доступ к рабочей почте вне офиса ограничен и лень втыкать флешку. До октября 2015 года точно также действовал директор ЦРУ Джона Бреннана (John Brennan): в его почтовом ящике на AOL.com содержались экселевские файлы с данными о 2611 сотрудниках разведки, с их телефонами, email-адресами, номерами социального страхования, уровнями допуска. В бесплатной почте директор ЦРУ обсуждал методы пыток задержанных, там же лежала его 48-страничная анкета и другие файлы разной степени секретности.

 

 

 

 

 

 

Журналисты Wiredсмогли узнать у хакера, которому еще нет и 20 лет, каким образом он проник в почтовый ящик главы разведки США. Оказывается, он с приятелями выяснили телефонный номер Бреннана, который был зарегистрирована в компании Verizon. После этого один из хакеров позвонил в Verizon, выдав себя за сотрудника этой компании, рассказал о падении клиентских баз и попросил детали об аккаунте Бреннана. Хакеры смогли сфабриковать уникальный номер, который присваивается всем сотрудникам Verizon (Vcode), что позволило им получить номер аккаунта Бреннана, его четырехзначный PIN-код, запасной мобильный номер аккаунта, email-адрес AOL и последние четыре цифры номера банковской карты. Затем был звонок в AOL с просьбой разблокировать аккаунт. Для ответа на контрольный вопрос надо было назвать четыре цифры номера банковской карты, которые хакеры уже знали.


Китайский сапог

Для США 2015 год запомнился исторической утечкой данных из государственной службы управления персоналом (U.S. Office of Personnel Management). Архив содержал подробнейшие досье на 22 миллиона американских госслужащих: детальные биографии и протоколы проверок на полиграфе с упоминанием пристрастий и зависимостей, сексуальных предпочтений, долговых обязательств, болезней, правонарушений и приводов. Известный своей эксцентричностью Джон Ма́кафи (John McAfee) заявил после этого инцидента, что «китайский цифровой сапог топчет американские штаты». В декабре 2015 года Китай арестовал хакеров, якобы ответственных за взлом, однако ряд экспертов полагают, что за этой утечкой стоит подразделение китайской освободительной армии №61398, известное также как группа APT1. Согласно опубликованному в 2013 году отчету Mandiant, это подразделение, здание которого охраняют военные, причастно к взлому 141 компании.
 
Мы не знаем деталей атаки на американских «кадровиков», но, как и большинство других APT-групп, APT1 использует фишинг в качестве основного метод начальной компрометации.


Другие известные «социальные» атаки

Авария на сталелитейном заводе в Германии. Хакеры взяли под контроль электронную почту работников завода, разослав им письма с фишинговыми ссылками, а затем получили доступ к офисной сети и к системе управления доменными печами.

Утечка персональных данных более чем миллиона пользователей Experian — злоумышленник выдал себя за частного детектива и проник в один из филиалов компании.

Атака на Sony, в результате которой компания потеряла более 100 млн долл., началась, по всей видимости, с фишинга в отношении топ-менеджмента.

Биткоин-биржа Bitstamp потеряла 5 млн долл из-за уязвимости в Word. Хакеры использовали фишинг в отношении системных администраторов.

Утечка данных кредитных карт 53 млн пользователей Home Depot, судя по этому конкурсу среди американских ритейлеров и отчету на сайте, не обошлась без социальной инженерии.

В 2013 году на торжественном мероприятии неизвестный мужчина сумелубедить охрану, что он — действующий американский конгрессмен, и беспрепятственно подошел к Бараку Обаме.

Социальная инженерия как метод атаки прекратит своё существование только в том случае, если человечество перестанет существовать. Используя человеческие ресурсы для воплощения своих планов, злоумышленники могут получить доступ абсолютно к любой информации.

 

Автор:
Дата публикации:

Предновогодние распродажи: несколько советов по безопасному онлайн-шопингу

Все больше россиян совершают покупки в интернет-магазинах: с января по октябрь 2015 года объём продаж Яндекс.Маркета вырос на 23% по сравнению с тем же периодом в 2014 году, а число онлайн-покупателей, заказывавших товары из Китая, увеличилось на 30%. Киберпреступники тоже не сидят сложа руки: по даннымThreatMetrix, в третьем квартале 2015 года количество атак в секторе электронной коммерции выросло на 25%. Компания HeadLight Security подготовила небольшой список рекомендаций по защите своих действий в процессе интернет-шопинга.
 
 
Злоумышленники нередко пользуются предпраздничным ажиотажем для похищения информации о пользователях, которая в дальнейшем может быть использована в различных фишинговых схемах. Спешат не только покупатели, но и магазины, открывая новые страницы и сервисы. Уже в 2013 году на ритейлеров приходилось 49% утечек данных банковских карт (по сведениямInfowath), и вряд ли к 2016 году эта цифра уменьшилась. Наиболее известные примеры последнего времени – инциденты с компаниями Target и Talk Talk. Нередко онлайн-ритейлеры допускают достаточно грубые ошибки, как в случае с утечкой данных покупателей JD.comв октябре 2015 года, когда зайти в личные кабинеты нескольких тысяч пользователей можно было путем подстановки номеров заказа.
 
Следует напомнить и о массовом переносе персональных данных пользователей глобальных интернет-ритейлеров на российские сервера – пока неясно, как повлияет эта миграция, осуществляемая в условиях цейтнота, на фактическую защищённость данных. 
 
 
Соблюдайте осторожность при работе с WiFi
 
Мы уже не раз писали о том, что публичный Wi-Fi – не лучший вариант для онлайн-шоппинга. Злоумышленник может легко перехватить ваши пароли, логины и номера платежных карт. Но в отпуске или командировке зачастую других вариантов просто нет. В этом случае перед поездкой примите следующие профилактические меры:

 

  • используйте VPN-сервис (ZenMate, Hideninja VPN, SurfEasy, HotspotShield и т.д.)
  • установите бесплатную программу для браузера SSL Everywhere
  • проверьте систему антивирусом и включите брандмауэр
  • инсталлируйте все обновления на операционную систему и отдельные приложения

Покупайте авиабилеты на проверенных сайтах
 
Авиабилеты – один из наиболее популярных товаров в Интернете, в статистикеВТБ за 2015 год эта категория занимает первое место с большим отрывом. Лучше всего приобретать авиабилет на сайте авиакомпании. Если же какая-то площадка предлагает значительно более дешевые варианты, проверьте, сотрудничает ли она с крупными поисковыми агрегаторами, например Skyscanner или Aviasales. Не стоит заказывать билеты в соцсетях, в них часто обитают мошенники. Один из подобных случаев произошел в 2010 году – авиабилеты с 40% скидкой бронировались по чужим картам. Затем клиент проверял свои данные на сайте авиакомпании и переводил деньги преступникам. Чуть позже настоящие владельцы пластиковых карт обращались в банк с заявлением о несанкционированном списании денежных средств со счета и бронирование билета аннулировалось.
 

Отслеживайте посылки на безопасных сайтах
 
В прошлом году пользователи получалифишинговые SMS с текстом «посылка получена www.pochtaruss.net». Кампания была рассчитана на владельцев устройств на базе Android. Всех остальных сайт перенаправлял на сайт «Почты России». При переходе с Android злоумышленники предлагали обновить якобы устаревший браузер, изменив настройки безопасности, после чего на устройство устанавливался  зловред, перехватывающий банковские SMS. Расчет мошенников на обширный улов был вполне обоснован: на один только AliExpress за год зашли 22 млн пользователей, судя по даннымTNS, а аудиторияАндроид в России – это 82,5% смартфонов и 72,3% планшетов. Стоит отметить, что «Почта России» рассылает SMS-уведомления о поступлении международных посылок в режиме дополнительной услуги и не предлагает посещать какие-либо сайты.
 

Не слишком доверяйте продавцам на AliExpress
 
На сайте AliExpress продают свои товары тысячи продавцов. Во избежание мошенничества площадка не передает деньги продавцу, пока покупатель не подтвердит получение товара. Однако неплохой механизм защиты имеет ряд изъянов. К примеру, покупатель заказал смартфон в магазине с хорошим рейтингом, но долгое время не может отследить свою посылку по выданному продавцом трек-номеру и начинает интересоваться у продавца, отправил ли тот посылку. Продавец клянется, что посылка уже в пути, просто почта сильно загружена, но он готов компенсировать доставленные неудобства суммой в $10-15. 
 
Покупателю надо лишь открыть диспут (спор) на частичную компенсацию стоимости товара. Продавец вернет эту небольшую сумму, однако закрытый по частичному возврату денег диспут повторно открыть будет невозможно. Продавцы-мошенники пользуются этой схемой, покупая или взламывая магазины с хорошим рейтингом. Посылка в таких случаях не отправляется, а номер отслеживания дается «фейковый».
 
При заказах на AliExpress важно также иметь ввиду, что открытый диспут можно как «отменить», так и «принять», «отредактировать» или «обострить». В случае принятия новый диспут открыть будет невозможно, даже если у вас осталось время на защиту своего заказа, чем также активно пользуются недобросовестные продавцы. Если же вы собрались обострить спор, проверьте сумму запроса на возмещение, продавец имеет возможность снизить ее до нуля.
 

Проверяйте шифрование платежной системы
 
Перед совершением платежа всегда проверяйте, зашифровано ли соединение на странице оплаты. В электронных платежных системах должен использоваться протокол HTTPS. Большинство современных браузеров отображают информацию о безопасности веб-сайта в адресной строке в виде префикса «HTTPS». 


Контролируйте счета
 
Во многих банках есть  стандартные лимиты по сумме перевода денежных средств в течение суток, что при своевременном вмешательстве позволит избежать максимальных потерь. Эти суммы достаточно велики (для карт Сбербанка Visa Electron/Maestro — 50 000 рублей, для остальных — 150 000 рублей), поэтому перед отъездом лучше обратиться в банк и самостоятельно установить требуемый лимит. За границей лучше не отказываться от SMS-подтверждений транзакций и переставить сим-карту, на которую приходят оповещения, во второй слот своего смартфона (если запасной слот есть). Наиболее безопасной стратегией будет использовать для SMS-подтверждений простой телефон, который не может быть заражен вирусами, способными скрывать сообщения о транзакциях.  


Не используйте один и тот же пароль дважды 
 
Утечки логинов и паролей пользователей случаются у крупнейших компаний мира – Adobe, Ebay, PayPal. Поэтому один и тот же пароль на разных ресурсах делает вас крайне уязвимым. Кроме того, пароли должны быть сложные. Сгенерировать и сохранить их помогут менеджеры паролей – 1Password, KeePass Password Safe, Roboform. Если же вы не доверяете этим программам, попробуйте использовать в качестве паролей строки из любимых стихов, набирая их русскими буквами в английской раскладке.


Не доверяйте письмам со скидками
 
Самые заманчивые предложения и «секретные скидки» в электронной почте могут оказаться попыткой фишинга. Тот же дизайн, что и у вашего любимого магазина, тот же адрес (после маскировки с помощью спуфинга). Перед тем как оплачивать покупку, как минимум наберите знакомый вам адрес сайта в новом окне и поищите понравившееся предложение.

Автор:
Дата публикации:

Небезопасные модемы Yota: запускаем сервис общественного контроля

26 ноября компания HeadLight Security представила бесплатный онлайн сервис Yota.hlsec.ru для проверки наличия уязвимостей в программном обеспечении популярных LTE-модемов и роутеров Yota. Цель данной инициативы — проинформировать пользователей об угрозах, которым они подвергаются, подключая к своему компьютеру небезопасное оборудование, и ускорить исправление ошибок производителем.
Сервис Yota.hlsec.ru осуществляет диагностику брешей в программном обеспечении модемов и роутеров Yota на компьютерах c операционными системами Microsoft Windows и Apple Mac OS, а также наглядно демонстрирует использование уязвимостей в связанных веб-приложениях (например, в личном кабинете пользователя).
Презентация сервиса состоялось на конференции ZeroNights 2015 в рамках доклада Михаила Фирстова «Уязвимости программного обеспечения телекоммуникационного оборудования Yota«. При обнаружении на компьютере пользователя модема или роутера Yota и выявлении соответствующих уязвимостей, на экране компьютера демонстрируются возможные результаты эксплуатации обнаруженных недостатков — в частности, запускается приложение «Калькулятор» или отображаются данные из личного кабинета, а также расширенная информация о среде пользователя.

Множественные уязвимости высокой степени риска в программном обеспечении Yota были обнаружены экспертами HeadLigt Security еще в августе 2015 года. Одна из уязвимостей позволяет выполнить код на удаленном компьютере без непосредственного взаимодействия с пользователем (достаточно просто посетить определенный веб-сайт). В сентябре Yota была неоднократно проинформирована о наличие проблем безопасности в выпускаемых этой компанией модемах и ПО, однако обновлений безопасности так и не последовало.

Демонстрация использования уязвимостей приводится в этом видео:

 

 

В 2014 г. в России, по данным Comnews, было продано почти 5 млн USB-модемов. Согласно оценке аналитиков J`son & Partners за 2010 год, доля Yota на российском рынке USB-модемов составляет около 10%. Модемы и роутеры Yota активно используется не только в качестве домашних и корпоративных решений, но и для подключения терминалов оплаты, банкоматов, систем видеонаблюдения, охранных и пожарных сигнализаций.
Компания HeadLight Security придерживается политики ответственного разглашения информации об уязвимостях, информируя о найденных ошибках безопасности сначала производителя, и только спустя продолжительное время (минимум 45 дней) детали предаются широкой огласке. Данный подход позволяет защитить пользователей в том случае, если разработчик продолжает продавать продукт, но не осуществляет его адекватную поддержку: нередко проинформированный производитель не выпускает исправления месяцами, а то и годами, что играет на руку злоумышленникам. Аналогичную позицию в отношении раскрытия информации занимают, к примеру, специалисты по безопасности Google (что отражено в блоге компании), CERT Карнеги Меллона и большинство других крупных исследовательских центров в области информационной безопасности.

Автор:
Дата публикации: