Китай маскирует пропаганду под ИБ-отчёты
Пекин часто обвиняет США в кибератаках, но предоставил ли он весомые аргументы?
Новый отчёт компании SentinelLabs указывает на отсутствие доказательств в заявлениях Китая о хакерских атаках и шпионаже со стороны Запада. Пекин в течение двух лет пытается поддерживать нарративы о кибернападениях США, не предоставляя при этом необходимых технических доказательств.
Китайская стратегия в сфере медиа, направленная на распространение утверждений об американских хакерских операциях, была запущена после того, как Соединённые Штаты, Великобритания и Европейский Союз в июле 2021 года обвинили Китай в «безответственном поведении в киберпространстве».
Однако с тех пор Китай так и не смог подтвердить свои обвинения, опираясь лишь на устаревшие документы американской разведки, а в последующем и вовсе отказался от попыток технической валидации, ограничившись публикацией голых обвинений в государственных СМИ.
В отчёте SentinelLabs отмечается, что некоторые китайские ИБ-компании координируют публикации своих докладов с государственными агентствами и СМИ, чтобы усилить их воздействие. В то время как западные агентства и компании, специализирующиеся на кибербезопасности, всегда подкрепляют свои заявления о шпионаже со стороны Китая техническими деталями.
Согласно отчёту SentinelLabs, китайские действия в области кибербезопасности больше напоминают пропаганду, направленную на формирование мнения о США как о «империи хакерства», что может найти отклик у внутренней аудитории, но не находит подтверждения на международной арене.
Например, в 2022 году Коммунистическая партия Китая упомянула Агентство национальной безопасности США в связи с хакерскими инструментами или операциями 24 раза, опираясь на переработанные старые материалы без нового технического анализа.
А в 2023 году Китай распространял уже новые обвинения в адрес США, не связанные с предыдущими утечками американской разведки, но всё так же необоснованных.
IT Дайджест / IT Новости / IT / Технологии
Пекин часто обвиняет США в кибератаках, но предоставил ли он весомые аргументы?
Новый отчёт компании SentinelLabs указывает на отсутствие доказательств в заявлениях Китая о хакерских атаках и шпионаже со стороны Запада. Пекин в течение двух лет пытается поддерживать нарративы о кибернападениях США, не предоставляя при этом необходимых технических доказательств.
Китайская стратегия в сфере медиа, направленная на распространение утверждений об американских хакерских операциях, была запущена после того, как Соединённые Штаты, Великобритания и Европейский Союз в июле 2021 года обвинили Китай в «безответственном поведении в киберпространстве».
Однако с тех пор Китай так и не смог подтвердить свои обвинения, опираясь лишь на устаревшие документы американской разведки, а в последующем и вовсе отказался от попыток технической валидации, ограничившись публикацией голых обвинений в государственных СМИ.
В отчёте SentinelLabs отмечается, что некоторые китайские ИБ-компании координируют публикации своих докладов с государственными агентствами и СМИ, чтобы усилить их воздействие. В то время как западные агентства и компании, специализирующиеся на кибербезопасности, всегда подкрепляют свои заявления о шпионаже со стороны Китая техническими деталями.
Согласно отчёту SentinelLabs, китайские действия в области кибербезопасности больше напоминают пропаганду, направленную на формирование мнения о США как о «империи хакерства», что может найти отклик у внутренней аудитории, но не находит подтверждения на международной арене.
Например, в 2022 году Коммунистическая партия Китая упомянула Агентство национальной безопасности США в связи с хакерскими инструментами или операциями 24 раза, опираясь на переработанные старые материалы без нового технического анализа.
А в 2023 году Китай распространял уже новые обвинения в адрес США, не связанные с предыдущими утечками американской разведки, но всё так же необоснованных.
IT Дайджест / IT Новости / IT / Технологии
👍7❤2🥴1
Уязвимость DNSSEC позволяет одним пакетом вырубить резолвер на 16 часов
На сервере DNS, выполняющем валидацию по DNSSEC, можно вызвать состояние отказа в обслуживании (DoS) с помощью вредоносного пакета. Германские ученые разработали PoC-атаку, позволяющую подвесить резолвер и закрыть клиентам доступ к сайтам на 16 часов.
Угроза, нареченная KeyTrap, актуальна также для публичных DNS-сервисов вроде тех, что предоставляют Google и Cloudflare, и была зарегистрирована как уязвимость под идентификатором CVE-2023-50387 (7,5 балла CVSS).
Все началось с того, что специалисты исследовательского центра Дармштадта, занимающегося прикладными аспектами ИБ, обнаружили в спецификациях DNSSEC от 1999 года (RFC 2535) изъян, перекочевавший в более поздние версии в виде требований по реализации защитного протокола. Там сказано:
Отсюда можно сделать вывод, что резолвер, использующий DNSSEC, можно спровоцировать на контакт с сервером, отдающим вредоносный ответ — набор ресурсных записей (RR), валидация которых создает перегрузки по CPU. Таким образом, злоумышленник сможет временно вывести резолвер из строя; тесты показали, что период отказа может составлять от трех минут до 16 часов — зависит от софта, используемого мишенью.
В итоге пострадают не только пользователи, потерявшие доступ к веб-контенту, но также такие сервисы, как защита от спама, PKI, обеспечение безопасности маршрутизации (RPKI). По данным исследователей, в настоящее время DNSSEC-резолвинг используют 31% веб-клиентов в интернете, и атака KeyTrap может обернуться для них большой проблемой (обитатели рунета теперь знают об этом не понаслышке).
IT Дайджест / IT Новости / IT / Технологии
На сервере DNS, выполняющем валидацию по DNSSEC, можно вызвать состояние отказа в обслуживании (DoS) с помощью вредоносного пакета. Германские ученые разработали PoC-атаку, позволяющую подвесить резолвер и закрыть клиентам доступ к сайтам на 16 часов.
Угроза, нареченная KeyTrap, актуальна также для публичных DNS-сервисов вроде тех, что предоставляют Google и Cloudflare, и была зарегистрирована как уязвимость под идентификатором CVE-2023-50387 (7,5 балла CVSS).
Все началось с того, что специалисты исследовательского центра Дармштадта, занимающегося прикладными аспектами ИБ, обнаружили в спецификациях DNSSEC от 1999 года (RFC 2535) изъян, перекочевавший в более поздние версии в виде требований по реализации защитного протокола. Там сказано:
«Сервер имен должен отдавать все наличные криптографические материалы, а резолвер — использовать все, что прислано, пока проверка соответствия не окончится успехом».
Отсюда можно сделать вывод, что резолвер, использующий DNSSEC, можно спровоцировать на контакт с сервером, отдающим вредоносный ответ — набор ресурсных записей (RR), валидация которых создает перегрузки по CPU. Таким образом, злоумышленник сможет временно вывести резолвер из строя; тесты показали, что период отказа может составлять от трех минут до 16 часов — зависит от софта, используемого мишенью.
В итоге пострадают не только пользователи, потерявшие доступ к веб-контенту, но также такие сервисы, как защита от спама, PKI, обеспечение безопасности маршрутизации (RPKI). По данным исследователей, в настоящее время DNSSEC-резолвинг используют 31% веб-клиентов в интернете, и атака KeyTrap может обернуться для них большой проблемой (обитатели рунета теперь знают об этом не понаслышке).
IT Дайджест / IT Новости / IT / Технологии
Ссылка-монстр в вашем Outlook: всего один символ открывает хакерам любые двери
Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию «Защищённый просмотр» (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
«Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов» — говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали «Moniker Link», позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
IT Дайджест / IT Новости / IT / Технологии
Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию «Защищённый просмотр» (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
«Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов» — говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали «Moniker Link», позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
IT Дайджест / IT Новости / IT / Технологии
👍2
Для Flipper Zero представлен модуль Video Game, построенный на базе Raspberry Pi
Создатели Flipper Zero, совместно с Raspberry Pi, разработали новый модуль Video Game. Он предназначен не только для игр, но также позволяет подключить Flipper Zero к телевизору, использовать его как осциллограф, управлять курсором в различных приложениях и так далее.
Новый модуль построен на разработке Raspberry Pi — микроконтроллере RP2040 (таком же, как в Raspberry Pi Pico). Создатели Flipper рассказывают, что немного разогнали его, «чтобы он мог генерировать видеосигнал». Это позволило оснастить модуль портом для подключения к телевизору и дублирования экрана Flipper. Также модуль имеет датчик отслеживания движений, который может использоваться в играх и приложениях.
Прошивка и все схемы, как обычно, полностью открыты, и разработчики говорят, что уже с нетерпением ждут идей от сообщества.
Технические характеристики модуля
- Микроконтроллер: Raspberry Pi RP2040 на двухъядерном процессоре ARM Cortex-M0+ (до 133 МГц).
- Оперативная память: 264 КБ SRAM.
- Гироскоп и акселерометр: TDK ICM-42688-P — 6-осевой MEMS-датчик отслеживания движений (IMU).
- Порт USB Type-C: работает как USB-устройство или хост (с ограничениями, так как USB power delivery не поддерживается).
Порт видеовыхода: сигнал DVI-D в разрешении 640х480, 60 Гц, через HDMI (разработчики пишут про «известный видеостандарт», который нельзя называть из-за ограничений по авторским правам, и намекают: первая буква - H, последняя – I).
- GPIO: 11 контактов GPIO, подключенных к RP2040, два контакта заземления и один контакт для питания (3,3 В).
- Кнопка Boot: активирует режим загрузчика (для разработчиков).
- Кнопка Reset: перезагружает железо модуля.
Разработчики демонстрируют, что играть в игры и использовать приложения, разработанные для Flipper Zero, на большом экране гораздо удобнее. Кроме того, порт видеовыхода можно использовать, например, для отображения перехваченных данных на большом экране.
IT Дайджест / IT Новости / IT / Технологии
Создатели Flipper Zero, совместно с Raspberry Pi, разработали новый модуль Video Game. Он предназначен не только для игр, но также позволяет подключить Flipper Zero к телевизору, использовать его как осциллограф, управлять курсором в различных приложениях и так далее.
Новый модуль построен на разработке Raspberry Pi — микроконтроллере RP2040 (таком же, как в Raspberry Pi Pico). Создатели Flipper рассказывают, что немного разогнали его, «чтобы он мог генерировать видеосигнал». Это позволило оснастить модуль портом для подключения к телевизору и дублирования экрана Flipper. Также модуль имеет датчик отслеживания движений, который может использоваться в играх и приложениях.
Прошивка и все схемы, как обычно, полностью открыты, и разработчики говорят, что уже с нетерпением ждут идей от сообщества.
Технические характеристики модуля
- Микроконтроллер: Raspberry Pi RP2040 на двухъядерном процессоре ARM Cortex-M0+ (до 133 МГц).
- Оперативная память: 264 КБ SRAM.
- Гироскоп и акселерометр: TDK ICM-42688-P — 6-осевой MEMS-датчик отслеживания движений (IMU).
- Порт USB Type-C: работает как USB-устройство или хост (с ограничениями, так как USB power delivery не поддерживается).
Порт видеовыхода: сигнал DVI-D в разрешении 640х480, 60 Гц, через HDMI (разработчики пишут про «известный видеостандарт», который нельзя называть из-за ограничений по авторским правам, и намекают: первая буква - H, последняя – I).
- GPIO: 11 контактов GPIO, подключенных к RP2040, два контакта заземления и один контакт для питания (3,3 В).
- Кнопка Boot: активирует режим загрузчика (для разработчиков).
- Кнопка Reset: перезагружает железо модуля.
Разработчики демонстрируют, что играть в игры и использовать приложения, разработанные для Flipper Zero, на большом экране гораздо удобнее. Кроме того, порт видеовыхода можно использовать, например, для отображения перехваченных данных на большом экране.
IT Дайджест / IT Новости / IT / Технологии
Госдума хочет «приручить» Telegram: анонимным каналам грозит регистрация
МВД назвало Telegram лидером по популярности у IT-злоумышленников.
Основным инструментом коммуникации в IT-преступлениях является мессенджер Telegram, об этом заявил Сергей Ерохин, замначальник управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. Он отметил, что взаимодействие с Telegram затруднено и на практике не осуществляется, так как серверное оборудование и юридическое лицо компании находятся за пределами РФ, в недоступном сегменте.
Он также добавил, что преступления в IT-сфере являются латентными, носят организованный характер и имеют признаки трансграничности. По его словам, только в 2023 году количество тяжких и особо тяжких преступлений в IT-сфере увеличилось на 26%. Он назвал одной из причин актуальности и роста преступности в сфере IT факты использования, передачи, сбора и хранения информации, содержащей персональные данные, а также создание информационных ресурсов, предназначенных для ее хранения или распространения.
«Широко распространено создание и функционирование коммерческих интернет-ресурсов, предназначенных для сбора, накопления скомпрометированных данных, предоставления их доступа на платной основе. Заказчиками выступают, как участники преступных групп, так и недобросовестные сотрудники частных сыскных, коллекторских агентств и иностранных служб», - отметил Ерохин.
IT Дайджест / IT Новости / IT / Технологии
МВД назвало Telegram лидером по популярности у IT-злоумышленников.
Основным инструментом коммуникации в IT-преступлениях является мессенджер Telegram, об этом заявил Сергей Ерохин, замначальник управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. Он отметил, что взаимодействие с Telegram затруднено и на практике не осуществляется, так как серверное оборудование и юридическое лицо компании находятся за пределами РФ, в недоступном сегменте.
Он также добавил, что преступления в IT-сфере являются латентными, носят организованный характер и имеют признаки трансграничности. По его словам, только в 2023 году количество тяжких и особо тяжких преступлений в IT-сфере увеличилось на 26%. Он назвал одной из причин актуальности и роста преступности в сфере IT факты использования, передачи, сбора и хранения информации, содержащей персональные данные, а также создание информационных ресурсов, предназначенных для ее хранения или распространения.
«Широко распространено создание и функционирование коммерческих интернет-ресурсов, предназначенных для сбора, накопления скомпрометированных данных, предоставления их доступа на платной основе. Заказчиками выступают, как участники преступных групп, так и недобросовестные сотрудники частных сыскных, коллекторских агентств и иностранных служб», - отметил Ерохин.
IT Дайджест / IT Новости / IT / Технологии
🤡4👍3❤2👎1
Малварь Bumblebee возобновила активность после четырехмесячного перерыва
Вредонос Bumblebee вернулась после четырехмесячного перерыва и нацелил свои фишинговые кампании на тысячи организаций в США.
Напомню, что впервые Bumblebee был обнаружен в апреле 2022 года. Как тогда объясняли исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики. Исследователи считают, что Bumblebee связан с группировками Conti и Trickbot и был создан в качестве замены бэкдору BazarLoader.
Новая кампания, обнаруженная специалистами Proofpoint, активна с октября 2023 года, и исследователи считают, что в 2024 году деятельность хакеров продолжит набирать обороты.
На этот раз Bumblebee распространяется под видом фальшивых голосовых сообщений. Теперь фишинговые письма маскируются под уведомления о новой голосовой почте и используют тему «Voicemail February». Такие послания были отправлены тысячам организаций в США с адреса info@quarlessa[.]com.
Письма содержат ссылку на OneDrive, откуда загружается документ-приманка под названием ReleaseEvans#96.docm. В документе хакеры выдают себя за представителя компании hu.ma.ne, якобы специализирующейся на бытовой электронике и известной своими ИИ-продуктами.
Вредоносный документ использует макросы для создания файла скрипта во временной папке Windows, а затем запускает его с помощью команды wscript. Этот временный файл содержит команду PowerShell, которая получает и выполняет следующий этап атаки с удаленного сервера, который в итоге загружает и запускает DLL Bumblebee (w_ver.dll) в системе жертвы.
IT Дайджест / IT Новости / IT / Технологии
Вредонос Bumblebee вернулась после четырехмесячного перерыва и нацелил свои фишинговые кампании на тысячи организаций в США.
Напомню, что впервые Bumblebee был обнаружен в апреле 2022 года. Как тогда объясняли исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики. Исследователи считают, что Bumblebee связан с группировками Conti и Trickbot и был создан в качестве замены бэкдору BazarLoader.
Новая кампания, обнаруженная специалистами Proofpoint, активна с октября 2023 года, и исследователи считают, что в 2024 году деятельность хакеров продолжит набирать обороты.
На этот раз Bumblebee распространяется под видом фальшивых голосовых сообщений. Теперь фишинговые письма маскируются под уведомления о новой голосовой почте и используют тему «Voicemail February». Такие послания были отправлены тысячам организаций в США с адреса info@quarlessa[.]com.
Письма содержат ссылку на OneDrive, откуда загружается документ-приманка под названием ReleaseEvans#96.docm. В документе хакеры выдают себя за представителя компании hu.ma.ne, якобы специализирующейся на бытовой электронике и известной своими ИИ-продуктами.
Вредоносный документ использует макросы для создания файла скрипта во временной папке Windows, а затем запускает его с помощью команды wscript. Этот временный файл содержит команду PowerShell, которая получает и выполняет следующий этап атаки с удаленного сервера, который в итоге загружает и запускает DLL Bumblebee (w_ver.dll) в системе жертвы.
IT Дайджест / IT Новости / IT / Технологии
❤2
Уязвимость wpa_supplicant грозит перехватом Wi-Fi 2,3 млрд юзеров Android
В утилите wpa_supplicant и демоне IWD (iNet Wireless Daemon, создан Intel) найдены возможности обхода аутентификации, позволяющие получить несанкционированный доступ к целевой беспроводной сети. Проблема актуальна для систем Linux, Android и ChromeOS.
Схожие ошибки в программах Wi-Fi с открытым исходным кодом были обнаружены в ходе совместного исследования профессором Лёвенского университета Мэти Ванхуфом (Mathy Vanhoef) и специалистами компании Top10VPN. Ванхуф давно интересуется вопросами безопасности Wi-Fi и получил известность как автор PoC-атак KRACK, Dragonblood и FragAttacks.
Уязвимость CVE-2023-52160 в wpa_supplicant v2.10 и ниже (по дефолту этот софт используют 2,3 млрд Android-устройств, многие Linux, а также Chromebook) проявляется при неправильных настройках клиента Wi-Fi — когда тот не проверяет SSL-сертификат сервера аутентификации.
В этом случае пользователя, совершающего вход в корпоративную сеть, можно обманом заставить подключиться к вредоносному клону для перехвата его сообщений. Взаимодействия с жертвой не потребуется, нужно лишь находиться неподалеку и знать SSID сети, которой она обычно пользуется.
Уязвимость CVE-2023-52161 в IWD возникла из-за того, что Linux-демон не фиксирует очередность сообщений в ходе хэндшейка, а попросту ведет прием. В результате открылась возможность сократить эту процедуру, пропустив пару этапов, и завершить аутентификацию без ввода пароля.
В тех случаях, когда IWD работает в режиме точки доступа, злоумышленник сможет проникнуть в защищенную сеть — домашнюю или офисную — и подключиться к интернету как законный пользователь или атаковать другие устройства, перехватывать конфиденциальные данные, доставлять зловредов.
IT Дайджест / IT Новости / IT / Технологии
В утилите wpa_supplicant и демоне IWD (iNet Wireless Daemon, создан Intel) найдены возможности обхода аутентификации, позволяющие получить несанкционированный доступ к целевой беспроводной сети. Проблема актуальна для систем Linux, Android и ChromeOS.
Схожие ошибки в программах Wi-Fi с открытым исходным кодом были обнаружены в ходе совместного исследования профессором Лёвенского университета Мэти Ванхуфом (Mathy Vanhoef) и специалистами компании Top10VPN. Ванхуф давно интересуется вопросами безопасности Wi-Fi и получил известность как автор PoC-атак KRACK, Dragonblood и FragAttacks.
Уязвимость CVE-2023-52160 в wpa_supplicant v2.10 и ниже (по дефолту этот софт используют 2,3 млрд Android-устройств, многие Linux, а также Chromebook) проявляется при неправильных настройках клиента Wi-Fi — когда тот не проверяет SSL-сертификат сервера аутентификации.
В этом случае пользователя, совершающего вход в корпоративную сеть, можно обманом заставить подключиться к вредоносному клону для перехвата его сообщений. Взаимодействия с жертвой не потребуется, нужно лишь находиться неподалеку и знать SSID сети, которой она обычно пользуется.
Уязвимость CVE-2023-52161 в IWD возникла из-за того, что Linux-демон не фиксирует очередность сообщений в ходе хэндшейка, а попросту ведет прием. В результате открылась возможность сократить эту процедуру, пропустив пару этапов, и завершить аутентификацию без ввода пароля.
В тех случаях, когда IWD работает в режиме точки доступа, злоумышленник сможет проникнуть в защищенную сеть — домашнюю или офисную — и подключиться к интернету как законный пользователь или атаковать другие устройства, перехватывать конфиденциальные данные, доставлять зловредов.
IT Дайджест / IT Новости / IT / Технологии
🤓4😭2👍1
Объем утечек в финансовом секторе вырос в 3,2 раза
Специалисты экспертно-аналитического центра ГК InfoWatch представили исследование «Финансовый сектор: утечки конфиденциальной информации Мир – Россия 2021-2023 гг.», в котором они проанализировали данные об инцидентах ИБ, произошедших за последние 3 года в банках, страховых компаниях, биржах, платежных сервисах и других организациях отрасли.
Согласно результатам исследования, количество утечек конфиденциальных данных из финансовых компаний в 2023 году продолжило расти двузначными темпами (в процентах). Во всем мире этот показатель увеличился на 79,5% и достиг рекордных 1049 эпизодов. Рост их числа в России также внушительный – в прошлом году он составил 12,3%. Таким образом, в РФ за прошлый год было зафиксировано 64 инцидента, приведших к утечкам информации.
Взгляд на события ИБ в разрезе объема утекшей из финансовой отрасли информации демонстрирует многократный рост. Так, если в мире за 2023 год из организаций было слито 4324 миллиона записей персональных данных (в 6 раз больше, чем годом ранее), то в России за тот же период – 170,3 миллиона (в 3,2 больше, чем в 2022 году). При этом в 2021 году этот показатель в России составлял лишь 3 миллиона записей – то есть, почти в 57 раз меньше, чем в 2023 году.
Одними из главных причин существенного роста количества утечек в отрасли аналитики ГК InfoWatch называют быстрые темпы цифровизации финансового сектора, а также открытие новых уязвимостей, наличие которых приводит к росту количества взломов компаний и расширению объемов скомпрометированной информации. Интересно, что на фоне данной динамики большинство компаний не торопятся раскрывать сведения об инцидентах. Так, согласно опросу ГК InfoWatch, 42% представителей финансовой отрасли считают, что произошедшие утечки данных признают всего от 4% до 10% компаний.
IT Дайджест / IT Новости / IT / Технологии
Специалисты экспертно-аналитического центра ГК InfoWatch представили исследование «Финансовый сектор: утечки конфиденциальной информации Мир – Россия 2021-2023 гг.», в котором они проанализировали данные об инцидентах ИБ, произошедших за последние 3 года в банках, страховых компаниях, биржах, платежных сервисах и других организациях отрасли.
Согласно результатам исследования, количество утечек конфиденциальных данных из финансовых компаний в 2023 году продолжило расти двузначными темпами (в процентах). Во всем мире этот показатель увеличился на 79,5% и достиг рекордных 1049 эпизодов. Рост их числа в России также внушительный – в прошлом году он составил 12,3%. Таким образом, в РФ за прошлый год было зафиксировано 64 инцидента, приведших к утечкам информации.
Взгляд на события ИБ в разрезе объема утекшей из финансовой отрасли информации демонстрирует многократный рост. Так, если в мире за 2023 год из организаций было слито 4324 миллиона записей персональных данных (в 6 раз больше, чем годом ранее), то в России за тот же период – 170,3 миллиона (в 3,2 больше, чем в 2022 году). При этом в 2021 году этот показатель в России составлял лишь 3 миллиона записей – то есть, почти в 57 раз меньше, чем в 2023 году.
Одними из главных причин существенного роста количества утечек в отрасли аналитики ГК InfoWatch называют быстрые темпы цифровизации финансового сектора, а также открытие новых уязвимостей, наличие которых приводит к росту количества взломов компаний и расширению объемов скомпрометированной информации. Интересно, что на фоне данной динамики большинство компаний не торопятся раскрывать сведения об инцидентах. Так, согласно опросу ГК InfoWatch, 42% представителей финансовой отрасли считают, что произошедшие утечки данных признают всего от 4% до 10% компаний.
IT Дайджест / IT Новости / IT / Технологии
👍2
Компания Varta вынуждена остановить производство элементов питания из-за кибератаки
Немецкая компания Varta AG заявляет, что подвергалась кибератаке, из-за которой пришлось отключить часть ИТ-систем, что в итоге привело к остановке производства на заводах.
Varta — производитель элементов питания для автомобильного, потребительского и промышленного секторов, частично принадлежащий Energizer Holdings. Годовой доход компании превышает 875 млн долларов США.
Компания сообщает, что в начале текущей недели хакеры атаковали часть ее ИТ-инфраструктуры, что привело к серьезному сбою в работе пяти производственных подразделений.
В настоящее время масштабы инцидента еще изучаются, и пока неясен размер ущерба, нанесенного компании. Представители Varta заявляют, что сейчас их приоритетной задачей является обеспечение целостности данных, и предпочитают использовать упреждающие отключения, которые могут помочь локализовать инцидент.
В компании подчеркивают, что уже сформировали целевую группу, состоящую из экспертов по кибербезопасности и специалистов по киберкриминалистике, которые будут помогать в восстановлении систем.
IT Дайджест / IT Новости / IT / Технологии
Немецкая компания Varta AG заявляет, что подвергалась кибератаке, из-за которой пришлось отключить часть ИТ-систем, что в итоге привело к остановке производства на заводах.
Varta — производитель элементов питания для автомобильного, потребительского и промышленного секторов, частично принадлежащий Energizer Holdings. Годовой доход компании превышает 875 млн долларов США.
Компания сообщает, что в начале текущей недели хакеры атаковали часть ее ИТ-инфраструктуры, что привело к серьезному сбою в работе пяти производственных подразделений.
«Вечером 12 февраля 2024 года, группа компаний Varta подверглась кибератаке, затронувшей часть IT-систем, — говорится в пресс-релизе. — Инцидент затронул пять производственных предприятий и административный отдел. В целях безопасности ИТ-систем и производств они были временно остановлены и отключены от интернета».
В настоящее время масштабы инцидента еще изучаются, и пока неясен размер ущерба, нанесенного компании. Представители Varta заявляют, что сейчас их приоритетной задачей является обеспечение целостности данных, и предпочитают использовать упреждающие отключения, которые могут помочь локализовать инцидент.
В компании подчеркивают, что уже сформировали целевую группу, состоящую из экспертов по кибербезопасности и специалистов по киберкриминалистике, которые будут помогать в восстановлении систем.
IT Дайджест / IT Новости / IT / Технологии
🤨2❤1
Охотник-убийца на свободе: новые методы обхода корпоративной защиты
Новое поколение зловредного ПО нацелено не на обход обнаружения, а на полное уничтожение защиты предприятий.
За последний год в киберпространстве значительно возросло число инцидентов, направленных на отключение корпоративной защиты. Об этом говорится в ежегодном отчёте Red Report , опубликованном компанией Picus Security.
Отчёт выявил значительный рост способностей атакующих обнаруживать и нейтрализовать современные системы защиты, включая файрволы нового поколения, антивирусное программное обеспечение и EDR-решения.
Специализированный вредоносный софт, который и отвечает за отключение систем безопасности компаний, в Picus Security обозначили общим названием «Hunter-killer» («охотник-убийца») и отметили рост числа использования подобных программ на 333% за последние 12 месяцев.
Сулейман Озарслан, сооснователь и вице-президент Picus, подчеркнул, что такое значительное увеличение стало неожиданностью, поскольку ранее подобное ПО не входило даже в ТОП-10 угроз. Это подчёркивает сдвиг хакеров к применению более разрушительных и опасных инструментов, представляя серьёзную задачу для ИБ-специалистов.
В отчёте, основанном на анализе более 600 тысяч образцов вредоносного ПО, выявленных в «дикой природе» (ITW), говорится о том, что преступники адаптируют свои тактики в ответ на растущую кибербезопасность предприятий и широкое использование инструментов с продвинутыми возможностями для обнаружения угроз.
Теперь такое поведение наблюдается примерно в четверти всех образцов вредоносного ПО и используется практически каждой группой, занимающейся вымогательством и продвинутыми атаками.
Калли Гюнтер, старший менеджер по исследованию киберугроз компании Critical Start, отметила, что появление ПО типа «Hunter-killer» является значительной эволюцией в киберугрозах, требующей от ИБ-отрасли принятия более динамичных и проактивных механизмов защиты.
T Дайджест / IT Новости / IT / Технологии
Новое поколение зловредного ПО нацелено не на обход обнаружения, а на полное уничтожение защиты предприятий.
За последний год в киберпространстве значительно возросло число инцидентов, направленных на отключение корпоративной защиты. Об этом говорится в ежегодном отчёте Red Report , опубликованном компанией Picus Security.
Отчёт выявил значительный рост способностей атакующих обнаруживать и нейтрализовать современные системы защиты, включая файрволы нового поколения, антивирусное программное обеспечение и EDR-решения.
Специализированный вредоносный софт, который и отвечает за отключение систем безопасности компаний, в Picus Security обозначили общим названием «Hunter-killer» («охотник-убийца») и отметили рост числа использования подобных программ на 333% за последние 12 месяцев.
Сулейман Озарслан, сооснователь и вице-президент Picus, подчеркнул, что такое значительное увеличение стало неожиданностью, поскольку ранее подобное ПО не входило даже в ТОП-10 угроз. Это подчёркивает сдвиг хакеров к применению более разрушительных и опасных инструментов, представляя серьёзную задачу для ИБ-специалистов.
В отчёте, основанном на анализе более 600 тысяч образцов вредоносного ПО, выявленных в «дикой природе» (ITW), говорится о том, что преступники адаптируют свои тактики в ответ на растущую кибербезопасность предприятий и широкое использование инструментов с продвинутыми возможностями для обнаружения угроз.
Теперь такое поведение наблюдается примерно в четверти всех образцов вредоносного ПО и используется практически каждой группой, занимающейся вымогательством и продвинутыми атаками.
Калли Гюнтер, старший менеджер по исследованию киберугроз компании Critical Start, отметила, что появление ПО типа «Hunter-killer» является значительной эволюцией в киберугрозах, требующей от ИБ-отрасли принятия более динамичных и проактивных механизмов защиты.
T Дайджест / IT Новости / IT / Технологии
🔥2❤1
Кибербезопасность по-американски: как череда глупых ошибок привела к взлому правительственной сети
Компрометации можно было избежать, применив лишь несколько простых мер защиты...
Американское агентство кибербезопасности и защиты инфраструктуры (CISA) в сотрудничестве с межгосударственным центром анализа и обмена информацией (MS-ISAC) установило , что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.
Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе.
С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint, атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.
На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.
В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.
Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией (MFA), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.
IT Дайджест / IT Новости / IT / Технологии
Компрометации можно было избежать, применив лишь несколько простых мер защиты...
Американское агентство кибербезопасности и защиты инфраструктуры (CISA) в сотрудничестве с межгосударственным центром анализа и обмена информацией (MS-ISAC) установило , что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.
Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе.
С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint, атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.
На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.
В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.
Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией (MFA), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.
IT Дайджест / IT Новости / IT / Технологии
Представлен аналоговый компьютер будущего на спиновых волнах
Как новые технологии способны переопределить эффективность вычислений.
Ученые из Японии и Швейцарии совершили важный шаг на пути к созданию нового поколения аналоговых компьютеров, разработав новые типы логических элементов на основе спиновых волн. Спиновые волны возникают, когда все электроны в системе одновременно меняют ориентацию своих спинов в одном направлении.
Тайчи Гото, доцент Исследовательского института электросвязи Тохокского университета и соавтор исследования, отмечает, что спиновые волны, имеющие длину волн около 100 нанометров, предлагают альтернативный взгляд на аналоговое вычисление, более согласующийся с преимущественно электронным миром цифровых компьютеров. В отличие от оптических аналоговых компьютеров, которые могут быть громоздкими и уязвимыми из-за несовершенств оптических компонентов, технология на основе спиновых волн может быть более доступной и не требует охлаждения, что значительно снижает затраты на ее эксплуатацию.
Исследователи разработали новый тип волновода для логических элементов аналогового компьютера на спиновых волнах, используя не оптику, а «магнонику» для управления этими волнами. Такой подход, по словам Гото, позволяет работать при комнатной температуре без необходимости в дополнительных охладительных системах, что делает его более экономичным в сравнении с другими волновыми технологиями.
Для создания волновода ученые использовали процессирование железо иттриевого граната (Y3Fe5O12, YIG) для получения стержневидных форм, а затем добавили к подложке из YIG двумерный медный гексагональный решетчатый слой, увеличивающий внутреннее отражение и снижающий потери в волноводе.
Спиновые волны в устройстве генерируются антенной, непосредственно размещенной на изоляционной подложке, а двумерный медный слой отражает и направляет эти волны. Размер и структура антенны позволяют легко изменять длину волн спиновых волн.
IT Дайджест / IT Новости / IT / Технологии
Как новые технологии способны переопределить эффективность вычислений.
Ученые из Японии и Швейцарии совершили важный шаг на пути к созданию нового поколения аналоговых компьютеров, разработав новые типы логических элементов на основе спиновых волн. Спиновые волны возникают, когда все электроны в системе одновременно меняют ориентацию своих спинов в одном направлении.
Тайчи Гото, доцент Исследовательского института электросвязи Тохокского университета и соавтор исследования, отмечает, что спиновые волны, имеющие длину волн около 100 нанометров, предлагают альтернативный взгляд на аналоговое вычисление, более согласующийся с преимущественно электронным миром цифровых компьютеров. В отличие от оптических аналоговых компьютеров, которые могут быть громоздкими и уязвимыми из-за несовершенств оптических компонентов, технология на основе спиновых волн может быть более доступной и не требует охлаждения, что значительно снижает затраты на ее эксплуатацию.
Исследователи разработали новый тип волновода для логических элементов аналогового компьютера на спиновых волнах, используя не оптику, а «магнонику» для управления этими волнами. Такой подход, по словам Гото, позволяет работать при комнатной температуре без необходимости в дополнительных охладительных системах, что делает его более экономичным в сравнении с другими волновыми технологиями.
Для создания волновода ученые использовали процессирование железо иттриевого граната (Y3Fe5O12, YIG) для получения стержневидных форм, а затем добавили к подложке из YIG двумерный медный гексагональный решетчатый слой, увеличивающий внутреннее отражение и снижающий потери в волноводе.
Спиновые волны в устройстве генерируются антенной, непосредственно размещенной на изоляционной подложке, а двумерный медный слой отражает и направляет эти волны. Размер и структура антенны позволяют легко изменять длину волн спиновых волн.
IT Дайджест / IT Новости / IT / Технологии
👍1
MMS Fingerprint: NSO Group раскрыла секретный метод шпионажа через MMS
Раскрыта новая техника заражения, работающая без участия пользователя.
В документации текущего судебного процесса между WhatsApp и компанией NSO Group, специализирующейся на шпионском программном обеспечении, обнаружен намек на существование ранее неизвестного метода заражения. В контракте между NSO и телекоммуникационным регулятором Ганы упоминается технология под названием "MMS Fingerprint", классифицированная как инструмент помощи в заражении. Этот метод, по заявлениям NSO, позволяет идентифицировать устройство и операционную систему цели без необходимости взаимодействия или открытия сообщения пользователем, и может быть использован против устройств на Android, Blackberry и iOS.
Технология "MMS Fingerprint" вызвала интерес у Кэтала МакДэйда, вице-президента по технологиям в шведской компании Enea, специализирующейся на безопасности телекоммуникаций, который решил изучить этот метод подробнее. МакДэйд обратил внимание на процесс обмена MMS, который описал как "беспорядочный", поскольку иногда для отправки MMS используется не сам протокол MMS. В ходе исследования было выяснено, что в процессе получения сообщения MMS через HTTP GET запрос к URL, содержащемуся в ожидающем сообщении, передается информация о устройстве пользователя. Это и позволяет "снимать" отпечаток MMS.
Компания Enea провела тестирование и смогла заставить целевое устройство выполнить GET запрос к URL на сервере под своим контролем. Этот запрос выявил поля UserAgent и x-wap-profile устройства, которые указывают на операционную систему и модель устройства, а также на файл UAProf (Профиль Агента Пользователя), описывающий возможности мобильного телефона. Enea смогла скрыть этот процесс, изменив элемент бинарного SMS на тихий SMS, тем самым никакое содержимое MMS на целевом устройстве не отображалось.
IT Дайджест / IT Новости / IT / Технологии
Раскрыта новая техника заражения, работающая без участия пользователя.
В документации текущего судебного процесса между WhatsApp и компанией NSO Group, специализирующейся на шпионском программном обеспечении, обнаружен намек на существование ранее неизвестного метода заражения. В контракте между NSO и телекоммуникационным регулятором Ганы упоминается технология под названием "MMS Fingerprint", классифицированная как инструмент помощи в заражении. Этот метод, по заявлениям NSO, позволяет идентифицировать устройство и операционную систему цели без необходимости взаимодействия или открытия сообщения пользователем, и может быть использован против устройств на Android, Blackberry и iOS.
Технология "MMS Fingerprint" вызвала интерес у Кэтала МакДэйда, вице-президента по технологиям в шведской компании Enea, специализирующейся на безопасности телекоммуникаций, который решил изучить этот метод подробнее. МакДэйд обратил внимание на процесс обмена MMS, который описал как "беспорядочный", поскольку иногда для отправки MMS используется не сам протокол MMS. В ходе исследования было выяснено, что в процессе получения сообщения MMS через HTTP GET запрос к URL, содержащемуся в ожидающем сообщении, передается информация о устройстве пользователя. Это и позволяет "снимать" отпечаток MMS.
Компания Enea провела тестирование и смогла заставить целевое устройство выполнить GET запрос к URL на сервере под своим контролем. Этот запрос выявил поля UserAgent и x-wap-profile устройства, которые указывают на операционную систему и модель устройства, а также на файл UAProf (Профиль Агента Пользователя), описывающий возможности мобильного телефона. Enea смогла скрыть этот процесс, изменив элемент бинарного SMS на тихий SMS, тем самым никакое содержимое MMS на целевом устройстве не отображалось.
IT Дайджест / IT Новости / IT / Технологии
👍3❤2
Мобильная малварь GoldPickaxe ворует биометрию для создания дипфейков
Новый троян для iOS и Android, получивший название GoldPickaxe, использует социальную инженерию, вынуждая жертв сканировать свои лица и документы, удостоверяющие личность. Исследователи Group-IB полагают, что потом эти данные используются для создания дипфейков и несанкционированного доступа к банковским счетам.
Подчеркивается, что малварь обманом, помощью социальной инженерии заставляет людей раскрыть свое лицо. То есть GoldPickaxe не перехватывает данные Face ID и не использует какие-либо уязвимости в мобильных ОС.
По словам исследователей, новая малварь является частью вредоносного арсенала китайской хак-группы GoldFactory, которая также ответственна за создание таких угроз как GoldDigger, GoldDiggerPlus и GoldKefu. Атаки этой группировки обычно направлены на Азиатско-Тихоокеанский регион (в частности, на Таиланд и Вьетнам).
Сообщается, что распространение GoldPickaxe началось в еще октябре 2023 года, и малварь активна до сих пор.
Как правило, жертвы получают фишинговые письма или сообщения в мессенджере LINE, написанные на их родном языке. В них мошенники выдают себя за представителей государственных органов и служб, обманом вынуждая пользователей установить вредоносные приложения. Например, Digital Pension, размещенное на сайтах, маскирующихся под официальный магазин Google Play.
IT Дайджест / IT Новости / IT / Технологии
Новый троян для iOS и Android, получивший название GoldPickaxe, использует социальную инженерию, вынуждая жертв сканировать свои лица и документы, удостоверяющие личность. Исследователи Group-IB полагают, что потом эти данные используются для создания дипфейков и несанкционированного доступа к банковским счетам.
Подчеркивается, что малварь обманом, помощью социальной инженерии заставляет людей раскрыть свое лицо. То есть GoldPickaxe не перехватывает данные Face ID и не использует какие-либо уязвимости в мобильных ОС.
По словам исследователей, новая малварь является частью вредоносного арсенала китайской хак-группы GoldFactory, которая также ответственна за создание таких угроз как GoldDigger, GoldDiggerPlus и GoldKefu. Атаки этой группировки обычно направлены на Азиатско-Тихоокеанский регион (в частности, на Таиланд и Вьетнам).
Сообщается, что распространение GoldPickaxe началось в еще октябре 2023 года, и малварь активна до сих пор.
Как правило, жертвы получают фишинговые письма или сообщения в мессенджере LINE, написанные на их родном языке. В них мошенники выдают себя за представителей государственных органов и служб, обманом вынуждая пользователей установить вредоносные приложения. Например, Digital Pension, размещенное на сайтах, маскирующихся под официальный магазин Google Play.
IT Дайджест / IT Новости / IT / Технологии
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статейа предмет URI, API-эндпоинтов и секретов
2. Глубокое погружение (на примере Linux)
3. План изучения информационной безопасности за 90 дней
4. Мощный инструмент для перехвата и анализа сетевого трафика.
5. Получаем ip-адрес из requests (python)
6. Очистка текста с помощью Python. Часть 1. Часть 2.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Предыдущий топ статейа предмет URI, API-эндпоинтов и секретов
2. Глубокое погружение (на примере Linux)
3. План изучения информационной безопасности за 90 дней
4. Мощный инструмент для перехвата и анализа сетевого трафика.
5. Получаем ip-адрес из requests (python)
6. Очистка текста с помощью Python. Часть 1. Часть 2.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
❤2
Защита частных сетевых доступов: Google обезопасит роутеры и принтеры от хакеров
Google будет постепенно внедрять эту функцию, чтобы дать разработчикам время на адаптацию.
Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
IT Дайджест / IT Новости / IT / Технологии
Google будет постепенно внедрять эту функцию, чтобы дать разработчикам время на адаптацию.
Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
IT Дайджест / IT Новости / IT / Технологии
❤3💩1
Раскол в Nginx: Разработчик недоволен «корпоративным вмешательством», создает свободный форк
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx, наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5, базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
IT Дайджест / IT Новости / IT / Технологии
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx, наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5, базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
IT Дайджест / IT Новости / IT / Технологии
❤3👍1
Примитивные пароли по-прежнему в тренде: что показал анализ 5 млрд скомпрометированных данных?
За последний год специалисты российского сервиса изучения утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) изучили 44 миллиона новых аккаунтов, увеличив общее количество анализируемых учетных записей до 5,52 миллиарда. Новое исследование посвящено изучению паролей, и с 2017 года общий объем проанализированных аккаунтов, включая повторяющиеся, составил 36,6 миллиарда. Из них около 200 миллионов были добавлены только за последний год.
Для сбора данных использовались различные источники, включая сообщества по восстановлению паролей из хэшей, теневые форумы и Telegram-каналы, где публикуются данные о массовых утечках. Важной частью процесса является очистка данных от дубликатов и мусора, а также исключение автоматически сгенерированных паролей и аккаунтов, созданных ботами. Кроме того, Кириллические символы были приведены к стандартной кодировке для удобства анализа.
Среди наиболее значимых утечек 2023 года, попавших в исследование, были данные с игрового сервера lsbg.net (23 млн. учетных записей), аналитической компании zacks.com (16 млн.), медицинской лаборатории helix.ru (13 млн.), мобильного приложения для оплаты парковки в Северной Америке parkmobile.us (12 млн.) и сервиса подбора микрозаймов qzaem.ru (10 млн.).
Исследование показало, что среди всех паролей:
Более 5,5 млрд. уникальных паролей, большая часть которых состоит из цифр, букв, кириллических символов, а также комбинаций букв, цифр и спецсимволов;
Более 3,5 млрд. паролей содержали 8 и более символов, а более 915 млн.— более 10 символов.
В топ-25 самых популярных паролей за все время больших изменений не произошло. «123456» продолжает оставаться на первом месте. А вот так выглядят 10 самых популярных паролей из утечек только за 2023 год:
123456
123456789
1000000
12345678
12345
123123
1234567890
123123qwe
qwerty
Qwerty123
В отдельной категории были рассмотрены пароли для доменных зон .ru и .рф, где также «123456» занял первое место. Анализ показал, что пользователи указанных доменных зон часто используют простые и легко угадываемые пароли.
10 самых популярных паролей зоны «ru» за 2023 год:
123456
123456789
1000000
12345678
12345
123123
12345zz
qwerty
Qwerty123
1234567890
10 самых популярных паролей, содержащих только буквы:
qwerty
password
qwertyuiop
zxcvbnm
iloveyou
asdasd
qazwsx
asdfghjkl
dragon
monkey
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
1qaz@WSX
P@ssw0rd
p@ssw0rd
pass@123
1qaz!QAZ
!QAZ2wsx
Password1!
!QAZ1qaz
Pass@123
abc123!
10 самых популярных кириллических паролей:
йцукен
пароль
любовь
привет
наташа
максим
марина
люблю
андрей
кристина
Кроме паролей, были проанализированы и домены электронной почты, используемые в качестве логинов. Здесь лидируют такие домены, как gmail.com и mail.ru. Среди имен, чаще всего используемых в логинах, наибольшую популярность имеют «info» и «admin».
Исследование подчеркивает необходимость усиления мер безопасности и использования более сложных паролей, учитывая, что многие пользователи по-прежнему полагаются на простые и легко угадываемые комбинации.
В январе прошлого года DLBI заявила, что за 2022 год в интернет попали из-за утечек данные 75% российских граждан. Как отмечается в докладе DLBI, большинство утечек содержали контактные данные пользователей, пароли и информацию об использовании различных интернет-сервисов.
IT Дайджест / IT Новости / IT / Технологии
За последний год специалисты российского сервиса изучения утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) изучили 44 миллиона новых аккаунтов, увеличив общее количество анализируемых учетных записей до 5,52 миллиарда. Новое исследование посвящено изучению паролей, и с 2017 года общий объем проанализированных аккаунтов, включая повторяющиеся, составил 36,6 миллиарда. Из них около 200 миллионов были добавлены только за последний год.
Для сбора данных использовались различные источники, включая сообщества по восстановлению паролей из хэшей, теневые форумы и Telegram-каналы, где публикуются данные о массовых утечках. Важной частью процесса является очистка данных от дубликатов и мусора, а также исключение автоматически сгенерированных паролей и аккаунтов, созданных ботами. Кроме того, Кириллические символы были приведены к стандартной кодировке для удобства анализа.
Среди наиболее значимых утечек 2023 года, попавших в исследование, были данные с игрового сервера lsbg.net (23 млн. учетных записей), аналитической компании zacks.com (16 млн.), медицинской лаборатории helix.ru (13 млн.), мобильного приложения для оплаты парковки в Северной Америке parkmobile.us (12 млн.) и сервиса подбора микрозаймов qzaem.ru (10 млн.).
Исследование показало, что среди всех паролей:
Более 5,5 млрд. уникальных паролей, большая часть которых состоит из цифр, букв, кириллических символов, а также комбинаций букв, цифр и спецсимволов;
Более 3,5 млрд. паролей содержали 8 и более символов, а более 915 млн.— более 10 символов.
В топ-25 самых популярных паролей за все время больших изменений не произошло. «123456» продолжает оставаться на первом месте. А вот так выглядят 10 самых популярных паролей из утечек только за 2023 год:
123456
123456789
1000000
12345678
12345
123123
1234567890
123123qwe
qwerty
Qwerty123
В отдельной категории были рассмотрены пароли для доменных зон .ru и .рф, где также «123456» занял первое место. Анализ показал, что пользователи указанных доменных зон часто используют простые и легко угадываемые пароли.
10 самых популярных паролей зоны «ru» за 2023 год:
123456
123456789
1000000
12345678
12345
123123
12345zz
qwerty
Qwerty123
1234567890
10 самых популярных паролей, содержащих только буквы:
qwerty
password
qwertyuiop
zxcvbnm
iloveyou
asdasd
qazwsx
asdfghjkl
dragon
monkey
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
1qaz@WSX
P@ssw0rd
p@ssw0rd
pass@123
1qaz!QAZ
!QAZ2wsx
Password1!
!QAZ1qaz
Pass@123
abc123!
10 самых популярных кириллических паролей:
йцукен
пароль
любовь
привет
наташа
максим
марина
люблю
андрей
кристина
Кроме паролей, были проанализированы и домены электронной почты, используемые в качестве логинов. Здесь лидируют такие домены, как gmail.com и mail.ru. Среди имен, чаще всего используемых в логинах, наибольшую популярность имеют «info» и «admin».
Исследование подчеркивает необходимость усиления мер безопасности и использования более сложных паролей, учитывая, что многие пользователи по-прежнему полагаются на простые и легко угадываемые комбинации.
В январе прошлого года DLBI заявила, что за 2022 год в интернет попали из-за утечек данные 75% российских граждан. Как отмечается в докладе DLBI, большинство утечек содержали контактные данные пользователей, пароли и информацию об использовании различных интернет-сервисов.
IT Дайджест / IT Новости / IT / Технологии
😁4❤2🙈2👍1
Android 15: Google представляет новую версию ОС с акцентом на производительность, безопасность и конфиденциальность
Верим?
Google анонсировала дебютную версию Android 15 для разработчиков, заложив основу для совершенствования опыта использования и разработки на платформе Android. Новая версия операционной системы сосредоточена на оптимизации производительности, улучшении интеграции с аппаратным обеспечением и повышении уровня приватности и безопасности пользователей, а также принесет множество улучшений для удобства использования.
В блоге Дэйва Берка , вице-президента Google по разработке Android, представлен Android 15 как ключевой шаг в усилиях компании по созданию платформы, которая не только повышает продуктивность, но и предлагает впечатляющие медиа возможности. Он подчеркнул, что новая версия минимизирует потребление батареи, не жертвуя при этом производительностью и плавностью работы приложений на разнообразных устройствах.
Одной из заметных особенностей Android 15 является последняя версия " Privacy Sandbox on Android " — многолетней инициативы Google по разработке технологий, которые улучшают приватность пользователей и одновременно позволяют эффективно и персонализированно взаимодействовать с мобильной рекламой.
Новый предварительный выпуск для разработчиков вводит новые API, использующие fs-verity — продвинутую функцию в ядре Linux, которая использует специальные криптографические подписи для защиты от несанкционированного изменения файлов, обеспечивая дополнительный уровень безопасности против вредоносного ПО и неавторизованных изменений файлов.
Улучшения интеграции также затрагивают Android Dynamic Performance Framework, предлагая функции, такие как режим энергоэффективности для сессий, оптимизируя использование энергии вместо производительности для фоновых задач. Благодаря нововведениям в Android 15, разработчики получили доступ к продвинутым инструментам для мониторинга работы GPU и CPU, способствуя более точной адаптации системы.
IT Дайджест / IT Новости / IT / Технологии
Верим?
Google анонсировала дебютную версию Android 15 для разработчиков, заложив основу для совершенствования опыта использования и разработки на платформе Android. Новая версия операционной системы сосредоточена на оптимизации производительности, улучшении интеграции с аппаратным обеспечением и повышении уровня приватности и безопасности пользователей, а также принесет множество улучшений для удобства использования.
В блоге Дэйва Берка , вице-президента Google по разработке Android, представлен Android 15 как ключевой шаг в усилиях компании по созданию платформы, которая не только повышает продуктивность, но и предлагает впечатляющие медиа возможности. Он подчеркнул, что новая версия минимизирует потребление батареи, не жертвуя при этом производительностью и плавностью работы приложений на разнообразных устройствах.
Одной из заметных особенностей Android 15 является последняя версия " Privacy Sandbox on Android " — многолетней инициативы Google по разработке технологий, которые улучшают приватность пользователей и одновременно позволяют эффективно и персонализированно взаимодействовать с мобильной рекламой.
Новый предварительный выпуск для разработчиков вводит новые API, использующие fs-verity — продвинутую функцию в ядре Linux, которая использует специальные криптографические подписи для защиты от несанкционированного изменения файлов, обеспечивая дополнительный уровень безопасности против вредоносного ПО и неавторизованных изменений файлов.
Улучшения интеграции также затрагивают Android Dynamic Performance Framework, предлагая функции, такие как режим энергоэффективности для сессий, оптимизируя использование энергии вместо производительности для фоновых задач. Благодаря нововведениям в Android 15, разработчики получили доступ к продвинутым инструментам для мониторинга работы GPU и CPU, способствуя более точной адаптации системы.
IT Дайджест / IT Новости / IT / Технологии
👍3🤡3
В Google Chrome тестируют блокирование атак на домашние сети
Разработчики Google Chrome тестируют новую функциональность, которая должна блокировать кибератаки на домашние сети через браузер. В версии Chrome 123 её планируют запустить в режиме «только предупреждать».
Основная цель — нивелировать атаки на домашние устройства вроде принтеров, маршрутизаторов и т. п. Как правило, пользователи считают, что такие устройства защищены, хотя на деле всё иначе.
Получившая имя «Private Network Access protections» функциональность будет выполнять ряд проверок при попытке одного ресурса переадресовать пользователя на другой сайт внутри частной сети.
Проверки будут включать отправку предварительного запроса, который должен показать допускает ли конечный сайт доступ с публичного ресурса через определённые запросы — CORS.
IT Дайджест / IT Новости / IT / Технологии
Разработчики Google Chrome тестируют новую функциональность, которая должна блокировать кибератаки на домашние сети через браузер. В версии Chrome 123 её планируют запустить в режиме «только предупреждать».
Основная цель — нивелировать атаки на домашние устройства вроде принтеров, маршрутизаторов и т. п. Как правило, пользователи считают, что такие устройства защищены, хотя на деле всё иначе.
«Нововведение поможет предотвратить действия вредоносных веб-сайтов, владельцы которых нацелены на устройства и службы во внутренних сетях пользователей», — пишет Google.
Получившая имя «Private Network Access protections» функциональность будет выполнять ряд проверок при попытке одного ресурса переадресовать пользователя на другой сайт внутри частной сети.
Проверки будут включать отправку предварительного запроса, который должен показать допускает ли конечный сайт доступ с публичного ресурса через определённые запросы — CORS.
IT Дайджест / IT Новости / IT / Технологии
RustDoor — новый macOS-бэкдор, атакующий криптовалютную сферу
Новый бэкдор для macOS, получивший кодовое имя RustDoor, атакует криптовалютные организации. Название говорит о том, что вредонос написан на Rust, а основная его задача — собирать и передавать операторам важную информацию.
На RustDoor обратили внимание специалисты румынской компании Bitdefender. Бэкдор не только собирает информацию о системе, но и ворует определённые файлы жертвы. При распространении RustDoor маскируют под обновление Visual Studio.
На сегодняшний день «в живой природе» насчитываются как минимум три версии RustDoor, однако исследователи пока не называют основной механизм распространения.
В Bitdefender утверждают, что бэкдор используется в целевых атаках:
Как правило, жертва получает архив с именем «Jobinfo.app.zip» или «Jobinfo.zip», в котором содержится стандартный шелл-скрипт, отвечающий за получение вредоноса с ресурса turkishfurniture[.]blog.
IT Дайджест / IT Новости / IT / Технологии
Новый бэкдор для macOS, получивший кодовое имя RustDoor, атакует криптовалютные организации. Название говорит о том, что вредонос написан на Rust, а основная его задача — собирать и передавать операторам важную информацию.
На RustDoor обратили внимание специалисты румынской компании Bitdefender. Бэкдор не только собирает информацию о системе, но и ворует определённые файлы жертвы. При распространении RustDoor маскируют под обновление Visual Studio.
На сегодняшний день «в живой природе» насчитываются как минимум три версии RustDoor, однако исследователи пока не называют основной механизм распространения.
В Bitdefender утверждают, что бэкдор используется в целевых атаках:
«Загрузчики первой стадии обычно маскируются под PDF-файлы с предложениями работы. На деле же они представляют собой скрипты, скачивающие и выполняющие вредоносную составляющую».
Как правило, жертва получает архив с именем «Jobinfo.app.zip» или «Jobinfo.zip», в котором содержится стандартный шелл-скрипт, отвечающий за получение вредоноса с ресурса turkishfurniture[.]blog.
IT Дайджест / IT Новости / IT / Технологии