Исследователи кибербезопасности выявили продолжающуюся кампанию кибератак, которая использует фишинговые письма для распространения вредоносного программного обеспечения под названием SSLoad. Кампания получила кодовое название FROZEN#SHADOW и включает в себя использование программы Cobalt Strike и программного обеспечения для удалённого доступа ConnectWise ScreenConnect.
Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.
Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.
JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.
В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.
Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.
Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.
Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.
JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.
В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.
Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.
iSharing, насчитывающий 35 миллионов пользователей, устранил уязвимость в системе безопасности, которая приводила к сливу точной геолокации.
В рамках исследования безопасности приложений для отслеживания локации Эрик Дейгл, студент из Ванкувера, обнаружил баг в утилите iSharing, которая на сегодняшний день насчитывает более 35 миллионов пользователей.
По словам Дейгла, данная уязвимость предоставляла возможность получить доступ к чужим координатам, даже если пользователи не делились данными о своем местоположении. Брешь также раскрывала личную информацию юзеров: имя, фотографию профиля, адрес электронной почты и номер телефона, используемые для входа в приложение.
Данный баг указывает на то, что серверы iSharing не проверяли должным образом, разрешён ли пользователям доступ только к их данным о местоположении или же и к чьим-либо ещё.
Это уже не первый случай, когда в приложениях для отслеживания местоположения находили уязвимости в безопасности, которые могли привести к утечке или раскрытию точной локации пользователей.
Две недели назад Дейгл рассказал компании iSharing об обнаруженной уязвимости в приложении. Производители никак не отреагировали на его сообщение. Тогда Дейгл обратился за помощью к TechCrunch. Вскоре специалисты iSharing устранили уязвимость.
Эрик Дейгл сообщил, что проблема заключалась в функции приложения под названием «группы», позволяющая создавать группу и добавлять туда других пользователей, тем самым делясь своим местоположением с другими юзерами.
В рамках исследования безопасности приложений для отслеживания локации Эрик Дейгл, студент из Ванкувера, обнаружил баг в утилите iSharing, которая на сегодняшний день насчитывает более 35 миллионов пользователей.
По словам Дейгла, данная уязвимость предоставляла возможность получить доступ к чужим координатам, даже если пользователи не делились данными о своем местоположении. Брешь также раскрывала личную информацию юзеров: имя, фотографию профиля, адрес электронной почты и номер телефона, используемые для входа в приложение.
Данный баг указывает на то, что серверы iSharing не проверяли должным образом, разрешён ли пользователям доступ только к их данным о местоположении или же и к чьим-либо ещё.
Это уже не первый случай, когда в приложениях для отслеживания местоположения находили уязвимости в безопасности, которые могли привести к утечке или раскрытию точной локации пользователей.
Две недели назад Дейгл рассказал компании iSharing об обнаруженной уязвимости в приложении. Производители никак не отреагировали на его сообщение. Тогда Дейгл обратился за помощью к TechCrunch. Вскоре специалисты iSharing устранили уязвимость.
Эрик Дейгл сообщил, что проблема заключалась в функции приложения под названием «группы», позволяющая создавать группу и добавлять туда других пользователей, тем самым делясь своим местоположением с другими юзерами.
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи сообщают об актуальной мошеннической схеме, в рамках которой людям предлагают заработать на криптовалюте Toncoin (TON) через Telegram. Схема работает по принципу пирамиды и нацелена, в том числе, на русскоговорящих пользователей.
По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги.
Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции — на русском и английском языках, а также текстовые материалы со скриншотами.
Сначала пользователь должен завести специальный криптокошелек — через неофициальный бот для хранения криптовалюты в Telegram. Потом ему нужно воспользоваться отдельным Telegram-ботом, через который якобы он сможет зарабатывать, и ввести туда адрес своего кошелька.
Далее требуется купить криптовалюту и перевести ее на свой кошелек. Для покупки предлагается использовать легитимные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram.
После этого нужно активировать того самого отдельного Telegram-бота для заработка, выбрав один из платных тарифов-«ускорителей»: их стоимость варьируется от 5 до 500 TON. Создатели пирамиды уверяют, что чем дороже тариф, тем быстрее человек начнет «зарабатывать».
Жертве предлагается выбор из пяти тарифов: «велосипед», «машина», «поезд», «самолет» и «ракета». Чем дороже тариф, тем выше комиссионный процент, — «велосипед» стоит 5 TON и дает 30% комиссии, а «ракета» — 500 TON и 70%. То есть пользователи рискуют потерять более 500 TON, если выберут самый дорогой тариф.
Затем пользователь должен создать закрытую группу в Telegram и пригласить туда своих знакомых. Мошенники просят разместить в группе два видео — презентацию сервиса и инструкцию по активации, а также реферальные ссылки для регистрации криптокошелька и установки Telegram-бота для «заработка».
По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги.
Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции — на русском и английском языках, а также текстовые материалы со скриншотами.
Сначала пользователь должен завести специальный криптокошелек — через неофициальный бот для хранения криптовалюты в Telegram. Потом ему нужно воспользоваться отдельным Telegram-ботом, через который якобы он сможет зарабатывать, и ввести туда адрес своего кошелька.
Далее требуется купить криптовалюту и перевести ее на свой кошелек. Для покупки предлагается использовать легитимные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram.
После этого нужно активировать того самого отдельного Telegram-бота для заработка, выбрав один из платных тарифов-«ускорителей»: их стоимость варьируется от 5 до 500 TON. Создатели пирамиды уверяют, что чем дороже тариф, тем быстрее человек начнет «зарабатывать».
Жертве предлагается выбор из пяти тарифов: «велосипед», «машина», «поезд», «самолет» и «ракета». Чем дороже тариф, тем выше комиссионный процент, — «велосипед» стоит 5 TON и дает 30% комиссии, а «ракета» — 500 TON и 70%. То есть пользователи рискуют потерять более 500 TON, если выберут самый дорогой тариф.
Затем пользователь должен создать закрытую группу в Telegram и пригласить туда своих знакомых. Мошенники просят разместить в группе два видео — презентацию сервиса и инструкцию по активации, а также реферальные ссылки для регистрации криптокошелька и установки Telegram-бота для «заработка».
Lazarus Group, известное хакерское объединение, традиционно ассоциируемое с Северной Кореей, использовало заманчивые предложения о работе для доставки нового троянца удалённого доступа (RAT) под названием Kaolin RAT в рамках атак, нацеленных на конкретных лиц в Азии летом 2023 года.
Как сообщил исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников.
RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности.
Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО.
Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска, содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe».
Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg».
Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена, который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.
Как сообщил исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников.
RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности.
Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО.
Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска, содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe».
Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg».
Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена, который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.
На этой неделе Google выпустила обновление для Chrome 124, которое исправляет четыре сразу уязвимости, включая критическую проблему CVE-2024-4058 в ANGLE.
Учитывая, что уязвимости присвоен рейтинг «критической», и она представляет собой баг типа type confusion, вероятнее всего она может использоваться удаленно для выполнения произвольного кода или побега из песочницы при ограниченном взаимодействии с пользователем. Стоит сказать, что за последние годы лишь несколько уязвимостей в Chrome получили статус «критических».
Google поблагодарила за обнаружение CVE-2024-4058 специалистов из группы Qrious Secure. За свои находки исследователи получили вознаграждение в размере 16 000 долларов.
Также Qrious Secure сообщила Google еще как минимум о двух уязвимостях в Chrome: CVE-2024-0517, которая допускает удаленное выполнение кода, и CVE-2024-0223, которая, по словам исследователей, «может быть использована непосредственно через JavaScript, потенциально предоставляя привилегии GPU». Обе проблемы были исправлены в начале текущего года.
Google не сообщает о том, что CVE-2024-4058 уже может эксплуатироваться хакерами. Однако злоумышленники нередко эксплуатируют ошибки типа confusion, найденные в Chrome, хотя чаще такие уязвимости затрагивают JavaScript-движок V8.
Учитывая, что уязвимости присвоен рейтинг «критической», и она представляет собой баг типа type confusion, вероятнее всего она может использоваться удаленно для выполнения произвольного кода или побега из песочницы при ограниченном взаимодействии с пользователем. Стоит сказать, что за последние годы лишь несколько уязвимостей в Chrome получили статус «критических».
Google поблагодарила за обнаружение CVE-2024-4058 специалистов из группы Qrious Secure. За свои находки исследователи получили вознаграждение в размере 16 000 долларов.
Также Qrious Secure сообщила Google еще как минимум о двух уязвимостях в Chrome: CVE-2024-0517, которая допускает удаленное выполнение кода, и CVE-2024-0223, которая, по словам исследователей, «может быть использована непосредственно через JavaScript, потенциально предоставляя привилегии GPU». Обе проблемы были исправлены в начале текущего года.
Google не сообщает о том, что CVE-2024-4058 уже может эксплуатироваться хакерами. Однако злоумышленники нередко эксплуатируют ошибки типа confusion, найденные в Chrome, хотя чаще такие уязвимости затрагивают JavaScript-движок V8.
Компания Microsoft опубликовала исходный код MS-DOS 4.00, бинарники, образы дисков и документацию. Теперь исходный код, которому почти 45 лет, доступен под лицензией MIT, то есть с ним можно свободно работать, изменять и распространять.
Десять лет назад Microsoft уже передавала исходники MS-DOS 1.25 и 2.0 Музею компьютерной истории, а затем повторно опубликовала их и на GitHub. В компании отмечают, что этот код занимает важное место в истории операционной системы, которая была полностью написана на ассемблере для 8086 почти полвека назад.
Теперь был обнародован и исходный код MS-DOS 4.00, отныне доступный под лицензией MIT. В Microsoft напоминают, что MS-DOS 4.00 — это довольно интересная версия, написанная совместно с IBM. В прошлом именно от MS-DOS 4.00 было образовано ответвление Multitasking DOS (или MT-DOS), которое в итоге не получило широкого распространения.
В своем сообщении об открытии исходного кода MS-DOS 4.00 представители Microsoft рассказывают, что этот релиз увидел свет благодаря переписке между бывшим техническим директором Microsoft Рэем Оззи и молодым британским исследователем Коннором Хайдом, также известным под ником Starfrost.
Дело в том, что многие исходники и материалы, теперь доступные на GitHub, были предоставлены Оззи, который когда-то давно работал в компании Lotus, и ему прислали несколько неизданных бета-версий MS-DOS 4. С тех пор Оззи хранил дискеты в надежном месте, а недавно нашел их по просьбе Хайда.
В итоге Starfrost связался с отделом Microsoft, который занимается открытым исходным кодом (OSPO), чтобы изучить возможность публикации исходников DOS 4. Ведь сам Хайд работает над документированием взаимосвязей между DOS 4, MT-DOS и тем, что в итоге стало OS/2.
Отмечается, что некоторые более поздние версии бинарников Multitasking DOS можно было найти в интернете, но бета-версии Оззи – это более ранние копии, которые не выпускались ранее.
Десять лет назад Microsoft уже передавала исходники MS-DOS 1.25 и 2.0 Музею компьютерной истории, а затем повторно опубликовала их и на GitHub. В компании отмечают, что этот код занимает важное место в истории операционной системы, которая была полностью написана на ассемблере для 8086 почти полвека назад.
Теперь был обнародован и исходный код MS-DOS 4.00, отныне доступный под лицензией MIT. В Microsoft напоминают, что MS-DOS 4.00 — это довольно интересная версия, написанная совместно с IBM. В прошлом именно от MS-DOS 4.00 было образовано ответвление Multitasking DOS (или MT-DOS), которое в итоге не получило широкого распространения.
В своем сообщении об открытии исходного кода MS-DOS 4.00 представители Microsoft рассказывают, что этот релиз увидел свет благодаря переписке между бывшим техническим директором Microsoft Рэем Оззи и молодым британским исследователем Коннором Хайдом, также известным под ником Starfrost.
Дело в том, что многие исходники и материалы, теперь доступные на GitHub, были предоставлены Оззи, который когда-то давно работал в компании Lotus, и ему прислали несколько неизданных бета-версий MS-DOS 4. С тех пор Оззи хранил дискеты в надежном месте, а недавно нашел их по просьбе Хайда.
В итоге Starfrost связался с отделом Microsoft, который занимается открытым исходным кодом (OSPO), чтобы изучить возможность публикации исходников DOS 4. Ведь сам Хайд работает над документированием взаимосвязей между DOS 4, MT-DOS и тем, что в итоге стало OS/2.
Отмечается, что некоторые более поздние версии бинарников Multitasking DOS можно было найти в интернете, но бета-версии Оззи – это более ранние копии, которые не выпускались ранее.
Исследователь безопасности продемонстрировал способ взлома некоторых электронных сейфов производства компании SentrySafe с использованием устройства Flipper Zero и эксплуатации уязвимости в протоколе управления контроллера.
В подробном видео показан процесс реверс-инжиниринга принципа работы сейфа, использующего соленоид для блокировки/разблокировки механизма запирания двери. Осуществляется перехват данных, передаваемых по протоколу UART от панели ввода ПИН-кода к основному контроллеру сейфа.
Для автоматизации процесса взлома используется приложение CentrySafe, написанное сообществом разработчиков специально для устройства Flipper Zero. Оно эксплуатирует уязвимость и позволяет установить новый ПИН-код, тем самым открывая сейф.
В подробном видео показан процесс реверс-инжиниринга принципа работы сейфа, использующего соленоид для блокировки/разблокировки механизма запирания двери. Осуществляется перехват данных, передаваемых по протоколу UART от панели ввода ПИН-кода к основному контроллеру сейфа.
Для автоматизации процесса взлома используется приложение CentrySafe, написанное сообществом разработчиков специально для устройства Flipper Zero. Оно эксплуатирует уязвимость и позволяет установить новый ПИН-код, тем самым открывая сейф.
Новые методы машинного обучения позволили выявить преступную деятельность в блокчейне Bitcoin, включая отмывание денег и передачу средств на подозрительные кошельки. Об этом сообщили исследователи из Elliptic в сотрудничестве с MIT-IBM Watson AI Lab.
В ходе исследования был проанализирован 26-гигабайтный набор данных, содержащий 122 тысячи маркированных подграфов в пределах блокчейна, включающего 49 миллионов узлов и 196 миллионов транзакций. Датасет был озаглавлен исследователями «Elliptic2», а полученная информация позволила определить связи между кошельками и транзакциями, связанными с незаконной деятельностью в блокчейне.
Нетрудно догадаться, что «Elliptic2» является продолжением исследования «Elliptic1», первоначально опубликованного в июле 2019 года. Цель проекта — борьба с финансовыми преступлениями с помощью технологий машинного обучения, а именно графовых сверточных нейронных сетей.
Главный научный сотрудник и сооснователь компании Elliptic объяснил, что использование машинного обучения на уровне подграфов позволяет предсказать, являются ли определённые криптотранзакции доходами от преступной деятельности. Это отличается от традиционных методов анализа, направленных на отслеживание активности заведомо нелегальных криптокошельков.
Исследование применило три метода классификации подграфов: GNN-Seg, Sub2Vec и GLASS, что позволило выявить множество счетов криптобирж, потенциально занимающиеся нелегитимной деятельностью.
Также были идентифицированы различные паттерны отмывания криптовалют, включая так называемые «Peeling Chain». В дальнейшем исследования будут направлены на повышение точности и детализации методов анализа, а также на расширение их применения на другие блокчейны.
В ходе исследования был проанализирован 26-гигабайтный набор данных, содержащий 122 тысячи маркированных подграфов в пределах блокчейна, включающего 49 миллионов узлов и 196 миллионов транзакций. Датасет был озаглавлен исследователями «Elliptic2», а полученная информация позволила определить связи между кошельками и транзакциями, связанными с незаконной деятельностью в блокчейне.
Нетрудно догадаться, что «Elliptic2» является продолжением исследования «Elliptic1», первоначально опубликованного в июле 2019 года. Цель проекта — борьба с финансовыми преступлениями с помощью технологий машинного обучения, а именно графовых сверточных нейронных сетей.
Главный научный сотрудник и сооснователь компании Elliptic объяснил, что использование машинного обучения на уровне подграфов позволяет предсказать, являются ли определённые криптотранзакции доходами от преступной деятельности. Это отличается от традиционных методов анализа, направленных на отслеживание активности заведомо нелегальных криптокошельков.
Исследование применило три метода классификации подграфов: GNN-Seg, Sub2Vec и GLASS, что позволило выявить множество счетов криптобирж, потенциально занимающиеся нелегитимной деятельностью.
Также были идентифицированы различные паттерны отмывания криптовалют, включая так называемые «Peeling Chain». В дальнейшем исследования будут направлены на повышение точности и детализации методов анализа, а также на расширение их применения на другие блокчейны.
Кибератака на DropBox привела к несанкционированному доступу к сервису DropBox Sign, платформе для электронных подписей.
Инцидент был выявлен 24 апреля, после чего было начато расследование. Было установлено, что злоумышленник получил доступ к автоматизированному инструменту конфигурации системы Dropbox Sign, используя скомпрометированный сервисный аккаунт. Это дало хакеру возможность исполнять приложения и автоматические сервисы с повышенными привилегиями и доступ к базе данных клиентов.
Субъект угрозы получил данные пользователей DropBox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли. Также были доступны настройки аккаунтов и данные аутентификакции – API, токены OAuth и ключи многофакторной аутентификации.
Представители DropBox уточнили, что не было найдено доказательств доступа к документам клиентов, а также к другим сервисам DropBox.
В ответ на инцидент компания сбросила пароли всех пользователей DropBox Sign, завершила все сеансы в системе и ограничила использование API-ключей до их обновления клиентами. Также были даны рекомендации по повторной настройке многофакторной аутентификации с использованием новых ключей.
В настоящее время DropBox уведомляет пострадавших клиентов и предостерегает их от возможных фишинговых атак, использующих украденные данные для получения паролей. В случае получения подозрительных электронных писем от DropBox Sign рекомендуется не переходить по ссылкам в них, а напрямую посетить сайт для сброса пароля. Если вы использовали пароль Dropbox Sign на других сервисах, настоятельно рекомендуется изменить его и включить многофакторную аутентификацию, где это возможно.
Инцидент был выявлен 24 апреля, после чего было начато расследование. Было установлено, что злоумышленник получил доступ к автоматизированному инструменту конфигурации системы Dropbox Sign, используя скомпрометированный сервисный аккаунт. Это дало хакеру возможность исполнять приложения и автоматические сервисы с повышенными привилегиями и доступ к базе данных клиентов.
Субъект угрозы получил данные пользователей DropBox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли. Также были доступны настройки аккаунтов и данные аутентификакции – API, токены OAuth и ключи многофакторной аутентификации.
Представители DropBox уточнили, что не было найдено доказательств доступа к документам клиентов, а также к другим сервисам DropBox.
В ответ на инцидент компания сбросила пароли всех пользователей DropBox Sign, завершила все сеансы в системе и ограничила использование API-ключей до их обновления клиентами. Также были даны рекомендации по повторной настройке многофакторной аутентификации с использованием новых ключей.
В настоящее время DropBox уведомляет пострадавших клиентов и предостерегает их от возможных фишинговых атак, использующих украденные данные для получения паролей. В случае получения подозрительных электронных писем от DropBox Sign рекомендуется не переходить по ссылкам в них, а напрямую посетить сайт для сброса пароля. Если вы использовали пароль Dropbox Sign на других сервисах, настоятельно рекомендуется изменить его и включить многофакторную аутентификацию, где это возможно.
Microsoft признала наличие очередных проблем с обновлениями операционной системы Windows. В этот раз, согласно жалобам пользователей, апрельские апдейты ломают VPN-соединения как на клиентских, так и на серверных платформах.
Описанные баги затрагивают Windows 11, Windows 10, Windows Server 2008 и более старые версии ОС. Полный список выглядит так:
- Клиентские - Windows 11, 22H2/23H2 (KB5036893), Windows 11 21H2 (KB5036894) и Windows 10 (KB5036892).
- Серверные - Windows Server 2022 (KB5036909), Windows Server 2019 (KB5036896), Windows Server 2016 (KB5036899), Windows Server 2012 R2 (KB5036960), Windows Server 2012 (KB5036969), Windows Server 2008 R2 (KB5036967), Windows Server 2008 (KB5036932).
Описанные баги затрагивают Windows 11, Windows 10, Windows Server 2008 и более старые версии ОС. Полный список выглядит так:
- Клиентские - Windows 11, 22H2/23H2 (KB5036893), Windows 11 21H2 (KB5036894) и Windows 10 (KB5036892).
- Серверные - Windows Server 2022 (KB5036909), Windows Server 2019 (KB5036896), Windows Server 2016 (KB5036899), Windows Server 2012 R2 (KB5036960), Windows Server 2012 (KB5036969), Windows Server 2008 R2 (KB5036967), Windows Server 2008 (KB5036932).
Компания Google сообщила, что в 2023 году заблокировала 2,28 млн приложений в магазине Google Play. В них были обнаружены различные нарушения правил, которые могли угрожать безопасности пользователей.
Также компания выявила и заблокировала 333 000 аккаунтов разработчиков, которые загружали вредоносное ПО, мошеннические приложения или неоднократно нарушали правила. Для сравнения: в 2022 году Google заблокировала почти 1,5 млн опасных приложений и приостановила активность 173 000 аккаунтов разработчиков за грубые нарушения.
Кроме того, почти 200 000 приложений, которые пытались добавить Play Store, либо были отклонены, либо направлены на исправление, так как они без веских причин запрашивали доступ к потенциально опасным разрешениям, включая доступ к SMS-сообщениям или данным о местоположении в фоновом режиме.
Все эти усилия Google связаны с так называемыми принципами SAFE, которые в компании формулируют следующим образом: (S)afeguard Users, (A)dvocate for Developer Protection, (F)oster Responsible Innovation, (E)volve Platform Defenses.
В компании заявляют, что достижению упомянутых выше результатов способствовали недавно введенные инициативы по усилению безопасности, в числе которых:
- более строгий процесс регистрации разработчиков и проверки их личностей;
- введение независимых проверок безопасности и специальных значков для VPN-приложений;
- добавление сканирования в реальном времени для предотвращения запуска вредоносных программ;
- усиление прошивок, чтобы уязвимости на уровне SoC было сложнее эксплуатировать;
- расширение индекса SDK, который призван помочь разработчикам выбирать безопасные SDK для своих проектов.
Кроме того, Google сотрудничает с 31 поставщиком SDK, чтобы гарантировать, что с устройств, на которых установлены приложения, использующие эти SDK, будет собираться минимальное количество конфиденциальной информации. По данным компании, суммарно эта инициатива охватывает 790 000 приложений, доступных в Google Play Store.
Также компания выявила и заблокировала 333 000 аккаунтов разработчиков, которые загружали вредоносное ПО, мошеннические приложения или неоднократно нарушали правила. Для сравнения: в 2022 году Google заблокировала почти 1,5 млн опасных приложений и приостановила активность 173 000 аккаунтов разработчиков за грубые нарушения.
Кроме того, почти 200 000 приложений, которые пытались добавить Play Store, либо были отклонены, либо направлены на исправление, так как они без веских причин запрашивали доступ к потенциально опасным разрешениям, включая доступ к SMS-сообщениям или данным о местоположении в фоновом режиме.
Все эти усилия Google связаны с так называемыми принципами SAFE, которые в компании формулируют следующим образом: (S)afeguard Users, (A)dvocate for Developer Protection, (F)oster Responsible Innovation, (E)volve Platform Defenses.
В компании заявляют, что достижению упомянутых выше результатов способствовали недавно введенные инициативы по усилению безопасности, в числе которых:
- более строгий процесс регистрации разработчиков и проверки их личностей;
- введение независимых проверок безопасности и специальных значков для VPN-приложений;
- добавление сканирования в реальном времени для предотвращения запуска вредоносных программ;
- усиление прошивок, чтобы уязвимости на уровне SoC было сложнее эксплуатировать;
- расширение индекса SDK, который призван помочь разработчикам выбирать безопасные SDK для своих проектов.
Кроме того, Google сотрудничает с 31 поставщиком SDK, чтобы гарантировать, что с устройств, на которых установлены приложения, использующие эти SDK, будет собираться минимальное количество конфиденциальной информации. По данным компании, суммарно эта инициатива охватывает 790 000 приложений, доступных в Google Play Store.
Исследователи изучили, как Apple интегрирует сторонние магазины приложений на своих устройствах. В ходе проверки были обнаружены уязвимости, подвергающие риску безопасность и конфиденциальность пользовательских данных.
Нововведение в операционной системе iOS 17.4 позволяет пользователям в Европейском союзе устанавливать приложения через альтернативные платформы с использованием специальной схемы URI — marketplace-kit:. Эта схема позволяет веб-сайтам внедрять кнопку, которая при активации в браузере Safari запускает процесс MarketplaceKit на устройстве. Процесс инициирует связь с серверами выбранного магазина, чтобы завершить установку приложения.
Инициировать запрос marketplace-kit: может абсолютно любой сайт. После этого на устройствах с iOS 17.4 на серверы одобренного магазина отправляется универсальный идентификатор. Таким образом потенциальный злоумышленник может получить информацию о посещаемых пользователем сайтах, даже если браузер находится в режиме приватного просмотра.
Итак, исследователи выявили три ключевых недостатка в реализации схемы URI от Apple:
- Отсутствие проверки источника запроса, что открывает возможности для отслеживания активности пользователя через разные сайты.
- Недостаточная валидация JSON Web Token, используемых в запросах, что увеличивает риск атак посредством внедрения вредоносного кода.
- Отсутствие привязки сертификатов, увеличивающее вероятность атак типа man-in-the-middle.
Очевидно, что уязвимости возникли из-за желания Apple контролировать процесс взаимодействия между магазинами и покупателями. По всей видимости, это нужно для статистики и расчета комиссионных сборов.
Исследователи рекомендуют европейцам использовать браузер Brave, который включает проверку источника веб-сайтов, минимизируя таким образом риски нежелательного кросс-сайтового отслеживания.
Важно отметить, что обнаруженные проблемы ставят под вопрос способность Apple защищать нашу приватность.
Нововведение в операционной системе iOS 17.4 позволяет пользователям в Европейском союзе устанавливать приложения через альтернативные платформы с использованием специальной схемы URI — marketplace-kit:. Эта схема позволяет веб-сайтам внедрять кнопку, которая при активации в браузере Safari запускает процесс MarketplaceKit на устройстве. Процесс инициирует связь с серверами выбранного магазина, чтобы завершить установку приложения.
Инициировать запрос marketplace-kit: может абсолютно любой сайт. После этого на устройствах с iOS 17.4 на серверы одобренного магазина отправляется универсальный идентификатор. Таким образом потенциальный злоумышленник может получить информацию о посещаемых пользователем сайтах, даже если браузер находится в режиме приватного просмотра.
Итак, исследователи выявили три ключевых недостатка в реализации схемы URI от Apple:
- Отсутствие проверки источника запроса, что открывает возможности для отслеживания активности пользователя через разные сайты.
- Недостаточная валидация JSON Web Token, используемых в запросах, что увеличивает риск атак посредством внедрения вредоносного кода.
- Отсутствие привязки сертификатов, увеличивающее вероятность атак типа man-in-the-middle.
Очевидно, что уязвимости возникли из-за желания Apple контролировать процесс взаимодействия между магазинами и покупателями. По всей видимости, это нужно для статистики и расчета комиссионных сборов.
Исследователи рекомендуют европейцам использовать браузер Brave, который включает проверку источника веб-сайтов, минимизируя таким образом риски нежелательного кросс-сайтового отслеживания.
Важно отметить, что обнаруженные проблемы ставят под вопрос способность Apple защищать нашу приватность.
Как отметила в своем блоге вице-президент Google по безопасности, с 2022 года более 400 миллионов учетных записей Google активировали защиту с помощью ключей доступа (passkeys).
Юзеры аккаунтов Google прошли аутентификацию, используя passkeys, более 1 миллиарда раз. Это явный показатель того, что новая функция безопасности становится все популярнее.
В мире ИТ в первый четверг мая отмечается Всемирный день пароля, который обращает внимание людей на необходимость их использования.
Passkeys состоят из двух частей: открытый ключ хранится на сервере, а закрытый — на устройстве пользователя. Сам девайс является одним из факторов аутентификации.
Хоть и звучит все это очень сложно, но на деле ключи доступа помогают пользователю легко и быстро войти в систему. Владелец устройства лишь использует своё лицо, отпечаток пальца или ПИН-код.
По сообщению Google, время входа пользователей в систему с помощью ключей доступа на 50% быстрее, чем при использовании традиционной двухэтапной верификации, включая одноразовые пароли на основе СМС и OTP-коды в приложениях. Этот факт повышает безопасность и эффективность процессов аутентификации.
В планах Google уже лежит идея по интеграции ключей доступа в программу Advanced Protection Program, которая обеспечивает повышенные меры безопасности для пользователей Google-аккаунтов с повышенным риском, к которым относятся активисты, политики и журналисты. Юзеры смогут использовать только passkeys для входа, а также сочетать их с традиционными паролями или аппаратными ключами безопасности, что звучит очень удобно и безопасно.
Но вопрос о том, почему же люди не переходят на использование простых и надежных ключей доступа, остается открытым. Юзерам много лет говорили, что длинные и сложные пароли — это лучший метод защиты учетных записей. Людям тяжело поспевать за стремительным темпом развития цифровой безопасности.
Юзеры аккаунтов Google прошли аутентификацию, используя passkeys, более 1 миллиарда раз. Это явный показатель того, что новая функция безопасности становится все популярнее.
В мире ИТ в первый четверг мая отмечается Всемирный день пароля, который обращает внимание людей на необходимость их использования.
Passkeys состоят из двух частей: открытый ключ хранится на сервере, а закрытый — на устройстве пользователя. Сам девайс является одним из факторов аутентификации.
Хоть и звучит все это очень сложно, но на деле ключи доступа помогают пользователю легко и быстро войти в систему. Владелец устройства лишь использует своё лицо, отпечаток пальца или ПИН-код.
По сообщению Google, время входа пользователей в систему с помощью ключей доступа на 50% быстрее, чем при использовании традиционной двухэтапной верификации, включая одноразовые пароли на основе СМС и OTP-коды в приложениях. Этот факт повышает безопасность и эффективность процессов аутентификации.
В планах Google уже лежит идея по интеграции ключей доступа в программу Advanced Protection Program, которая обеспечивает повышенные меры безопасности для пользователей Google-аккаунтов с повышенным риском, к которым относятся активисты, политики и журналисты. Юзеры смогут использовать только passkeys для входа, а также сочетать их с традиционными паролями или аппаратными ключами безопасности, что звучит очень удобно и безопасно.
Но вопрос о том, почему же люди не переходят на использование простых и надежных ключей доступа, остается открытым. Юзерам много лет говорили, что длинные и сложные пароли — это лучший метод защиты учетных записей. Людям тяжело поспевать за стремительным темпом развития цифровой безопасности.
Команда Google разработала новый способ идентификации оригинальных государственных приложений.
Новое обозначение правительственных приложений появилось в Google Play Store. Оно выглядит как небольшой значок в виде здания с колоннами, подписанное словом Government и найти его можно в верхней части странички с описанием приложения, рядом с рейтингом и возрастной категорией.
Новое обозначение усложнит жизнь мошенникам: теперь будет невозможно выдать фейковое приложение за правительственное, даже если модерация Google Play Store и пропустит клона в магазин. Единственными жертвами фейков будут лишь самые невнимательные пользователи.
Чтобы получить значок, госучреждения-владельцы приложений должны соблюсти определенные условия, например, использовать для аккаунта разработчика официальный email ведомства. Сейчас приложения активно получают новое обозначение в США и некоторых странах Европы и Азии, а через некоторое время нововведение распространится на весь мир.
Новое обозначение правительственных приложений появилось в Google Play Store. Оно выглядит как небольшой значок в виде здания с колоннами, подписанное словом Government и найти его можно в верхней части странички с описанием приложения, рядом с рейтингом и возрастной категорией.
Новое обозначение усложнит жизнь мошенникам: теперь будет невозможно выдать фейковое приложение за правительственное, даже если модерация Google Play Store и пропустит клона в магазин. Единственными жертвами фейков будут лишь самые невнимательные пользователи.
Чтобы получить значок, госучреждения-владельцы приложений должны соблюсти определенные условия, например, использовать для аккаунта разработчика официальный email ведомства. Сейчас приложения активно получают новое обозначение в США и некоторых странах Европы и Азии, а через некоторое время нововведение распространится на весь мир.
Forwarded from Cyber Media
Безопасная разработка ПО предполагает, что все уязвимости будут выявлены и исправлены до того, как их найдут злоумышленники. При этом желательно уделять внимание вопросу безопасности продукта на всех фазах жизненного цикла ПО: от определений потребностей и планирования до развертывания. Такой подход позволяет снизить затраты компании и риски благодаря выявлению слабых мест на ранних этапах. В команде разработчиков контролем безопасности занимается Security Champion.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из компании Oversecured обнаружили многочисленные уязвимости в различных приложениях и системных компонентах устройств Xiaomi и Google, работающих под управлением Android. По словам экспертов, эти баги дают доступу к произвольным операциям, ресиверам и сервисам с системными привилегиями, чреваты кражей произвольных файлов, а также утечкой данных устройства, настроек и учетной записи.
В Oversecured сообщают, что 20 уязвимостей затрагивают различные приложения и компоненты Xiaomi, включая:
Gallery;
GetApps;
Mi Video;
MIUI Bluetooth;
Phone Services;
Print Spooler;
Security;
Security Core Component;
Settings;
ShareMe;
System Tracing;
Xiaomi Cloud.
Отмечается, что Phone Services, Print Spooler, Settings и System Tracing являются легитимными компонентами из Android Open Source Project (AOSP), но они были модифицированы китайским производителем для добавления дополнительной функциональности, что и привело к появлению обнаруженных недостатков.
Среди наиболее значимых проблем, найденных исследователями, можно отметить инъекцию шелл-команд, затрагивающую приложение System Tracing, а также ошибки в приложении Settings, которые могли привести к хищению произвольных файлов, а также утечке через намерения информации об устройствах Bluetooth, подключенных сетях Wi-Fi и экстренных контактах.
Также был обнаружен баг, связанный с повреждением памяти в приложении GetApps, которое, в свою очередь, берет начало от Android-библиотеки LiveEventBus. По словам Oversecured, сопровождающим проекта сообщили о проблеме больше года назад, однако она до сих пор не устранена.
Oversecured пишет, что уведомила Xiaomi об уязвимостях в конце апреля 2023 года, и к настоящему времени все проблемы уже устранены. Теперь пользователям рекомендуется как можно скорее установить последние обновления для защиты от потенциальных рисков.
Интересно, что помимо перечисленного исследователи обнаружили еще шесть уязвимостей в ОС Google в целом. Две из них характерны для устройств Pixel, а остальные четыре затрагивают любые Android-устройства.
В Oversecured сообщают, что 20 уязвимостей затрагивают различные приложения и компоненты Xiaomi, включая:
Gallery;
GetApps;
Mi Video;
MIUI Bluetooth;
Phone Services;
Print Spooler;
Security;
Security Core Component;
Settings;
ShareMe;
System Tracing;
Xiaomi Cloud.
Отмечается, что Phone Services, Print Spooler, Settings и System Tracing являются легитимными компонентами из Android Open Source Project (AOSP), но они были модифицированы китайским производителем для добавления дополнительной функциональности, что и привело к появлению обнаруженных недостатков.
Среди наиболее значимых проблем, найденных исследователями, можно отметить инъекцию шелл-команд, затрагивающую приложение System Tracing, а также ошибки в приложении Settings, которые могли привести к хищению произвольных файлов, а также утечке через намерения информации об устройствах Bluetooth, подключенных сетях Wi-Fi и экстренных контактах.
Также был обнаружен баг, связанный с повреждением памяти в приложении GetApps, которое, в свою очередь, берет начало от Android-библиотеки LiveEventBus. По словам Oversecured, сопровождающим проекта сообщили о проблеме больше года назад, однако она до сих пор не устранена.
Oversecured пишет, что уведомила Xiaomi об уязвимостях в конце апреля 2023 года, и к настоящему времени все проблемы уже устранены. Теперь пользователям рекомендуется как можно скорее установить последние обновления для защиты от потенциальных рисков.
Интересно, что помимо перечисленного исследователи обнаружили еще шесть уязвимостей в ОС Google в целом. Две из них характерны для устройств Pixel, а остальные четыре затрагивают любые Android-устройства.
В начале 2024 года в киберпространстве активизировалась группировка MorLock, атакующая предприятия с использованием программ-вымогателей. За короткий период времени было атаковано не менее 9 крупных и средних российских компаний. О тактике группы рассказали специалисты F.A.C.C.T. в новом отчете.
Злоумышленники MorLock используют вымогательские программы LockBit 3.0 и Babuk, что характерно и для других кибергрупп, но благодаря уникальным тактикам, техникам и процедурам MorLock удается выделить среди прочих. Группа предпочитает действовать втайне, не проявляя активности на киберфорумах и в соцсетях, контакты для выкупа передают через зашифрованные каналы коммуникации.
Интересный момент в деятельности MorLock связан с отсутствием эксфильтрации данных перед их шифрованием, что сокращает время проведения атаки и уменьшает шансы на предотвращение инцидента. В случаях успешной атаки компании-жертвы сталкиваются с требованиями о выкупе, размер которого может достигать сотен миллионов рублей.
Как начальный вектор атаки MorLock часто использует уязвимости в публично доступных приложениях, например, Zimbra, или скомпрометированные учетные данные, приобретенные на закрытых торговых платформах. Для дальнейшего распространения вредоносного ПО в сетях жертв применяются инструменты – Sliver для постэксплуатации и SoftPerfect Network Scanner для сетевой разведки. Некоторые инструменты киберпреступники загружали на хосты непосредственно с официальных сайтов с помощью веб-браузера жертвы.
Особенность MorLock также в том, что в случае наличия в сети жертвы «популярного российского корпоративного антивируса», атакующие получают доступ к его административной панели, отключают защиту и используют этот вектор для дальнейшего распространения вредоносного ПО.
Инструменты и методы MorLock постоянно развиваются, а список индикаторов компрометации доступен для общего ознакомления на GitHub, что позволяет IT-специалистам и компаниям-жертвам оперативно реагировать на угрозы.
Злоумышленники MorLock используют вымогательские программы LockBit 3.0 и Babuk, что характерно и для других кибергрупп, но благодаря уникальным тактикам, техникам и процедурам MorLock удается выделить среди прочих. Группа предпочитает действовать втайне, не проявляя активности на киберфорумах и в соцсетях, контакты для выкупа передают через зашифрованные каналы коммуникации.
Интересный момент в деятельности MorLock связан с отсутствием эксфильтрации данных перед их шифрованием, что сокращает время проведения атаки и уменьшает шансы на предотвращение инцидента. В случаях успешной атаки компании-жертвы сталкиваются с требованиями о выкупе, размер которого может достигать сотен миллионов рублей.
Как начальный вектор атаки MorLock часто использует уязвимости в публично доступных приложениях, например, Zimbra, или скомпрометированные учетные данные, приобретенные на закрытых торговых платформах. Для дальнейшего распространения вредоносного ПО в сетях жертв применяются инструменты – Sliver для постэксплуатации и SoftPerfect Network Scanner для сетевой разведки. Некоторые инструменты киберпреступники загружали на хосты непосредственно с официальных сайтов с помощью веб-браузера жертвы.
Особенность MorLock также в том, что в случае наличия в сети жертвы «популярного российского корпоративного антивируса», атакующие получают доступ к его административной панели, отключают защиту и используют этот вектор для дальнейшего распространения вредоносного ПО.
Инструменты и методы MorLock постоянно развиваются, а список индикаторов компрометации доступен для общего ознакомления на GitHub, что позволяет IT-специалистам и компаниям-жертвам оперативно реагировать на угрозы.
Лаборатория Касперского представила обзор изменений в ландшафте киберугроз за первый квартал 2024 года. В отчёте отмечается рост числа уязвимостей в программном обеспечении, что подчеркивает важность своевременной реакции на новые угрозы.
По статистике, последние 5 лет демонстрируют устойчивый рост количества уязвимостей, зарегистрированных с CVE-идентификаторами. Такая тенденция связана с развитием программ поощрения за выявление уязвимостей и соревнований по поиску недостатков в системе безопасности, что стимулирует научные исследования в этой области.
Кроме того, разработчики популярного ПО, операционных систем и языков программирования внедряют все более эффективные механизмы защиты и мониторинга, что также приводит к частому обнаружению уязвимостей. Наконец, с увеличением сложности и количества программных продуктов возрастает и вероятность появления новых уязвимостей.
В 2023 году было зарегистрировано рекордное количество критических уязвимостей. Например, доля критических уязвимостей в первом квартале 2024 года остаётся высокой, что указывает на необходимость усиления защитных мер и внедрения менеджмента исправлений.
Отчёт также выделяет важность эксплойтов — программ, позволяющих использовать уязвимости для вредоносных целей. Статистика показывает, что наибольший интерес среди злоумышленников вызывают уязвимости, которые позволяют получить контроль над системой.
Дополнительно приводится анализ эксплуатации уязвимостей в рамках APT-атак, которые нацелены на инфраструктуры организаций. В 2023 году особенно активно эксплуатировались уязвимости в сервисах удалённого доступа и механизмах разграничения доступа.
В первом квартале 2024 года наблюдалось значительное количество эксплойтов, направленных на серверы Microsoft Exchange. Кроме того, многие эксплойты затрагивали различные программные продукты, используемые в бизнес-системах для решения разнообразных задач, что связано с широким спектром ПО, которое может быть интегрировано в корпоративные сети.
По статистике, последние 5 лет демонстрируют устойчивый рост количества уязвимостей, зарегистрированных с CVE-идентификаторами. Такая тенденция связана с развитием программ поощрения за выявление уязвимостей и соревнований по поиску недостатков в системе безопасности, что стимулирует научные исследования в этой области.
Кроме того, разработчики популярного ПО, операционных систем и языков программирования внедряют все более эффективные механизмы защиты и мониторинга, что также приводит к частому обнаружению уязвимостей. Наконец, с увеличением сложности и количества программных продуктов возрастает и вероятность появления новых уязвимостей.
В 2023 году было зарегистрировано рекордное количество критических уязвимостей. Например, доля критических уязвимостей в первом квартале 2024 года остаётся высокой, что указывает на необходимость усиления защитных мер и внедрения менеджмента исправлений.
Отчёт также выделяет важность эксплойтов — программ, позволяющих использовать уязвимости для вредоносных целей. Статистика показывает, что наибольший интерес среди злоумышленников вызывают уязвимости, которые позволяют получить контроль над системой.
Дополнительно приводится анализ эксплуатации уязвимостей в рамках APT-атак, которые нацелены на инфраструктуры организаций. В 2023 году особенно активно эксплуатировались уязвимости в сервисах удалённого доступа и механизмах разграничения доступа.
В первом квартале 2024 года наблюдалось значительное количество эксплойтов, направленных на серверы Microsoft Exchange. Кроме того, многие эксплойты затрагивали различные программные продукты, используемые в бизнес-системах для решения разнообразных задач, что связано с широким спектром ПО, которое может быть интегрировано в корпоративные сети.
Минцифры расширило список данных, который организаторы хранения информации хранят и передают по запросу силовым ведомствам: теперь в него входит не только IP-адрес пользователя, но и его сетевой порт.
Сетевые порты — это виртуальные конечные точки, которые соединяют передачу данных между несколькими приложениями, службами или устройствами в сети.
Специалисты утверждают, что иногда очень сложно определить пользователей, размещающих незаконную информацию в интернете, поэтому данные изменения позволят увеличить эффективность работы силовиков.
Документ был опубликован на официальном портале проектов правовых актов.
По закону к организаторам хранения информации относится любое физическое или юридическое лицо, владеющее сайтом с функцией коммуникации между пользователями.
А это соцсети, мессенджеры, файловые хранилища, онлайн-магазины, площадки объявлений и другие.
В рамках закона о «суверенном Рунете» данные об IP-адресах сайтов и пользователей уже сохраняются.
Согласно пояснительной записке, сложность заключается в определении, кому из абонентов принадлежит IP-адрес. Ведь организаторы хранения информации используют разные методы оптимизации нагрузки и защиты от DDoS-атак, а также перенаправляют запросы пользователей и не протоколируют их порты. А некоторые абоненты и вовсе могут задействовать виртуальные частные сети и прокси-серверы.
Уже осенью Роскомнадзор планирует начать собирать с операторов связи географические координаты всех используемых ими IP-адресов. По мнению специалистов, данная стратегия позволит увеличить эффективность борьбы с DDoS-атаками и позволит точечно блокировать ресурсы, размещающие незаконную информацию, в отдельно взятых регионах.
Сетевые порты — это виртуальные конечные точки, которые соединяют передачу данных между несколькими приложениями, службами или устройствами в сети.
Специалисты утверждают, что иногда очень сложно определить пользователей, размещающих незаконную информацию в интернете, поэтому данные изменения позволят увеличить эффективность работы силовиков.
Документ был опубликован на официальном портале проектов правовых актов.
По закону к организаторам хранения информации относится любое физическое или юридическое лицо, владеющее сайтом с функцией коммуникации между пользователями.
А это соцсети, мессенджеры, файловые хранилища, онлайн-магазины, площадки объявлений и другие.
В рамках закона о «суверенном Рунете» данные об IP-адресах сайтов и пользователей уже сохраняются.
Согласно пояснительной записке, сложность заключается в определении, кому из абонентов принадлежит IP-адрес. Ведь организаторы хранения информации используют разные методы оптимизации нагрузки и защиты от DDoS-атак, а также перенаправляют запросы пользователей и не протоколируют их порты. А некоторые абоненты и вовсе могут задействовать виртуальные частные сети и прокси-серверы.
Уже осенью Роскомнадзор планирует начать собирать с операторов связи географические координаты всех используемых ими IP-адресов. По мнению специалистов, данная стратегия позволит увеличить эффективность борьбы с DDoS-атаками и позволит точечно блокировать ресурсы, размещающие незаконную информацию, в отдельно взятых регионах.
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
Please open Telegram to view this post
VIEW IN TELEGRAM