Выпуск № 4 | Апрель 2014

Точка зрения

Выпуск № 4 | Апрель 2014

Ежемесячная подборка новостей

10 апреля

Роскомнадзор посоветовал размещать сайты на отечественных хостинг-площадках

Сегодня Роскомнадзор выпустил пресс-релиз, в котором предостерег владельцев веб-сайтов от использования популярного зарубежного CDN-сервиса CloudFlare. По словам федеральной службы, представители сервиса не реагируют на запросы об удалении сайтов, находящихся на данном сервисе и размещающих контент, нарушающий действующее законодательство. Поэтому многие добросовестные сайты попадут под блокировку провайдерами на территории РФ (т.е., видимо, решено заблокировать весь CloudFlare).

Законодательство и рекомендации регуляторов

Что такое протокол HTTPS, и как он защищает вас в интернете

Любое действие в интернете — это обмен данными. Каждый раз, когда вы запускаете видеоролик, посылаете сообщение в социальной сети или открываете любимый сайт, ваш компьютер отправляет запрос к нужному серверу и получает от него ответ. Как правило, обмен данными происходит по протоколу HTTP. Этот протокол не только устанавливает правила обмена информацией, но и служит транспортом для передачи данных — с его помощью браузер загружает содержимое сайта на ваш компьютер или смартфон.

11 апреля

Время менять пароли

7 апреля стало известно об уязвимости в пакете шифрования данных OpenSSL. Эта уязвимость стала настолько известной, что у нее даже есть имя - Heartbleed. Так важна она потому, что пакет OpenSSL используют две трети интернет-ресурсов, и среди них – практически все популярные сервисы. И Яндекс, и Google, и Facebook, и еще очень многие. Суть уязвимости – в том, что злоумышленники могли получить до 64 килобайт случайных данных из памяти процесса веб-сервера в незашифрованном виде. При наличии времени и терпения они могли повторять запросы, пока среди полученной информации не окажутся, например, логины и пароли пользователей.

12 апреля

Тестирование бесплатных антивирусов или альтернатива Microsoft Security Essentials для Windows XP

С прекращением поддержки Windows XP также прекратилась работа антивируса Microsoft Security Essentials для этой ОС. Он довольно неплохо справляется со своей работой и в целом удобный в использовании.

27 апреля

Новая уязвимость Internet Explorer эксплуатируется in-the-wild

Компания Microsoft выпустила уведомление безопасности (SA 2963983), в котором сообщается, что новая 0day Remote Code Execution уязвимость CVE-2014-1776 присутствует во всех версиях браузера MS Internet Explorer 6-11 и используется атакующими в направленных атаках для доставки вредоносного кода (drive-by download). Атакующие используют специальным образом сформированную веб-страницу и объект Flash Player для эксплуатации этой уязвимости.

Обезопась себя сам

Финансовый сектор

2 апреля

Кибермошенники научились взламывать банкоматы с помощью СМС

Корпорация Symantec, специализирующаяся на защите информации, выявила вредоносную программу для банкоматов, которая позволяет злоумышленникам удаленно контролировать устройство с помощью подключенного к нему мобильного телефона.

3 апреля

В Ярославле задержаны скимминговые мошенники из Молдовы

Ярославская полиция задержала двух граждан Молдовы, которые с помощью установленного на банкомат скиммингового оборудования планировали похитить деньги с банковских карт

7 апреля

В Смоленской области сотрудница банка перевела себе с клиентских счетов более 2 млн рублей

В Смоленской области направлено в суд уголовное дело в отношении банковской сотрудницы из Рославля о мошенничестве в особо крупном размере. Фигурантка обвиняется в переводе со счетов клиентов банка на собственные счета более чем 2 млн рублей.

8 апреля

ЦБ обязал банки усилить защиту персональных данных клиентов

ЦБ обязал банки усилить контроль за соблюдением законодательства о персональных данных. Об этом говорится в письме за подписью первого зампреда Центробанка Алексея Симановского, направленном в коммерческие кредитные организации, сообщают «Известия».

16 апреля

Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД

Данные карточек, которые использовались для покупки билетов на сайте РЖД были скомпрометированы по той простой причине, что уязвимость Heartbleed была закрыта на нем только спустя неделю (15.04.2013). Все это время неизвестные злоумышленники могли безнаказанно воровать данные с сайта, пользуясь нашумевшей уязвимостью.

16 апреля

Количество DDoS-атак на банки и финансовый сектор в 2013 году выросло на 112%

Количество DDoS-атак на банки и финансовый сектор в 2013 году выросло на 112% по сравнению с 2012 годом. Об этом рассказала президент Национальной ассоциации инноваций и развития информационных технологий Ольга Ускова в ходе круглого стола в Госдуме на тему «Проблемы развития стратегических информационных систем в банковской и финансовой сферах. Законодательные аспекты».

21 апреля

Хакеры приговорены к пяти и восьми годам тюрьмы за хищение средств со счетов

В Москве вынесен обвинительный приговор организаторам группы Carberp. Как сообщает пресс-служба управления «К» МВД России, злоумышленники создали одну из крупнейших в мире бот-сетей, нацеленных на компрометацию систем дистанционного банковского обслуживания. Преступники приговорены к пяти и восьми годам лишения свободы.

 

Интернет и телекоммуникации

5 апреля

5-летний ребенок взломал авторизацию Xbox Live

Пятилетний мальчик из Сан-Диего Кристофер фон Хассель (Kristoffer Von Hassel) умудрился буквально методом «научного тыка» найти уязвимость в механизмах авторизации Xbox Live.

11 апреля

История хакерских взломов информационных систем (1903-1971)

Фокусник и изобретатель Невил Маскелин сорвал публичную демонстрацию, где Джон Флеминг показывал якобы безопасную беспроводную передачу данных (Маркони), послав оскорбительные сообщения морзянкой, которые высветились на экране перед публикой.

15 апреля

ФБР планирует увеличить базу распознавания лиц до 52 млн изображений

Фонд электронных рубежей опубликовал новые документы о биометрической базе данных Next Generation Identification (NGI), которая разрабатывается по заказу ФБР и должна начать работу летом 2014 года. Документы получены в ходе судебного процесса против ФБР по поводу засекречивания информации об этом проекте.

15 апреля

Google наделил себя правом сканировать письма пользователей

Компания Google обновила правила использования своих сервисов, добавив положение о собственном праве сканировать личную информацию пользователей. Сканирование касается не только писем, но и вообще любого контента.

 

Промышленность и услуги

22 апреля

Gmail и Skype грозит запрещение в России

Зарубежные интернет-сервисы электронной почты и обмена мгновенными сообщениями будут обязаны наряду с российскими компаниями обеспечивать хранение данных об активности своих пользователей в течение полугода и обязательно на территории России. Это следует из текста «антитеррористического пакета» законов, который Госдума окончательно приняла во вторник в третьем чтении. По оценке экспертов, если зарубежные компании откажутся выполнять новый закон, доступ к их сервисам в России может быть заблокирован.

24 апреля

Linux Foundation и крупнейшие IT-компании создают фонд для поддержки критически важного открытого ПО

Amazon, Facebook, Google, Intel, Microsoft, Cisco, Dell, IBM, Fujitsu, NetApp, VMware Qualcomm и RackSpace стали сооснователями и первыми участниками созданного под эгидой Linux Foundation фонда Core Infrastructure Initiative, задача которого — поддерживать разработку ПО, от которого зависит нормальное функционирование глобальной информационной инфраструктуры. Создание такого фонда — ответ на обнаружение катастрофического бага Heartbleed в OpenSSL, которое поставило под угрозу безопасность всего интернета. Именно проект OpenSSL первым получит поддержку фонда.

30 апреля

Microsoft, Oracle и ряд других компаний присоединяются к антироссийским санкциям

Microsoft, Oracle, Symantec, Hewlett-Packard, а также несколько других американских компаний присоединяются к санкциям в отношении России. О намерении IT-гигантов присоединиться к антироссийским санкциям сообщает «Газета.Ru» со ссылкой на источники в технологических отделах двух банков, попавших в американский «черный список».

 

Подборка новостей о Heartbleed

8 апреля

Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

The OpenSSL Project выпустил бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

8 апреля

Диагностика ошибки Heartbleed в OpenSSL

Ошибка в Heartbleed— это особенно неприятный баг. Она позволяет злоумышленнику читать до 64 Кб памяти, и исследователи в области безопасности говорят: "Без использования какой-либо конфиденциальной информации или учетных данных мы смогли украсть у себя секретные ключи, используемые для наших сертификатов X.509, имена пользователей и пароли, мгновенные сообщения, электронную почту и важные деловые документы и общения".

9 апреля

Справочник по уязвимости OpenSSL Heartbleed

Приватный ключ TLS сервера, приватный ключ TLS клиента (если клиент уязвим), cookies, логины, пароли и любые другие данные, которыми обменивается сервер и его клиенты. При этом не нужно прослушивать канал связи, достаточно послать специально сформированный пакет, и это нельзя обнаружить в логах сервера.

10 апреля

Heartbleed: что говорят вендоры

Пока индустрия, в целом, отходит от удара, нанесенного ей Heartbleed, отдельные компании выпустили свои пресс-релизы и комментарии.

11 апреля

Время менять пароли

На главной Яндекса мы будем показывать всем пользователям ссылку на страницу с советами о том, как важно следить за своими паролями и регулярно менять их.

11 апреля

Вышла новая версия opensource межсетевого экрана pfSense 2.1.2. Не прошло и недели

Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно множество образов для архитектуры i386 и amd64, размером от 80 до 180 Мб, включая LiveCD и образы для заливки прямо на Compact Flash'ки разного размера (512, 1ГБ, 2ГБ, 4ГБ).

12 апреля

С конкурсного сервера CloudFlare был успешно украден SSL-ключ

Исследователи компании CloudFlare опубликовали в своём блоге статью «Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?», в которой они задались вопросом, возможно ли извлечь приватные ключи, используя нашумевшую уязвимость Heartbleed. Попытка извлечь из оперативной памяти сервера приватный ключ не увенчалась успехом. В итоге исследователи пришли к выводу, что кража SSL-сертификатов с помощью Heartbleed маловероятна.

12 апреля

Чем грозит Heartbleed простому пользователю?

Многие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией.

13 апреля

Heartbleed и заблуждения о Open Source

Печально известный баг Heartbleed, найденный в библиотеке OpenSSL, потряс индустрию программного обеспечения. Он также показал некоторые заблуждения о мире открытого софта.

14 арпеля

Чем ещё грозит Heartbleed простому пользователю

Уязвимости клиентов никто не отменял. Но если топовые платёжные сервисы реагируют в течение суток, то как долго ждать обновлений от производителя смартфона или, скажем, «умного» ТВ? Нехороший сайт сможет запросто выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком умного телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать веб-страницы (включая ваш домашний Linux), и при этом обрабатывающее конфиденциальные данные — это цель, и порой на долгие годы.

17 апреля

OpenVPN успешно скомпрометирован через Heartbleed

Страсти по недавно обнаруженной Heatbleed уязвимости в OpenSSL не утихают. Вчера на портале news.ycombinator.com появилось сообщение о том, что исследователям удалось совершить несколько успешных атак на сервер OpenVPN и скомпрометировать приватный ключ, который используется сервером для расшифровки отправленного клиентом трафика.

Информационные статьи

1 апреля

Как выявить хакерскую активность на сайте, устранить ее последствия и защититься от злоумышленников

В результатах поиска Google под адресом веб-страницы, которая предположительно подверглась хакерской атаке, будет отображаться такое сообщение. Возможно, вы не задумываетесь о том, что ваш сайт могут взломать, однако это довольно частое явление. Хакеры атакуют множество ресурсов, рассчитывая подорвать их репутацию или завладеть личными данными пользователей.

3 апреля

Расследование об информационной безопасности в Яндексе. Rdomn – скрытая угроза

Злоумышленники постоянно совершенствуют методы внедрения вредоносного кода на веб-страницы зараженных сайтов. Если раньше это бывала модификация статического контента или php-скриптов CMS, то сейчас прибегают к использованию более сложных техник.

6 апреля

Системы типа DoubleClick позволяют идентифицировать до 90% пользователей

Еще в декабре 2013 года появились документы, которые раскрывали некоторые особенности работы специалистов злополучного агентства NSA. Оказалось, что работники этого агентства могли без особых проблем отслеживать пользователей Сети, используя куки системы DoubleClick.

8 апреля

Вирус Sality модифицирует DNS-сервис роутеров

Семейство файловых инфекторов Win32/Sality известно уже давно и использует ботнет на основе P2P еще с 2003 г. Sality может выступать как в роли вируса, так и даунлоадера других вредоносных программ, которые используются для рассылки спама, организации DDoS, генерации рекламного трафика или взлома VoIP аккаунтов. Команды и файлы, передаваемые через сеть Sality, зашифрованы с использованием RSA (т. н. цифровая подпись). Модульная архитектура вредоносной программы, а также долговечность ботнета показывает насколько хорошо злоумышленники подошли к созданию этого вредоносного кода.

14 апреля

Компания EyeLock представила USB-сканер радужной оболочки глаза со встроенным менеджером паролей

Компания EyeLock, которая занимается разработкой биометрических систем безопасности на основе сканирования радужной оболочки глаза, представила портативный USB-сканер Myris. Как утверждается на сайте EyeLock, вероятность ложноположительного срабатывания сканера составляет всего 1 к 2 250 000 000 000. Такой результат возможен благодаря тому, что сканер анализирует не один глаз, а оба — каждый из них имеет уникальный рисунок радужной оболочки. Более надёжный результат может дать только анализ ДНК — все остальные способы биометрической идентификации допускают гораздо больше ложных срабатываний.

15 апреля

Закончился первый этап аудита безопасности TrueCrypt — критических багов не обнаружено

Осенью прошлого года в ходе краудфандинговой кампании с целью проведения всестороннего аудита безопасности популярной криптографической программы TrueCrypt было собрано больше 60 000 долларов. 14 апреля завершился первый этап аудита — компания iSECpartners представила отчёт об аудите качества кода TrueCrypt. На втором этапе будет проведён формальный криптоанализ.

29 апреля

Переход к ISO/IEC 27001:2013. Тонкости перевода и не только

25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements), пришедший на смену аналогичному стандарту 2005-го года. Короткая заметка.

Узнай новое. Технологии и методы защиты информации

21 марта

Syrian Electronic Army Hacks Microsoft, and the Country Disappears from the Web

Syrian politics are having big ramifications on the web this week. First up, the Syrian Electronic Army has released what it alleges are hacked invoices from Microsoft that document months of transactions between Microsoft's Global Criminal Compliance team and the FBI's Digital Intercept Technology Unit (DITU) regarding requests for Microsoft user information.

25 марта

Why Cybersecurity Doesn’t Stop Attacks

Current models for cybersecurity are becoming less and less effective in the face of more sophisticated attacks. They tend to be compliance- or technology-driven and are highly manual–making them difficult to scale. All too often as well, security is the bottleneck for innovative business initiatives.

25 марта

44% of Financial Accounts Have Been Affected By Data Compromise

Data breaches at Target and other retailers have been making headlines, but it turns out that financial institutions are finding their operations increasingly impacted as well. A survey by ACI Worldwide of financial industry professionals found that a full 44% of customer accounts have been compromised.

27 марта

Analysis of 3 Billion Attacks Demonstrates Security Gap Between Attack and Defense

For the first time, NTT has pooled the resources of its group companies and produced a threat report based on an analysis of 3 billion attacks. What it found is that while attackers move faster than defenders, and there are still many basic processes and procedures that companies are failing to implement.

Международные СМИ

Did you find this useful?