Выпуск № 3 | Март 2015

Новости

Выпуск № 3 | Март 2015

Ежемесячная подборка новостей

11 марта

Закон о хранении персональных данных может быть смягчён

Интернет-омбудсмен Дмитрий Мариничев предложил смягчить закон о хранении персональных данных россиян. По его мнению, сервисам следует предоставить возможность хранить эти данные за рубежом, если пользователь даст на это согласие в явной форме.

Глава Роскомнадзора назвал неэффективной блокировку анонимайзеров

Блокировка анонимайзеров является неэффективной, так как ими пользуется небольшое число жителей России. Такое мнение высказал глава Роскомнадзора Александр Жаров на программе «Мнение» телеканала «Россия 24».

19 марта

ФСБ сообщила о создании в России сети центров против хакеров

В Федеральной службе безопасности (ФСБ) России в среду сообщили, что в стране создается сеть центров обнаружения, предупреждения и ликвидации последствий компьютерных атак. Об этом говорится в утвержденной президентом Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России, размещенном на сайте ведомства.

Банки могут привязать интернет-счета клиентов к их смартфонам и компьютерам

Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты.

21 марта

Повальная регистрация устройств для онлайн-банкинга отменяется

После публикации статьи о регистрации устройств, с которых клиенты банков пользуются онлайн-банкингом, со мной связался начальник управления безопасности информационных технологий АО «СМП Банк» Головлёв Павел Михайлович. Он читает GeekTimes и его раздосадовало то, как журналисты «Известий» исказили смысл происходящего.

25 марта

Михалков предложил публично обсудить законопроект о лицензии в интернете

​​Глава Союза кинематографистов России Никита Михалков предлагает провести публичное обсуждение проекта закона о глобальной лицензии в интернете. «Это вопрос обсуждения», — сказал Михалков в среду в эфире радиостанции «Вести ФМ».

Думе предложили ограничить закупки иностранного софта госкомпаниями

Депутаты Госдумы намерены законодательно ограничить закупки импортного софта не только для органов власти, но и для госкомпаний. Соответствующий законопроект обсудили сегодня на расширенном заседании профильного комитета.

Минкомсвязи предложит усилить госконтроль над Рунетом

Министр связи и массовых коммуникаций Николай Никифоров подготовил доклад о «суверенитете» российского интернета, в нем содержится предложение установить госконтроль над российским сегментом интернета

30 марта

С мая заработает государственная система предотвращения киберугроз

Совет безопасности России поручил Центробанку запустить работу Центра борьбы с киберугрозами (FinCERT). Уже через месяц при Банке России должна будет аккумулироваться информация о кибератаках на банки и их клиентов, потенциальных киберугрозах, а собранные данные — рассылаться банкирам. Задача FinCERT — минимизировать несанкционированные списания с карт граждан. 

 

Наверх

Законодательство и рекомендации регуляторов

3 марта

В московском метро идентификация по SMS для подключения к Wi-Fi стала обязательной

Теперь на всех ветках московского метро, где ловится Wi-Fi, подключиться к интернету можно будет только после идентификации. Для этого нужно по запросу ввести номер мобильного телефона, на который придёт SMS с кодом.

4 марта

Безопасность в интернете: готовы ли пользователи противостоять киберугрозам?

Количество интернет-пользователей в России стремительно растет: осенью 2014 года месячная аудитория рунета достигла 72,3 млн пользователей, что составляет 62% населения РФ. Увеличивается и объем пользовательских данных в сети, ведь сегодня онлайн можно сделать практически все: от оплаты коммунальных услуг до покупки авиабилетов. Одновременно с этим растет и количество киберугроз.

6 марта

Канадца осудили за непредоставление в аэропорте пароля к своему смартфону

Житель Квебека, Канада, собирается оспорить в суде штраф, который ему присудили за непредоставление пароля к своему смартфону в аэропорте Канады. Работники аэропорта затребовали смартфон канадца для проверки, само устройство оказалось запароленным, и владельца попросили сообщить пароль. На это канадец дал отказ, мотивируя его тем, что все данные на телефоне — это частная информация, доступ к которой он не даст.

10 марта

Банковские счета пользователей WhatsApp под угрозой

Международная антивирусная компания ESET предупреждает о новой атаке на пользователей WhatsApp. Под видом веб-версии мессенджера распространяется троян. Злоумышленники рассылают по электронной почте письма с приглашением скачать десктопное приложение WhatsApp Web, выпущенное производителем в конце января 2015 г. Обращаясь к пользователям, мошенники используют методы социальной инженерии.

 

Наверх

Обезопась себя сам

Финансовый сектор

17 марта

Биометрия в платежных сервисах: отпечатки пальцев, лицо, сердечный ритм и кровь в пальце

Основатель Alibaba Group на CeBIT в Германии представил новый способ подтверждения платежей с помощью распознавания лица, а банки Великобритании испытывают пульсометры, сканеры отпечатков пальцев и кровь для аутентификации пользователей в финансовых сервисах.

Мошенники воровали данные с карточек через фальшивые банкоматы

Сотрудники управления «К» МВД, специализирующиеся на преступления в ИТ-сфере, поймали банду мошенников, устанавливавших поддельные банкоматы. Трое жителей Удмуртии купили списанные банкоматы, обновили их начинку и расставили в людных местах в Москве, Московской области и в Сочи. Внешне устройства были оформлены, как обычные банкоматы, только принадлежащие несуществующим на самом деле банкам.

19 марта

Карточные воры придумали устанавливать скиммер в дверях

Мошенники придумали новый способ украсть данные с вашей банковской карты, которую вы используете в банкомате. Вместо того, чтобы пытаться приделать скиммер к самому банкомату, они размещают его в двери, закрывающей доступ к помещению с банкоматами. Эти двери можно открыть при помощи карты в нерабочие для банков часы. Мошенники устанавливают скиммер в дверь, и он при открытии двери считывает с магнитной полосы нужную информацию. А видеокамера, снимающая набор pin-кода, как обычно расположена в районе банкомата.

24 марта

В России участились случаи атак на банкоматы с помощью вируса Tyupkin

Ограбления обычно происходят по следующей схеме: одна группа преступников открывает сервисный блок банкомата и вводит программу, которая заражает компьютер вирусом Tyupkin. Когда аппарат наполняется деньгами, другая группа воров активирует с клавиатуры самого банкомата доступ к сервисному меню и дает команду на выдачу всех купюр.

27 марта

За похищение почти 2 млн рублей с банковских счетов члены банды получили от одного до трех лет

В Тюмени вынесен приговор участникам преступной группы, похищавшей деньги с банковских карт клиентов различных кредитных организаций. Злоумышленникам удалось похитить почти 2 млн рублей, сообщает пресс-служба МВД.

 

Интернет и телекоммуникации

4 марта

Полиция Нью-Йорка будет искать подозреваемых с помощью сети считывателей автомобильных номеров

Полиция Нью-Йорка сможет искать автомобили, находящиеся в угоне или принадлежащие нарушителям закона, с помощью сети камер и базы данных от Vigilant Solutions. Решение Vigilant способно в режиме реального времени считывать автомобильные номера, а в базе данных содержатся 2,2 миллиарда записей о передвижении американцев.

10 марта

Обзор рынка информационной безопасности: кризис на службе у инсайдеров

Основная причина, по которой конфиденциальные данные покидают периметр компаний, являются действия сотрудников. Эксперты считают, что в непростой экономической ситуации приведет к росту инцидентов. Чтобы поправить финансовую ситуацию в семье или «проучить» шефа за сокращение, некоторые сотрудники могут стать инсайдерами. По злому умыслу или нет, но в 2014г. по вине персонала произошло 35% от всех утечек.

Пентагон наймет 3 тыс. хакеров среди гражданского населения

Власти США намерены в ближайшее время нанять около 3 тыс. специалистов по информационной безопасности среди гражданских лиц. Им будет предложено работать в Кибернетическом командовании США (US Cybercom) — структуре Министерства обороны, отвечающей за расследование и отражение кибератак, сообщает Nextgov со ссылкой на ежедневную газету американского правительства под названием Federal Register.

ЦРУ взломало OS X и Xcode и годами занималось взломами iPhone и iPad

Центральное разведывательное управление США (ЦРУ) разработало модифицированную версию среды разработки Apple Xcode, с помощью которой сотни тысяч разработчиков создают приложения для iOS и OS X, сообщает Intercept со ссылкой на секретные документы, полученные от бывшего системного администратора ведомства Эдварда Сноудена (Edward Snowden).

DDoS как актуальная проблема безопасности для бизнеса

Жертвами DDoS-атак за последние время месяцев становятся множество Российских компаний, онлайн-сервисы которых критичны для бизнеса — среди них интернет-магазины, СМИ и финансовые учреждения. Атаки типа DDoS набирают популярность и уже стали привычным явлением для интернет-бизнеса.

Скотланд-ярду нужны камеры в каждом доме

Глава Скотланд-ярда Бернард Хоган-Хоу призывает домовладельцев и бизнесменов устанавливать камеры наблюдения. Новые записи с мест преступлений помогут найти совпадения с базой из 12 миллионов изображений подозреваемых. Камеры следует устанавливать на высоте глаз, отмечает Хоган-Хоу: это позволит использовать технологии распознавания лиц.

17 марта

Ваш wi-fi расскажет мне, где вы живёте, где работаете и где путешествуете

Многие знают, что ваши мобильные устройства распространяют информацию об их предыдущих соединениях. Большинство не имеет об этом представления.

Google усилит безопасность своего магазина приложений Android

Google усиливает безопасность своего магазина приложений под Android, который известен как Google Play. Речь идет о том, что теперь все размещаемые в Google Play приложения будут контролироваться как в ручном режиме специальными аналитиками, так и в автоматическом режиме на предмет нарушения в них авторских прав и присутствия там вредоносных программ. Приложения будут проверяться перед их непосредственным размещением в магазине.

20 марта

На границе США запущена система распознавания лиц

Американские пограничники запускают эксперимент по применению на границе биометрических технологий. Часть служащих будет участвовать в проверке работоспособности системы распознавания лиц.

25 марта

Принципы свободного интернета от EFF

Международная коалиция правозащитных организаций при участии Фонда электронных рубежей (EFF) по итогам встречи в Маниле (Филиппины) приняла документ под названием «Манильские принципы по интернет-ответственности» — фундаментальный договор, который призван гарантировать свободу слова и инновации в интернете.

27 марта

Пользователям будут платить за сообщения об обнаруженном нелицензионном ПО.

Торговая группа Business Software Alliance (BSA), представляющая интересы компаний Adobe, Apple и Microsoft, стала предлагать пользователям денежное вознаграждение в обмен на сообщения о предприятиях, использующих на рабочих местах пиратское ПО. Новое предложение от BSA появилось в виде рекламных объявлений на Facebook.

Государственный департамент США объявил награду в $3 млн за помощь в поиске российских граждан

Романа Золотарева и Константина Лопатина подозревают в нанесении многомиллионного ущерба через сайт Carder.su, изготовлении и продаже поддельных документов, торговле данными дебетовых и кредитных карт, а также краже личных данных и финансовых махинациях. Сайт Carder.su несет ответственность за потери не менее $50 млн.

Интернет-провайдеров Дании обязали заблокировать ряд популярных торрент-сайтов

После обращения Правого Альянса Дании, суд обязал интернет-провайдеров страны заблокировать доступ к ряду популярных стимминг-ресурсов и торрент-трекеров, сообщает torrentfreak.com. Под блокировку попало 12 пиратских сайтов, таких как KickassTorrents, RARBG и TubePlus.

Умереть спокойно не дали: инсценировавшего свою смерть бизнесмена нашла система распознавания лиц

Бизнесмена из Флориды обвинили в фальсификации своей смерти за рубежом и арестовали после того, как система распознавания лиц обнаружила совпадение фото из заявления на выдачу паспорта с фотографией из старых документов. Бизнесмена также обвинят в мошенничестве со страховой компанией: его семья пыталась забрать страховую сумму.

Петиция Microsoft к правительству США против слежки

Корпорация Microsoft присоединилась к Mozilla и другим общественным организациям, подписав письмо, призывающее прекратить слежку за пользователями со стороны Агентства национальной безопасности.

 

Промышленность и услуги

11 марта

Wikimedia подала в суд на АНБ

Компания Wikimedia Foundation вместе с Американским союзом гражданских свобод (ACLU) и другими правозащитными организациями инициировала судебный иск против Агентства национальной безопасности и Министерства юстиции США по поводу программы тотальной слежки, которую осуществляла АНБ.

12 марта

Лаборатория Касперского оценила ущерб от DDoS-атак

DDoS-атака на онлайн-ресурс компании влечет за собой убытки в среднем размере от 52 до 444 тысяч долларов в зависимости от размера компании – такие данные получены в ходе исследования, проведенного «Лабораторией Касперского» и B2B International.

 

Наверх

Информационные статьи

3 марта

Как взламывают корпоративный Wi-Fi: новые возможности

Статей о взломе Wi-Fi в Интернете достаточно много, но большинство из них касаются режима работы WEP/WPA(2)-Personal, в котором необходимо перехватить процедуру «рукопожатия» клиента и Wi-Fi-точки. Во многих корпоративных Wi-Fi-сетях используется режим безопасности WPA2-Enterprise, с аутентификацией по логину и паролю — как наименее затратный способ. При этом аутентификация осуществляется с помощью RADIUS-сервера.

4 марта

Уязвимость «большого пальца»: я твой палец по фотографии взломаю

В России обсуждают вопросы о создании Национального биометрического Центра с объемом базы данных 100 – 150 млн. записей. В Госдуму уже внесен проект закона об обязательной биометрической регистрации. На Хабре пишут про результаты тестирования алгоритмов биометрических компаний и пытаются выяснить, кто круче: пароль или биометрия. Даже Mastercard выпускает платёжную карту со сканером отпечатков пальцев и VISA тоже.

5 марта

Я тебя по блеску в глазах взломаю

Ян Крисслер (Jan Krissler), тот же биометрический хакер, который красноречиво демонстрирует «уязвимость большого пальца» и который хакнул по фотографии министра обороны Германии, по блеску глаз может узнать ваш пароль/PIN.

18 марта

Устройство для подбора pin-кодов к iPhone

Английские специалисты по безопасности обнаружили в продаже хитрое устройство для брутфорса pin-кодов iPhone. Стоит оно £200, а его особенность заключается в способности обойти ограничение в настройках на 10 попыток ввода. Если включить эту опцию, то после 10 неправильных попыток смартфон обычно затирает память. Но не в этом случае.

21 марта

Кто придумал первый компьютерный вирус?

Самые первые вирусы были безобидными. Это были эксперименты – типа одного из первых вирусов “Creeper”, который просто выводил сообщение “I’M A CREEPER: CATCH ME IF YOU CAN”. Их распространение ограничивалось домашними сетями (Creeper существовал на TENEX ОС). Это было в 1971 году.

24 марта

Хакер опубликовал способ подбора pin-кодов к iPhone без дополнительных устройств

Недавняя история с устройством для подбора pin-кода к iPhone так впечатлила известного хакера и разработчика jailbreak для iOS Мажида Альфхайли, что он задумался – а нельзя ли всё-таки сделать программный подбор pin-кода к устройству, да ещё и быстрее, чем один pin за 40 секунд? Оказалось – можно. Единственное требование – устройство должно быть подвергнуто jailbreak.

25 марта

Бывший сотрудник Tesla выложил программные и аппаратные хаки для автомобилей

Эрик Ивенчик (Eric Evenchick) немного работал стажёром в компании Tesla Motors, но за это время успел собрать большое количество важной и полезной информации об электромобилях производства этой фирмы, а также об универсальной шине Controller Area Network (CAN), которая работает и в других автомобилях.

26 марта

Обнаружен новый вид вредоносного ПО для роутеров

В Aralabs сообщили о новом виде вредоносного ПО для роутеров — ПО роутера встраивает в тег Google Analytics рекламу и порнографию от популярного сервиса.

Новое malware использует роутеры для добавления рекламы и порно на просматриваемые пользователем сайты

Разработчики зловредного ПО на выдумки очень хитры — это знают все. Новый тип malware заражает не ПК, а роутеры. Как только удается скомпрометировать роутер, на почти все просматриваемые пользователем/пользователями роутера сайты добавляется реклама и/или порно. Делается это с целью наживы — пользователю предоставляется платный контент, деньги за который получает создатель ПО.

Исследователи Университета имени Бен-Гуриона показали способ кражи данных с автономного ПК, не имеющего подключение к сети

Рядом обычно находится ПК с выходом в Интернет. Автономный компьютер предварительно заражается вредоносной программой (через USB-флешку). Она ворует данные и шифрует их, разогревая процессор. Картина изменения теплового снимка снимается через датчик на соседнем ПК, извлекаются данные и передаются в Интернет.

 

Наверх

Узнай новое. Технологии и методы защиты информации

March 7

Security firm finds preinstalled malware on Xiaomi Mi 4 smartphone

Data security firm Bluebox has discovered preinstalled malware and a host of other issues with a Xiaomi Mi 4 device the company tested. Scarier still, the phone seems to have been tampered with by an unidentified third party.

SIGA data breach exposed confidential data of 98000 US Military Personnel

Air Force Exchange Service (AAFES) confirms that following the SIGA data...

March 9

NCA, British National Crime Agency arrested a suspected Pentagon Hacker

British NCA has arrested a 23-year-old man suspected to be a member of the hacking...

March 11

Pentagon plans to hire 3,000 Cyber pros for the US Cyber Command

Federal officials announced that military received the green light to hire...

March 19

IBM X-Force reported a billion data records leaked in 2014

Within the year of 2014, a lot of data was leaked and this leads to grave concerns as to the future of overall online security. Unfortunately, 2014 was one of the worst years and the reason of that was that a lot if viruses and attempts of violation...

Mobile apps still vulnerable to FREAK attacks

Despite principal vendors have released updates to fix the FREAK vulnerability many mobile apps for Android and Apple iOS are still vulnerable. Early March, security experts discovered a critical vulnerability codenamed FREAK (CVE-2015-0204), also...

March 20

Boeing announced its hack-proof drone

Boeing announced its project for the production of an unhackable drone, dubbed Boeing Little Bird, which should be in flight around the end of 2017. The drone industry is growing at a rapid pace. Aerospace research company Teal Group has estimated that...

Researchers developed a new powerful BIOS Bootkit that exploits BIOS flaws

Security researchers developed a new BIOS bootkit that exploit recently discovered vulnerabilities. The experts will present their study to the CanSecWest. BIOS bootkits are a reality despite there is little evidence of BIOS implants in the wild....

China reveals existence of cyber warfare hacking teams

China has admitted to the existence of special cyber warfare units as pressure between the country and United States over cyberespionage continues to rise. China has long been the target of suspicion relating to high-profile cyberattacks and state-sponsored campaigns. The country has continually denied the existence of military hackers who were believed to conduct these attacks. However, for the first time, China has formally revealed its military does have dedicated cyber warfare units -- in fact, the state sponsors a number of them, which specialize in different areas.

March 21

Major Browsers hacked at Pwn2Own hacking competition

At the  Pwn2Own hacking competition two researchers hacked the four major browsers, Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, and Safari. Two researchers on Thursday successfully hacked the four major browsers, Microsoft Internet...

March 22

PoSeidon the most sophisticated PoS malware until now

Cisco Security Team has spotted in the wild a new Point-of-Sale malware dubbed PoSeidon that is more sophisticated than previously detected PoS malware. Expert at Cisco have discovered a new Point-of-Sale (PoS)  malware dubbed PoSeidon. The experts...

March 24

Adobe CVE-2011-2461 flaw is exploitable by 4 years although it was fixed

Security experts discovered that the Adobe CVE-2011-2461 vulnerability is exploitable by at least four years despite the company has issued a patch. Four years ago Adobe released a patch for the vulnerability CVE-2011-2461 that was affecting the Adobe...

A Large Number of Hacking Vulnerable Routers Have Been Released to the Public

Thousands of routers exposed on the Internet by the ISPs are vulnerable to hacking and consequence of attacks on a large scale could be dramatic. ISPs have provided at least 700,000 ADSL routers to the public and unfortunately these kinds of routers...

March 25

The Installer Hijacking vulnerability exposes 1 of 2 Android users to attack

Experts at Palo Alto Networks discovered the Installer Hijacking vulnerability that exposes half of Android users to attack via Installation Vulnerability. The security researcher Zhi Xu from Palo Alto Networks discovered a critical vulnerability,...

Instagram API could be exploited to serve malicious links

A security researcher has discovered a reflected filename download vulnerability affecting the Instagram API that could be exploited to share malicious links. The security researcher David Sopas from WebSegura has discovered a serious vulnerability in the Instagram...

March 27

Health records are the new goldmine for hackers

According to Top CSO news website, security experts predict that “Health records are worth more and easier to get than credit card data” The rise in health data breach headlines, may not necessarily suggest an increase in actual data breaches. It’s...

Support Dell System Detect tool put PCs at risk

The exploitation of the Dell System Detect tool would allow threat actors to remotely install malware on users’ your Dell computers.

March 30

Symantec spotted a wide spam operation on Twitter

Security experts at Symantec security firm have uncovered a persistent diet spam operation on Twitter that presents interesting aspects. In July 2014, experts at Symantec have uncovered a spam campaign offering the Green Coffee Bean Extract, a diet supplement,...

Why some mobile apps track you once every 3 minutes?

A new study conducted by researchers at the Carnegie Mellon University revealed that dozens of mobile apps collect extensive location data. A new study conducted by researchers at the Carnegie Mellon University revealed that a number of Android mobile...

 

Back to top

Foreigner corner

При подготовке материала использовались следующие информационные ресурсы:

http://banki.ru

http://habrahabr.ru

http://itar-tass.com

http://ria.ru

http://fstec.ru

http://cbr.ru

http://council.gov.ru

http://intelcrawler.com

http://infosecurity-magazine.com

http://securityaffairs.co/wordpress/

http://defenseone.com

http://reuters.com

http://bugtraq.ru

http://blog.yandex.ru

http://anti-malware.ru

http://cybersecurity.ru

http://wired.com

http://interfax.ru

http://www.computerra.ru/lenta/

Все выпуски Cyber News можно найти на нашем сайте.

Присылайте ваши мысли и предложения.

Спасибо всем тем, кто рекомендовал статьи для этого выпуска.

 

Наверх

Источники

Эта информация была полезна для вас?