Лаборатория Касперского

Подписка на Лента Лаборатория Касперского Лаборатория Касперского
Официальный русский блог "Лаборатории Касперского" пишет обо всем, что поможет вам защититься от вирусов, хакеров, шпионских приложений, спама и других угроз.
Обновлено: 18 часов 12 минут назад

Анализ колец власти с точки зрения кибербезопасности

пт, 22/03/2019 - 12:24

Что можно найти в произведениях Толкина? Кто-то читает их как забавные сказки, кто-то видит глубокую христианскую философию, кто-то пропаганду. Я лично вижу притчи с моралью из области кибербезопасности. И тот факт, что последние несколько лет я вижу их везде, вовсе не обязательно означает, что автор их туда не закладывал.

Знаете ли вы, что незадолго до начала Второй мировой войны Толкин прошел обучение в Правительственной школе кодов и шифров и получил специальность криптоаналитика? Если что, это та самая организация, которая в годы войны взламывала коды «Энигмы» при участии Алана Тьюринга, создателя современных компьютеров. А позже она была переформирована в GCHQ — британскую спецслужбу, ответственную за защиту информации правительства и армии, а также за радиоэлектронную разведку. И понятно, что лингвист-криптоаналитик был нужен для дешифровки вражеских шифров, но как ни крути, а это информационная безопасность. Так что в какой-то мере профессор Толкин — наш коллега.

Предупреждение
Я категорически не согласен с устоявшимся в русском языке переводом слова dwarf как «гном». Во-первых, потому что гномы и дворфы — существа из разных мифологий. Во-вторых, потому что в черновиках у Толкина были и гномы, в частности к их расе относился Эол (Eöl), доживший до «Сильмарилиона» в качестве Темного эльфа. Поэтому в статье, я перевожу dwarf как дворф. Текст эпиграфа к «Властелину Колец» привожу по переводу Марии Каменкович и Валерия Каррика. Обосновать выбор перевода не могу. Но и в нем я заменил «гномов» на «дворфов».

Кольца власти

Сюжетная линия «Властелина Колец» закручена вокруг Кольца Всевластья, созданного Сауроном для покорения мира. От него зависят еще 19 колец: три эльфийских, семь дворфийских и девять человеческих. Все герои произведения боятся, что если Единое кольцо вернется в руки создателя, то он обретет неимоверное могущество и везде наведет свои порядки. Звучит как фэнтези, но если копнуть поглубже, то становится понятно, что это настоящая научная фантастика.

Три кольца — высшим эльфам под кровом светил

Когда я читал книги Толкина в детстве, мне казалось, что история эльфийских колец — самая непонятная. Их якобы выковали эльфы, их не касалась тьма. Однако создали их при помощи искусства Саурона, и, по всей видимости, они были привязаны к Кольцу Всевластья. Поэтому эльфы надежно прятали кольца до тех пор, пока «единое» оставалось у Темного Властелина. Казалось бы, какая разница при помощи чего сделали кольца, если они были созданы во благо?

Сейчас разница абсолютно понятна. Если посмотреть на ситуацию с современной точки зрения и написать то же самое в терминах информационной безопасности, то получается следующее:

  • Эльфы самостоятельно изготавливают три устройства.
  • Микропрошивка этих устройств создана при помощи SDK, разработанного Сауроном.
  • В них жестко прошит адрес командного центра — Кольца Всевластья.
  • Понимая все это, эльфы опасаются использовать свои устройства, пока Саурон контролирует C&C.

Иными словами, это пример типичной атаки через цепочку поставок. Только вот эльфам удалось своевременно выявить угрозу и временно снять уязвимые устройства с эксплуатации.

Семь — властителям дворфов под кровом земли

К кольцам, доставшимся дворфам, Саурон руку приложил. В теории эти кольца служили для увеличения богатства. По книге, они не позволяли ему подчинить себе волю властителей дворфов, но значительно усиливали чувство жадности владельца. Поэтому, действуя через жадность и гнев, Саурону удалось привести семерых владык дворфов к упадку.

К сожалению, все семь колец были утрачены задолго до событий, описанных в книге «Властелин Колец», поэтому провести подробный анализ этих устройств не представляется возможным. Однако игра на жадности — это типичная для фишинговых атак уловка. Злоумышленник манипулировал тем, как владельцы устройств воспринимают информацию, что в конечном итоге и привело их к упадку. Что это, как не фишинговая атака?

Девять — смертным, чей жребий — молчанье могил

Тут даже объяснять не нужно. Саурон подарил девять колец людям — королям, колдунам и воинам. Это сделало их практически бессмертными, невидимыми и покорными воле Саурона. Собственно, это достаточно узнаваемое описание ботнета.

Интересный момент: у назгульской зомби-сети, по всей видимости, был резервный протокол управления. Потому что даже после потери командного сервера Саурон продолжал командовать назгулами.

И одно — повелителю гибельных сил

Наша энциклопедия описывает C&C как сервер, который позволяет киберпреступникам контролировать ботнет, посылать вредоносные команды, управлять шпионским ПО и так далее. Кто может сказать, что Кольцо Всевластья работает как-то иначе?

После уничтожения Единого Кольца все зависимые от него кольца теряют силу. Вероятно, в их прошивку была встроена периодическая проверка доступности командного устройства и механизм самоуничтожения, который включался при потере связи. Это поведение также знакомо нашим аналитикам, исследующим киберугрозы: злоумышленники постоянно используют механизмы самоуничтожения, чтобы затруднить анализ вредоносного ПО.

Отыскать их, собрать их, предать их Ему, воедино сковать их и ввергнуть во тьму

Эти строки не просто последняя часть заклинания, и не случайно именно они были выгравированы на внутренней стороне кольца. Помните, почему Единое Кольцо называется «погибелью Исилдура»? Он был окружен и надел кольцо, но оно соскользнуло с его пальца, когда Исилдур плыл через реку, и таким образом стало причиной его смерти. Голлум также потерял «свою прелесть». А все дело в том, что надпись на кольце — это инструкция. По всей видимости, неправильно переведенная.

Гравировка на внутренней стороне кольца выглядит следующим образом:

Ash nazg durbatulûk, ash nazg gimbatul,
Ash nazg thrakatulûk agh burzum-ishi krimpatul.

Последнее слово, krimpatul, обычно переводят как «сковать». Но сковывать кольца воедино — достаточно бессмысленное занятие. Что если это вовсе не слово из черного наречья, а транслитерация обычного английского термина «crimping tool». Иными словами, обычная «обжимка».

И надпись на кольце на самом деле о том, что для успешного использования его необходимо обжать. Так что не нужно пренебрегать чтением и правильным переводом документации. Даже если она умещается в двух строчках.

Категории: Новости вендоров

RSAC 2019: в поисках идеальной стратегии установки обновлений

чт, 21/03/2019 - 12:03

Извините, сэр, не найдется ли у вас минутки поговорить об обновлениях безопасности? Конечно же не найдется, наверняка вы заняты тем, что устанавливаете патчи. Если серьезно, то стоит взять паузу и подумать о том, насколько эффективно вы это делаете (спойлер: скорее всего, не очень-то эффективно).

Разумеется, лучше всего быть богатым и здоровым и мгновенно устанавливать все существующие патчи для всего программного обеспечения, которым пользуется ваша компания. Но в реальной жизни все немного сложнее, и на все заплатки никогда не хватает времени — приходится приоритизировать. Вопрос: как это лучше всего делать?

На RSA Conference 2019 Джей Джейкобс из Cyenta Institute и Майкл Ройтман из Kenna Security представили свое исследование «Этиология эксплуатации уязвимостей». В докладе исследователи аргументированно, с цифрами рассуждают о том, какие уязвимости заслуживают повышенного внимания и как можно кардинально улучшить стратегию установки обновлений безопасности.

Основная идея состоит в том, что далеко не все уязвимости эксплуатируются на практике. И раз так, то установку значительной доли обновлений достаточно безопасно откладывать, отдавая приоритет тем, которые действительно могут быть (и скорее всего будут) задействованы в реальной атаке. Остается понять, как можно отличить «опасные» уязвимости от «в основном безвредных».

Вооружившись описаниями из базы CVE, публично доступными базами эксплойтов, а также данными сканеров уязвимостей и IPS/IDS — в сумме это 7,3 миллиарда записей атак и 2,8 миллиарда уязвимостей в 13 миллионах систем — исследователи построили модель, которая достаточно неплохо позволяет это предсказать. Но сперва немного анализа уязвимостей.

Сколько CVE существует в природе?

Любой специалист по информационной безопасности прекрасно представляет, что CVE существует огромное количество. Но вряд ли многие знают, сколько именно. Так вот, всего на данный момент их зарегистрировано около 108 000.

Причем следует иметь в виду, что последние пару лет темпы обнаружения уязвимостей увеличились: если с 2005 по 2017 год публиковалось порядка 300-500 CVE в месяц, то в конце 2017 среднемесячное значение резко перевалило за 1000 и с тех пор эти темпы сохраняются.

Как правило, о существовании эксплойта становится известно либо незадолго до, либо сразу после публикации соответствующей CVE. Исключения существуют, но в основной массе случаев это окно в плюс-минус две недели относительно даты публикации CVE. Так что реагировать на CVE стоит быстро.

Само собой, темпы установки обновлений значительно отстают. В среднем за месяц после обнаружения устраняется только четверть имеющихся в системах дыр. На устранение половины требуется 100 дней, а четверть остается непропатченной и спустя год.

Более двух третей незакрытых дыр приходятся на продукты всего трех вендоров. Несложно догадаться, каких именно вендоров и какие именно продукты:

При этом для 77% CVE не существует публично известных эксплойтов. Также интересно, что не все опубликованные уязвимости встречаются в реальных окружениях — таких только 37 000 из всех существующих 108 000 CVE. И лишь 5 000 CVE одновременно и существуют в живой природе, и эксплуатируемы. Именно эти уязвимости и следовало бы приоритетно закрывать — остается только правильно угадать.

Существующие стратегии установки обновлений

Для оценки релевантности стратегий установки обновлений исследователи использовали две метрики: долю «опасных» уязвимостей от общего количества пропатченных (эффективность) и долю закрытых уязвимостей от общего числа «опасных» (охват).

Если эта картинка кажется вам знакомой, то вам не кажется

Одна из общепринятых стратегий установки обновлений основывается на рейтинге CVSS: приоритетно патчить все, чему присвоен CVSS выше определенного значения. Если посчитать эффективность и охват для CVSS 10, то получится 23% и 7% соответственно. Интересно, что совершенно такого же (во всяком случае, в данных метриках) результата можно добиться, устанавливая патчи случайным образом.

Наиболее распространенный подход патчить все, что имеет «высокий» рейтинг CVSS (то есть от 7 и выше) дает заметно лучшие результаты. В целом это неплохой подход, но трудоемкий — при его использовании придется приоретизировать установку большого количества обновлений.

Альтернативной стратегией является приоритезация обновлений по вендорам. Для разных разработчиков соотношение количества реально существующих эксплойтов и общего числа CVE разное, и логично было бы в первую очередь покрыть тех, уязвимости в чьих продуктов с большей вероятностью будут эксплуатироваться на практике.

Однако если посчитать эффективность и охват, то такая стратегия окажется вдвое хуже, чем установка обновлений случайным образом.

Так что этот подход в долгосрочной перспективе оказывается еще менее релевантным, чем основывающийся на оценке CVSS.

Модель расчета вероятности эксплуатации уязвимостей

И это возвращает нас к модели, построенной исследователями. Сопоставив данные из описаний CVE, публично доступных баз эксплойтов и систем IPS/IDS они смогли выделить набор признаков, которые влияют на вероятность того, что уязвимость будет эксплуатироваться на практике.

Скажем, такие признаки как наличие в CVE ссылки на запись в Microsoft Security Bulletin или наличие эксплойта в Metasploit резко увеличивают вероятность эксплуатации соответствующей уязвимости.

Некоторые признаки наоборот, понижают эту вероятность — среди таковых уязвимости в Safari, публикация эксплойта в не очень удобной для практического использования базе ExploitDB, наличие терминов «authenticated» или «double free memory» в описаниях CVE и так далее. Сочетание всех этих факторов позволяет рассчитать вероятность эксплуатации для любой отдельно взятой уязвимости.

Для проверки точности модели исследователи сравнили предсказания с данными реальных атак. Вот что показала проверка:

  • Для уязвимостей с минимальной вероятностью эксплуатации модель работает хорошо.
  • Модель склонна переоценивать вероятность эксплуатации для уязвимостей со средней предсказанной вероятностью.
  • Наоборот, для уязвимостей с высокой вероятностью эксплуатации модель несколько недооценивает риск.

В общем, модель не идеальна, но в целом она работает. На ее основе исследователи создали три стратегии установки обновлений — высокоэффективную, сбалансированную и с максимальным охватом. Например, сбалансированная позволяет добиться вдвое большей эффективности, чем CVSS 7+ с лучшим охватом (63% против 52%) при вдвое меньшей трудоемкости — то есть вдвое меньшем количестве устанавливаемых патчей.

Напоследок советы от исследователей. Вот, что они предлагают сделать:

  • Задумайтесь, используете ли вы в вашей стратегии установки обновлений что-либо, кроме оценок CVSS.
  • Исследуйте, каким образом в вашей инфраструктуре ведется учет открытых и закрытых уязвимостей.
  • Начните собирать данные со своих сенсоров об эксплойтах, использованных при атаках на ваши ресурсы.
  • Собрав значительный объем данных, попробуйте рассчитать значения эффективности, охвата и затрачиваемых усилий для вашей инфраструктуры.
  • Сравните полученные значения с другими стратегиями приоритезации.

Мы, со своей стороны, разделяем их точку зрения о том, что патчить вручную что попало — это пустая трата ресурсов. Однако наш подход иной — в приложении Kaspersky Systems Management (является частью решения Kaspersky Security для бизнеса) работают подсистемы мониторинга уязвимостей и управления установкой исправлений.

Они позволяют быстро выявлять, приоретизировать и закрывать уязвимости. Причем при расставлении приоритетов используются не только оценки CVSS, но и информация из Kaspersky Security Network. Например, если наши системы видят что уязвимость в данный момент активно используется злоумышленниками, то ее приоритет повышается. Подробнее о технологии можно почитать вот тут.

Категории: Новости вендоров

Mirai выходит на бизнес-уровень

ср, 20/03/2019 - 19:59

Недавно в Сети появилось сообщение о новой версии Mirai — ботнета, который распространяется самостоятельно и угрожает прежде всего устройствам Интернета вещей. Именно с его помощью еще в 2016 году была организована масштабная DDoS-атака на серверы Dyn. Аналитики отмечают, что у нового червя теперь куда более широкий арсенал эксплойтов, из-за чего он стал опаснее и распространяется быстрее. К тому же новый вариант Mirai заражает не только свои классические жертвы — маршрутизаторы, IP-камеры и другие «умные» вещи, теперь он покушается и на корпоративные IoT-устройства. А это уже более тревожный факт.

Появление очередной версии ботнета сюрпризом не стало: исходный код Mirai просочился в свободный доступ уже давно, и сделать собственный зловред на его основе мог любой злоумышленник. Отчет Securelist о DDOS-атаках в IV квартале 2018 года пестрит упоминаниями о Mirai. По результатам нашего последнего отчета об IoT-угрозах видно, что его вариации виновны в 21% всех заражений устройств Интернета вещей.

Код Mirai очень гибкий, его легко адаптировать, поэтому зловред без труда обзаводится новыми эксплойтами, расширяя круг потенциальных целей. Именно это и произошло с новой версией. Ее создатели не только обновили набор эксплойтов для захвата привычных жертв (маршрутизаторов, точек доступа, ADSL-модемов и сетевых камер), но и научили Mirai заражать устройства корпоративного класса. Теперь в зоне риска — беспроводные контроллеры, цифровые рекламные панели (Digital Signage) и беспроводные системы презентации.

Согласно данным аналитиков из компании Palo Alto Networks, в список новых потенциальных мишеней попали:

  • беспроводная система презентации ePresent WiPG-1000;
  • телевизоры LG Supersign;
  • сетевые видеокамеры DLink DCS-930L;
  • маршрутизаторы DLink DIR-645 и DIR-815;
  • маршрутизаторы Zyxel P660HN-T;
  • точки доступа Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620;
  • модемы-маршрутизаторы Netgear DGN2200 N300 Wireless ADSL2+;
  • беспроводные контроллеры Netgear Prosafe WC9500, WC7600, WC7520.

И это только начало. Наши эксперты ожидают новых волн заражения Mirai, которые, возможно, затронут даже устройства промышленного Интернета вещей.

Как защититься от новой версии Mirai

Наш эксперт Виктор Чебышев подготовил несколько советов для тех, кто не хочет, чтобы их устройства пополнили список жертв.

  • Сразу же после выпуска новых патчей и обновлений устанавливайте их на всех устройствах и системах.
  • Следите за объемом трафика каждого IoT-устройства: у зараженной техники он будет намного больше.
  • Всегда меняйте пароли, установленные по умолчанию, и введите эффективную политику паролей для сотрудников.
  • Перезагружайте устройства, которые странно себя ведут, но помните: это может помочь избавиться от зловредов, но не защищает от повторного заражения.
Kaspersky IoT Threat Data Feed

Чтобы защитить компании от новейших опасностей в сфере Интернета вещей, мы выпустили новый сервис, предоставляющий аналитические данные об IoT-угрозах. База Kaspersky IoT Threat Data Feed уже содержит больше 8 тысяч записей и обновляется каждый час. Сервис может использоваться в маршрутизаторах, веб-шлюзах, интеллектуальных системах и отдельных продуктах Интернета вещей.

Информацию предоставляют наши исследователи и аналитики. Также мы собираем данные из ханипотов и других ловушек, притворяющихся незащищенными IoT-устройствами. Если вас интересуют подробности или вы хотите связаться со специалистами по интеграции, посетите страницу Kaspersky Internet of Things Threat Data Feed.

Категории: Новости вендоров

Защита рабочих компьютеров: как не запретить лишнего?

ср, 20/03/2019 - 19:00

Как злоумышленники атакуют рабочие компьютеры? Как правило, при помощи уязвимостей в часто используемых программах или же благодаря потенциально опасным функциям легитимного софта. Разумеется, в реальности не все так просто, но это самые распространенные уловки. Поэтому логично было бы ограничить использование такого ПО. Но как это сделать без ущерба для бизнес-процессов? Мы пошли путем уменьшения поверхности атаки с помощью технологии адаптивного контроля аномалий, использующей методы машинного обучения.

Есть признанные чемпионы по эксплуатируемым уязвимостям. Например, многие годы в лидерах держится MS Office. Но это не значит, что он плох. Уязвимости есть везде. Просто киберпреступники смотрят на «офис» гораздо пристальнее, чем на его аналоги. Потому что он самый распространенный. Даже если ваша компания готова потратиться и переобучить сотрудников на использование аналогов — как только популярность наберет какой-то другой офисный пакет, он незамедлительно вытеснит MS Office из хит-парада эксплуатируемого ПО.

Есть продукты, функции которых однозначно опасны. Например, те же самые офисные макросы. Да, потенциально они позволяют исполнять вредоносный код. Но если их тотально запретить, то финансовые аналитики и бухгалтеры взвоют, потому что это инструмент, который нужен им для нормальной работы.

Приходится как-то тщательно следить за такими программами и вмешиваться только при выявлении аномальной активности. Но тут есть одна проблема.

Что считать аномалией?

Вся суть методов злоумышленников сводится к тому, что их активность для защитных систем должна выглядеть, как абсолютно легитимная. Как понять, нужен ли в письме, пришедшем конкретному сотруднику, документ с макросом, или это ему прислали троянского коня? А вот этому человеку  .js файл прислали по работе, или там вирус?

Чисто теоретически можно было бы вручную проанализировать работу каждого сотрудника, понять, какие инструменты ему нужны, а какие нет; на основе этих данных построить модель угроз и точечно заблокировать функции программ, которыми этот сотрудник пользоваться не должен.

Но тут возникает ряд целый ряд осложнений. Во-первых, чем больше компания, тем сложнее построить корректную модель для каждого сотрудника. Во-вторых, даже в небольшом бизнесе ручная настройка отнимет кучу сил и времени у администраторов. Ну и в-третьих, велика вероятность, что этот процесс придется периодически повторять при изменении в инфраструктуре или инструментарии.

Единственный вариант сберечь силы и нервы администраторам и безопасникам — автоматизировать процесс настройки ограничений.

Адаптивный контроль

Мы реализовали процесс автоматизации следующим образом. Во-первых, системы, построенные на принципах машинного обучения, прошерстили наши базы данных об угрозах и сформулировали типичные паттерны потенциально вредоносной активности. Мы реализовали возможность точечной блокировки этих паттернов на каждом конкретном рабочем компьютере.

Во-вторых, мы создали режим автоматической адаптации (Smart Mode), который позволяет проанализировать активность пользователя и выяснить, какие из правил можно применить, а какие будут мешать нормальной работе. Устроено это так: cначала система собирает статистику срабатывания правил контроля за определенный период времени в режиме обучения, после чего формирует модель нормальной работы пользователя или группы (легитимный сценарий). Затем режим обучения отключается, и активируются только те правила контроля, которые блокируют аномальные действия.

В случае, если модель работы пользователя меняется, система может быть вновь переведена в режим обучения и адаптироваться к новому сценарию. Кроме того, существует и возможность тонкой настройки, на случай если потребуется добавить исключения. Разумеется, это не панацея, но изрядно сократить поверхность возможных атак это позволит.

Модуль Адаптивного контроля аномалий (АКА) входит в состав защитного обновленного решения Kaspersky Security для бизнеса, которое мы только что представили широкой общественности. Скачать пробную версию защитного продукта, в котором эта технология работает, можно кликнув по ссылке ниже.

Категории: Новости вендоров

Промышленный гигант Hydro атакован шифровальщиком

ср, 20/03/2019 - 17:56

За последние несколько лет мы неоднократно описывали атаки программ-вымогателей на организации. Мишенью становились больницы, муниципальный транспорт и даже компьютеры государственных учреждений в целом округе. Затем настала эра эпидемий WannaCry, ExPetr и Bad Rabbit. Они распространялись как лесной пожар, грозя множеству компаний по всему миру убытками и помехами в работе.

К счастью, в последние двенадцать месяцев атак такого масштаба не наблюдалось, но это не значит, что преступники одумались и решили вести добропорядочный образ жизни. Во вторник, 19 марта, норвежский промышленный гигант Hydro, один из крупнейших производителей алюминия в мире, объявил, что попал под удар программы-вымогателя. Эта кибератака повлияла на всю компанию.

Атака на Hydro: описание инцидента

Как сообщил представитель Hydro на экстренной пресс-конференции, штатные специалисты по кибербезопасности впервые заметили необычную активность на серверах компании около полуночи. Увидев, что заражение распространяется, они попытались его остановить. Сделать это получилось лишь частично : к тому времени, как были изолированы заводы, зловред уже обосновался в глобальной сети Hydro. Сколько компьютеров подверглось заражению, на конференции не говорилось. Но если учесть, что в компании работает около 35 000 человек, скорее всего, их немало.

Специалисты Hydro работают в режиме 24/7, чтобы устранить последствия инцидента – и уже добились определенного успеха. Принадлежащие Hydro электростанции не пострадали совсем, потому что были изолированы от основной сети, — и это правильный подход к критической инфраструктуре. Однако плавильные заводы изолированы не были, а степень их автоматизации за последние годы значительно выросла. В результате шифровальщик поразил ряд заводов, расположенных в Норвегии. Персоналу Hydro удалось полностью восстановить работу некоторых из них, хотя и в более медленном, полуавтоматическом режиме. И все же, как сообщают представители Hydro, «неспособность подключиться к основным системам вызвала проблемы на производстве и временные остановки на нескольких заводах».

Несмотря на огромный масштаб атаки, работа компании все-таки не была остановлена полностью. Вредоносные программы зашифровали данные на компьютерах с Windows, выведя их из строя, но под удар не попали телефоны и планшеты с другими ОС, так что сотрудники по-прежнему могли общаться между собой и оперативно выполнять первоочередные для компании задачи. Кроме того, атака, по всей видимости, не затронула дорогостоящие компоненты критической инфраструктуры, в том числе электролизные ванны для производства алюминия, каждая из которых стоит около 10 млн евро. Инцидент также не привел к появлению угрозы для жизни — никто из сотрудников не пострадал. Что же касается зашифрованных данных, то в Hydro надеются, что все их можно будет восстановить из резервных копий.

Анализ инцидента: что было сделано правильно, а что нет

Скорее всего, Hydro не скоро сумеет полностью восстановить работу в штатном режиме. Да и расследование инцидента займет очень много времени как у самой компании, так и у норвежских правоохранительных органов. Пока эксперты не пришли к единому мнению о том, какое вредоносное ПО было использовано и кто проводил атаку.

Рассматриваются несколько гипотез. Согласно одной, Hydro была атакована вымогателем LockerGoga, который Bleeping Computer называет «медленным» (наши аналитики согласны с этой оценкой) и «неаккуратным», прибавляя, что он «не делает ни малейших попыток избежать обнаружения». В сообщении с требованием выкупа не сообщалось, какую сумму злоумышленники хотели получить за разблокировку компьютеров, только содержался адрес, по которому с ними можно было связаться.

Хотя анализ происшествия все еще ведется, уже можно говорить о том, что Hydro сделала правильно, а что неправильно до инцидента и во время него.

Правильно:

  1. Станции энергоснабжения были изолированы от основной сети, поэтому не пострадали.
  2. Специалисты по безопасности сумели довольно быстро отсоединить от сети плавильные заводы, что позволило тем продолжить работу (хотя часть пришлось перевести в наполовину ручной режим).
  3. Сотрудники могли нормально взаимодействовать даже после инцидента — значит, коммуникационные системы, скорее всего, были защищены достаточно надежно и инфекция их не затронула.
  4. У Hydro есть резервные архивы, с помощью которых можно восстановить зашифрованные данные и продолжить работу.
  5. У Hydro есть киберстраховка, которая должна покрыть хотя бы часть ущерба от инцидента.

Неправильно:

  1. Скорее всего, сеть не была должным образом сегментирована, в противном случае остановить распространение шифровальщика было бы гораздо проще.
  2. Установленное Hydro защитное решение не сумело перехватить шифровальщик. Между тем, несмотря на свою сравнительную новизну, LockerGoga хорошо известен, например, системе Kaspersky Endpoint Security for Business под обозначением Trojan-Ransom.Win32.Crypgen.afbf.
  3. Периметр безопасности можно было дополнить специализированным продуктом по защите от вымогателей, в частности нашей бесплатной утилитой Kaspersky Anti-Ransomware для бизнеса, которую можно установить параллельно с решениями сторонних вендоров. Она вполне способна защитить инфраструктуру от всех видов шифровальщиков и некоторых других зловредов.
Категории: Новости вендоров

«Лаборатория Касперского» подает в ФАС жалобу на Apple

вт, 19/03/2019 - 11:48

19 марта «Лаборатория Касперского» подала на Apple жалобу в Федеральную антимонопольную службу. Заявление касается политики Apple в отношении приложений, распространяющихся через App Store. Несмотря на давнюю историю успешного сотрудничества с Apple, мы считаем, что сейчас этот шаг необходим.

Почему «Лаборатория Касперского» решила обратиться в ФАС?

Подать жалобу нас вынудила следующая ситуация.

В прошлом году мы получили от Apple уведомление о том, что наше приложение Kaspersky Safe Kids для iOS не удовлетворяет требованиям пункта 2.5.1 правил для приложений, размещаемых в App Store. Раньше никаких вопросов к Kaspersky Safe Kids в этом плане у Apple не было — оно около трех лет размещалось в App Store и удовлетворяло всем условиям.

Выяснилось, что, по мнению Apple, использование конфигурационных профилей противоречит политике магазина App Store, и Apple потребовала их убрать, чтобы приложение прошло ревизию и могло быть размещено в магазине. Для нас это значило исключить из Kaspersky Safe Kids две основные функции: контроль приложений и блокировку браузера Safari.

Обе функции важны. Одна позволяет родителям задавать, какие приложения у детей не получится запустить на основании возрастного рейтинга самого App Store. Другая дает возможность скрывать на устройстве все браузеры, чтобы дети могли открывать веб-страницы только через безопасный браузер, защищающий их от небезопасного контента.

Получается, что, убирая эти функции из версии Kaspersky Safe Kids для iOS, мы изрядно подводим родителей, которые надеются, что их дети могут безопасно пользоваться айфонами и айпадами, на которых установлено наше приложение. А для нас очень важно, чтобы наши клиенты от мала до велика были в полной безопасности и получали именно то, на что рассчитывали.

Почему мы считаем, что мы правы

Стоит отметить, что такое изменение в политике Apple по отношению к нашему приложению и, по сути, ко всем разработчикам ПО для родительского контроля, произошло сразу после того, как компания из Купертино представила в iOS 12 собственную функцию Screen Time. Эта функция позволяет пользователям контролировать, сколько они проводят в тех или иных приложениях или на тех или иных сайтах и задавать ограничения по времени. В сущности, это собственное приложение для родительского контроля от Apple.

С нашей точки зрения получается, что Apple использует свое положение владельца платформы, а также контролера единственного канала доставки приложений пользователям этой платформы, чтобы диктовать условия, не позволяя другим разработчикам выступать на равных. Из-за появления новых правил разработчики приложений для родительского контроля могут потерять часть пользователей и понести убытки. Но главное, что пострадают сами пользователи, которые лишатся части важных функций. Да и сам рынок программ для родительского контроля будет двигаться к монополизации и, как следствие, стагнации.

Кто-то может возразить: магазин App Store принадлежит самой Apple — и почему бы ей не задавать там свои порядки? Дело в том, что другие магазины приложений на iOS Apple использовать не разрешает, то есть получается, что она контролирует единственный канал доставки приложений от разработчиков к пользователям. Устанавливая свои правила в отношении этого канала, компания транслирует свою рыночную власть и на другие смежные рынки — например, на рынок программного обеспечения для родительского контроля, на котором она только недавно вообще начала играть.

И именно в этом распространении своего влияния за счет обладания так называемой ключевой мощностью на другие сегменты, которое приводит к ограничению и устранению конкуренции, мы видим признаки нарушения антимонопольного законодательства, заключающегося в создании барьеров и дискриминации нашего ПО.

Мы неоднократно пытались связаться с Apple, чтобы уладить эту ситуацию, но конструктивных переговоров не получилось.

Мы не одиноки

Проблема с запретом на использование конфигурационных профилей в той или иной мере коснулась не только нас, а вообще всех разработчиков приложений для родительского контроля. Впрочем, это и не единственная тема, по которой у разработчиков софта есть вопросы к Apple. Например, недавно жалобу в Еврокомиссию на Apple подала компания Spotify, которая также считает, что в Купертино используют положение монополиста для продвижения своих сервисов, не давая остальным шансов соревноваться на равных.

Другие разработчики решений для родительского контроля, также потерявшие возможность ограничивать доступ к приложениям, не в восторге от ситуации. Например, в такой же ситуации оказалась AdGuard. А, скажем, приложение для родительского контроля Kidslox все еще можно скачать из App Store, но обновления к нему не проходят ревизию Apple и поэтому не попадают в магазин приложений. И это при том, что разработчики Kidslox приняли условия Apple и попытались воссоздать функциональность своего приложения с помощью тех методов, которые им посоветовали.

В свое время мы оказались в такой же ситуации по отношению к Microsoft, но обращение к регуляторам позволило нам решить проблему и продолжить сотрудничать с компанией на условиях, которые были приемлемы для всей индустрии кибербезопасности и самих пользователей.

Мы очень рассчитываем на то, что мы также сможем и дальше взаимовыгодно сотрудничать с Apple, и для этого нам необходимо создать условия, в которых «Лаборатория Касперского» и другие компании на равных конкурируют друг с другом. Сейчас условия явно отличаются — и поэтому мы обращаемся в ФАС.

Почему монополии — это плохо

Развитие и прогресс возможны только в условиях здоровой конкуренции — когда компаниям, создающим похожие продукты, необходимо придумывать что-то, что привлекло бы пользователя именно к их решению. Как только на рынке появляется доминирующий субъект, то он начинает устанавливать свои правила, которым все вынуждены следовать. Зачастую эти правила ставят многих в невыгодное положение, но выбора у них нет. В результате прогресс практически останавливается, потому как монополисту нет смысла развивать свои решения — альтернатив ведь не предлагают.

Для решения подобных ситуаций и существуют регуляторы, такие как ФАС, и в целом подобные вопросы традиционно решаются на государственном уровне. Проблема монополий довольно сильно волнует государства, поскольку они заинтересованы в развитии максимального количества компаний.

Например, недавно сенатор США Элизабет Уоррен (Elisabeth Warren) предложила запретить крупным компаниям, ставшим монополистами, таким как Facebook (напомним, ей принадлежат Instagram и WhatsApp), Google, Apple и Amazon, размещать приложения на собственных платформах. Уоррен предлагает разделить крупные цифровые гиганты и запретить им продвигать свои продукты на платформах, которыми они владеют, так как при существующем раскладе, они по умолчанию будут создавать преференции своим решениям. Действительно, а кто бы так не делал?

США это уже проходили, например, с компанией Standart Oil, которая осуществляла добычу, транспортировку и переработку нефти, а также маркетинг нефтепродуктов. 100 (!) лет назад сложилась аналогичная ситуация — и правительство США решило разделить Standart Oil. Она распалась на несколько маленьких компаний, но в итоге разделение удвоило совокупную стоимость акций Standard Oil.

Так что мы уверены в своей правоте и в том, что наша инициатива полезна для рынка в целом. Мы очень рассчитываем, что Apple предоставит сторонним разработчикам конкурентоспособные условия, чтобы они могли продолжать взаимовыгодно сотрудничать с компанией и двигать прогресс дальше.

Категории: Новости вендоров

Угон Instagram аккаунтов через фальшивые уведомления о нарушении авторских прав

пн, 18/03/2019 - 19:03

Набрали несколько тысяч подписчиков в Instagram? Даже больше? Поздравляем! Вы — настоящая знаменитость! Но помимо лавров, на долю известных Insta-блоггеров приходится и больший риск кражи учетной записи. Не так давно мошенники изобрели новую схему для угона популярных аккаунтов в Instagram. О ней мы сейчас и расскажем.

Уведомление о нарушении авторских прав

«Ваша учетная запись будет удалена без права восстановления в связи с нарушением авторских прав», — гласит электронное письмо. Выглядит оно вполне официально: тут вам и официальная «шапка», и логотип Instagram, да и адрес отправителя очень напоминает настоящий — в большинстве случаев это [email protected] или [email protected]

Согласно уведомлению, у вас остается всего 24 часа (в некоторых вариантах писем — 48 часов), чтобы подать апелляцию. В самом письме вы также найдете кнопку для обжалования претензии — Review complaint. Если ее нажать, вы попадете на крайне правдоподобно оформленную фишинговую страницу.

На этой странице рассказывается о том, как сильно сервис заботится о защите авторских прав. Но самое главное, что на странице есть ссылка, по которой якобы можно обжаловать удаление аккаунта. Чтобы все выглядело еще более натурально, на странице представлен длинный список выбора языков, однако он там только для вида — что бы вы ни выбрали, страница отображается исключительно на английском.

После перехода обжалования удаления аккаунта по ссылке вам предложат ввести данные учетной записи Instagram. Но это еще не все — затем появляется новое сообщение: «Необходимо произвести проверку подлинности вашей заявки и убедиться в том, что адрес электронной почты соответствует указанному в Instagram». Если вы согласитесь на проверку адреса, на экране появится список возможных доменов. Выбрав один из них, вы увидите предложение указать адрес электронной почты и (внезапно!) пароль от нее.

Затем вы всего на несколько секунд увидите сообщение о том, что ваш запрос обрабатывается, после чего вас перенаправят на подлинный сайт Instagram. Это еще одна уловка, которая добавляет афере правдоподобности.

Популярные пользователи Instagram уже не в первый раз становятся целью мошенников. Недавно волна краж прошла под предлогом получения синей галочки — значка верификации (Verified Badge).

Как защитить учетную запись Instagram

Как только ваши логин и пароль окажутся в руках злоумышленников, последние получат доступ к вашему профилю в Instagram и смогут изменить данные для его восстановления. Затем они могут потребовать выкуп за возвращение аккаунта или начать рассылать с него спам и прочие вредоносные материалы. Не говоря уже о том, какие «просторы» перед ними откроет пароль от вашей электронной почты.

Вот несколько советов, которые помогут обезопасить вашу учетную запись Instagram:

  • Не переходите по подозрительным ссылкам.
  • Всегда проверяйте URL в адресной строке. Если вместо Instagram.com там написано что-нибудь вроде 1stogram.com или instagram.security-settings.com — ни в коем случае не вводите никаких персональных данных и вообще поскорее закройте страницу.
  • Используйте только официальное приложение социальной сети, установленное из официального магазина приложений (например, Google Play для Android или App Store для iOS).
  • Не вводите данные аккаунта Instagram для входа в другие сервисы и приложения.
  • Включите двухфакторную аутентификацию в настройках Instagram и сервиса электронной почты.
  • Пользуйтесь надежной защитой, которая отсеет сомнительные письма и не позволит вам открыть фишинговые страницы. Например, Kaspersky Internet Security все это по плечу.
Категории: Новости вендоров

Изменения в мобильных приложениях Kaspersky Internet Security для Android и Kaspersky Safe Kids

пт, 15/03/2019 - 15:49

В начале марта в нескольких мобильных приложениях «Лаборатории Касперского» для Android и iOS изменился набор функций. Рассказываем, что именно стало по-другому, каких приложений это коснулось и в чем причина этих изменений.

Что поменялось в Kaspersky Safe Kids?

В программе родительского контроля Kaspersky Safe Kids для iPhone и iPad исчезли две функции: контроль приложений и возможность блокировки браузера Safari.

Контроль приложений отвечает за возможность заблокировать запуск тех или иных программ, которые родители сочтут неподходящими для ребенка. Блокировка Safari требуется, чтобы ребенок выходил в Интернет только через безопасный встроенный браузер Kaspersky Safe Kids. На платформе iOS эти функции теперь недоступны, но в других операционных системах блокировка приложений работает так же, как и прежде.

В версии Kaspersky Safe Kids для Android изменения другие: исчез мониторинг звонков и СМС (впрочем, эта функция и была доступна только на Android). Это значит, что Kaspersky Safe Kids перестанет сообщать родителям, с кем и сколько ребенок общается голосом и через СМС.

Что поменяется в Kaspersky Internet Security для Android?

В мобильном антивирусе Kaspersky Internet Security для Android тоже изменились некоторые функции. Больше не доступны:

  • проверка СМС-сообщений на предмет фишинга;
  • определитель организаций по номеру входящего звонка;
  • возможность разрешить звонки только от ваших контактов.

Из приложения также убрана функция защиты конфиденциальности, которая позволяла скрывать выбранные контакты. Эти контакты можно либо вернуть в общий список, либо удалить. Как это сделать, вы можете прочитать тут.

Встроенный «Анти-вор» также лишился двух возможностей: отправлять вам по телефону номер сим-карты, которую вставили в ваш пропавший аппарат после включения режима пропажи, а также возможности стирать избранные персональные данные с потерянного устройства. При этом все еще можно удалить все данные с устройства и вернуть его к заводским настройкам.

В остальных приложениях изменений нет?

Kaspersky Safe Kids и Internet Security для Android входят в состав комплексных систем безопасности Kaspersky Internet Security, Kaspersky Total Security и Kaspersky Security Cloud. Соответственно, описанные изменения касаются и пользователей этих пакетов на платформах Android и iOS. На всех остальных операционных системах все остается по-прежнему.

Почему так произошло?

Причины исчезновения функций в iOS и Android схожие: Apple и Google изменили свои операционные системы, а вместе с этим — и требования к приложениям, которые могут быть размещены в магазинах App Store и Google Play.

Google считает разрешение на доступ к СМС и звонкам слишком опасной возможностью.

Поэтому такое разрешение теперь доступно только тем приложениям, основная функция которых напрямую связана с сообщениями или звонками. Например таким, как Kaspersky Who Calls для Android, которое умеет определять, кто вам звонит и не мошенник ли это (кстати, приложение Who Calls доступно и на iOS).

Что касается Apple, то в последней версии операционной системы iOS 12 компания реализовала собственную функцию для контроля за тем, сколько времени пользователь проводит — ну или может проводить — в том или ином приложении. И решила, что в других приложениях эта функция теперь ни к чему, обновив требования к программам, размещаемым в App Store.

И что, остальных это тоже касается?

Правила магазинов едины для всех, кто размещает приложения в этих сервисах. То есть касаются не только «Лаборатории Касперского» — а распространяются на всех разработчиков, которые делают мобильные приложения и распространяют их через официальные магазины.

Так что множество других приложений тоже лишилось некоторого количества аналогичных функций. В случае Google Play Store ни у одного антивирусного приложения не останется возможности использовать разрешение на доступ к звонкам и СМС. Ну а в случае Apple App Store вообще никакие приложения, кроме тех, которые делает сама Apple, не смогут получить возможность запрещать доступ к другим приложениям.

Как это отразится на пользователях?

Изменения в правилах Google и Apple, как это часто бывает, несут и пользу, и вред одновременно.

С одной стороны, за примерами злоупотреблений некоторых программ в Android тем же доступом к СМС далеко ходить не надо. Мы уже рассказывали о троянцах, которые используют эту функцию для перехвата одноразовых паролей от банков. Так что нынешнее закручивание гаек в теории должно сделать Android более безопасной платформой.

С другой стороны, для приложений от проверенных разработчиков, которым эта функция требуется для обеспечения безопасности, можно было сделать исключение. От этого пользователи, в конечном счете, только выиграли бы.

Ситуация с Apple менее однозначная. По сути, компания вышла на новый для себя рынок (приложений родительского контроля) и «перекрыла кислород» конкурентам — тем, кто уже давно на этом рынке работал (это далеко не только «Лаборатория Касперского»).

Кто-то может возразить, что операционная система iOS и магазин приложений для нее принадлежит самой Apple, так что ничего криминального нет — что хочет компания, то и делает. На самом деле, не совсем так.

Если бы Apple была относительно небольшой компанией, никто бы и слова не сказал. Но по факту Apple — монополист в своем сегменте рынка: мобильных устройств с операционной системой iOS.

iPhone и iPad не взаимозаменяемы со смартфонами и планшетами на базе Android. Если вы привыкли пользоваться iPhone, то в одночасье не перескочите на Android. Это и денег приличных стоит, и усилий на настройку, и времени на привыкание к новому интерфейсу. Получается, что «яблочные» устройства — это отдельный рынок, который полностью контролирует одна компания, Apple.

Используя свое монопольное положение, компания ограничивает конкуренцию в относительно небольшом смежном сегменте приложений родительского контроля.

Для пользователей это однозначно плохо. Потому как здоровая конкуренция — это практически всегда катализатор для прогресса и снижения цены продукта.

Что будет дальше?

В целом, ни Kaspersky Internet Security для Android, ни Kaspersky Safe Kids не лишились каких-либо ключевых функций. А то, что пришлось «отрезать», наши разработчики постараются наверстать в следующих релизах другими способами.

К тому же остается надежда, что Google и Apple, тщательно взвесив все доводы за и против, смягчат свои требования в отношении надежных проверенных разработчиков.

Категории: Новости вендоров

Взлом умных автомобильных сигнализаций

пт, 15/03/2019 - 13:53

Специалистам по информационной безопасности из Pen Test Partners удалось угнать авто при помощи… сигнализации. Причем защитные системы, которые исследователи смогли взломать — Pandora и Viper SmartStart — очень популярны: по данным исследователей, они установлены в 3 миллионах автомобилей!

Умные противоугонные системы — удобно и безопасно?

В теории, умные противоугонные системы — это больше, чем просто сигнализация. Они помогут, даже если авто уже угнали: например, отследят, где ваша машина, заглушат ее двигатель и запрут двери до приезда полиции. И все это — через приложение на вашем смартфоне. Удобно? Удобно! Надежно? По задумке разработчиков, такая система в разы повышает безопасность автомобиля.

Но что если угонят ваш аккаунт в ней?

Залогинившись в приложении от вашего имени, злоумышленник получит доступ к массе данных и ко всем функциям умной сигнализации. А вот вас от них он запросто отстранит, поменяв пароль. В результате взломщик сможет:

  • Отслеживать все перемещения вашего авто.
  • Включать и отключать сигнализацию.
  • Открывать и закрывать двери машины.
  • Включать и отключать иммобилайзер — противоугонное средство, которое не дает двигателю запуститься.
  • Останавливать двигатель, в некоторых случаях прямо во время движения.

В случае с сигнализацией Pandora преступник сможет еще и прослушивать салон через микрофон противоугонной системы, предназначенный — опять же, по задумке авторов системы — для экстренных вызовов. Напомним, вы никак не сможете помешать злоумышленнику, потому что доступ останется только у него. Не очень радостная картина, не так ли?

Угнать по-умному — за несколько секунд

Эксперты обнаружили, что угнать аккаунт пользователя умной сигнализации не только возможно, но и не особенно сложно. Чтобы захватить чужой аккаунт в системе Viper или Pandora, не нужно даже покупать саму сигнализацию (а это недешевое удовольствие — ее стоимость может достигать 5000 долларов). На момент исследования для того, чтобы получить доступ к системе, достаточно было зарегистрировать собственный аккаунт на сайте или в приложении — и получить через него доступ к любому другому аккаунту.

В обеих системах проблемы похожи и кроются в технологии взаимодействия между приложением, сайтом и сервером. Механизм атаки слегка различается. В случае Viper злоумышленник может поменять логин и пароль любого пользователя, отправив специальный запрос на сервер, где хранятся данные. Система Pandora чуть более разборчива — она не позволит сбросить пароль кому попало, зато преступник может, не авторизуясь, изменить привязанный к профилю e-mail, а уже потом совершенно законно (с точки зрения системы) запросить сброс пароля через него.

Что же делать?

Во-первых, не паниковать. Исследователи, разумеется, рассказали о своих находках производителям противоугонных систем. Те отреагировали на сообщение быстро и закрыли все лазейки буквально за несколько дней.

Однако до исследования автомобили с умными сигнализациями были фактически даже менее защищены, чем без них. И далеко не все IoT-разработчики так же быстро и эффективно реагируют на замечания специалистов по кибербезопасности. Поэтому наш обычный совет вам — с осторожностью относитесь к умным решениям, тем более, когда речь идет об охранных системах.

Категории: Новости вендоров

CVE-2019-0797: новая уязвимость нулевого дня

чт, 14/03/2019 - 18:27

Как бы ни хотелось избежать однообразия, но обстоятельства сильнее: спустя три месяца после последнего обнаружения уязвимости нулевого дня наши проактивные технологии выявили еще один эксплойт для Windows. На этот раз уязвимость затрагивает гораздо большее количество версий ОС: в зоне риска — 64-битные «восьмерки» и «десятки» (до билда 15063). Мы уведомили Microsoft о находке, и патч, закрывающий уязвимость, был включен в обновление системы, вышедшее 12 марта.

С актуальными версиями операционной системы сложилась «интересная» ситуация: несмотря на постоянный выход обновлений, многие не спешат их устанавливать, опасаясь нарушения работы компьютеров. Но в данной ситуации стратегия «выждать и посмотреть, как пойдет у других» — не слишком хороший выбор.

Что такое CVE-2019-0797

Это уже четвертый обнаруженный нами за последнее время эксплойт, эксплуатация которого приводит к несанкционированному повышению привилегий. Как и в случае с CVE-2018-8589, это ошибка состояния гонки в драйвере win32k.sys (технические подробности на английском языке можно найти в блогпосте сайта Securelist). Мы знаем о нескольких таргетированных атаках, в которых использовался этот эксплойт. Потенциально он дает злоумышленникам возможность получить полный контроль над уязвимой системой.

Как избежать проблем

Как и в предыдущих случаях, наши советы остаются неизменными:

  • Установите обновление системы (его можно найти на сайте Microsoft)
  • Постоянно обновляйте ПО (в особенности ОС) до актуальных версий и по возможности откажитесь от него после окончания сроков поддержки.
  • Используйте защитные решения с технологиями поведенческого анализа.

Технологии, с помощью которых выявлен данный эксплойт (Advanced Sandboxing, Anti Targeted Attack, Behavioral detection engine и Automatic Exploit Prevention), используются в защитном решении Kaspersky Security для бизнеса.

Категории: Новости вендоров

Криптоджекинг на подъеме

пн, 11/03/2019 - 16:43

Криптоджекинг — это использование чужих компьютеров для майнинга криптовалюты без ведома владельцев этих компьютеров. Говоря по-простому, это вредоносный майнинг: нехорошие люди тем или иным образом незаметно устанавливают на чужие компьютеры программы-майнеры (в идеале — массово) и получают всю прибыль от добычи криптовалюты, не неся при этом никаких расходов — ни на оборудование, ни на электричество.

Если вы еще не слышали о криптоджекинге, то сейчас самое время познакомиться с этим явлением, и вот почему.

Стремительный рост популярности криптоджекинга

Может показаться, что падение курсов криптовалют должно было привести к снижению популярности криптоджекинга — ведь прибыль от майнинга снизилась. Но на самом деле все совсем наоборот. На RSA Conference 2019 аналитики Cisco Umbrella рассказали о том, что связанный с криптомайнингом трафик организаций по всему миру за год резко вырос (примерно в 200 раз!), и это напрямую связано с ростом популярности криптоджекинга.

Скорее всего, дело в том, что за период роста курсов криптовалют многие люди успели привыкнуть к высоким доходам. И после падения рынка, когда майнить с использованием собственного оборудования, честно оплачивая счета за электричество, стало невыгодно, они решили переключиться на альтернативный способ заработка — криптоджекинг.

Кто больше всех страдает от криптоджекинга

Основной урон от криптоджекинга несут малые и средние бизнесы — на первые приходится около трети критомайнингового трафика, на вторые — половина. Крупные организации отвечают лишь за 18% трафика. Можно предположить, что это связано с гораздо более серьезным отношением крупного бизнеса к информационной безопасности и более расслабленным отношением к данному вопросу у средних и небольших организаций.

Любопытно распределение криптомайнингового трафика по индустриям: первое место занимает энергетический сектор (34%), за ним следуют образование (26%) и здравоохранение (7%).

Судя по статистике Cisco Umbrella, главный удар криптожуликов пришелся на Северную Америку: США отвечает за 62% криптомайнингового трафика и еще 2% приходится на Канаду. На втором месте регион EMEA с более скромными 6%. Самой большой неожиданностью для исследователей стало то, что на третьем месте оказалась ЮАР — около 2% связанного с майнингом трафика приходится на эту страну.

Как защититься от криптоджекинга

Не следует недооценивать ущерб от криптоджекинга. Да, деятельность вредоносных майнеров гораздо менее разрушительна, чем криптовымогателей. Но, во-первых, это в любом случае прямые убытки — жертвам приходится оплачивать вычислительные мощности и электричество, и это может вылиться в немалые суммы.

Во-вторых, сам факт, что на компьютерах вашей компании происходит некая нелегальная деятельность, не следует игнорировать. Ведь это означает, что в вашей ИТ-инфраструктуре есть уязвимости. И сегодня их используют для криптоджекинга — а завтра, когда он перестанет быть выгодным, начнут использовать для чего-то другого.

  • Используйте надежные защитные решения. Предпочтительно с технологиями, изначально разработанными для выявления криптоджекинга.
  • На embedded-устройствах (табло, терминалы и так далее) также используйте защитные решения и по возможности включайте режим запрета по умолчанию (Default Deny).
  • Следите за трафиком: частые обращения к доменам популярных криптомайнинговых пулов — явный признак того, что кто-то майнит за ваш счет.
  • В идеале заблокируйте обращения к таким доменам для всех компьютеров в вашей сети — списки доменов можно найти в Сети. Не забывайте обновлять этот список время от времени — новые домены появляются постоянно.
  • Проверяйте платформы облачных вычислений, такие как Amazon EC2, Microsoft Azure и так далее, на аномальный рост использования процессора.
Категории: Новости вендоров

Почтовый автоответчик: как не сболтнуть лишнего

ср, 06/03/2019 - 21:45

Отправляясь в отпуск или командировку, многие сотрудники настраивают автоматические ответы на входящие письма, чтобы клиенты и коллеги знали, к кому следует обращаться в их отсутствие. Обычно такое сообщение содержит информацию о сроках поездки, контактные данные заместителей, а иногда — сведения о текущих проектах.

Однако автоматические ответы могут стать источником рисков для бизнеса. Если сотрудник не ограничил круг получателей автоответа, робот отвечает всем, чьи письма попали в папку «Входящие». А это могут быть киберпреступники или спамеры, которым удалось обойти фильтры. При этом информации в автоответе может оказаться достаточно для организации целевой атаки.

Большие неприятности из-за одной строчки

В случае со спамерами такое письмо напрямую сообщает злоумышленникам, что адрес электронной почты действителен и принадлежит конкретному человеку — с именем, фамилией и должностью. Часто в подписи содержится еще и номер телефона.

Обычно спамеры рассылают письма по огромной базе данных, которая со временем устаревает и теряет актуальность, а потому используется все реже и реже. Однако поняв, что на другом конце линии есть реальный человек, преступники сразу же внесут его в список проверенных целей и станут писать значительно чаще. А может быть, и звонить. Но это меньшее из зол.

Гораздо хуже, если автоответ уйдет людям, приславшим фишинговое письмо. Получив информацию о замещающих сотрудниках, включая их имена, должности, график работы и даже телефоны, преступники могут организовать качественную целевую фишинговую атаку. И не стоит думать, что эта проблема актуальна только для крупных компаний: по сути злоумышленникам в руки попадают все необходимые данные для дальнейших упражнений в социальной инженерии. Почему бы не воспользоваться ей, если предварительного сбора информации не нужно?

Как могут действовать злоумышленники

Представьте, что менеджер Петр уехал в отпуск, оставив подробный автоответ. Например, такой: «Меня не будет в офисе до 27.03. По проекту ООО «Ромашка» работы курирует Татьяна (адрес, телефон). Редизайном приложения для ООО «Вий» занимается Арсений (адрес, телефон)».

В это время Арсению приходит письмо якобы от директора ООО «Вий». Ссылаясь на договоренности с Петром, он просит посмотреть новый эскиз пользовательского интерфейса приложения и спрашивает, удастся ли это реализовать? В такой ситуации Арсений, скорее всего, откроет приложенный к письму файл или перейдет по ссылке, тем самым подвергнув рабочий компьютер угрозе заражения.

Кроме того, преступники могут выведать конфиденциальную информацию прямо в переписке, ссылаясь на уехавшего в отпуск работника и историю сотрудничества. Чем больше они знают о компании, тем выше вероятность, что заместитель отправит им внутренние документы или иным образом выдаст коммерческую тайну.

Что с этим делать?

Чтобы почтовый автоответчик не стал источником проблем, необходимо продумать грамотную политику для сообщений об отсутствии.

  • Определите, кому из сотрудников действительно необходим такой инструмент. Если работник ведет всего пару клиентов, то он может уведомить их об отъезде отдельным письмом или по телефону.
  • Сотрудникам, все задачи которых можно передать одному заместителю, имеет смысл использовать переадресацию. Да, это не всегда удобно, но, с другой стороны, гарантирует, что важные письма не будут пропущены.
  • Порекомендуйте работникам создать два варианта ответа — для внутренних и внешних адресов. В письмо для коллег можно добавить более подробные инструкции, при этом посторонние не узнают лишнего.
  • Если сотрудник переписывается только с коллегами, то автоответ на внешние адреса вообще лучше отключить.
  • В любом случае посоветуйте персоналу указывать в автоматических ответах только ту информацию, которая необходима для рабочего процесса. Не нужно приводить в письме названия конкретных линеек продуктов, имена заказчиков, сведения о том, куда уехал сотрудник, номера телефонов коллег и прочие избыточные детали.
  • На почтовом сервере стоит использовать решение, автоматически выявляющее спам и попытки фишинга, а заодно и проверяющее вложения на предмет наличия в них вредоносного ПО.
Категории: Новости вендоров

Pirate Matryoshka: троян-матрешка в пиратской бухте

ср, 06/03/2019 - 18:25

Борьба с торрентами идет уже так давно, что любая попытка предупредить о какой-то угрозе с их стороны наталкивается на стену недоверия: опять, дескать, правообладатели придумывают байки. Нет, не байки. Ну ладно, они тоже, но не всегда. Разберем одну такую «не байку» на примере условного Андрея, которому позарез потребовалось скачать что-то с торрент-трекера.

Если Андрей использует торренты чтобы сэкономить, то люди с более низкой социальной ответственностью пользуются ими для заработка на Андрее. Например, с помощью схемы, которую мы недавно выявили на известном трекере ThePirateBay, где злоумышленники создали множество клонов раздач взломанного ПО, заменив в них исходные файлы своими, зловредными.

Как работает Pirate Matryoshka: торрент-зловред с Pirate Bay

Когда Андрей запускает файл, подмененный злоумышленниками, инсталлятор первым делом показывает ему окно авторизации на трекере. Если наш герой принимает это за чистую монету и вводит свои логин и пароль, они отправляются прямиком к авторам вредоноса – и теперь уже аккаунт Андрея будет использоваться для создания фейковых раздач (таким образом, выявить подделку, основываясь только на возрасте учетной записи, невозможно).

С помощью таких окон «авторизации» злоумышленники крадут данные для доступа к аккаунту пользователя и затем используют его для создания фейковых раздач

Но источник дохода злоумышленников вовсе не в угоне учетных записей – их заработок строится на участии в партнерских программах, где деньги выплачиваются за каждый факт установки на компьютер жертвы определенных приложений. Поэтому вместе с нужным софтом на компьютер Андрея установится дополнительное ПО. Много дополнительного ПО.

Несмотря на то, что оно не всегда вредоносное (по нашим подсчетам, настоящие зловреды встречаются в каждом пятом случае), пользователю от этого не легче. Отныне Андрею придется бороться с полчищами приложений-оптимизаторов, кишащих рекламой, тулбарами в браузерах, меняющими домашнюю страницу и добавляющими свои баннеры на каждый сайт, а если «повезет», то и с троянами.

Результат работы установщика партнерских программ

Надо сказать, что если бы Андрей запустил подобный файл, скачанный откуда-то еще, у него был бы шанс: несмотря на нахождение в «серой зоне», авторы инсталляторов партнёрских программ все-таки оставляют пользователю возможность отказаться от установки лишних приложений. Правда, такую опцию нужно еще постараться найти:

Видите «Дополнительные параметры» в углу? Они скрывают вагон и маленькую тележку дополнительного ПО, которое установится на ваш компьютер.

Но в случае с заразой с ThePirateBay, которую мы назвали PirateMatryoshka за некоторые особенности работы, такой фокус не пройдет: перед началом установки зловред запускает автокликеры — модули, которые автоматически проставят галочки в нужных окнах, не давая жертве отказаться от установки софта.

Заключение

Если вы качаете что-либо с торрентов, будьте готовы встретить там зловредов. Особенно это касается программного обеспечения, где от исполняемых файлов точно никуда не деться.

Впрочем, было бы наивно полагать, что, не связываясь с торрентами и не используя взломанный софт, вы наверняка избежите Андреевой участи. «Партнерский инсталлятор» можно встретить где угодно – и надо либо бояться всех исполняемых файлов, скачанных из Интернета, как огня, либо иметь наготове надежный антивирус. Например, Kaspersky Internet Security умеет обнаруживать все части Pirate Matryoshka и нейтрализовывать их.

Категории: Новости вендоров

Самое важное с Mobile World Congress 2019

ср, 06/03/2019 - 17:22

Что случается в Вегасе, остается в Вегасе, а вот то, что происходит на Mobile World Congress в Барселоне, редко остается в пределах Mobile World Congress. Наоборот, сложно вообразить человека, на жизнь которого ни малейшего влияния не оказывали бы новые концепции и технологии, которые анонсируют на одном из крупнейших мероприятий в области телекоммуникаций и пользовательской электроники. Поэтому, даже если смартфоны и прочее оборудование для связи вам не слишком интересны, к происходящему на MWC все равно стоит присмотреться. Давайте кратко поговорим о главных трендах, обсуждавшихся на конференции в этом году.

Наконец-то 5G

Первое и самое главное: 5G наконец-то превращается из концепции в реальность. В последние годы нам часто обещали приход 5G, однако, похоже, именно в 2019 году по всему миру начнут массово разворачивать сети нового поколения.

На MWC19 оба ведущих изготовителя чипов для мобильных устройств, Qualcomm и Intel, полностью посвятили свои стенды стандарту пятого поколения. Все основные производители смартфонов также продемонстрировали модели с поддержкой 5G. В общем, есть немаленький шанс, что ваш следующий смартфон будет поддерживать 5G и что вы будете пользоваться им в настоящей 5G-сети.

Как мы уже обсуждали в этой статье, основное преимущество 5G — вовсе не скорость передачи данных. Она, конечно, увеличится, но сети 5G разрабатывают в первую очередь ради роста пропускной способности. Устройств, которые постоянно подключены к Интернету, уже насчитываются миллиарды, и эта цифра будет быстро возрастать — ведь «умные» технологии сегодня популярны как никогда. Это, собственно, приводит нас к разговору об Интернете вещей, уязвимость которого на MWC19 продемонстрировали в очередной раз.

Ультразвуковые сканеры отпечатков пальцев

Qualcomm представила ультразвуковые сканеры отпечатков пальцев еще четыре года назад — на Mobile World Congress 2015. Тогда эта технология находилась на стадии прототипа, но в этом году она наконец-то была встроена в реальные продукты — ультразвуковыми датчиками были оборудованы многие смартфоны, показанные на MWC19. Справедливости ради стоит сказать, что некоторые из них были представлены и даже начали продаваться еще за несколько месяцев до выставки, но в 2019 году их, похоже, станет гораздо больше.

По сравнению с обычными емкостными датчиками ультразвуковые имеют несколько преимуществ. Во-первых, они бесконтактные, поэтому их можно спрятать под дисплеем смартфона. Когда пользователю нужно будет приложить палец, смартфон покажет, куда именно.

Во-вторых, ультразвуковые сенсоры надежнее. Они считывают трехмерную структуру объектов, а потому могут отличить копию отпечатка от настоящего пальца. Более того, они работают так быстро, что считывают отпечатки в реальном времени. Благодаря этому они не перепутают живой палец с мертвым или распечатанным на 3D-принтере – с помощью того же датчика можно следить за сердечным ритмом. Если вас тоже мучили шутками вроде «А что если кто-то отрежет твой палец, чтобы разблокировать телефон?» — теперь вы знаете, как ответить.

Искусственный интеллект

Тему ИИ сейчас обсуждают везде, и Mobile World Congress не стал исключением. Почти в каждом выступлении и на каждом стенде можно было услышать что-то об искусственном интеллекте. В том числе даже на стенде Oral-B, где представили новую зубную щетку Genius X, также использующую эту технологию.

Если вынести за скобки нездоровый ажиотаж, это означает, что многие компании по всему миру следуют примеру Amazon, Google и других сверхгигантов, работающих с данными. Эти компании всеми силами стремятся извлечь как можно большую выгоду из огромных объемов информации, которые они ежедневно собирают. Для этого они планируют использовать искусственный интеллект — то есть, на самом деле, машинное обучение, которое обычно и имеют в виду люди, говоря об искусственном интеллекте.

Так уж вышло, что по ряду причин машинное обучение особенно полезно при борьбе с вредоносными программами. «Лаборатория Касперского» начала применять эту технологию одной из первых и постепенно накопила обширный опыт в этой сфере. Поэтому мы хорошо знаем, что у искусственного интеллекта, как и у любой другой технологии, есть и достоинства, и недостатки.

Однако ИИ отличает от многих других технологий то, что связанные с ним проблемы могут быть неявными и сложными для понимания. Более того, результаты работы систем на базе ИИ бывают непонятны не только пользователям таких систем, но и самим разработчикам. Поэтому важно помнить о недостатках ИИ и весьма осторожно применять опирающиеся на него технологии. Ошибки здесь могут дорого обойтись и отдельным людям, и обществу в целом.

Категории: Новости вендоров

Автобудущее сегодня

вт, 05/03/2019 - 17:30

Оригинал поста на блоге Евгения Касперского

Поскольку совсем недавно я потрогал авто-спортивную тему предстоящего сезона Формулы-1, то снова захотелось поговорить об авто и о будущем. Об авто-будущем, которое не далёкий для многих автоспорт, а о том самом о чень близком будущем, которое коснётся каждого и откроет новую страницу в ~350-летней истории автомобиля. Да, да, и вашего автомобиля тоже (или же ваших автомобилей, если их несколько).

Читая недавние знаковые заголовки у меня слетает шляпа (почти (с) из Чехова) -> «Калифорния легализует тестирование беспилотных автомобилей», «Беспилотные самосвалы Вольво обслуживают рудник» (кстати, интересная сервисная бизнес-модель!), «Беспилотный КАМАЗ идёт в серию!» «Cognitive Technologies превысила 99% в точности распознавания кадра». Google, Яндекс, Baidu и неизвестно большое количество других компаний из разных сфер и стран разрабатывают свои беспилотные проекты. Конечно, заголовки иногда получаются не очень, но эти исключения лишь доказывают тенденцию.

Да только что сам лично совершенно недавно на заводе Barilla (кстати наш клиент) видел как автоматическая линия выдаёт тонны макароно-спагетти, как роботы раскладывают это по коробкам и пакуют в пачки, а потом авто-электро-кары отвозят их к грузовикам… которые пока ещё не автоматические. Но очень скоро будут. Кто-то сомневается?

А совсем недавно, всего-то в начале этого тысячелетия, в своих выступлениях я отвлечённо шутил «кто купит автомобиль, который ездит ровно с положенной скоростью?». (здесь я немного лукавлю… я говорил не об автономном авто, а об управляемом :)

Теперь совсем чуть-чуть авто-техно-политкорректного текста, без которого мои рассуждения могут быть безжаластно порезаны интернет-цензурой… ой, о чём я?

</нужный блок on>
Так вот: такой автомобиль уже почти здесь и сейчас. Завтра – везде. И скажу без тени сарказма – это офигительно. Потому что система, работающая чётко по правилам, не испытывает деградации производительности. Посему не только с положенной скоростью, но быстро, безопасно, комфортно, автоматически. Сначала выделенные магистрали только для автомобилей в беспилотном режиме, дальше – целые города и страны, совсем дальше… ну вы догадываетесь :) Чувствуете перспективы рынка апгрейда старых машин?
</нужный блок off>

А теперь моя мысль и пальцы на клавиатуре пойдут выдавать самое интересное, ради чего и создаются эти многобукв. Поехали ->

На самом деле со светлым беспилотным будущим всё понятно. Я же хотел заглянуть за горизонт и немного под капот. Автоматические, простите за тавтологию, автомобили (true автомобили) – это только один из аспектов грядущей индустриальной революции. Изменения коснутся самой парадигмы личного транспорта, подходов к владению и пользованию им, всех сопутствующих стандартов, дорожных правил, и, конечно, кибербезопасности.

Умнобили (о, мемасик родился! :) создадут самую большую в мире индустриальную сеть в мире (V2X – Vehicle to Everything), через которую они смогут «общаться» по самым разным поводам движения. Едет скорая, транслирует сигнал – машины заблаговременно сворачивают на обочину, так что «мигалка» летит спасать людей на максимальной скорости. Поиск парковочного места (как и сама парковка) становится рутиной автоматики.  Ухаб на дороге – машины предупреждают друг друга о необходимости притормозить. Пробка – рассыпаются по альтернативным траекториям.

Развитие беспилотных технологий и каршеринга (CaaS — Car as a Service) через несколько десятилетий имеет шансы перевернуть автомир – личный автомобиль станет для одних технологическим атавизмом, а для других статусным предметом роскоши. По заказу с умнофона к дому в указанное время подкатывает авто указанного класса с персональными настройками (музыка, температура, положение кресел, параметры оплаты и т.д.), принимает пассажира и по оптимальному пути само везёт его в указанном направлении. Машина превратится в периферийное устройство для умнофона!

На самом деле фантазировать на эту тему можно долго. Если кто захочет поделиться другими идеями — давайте в комментарии.

Я же переведу обсуждение в другую плоскость, вы догадались какую – кибербезопасность.

Уверен, что во время чтения этого поста у редкого человека не возникало возмущения вроде «да это же несекюрно!», «их завтра же взломают!» и даже «я никогда не сяду в такую машину». И будете правы, правы, правы. Посмотрите, например, на рынок IoT-устройств: в погоне за функциональностью производители игнорируют безопасность. Но в мире IoT это может привести к потере данных, нарушении прайваси, в худшем случае «окирпичиванию» устройства, а вот в автомире на кону жизни реальных людей, в том числе тех, кто не имеет к автомобилю никакого отношения (например, пешеходы). И очень хорошо, что автопроизводители это понимают – это отчасти объясняет почему наши машины до сих пор не превратились в умнобили. Автопроизводители делают офигенные тачки, но кибербезопасность – не их профиль. Большинство ограничивается «песочничами», для изоляции электронных блоков наподобие архитектуры iOS. А чтобы получалось и офигенно и безопасно никак не обойтись без специализации и разделения труда.

Впрочем, не всё так однозначно. Мне попадался на глаза случай, когда секюрити-разработчик предложил автопроизводителю свои услуги, на что тот ответил, что, мол, у нас и так всё хорошо, после чего разработчик продемонстрировал несколько простых сценариев тотального взлома компьютерной системы (!) автомобиля в движении (!!) из соседнего автомобиля (!!!). Производитель крепко задумался. И это на самом деле так – современный автомобиль представляет собой очень доступную цель для хакеров:

Так или иначе, без сотрудничества ничего хорошего не получится. Приятно, что многие это не только понимают, но идут дальше теоретизирования, разрабатывая реальные решения. Пример: наш совместный проект с AVL по созданию модуля защищённой связи (Secure Communication Unit, SCU), который обеспечивает защиту коммуникаций между компонентами автомобиля и его инфраструктурой.

Если говорить простыми словами, то этот модуль, работающий под управлением безопасной ОС, защитит автомобиль от хакеров и вредоносных программ. В нём нашли отражение несколько интересных патентуемых изобретений (заявки в РФ: 2018111476, 2018111478, 2018104435, в США: US16/120,762, US16/058,469, US16/005,158, в Европе: EP18194672.4, EP18199533.3, EP18182892.2), которые описывают специальный шлюз для встраивания в компьютерную систему автомобиля. Шлюз анализирует данные о работе электронных блоков и сетевую активность и выявляет отклонения, которые могут свидетельствовать о кибератаке, несанкционированном вмешательстве или технических неисправностях. Для анализа используется база данных правил, описывающих различные сценарии атак, плюс технологии машинного обучения. Да, вы правильно поняли – в общих чертах это умный программно-аппаратный фильтр, заточенный под автомобильную реальность.

Правила фильтрации разрабатываются совместно с автопроизводителем и в случае их срабатывания шлюз может блокировать опасные действия и присылать уведомления владельцу. Таким образом, например, известный взлом Миллера-Валасека в защищённой машине просто не сработал бы и Fiat Chrysler не пришлось бы отзывать 1,4млн. машин. Не могу знать сколько стоил этот отзыв и какой репутационный ущерб компании он нанёс. Однако не сомневаюсь, что если кибератака пройдёт мимо защиты (ничего абсолютного не бывает), то автопроизводитель сможет в течение дней (а то и часов) оперативно закрыть уязвимость через SCU, не дожидаясь разработки новой прошивки авто. И что особенно важно – немедленно растиражировать решение на все уязвимые машины от Рио-де-Жанейро до Рязани.

Параллельно шлюз записывает телеметрию электронных блоков и анализирует её алгоритмами машинного обучения в облаке, чтобы выявлять неизвестные кибератаки. С другой стороны, этот бортовой журнал можно использовать как регистратор событий широкого применения. Например, покупатели подержанных машин смогут видеть достоверную «историю болезни» авто, в случае происшествий у водителей будут доказательства как всё было на самом деле, можно контролировать установку запчастей и ремонтные работы в сервисах. Да и вообще, согласитесь, всегда полезно знать, что происходит под капотом у автомобиля.

Внимательный читатель логично усомнится, мол, выдерут ваш блок и перепрограммируют. Скручивают же пробег у машин… А вот и нет :) Мы же безопасники! Скрутить, переписать и что-либо каким-либо другим способом изменить в такой архитектуре невозможно. Доказано математически.

Данные подписываются по технологии, в чем-то схожей к блокчейном: каждый новый блок данных заворачивается криптографическим ключом с динамическими мета-вставками (дата, время и другие переменные) и наследными характеристиками от подписи и ключа предыдущего блока. В простейшей схеме, восстановить цепочку ключей можно только зная самый первый ключ, который генерируется доверенным «чёрным ящиком» и устанавливается автопроизводителем. Иными словами, это позволяет получить гарантии аутентичности данных, которые могут использоваться, например, для обеспечения гарантии производителя, экологического контроля, контроля сна и отдыха для профессиональных водителей, расчёта страховых премий на основе информации о характере вождения. И даже как доказательство в суде.

В действительности, автомобильная кибербезопасность – далеко не единственный вектор диверсификации нашего бизнеса. Ни у одного конкурента нет такого спектра решений, идущих за рамки традиционного антивируса. Защита критических инфраструктур, встраиваемых систем и IoT, аналитические сервисы, безопасная операционная система… причём не косметическая адаптация обычного антивируса (как у… не будем показывать вокруг пальцем), а специализированные технологии, созданные с учётом сферы применения. Немудрено, что это направление растёт больше всего: по итогам 2018г. non-endpoint продажи выросли на 55%. Я не сомневаюсь, что будущее за созданием масштабируемой многомерной экосистемы («ЕК-системы» :) технологий безопасности для построения действительно кибербезопасного мира. Экосистемы, которая позволит наконец перейти от парадигмы «cybersecurity» к «cyberimmunity», то бишь лечить причину, а не следствие.

P.S. На днях, по дороге из Фрибурга во Франкфурт, проезжая по трассе A5, обратил внимание на странные провода над правой полосой автобана. И вот что подумалось:

Вспоминаете концепцию грузового троллейбуса? Так вот — немецкое правительство, оказывается, реально строит инфраструктуру для таких «троллейтраков». И что-то мне подсказывает, что их сразу запустят в беспилотном режиме. Спорим? :)

Категории: Новости вендоров

Подделки Apex Legends: королевская битва с трояном

пт, 01/03/2019 - 13:44

Последние пару лет сердца геймеров завоевывает жанр «королевская битва», он же battle royale. В начале февраля к уже ставшим классикой Fortnite и PUBG с оглушительным успехом — 25 миллионов скачиваний за первую неделю — присоединилась новинка от Electronic Arts под названием Apex Legends. И теперь фанаты с нетерпением ждут, когда же Apex Legends выйдет на мобильных устройствах. EA на это однозначно пока не отвечает и тянет время. Киберпреступники, напротив, не ждут, а активно паразитируют на хайпе.

Скачать Apex Legends для Android бесплатно, без СМС и регистрации

Мы уже рассказывали об опасностях, поджидающих поклонников Fortnite для Android просто потому, что Epic Games решила не публиковать мобильную версию игры в Google Play. Ну а издатели Apex Legends, Electronic Arts, пока вообще не говорят о выходе приложения для Android. Но нетерпеливые фанаты ищут его — а спрос, как известно, рождает предложение.

Если вы введете в поисковике «скачать apex legends android» или «apex legends mobile скачать», то на первой же странице увидите ссылки на сайты, предлагающие скачать якобы установщик игры в формате APK — так выглядят все Android-приложения. Чаще всего файл будет называться вполне убедительно: ApexLegends.apk или apex.legendsmob.apk.

Страница загрузки фейковой APK Apex Legends

Находятся и ролики на YouTube с инструкциями по загрузке и установке игры, которой — как вы помните — еще не существует. В описании к видео, естественно, есть ссылка на «нужный» ресурс.

Чего в поисковой выдаче по этим запросам нет, так это официального сайта разработчика. Все ссылки ведут исключительно на сторонние ресурсы — и одно это уже должно навести на подозрения.

Apex Legends превращается… в мерзкий троян

Если вы все-таки поддадитесь искушению и попытаетесь установить игру по ссылке из поисковика или с YouTube, вместо «королевской битвы» с друзьями вам придется сражаться с надоедливой рекламой. Потому как скачаете вы вовсе даже не игру, а, скорее всего, рекламный троян FakeFort.

Это тот же самый троян, который злоумышленники использовали, подсовывая его пользователям под видом Fortnite для Android. Такие зловреды под более или менее благовидными предлогами — например, «для верификации устройства» — предлагают скачать целый набор приложений, совсем ненужных и нередко опасных. Еще они могут потребовать, чтобы вы прошли «очень важный опрос», а заодно просмотрели пару десятков рекламных баннеров и роликов. А в итоге, конечно, выяснится, что «мобильная версия Apex Legends» так и не запускается. В данном случае для убедительности вам даже покажут вступительный ролик из игры, а уже потом начнут требовать установить лишние приложения и пройти опросы.

Не доверяйте Интернету

Наш первый и главный совет геймерам: прежде чем искать, где скачать игру в Интернете, убедитесь, что она вообще существует. Даже на первой странице выдачи Google есть ссылки не только на фейковые установщики, но и на несколько свежих статей о том, что мобильная версия Apex Legends еще не вышла.

Если приложение пока только анонсировано — узнайте дату релиза и дождитесь ее. Но даже после выпуска игры для Android соблюдайте минимальные правила безопасности:

  • Скачивайте приложения только из проверенных источников. В первую очередь это Google Play. Если разработчики по каким-то причинам решат не публиковать там игру, как это случилось с Fortnite, — подойдет их официальный сайт. Вероятность подцепить зловред в официальных источниках значительно ниже, чем где-либо еще.
  • Используйте хорошее защитное решение. Например, с помощью бесплатной версии Kaspersky Internet Security для Android вы всегда сможете проверить скачанные приложения и выловить «незваных гостей». А платная версия сама автоматически проанализирует приложение еще при загрузке и предупредит об опасности.
Категории: Новости вендоров

Культура кибербезопасности вместо нудных лекций

чт, 28/02/2019 - 17:41

Когда в каком-нибудь блог-посте заходит речь о практических советах для бизнеса, мы почти гарантированно пишем: «Необходимо повышать осведомленность сотрудников о киберугрозах». И это, несомненно, правильно. Вот только разные люди понимают под этим выражением разные вещи. Хотелось бы как-то объяснить, что под этим подразумеваем мы.

«Повышение осведомленности» — это ни в коем случае не нудные лекции о том, как страшно жить в кибермире. Мы тщательно изучали разные подходы и можем авторитетно сказать: этот — не работает. В первую очередь нужно привить культуру кибербезопасности.

Как мы себе это представляем

Во-первых, тренинг будет работать, только если он:

  • не абстрактный, а жизненный, привязанный к конкретным рабочим ситуациям;
  • не мешает выполнению основных задач;
  • использует наглядные примеры из реальной жизни;
  • дает советы, которые реально исполнимы.
Применимость

На самом деле последний пункт крайне важен. Мы можем дать совет: каждый ваш пароль всегда должен быть сгенерирован из набора случайных символов, иметь длину не менее 18 знаков, да еще и менять его нужно каждую неделю. И, разумеется, никогда не записывайте его на бумажке. В теории это прекрасный совет. Применим он на практике? Нет. Будет кто-нибудь ему следовать? Да никогда. Как записывали «Passworddd123» на бумажке, так и будут. Только бумажку будут прятать чуть дальше — на случай санкций от начальства.

Поэтому среди советов, которые даем мы, есть такой: придумайте несколько сложных «корней», отсутствующих в словаре (например, meow!72!meow); каждый раз создавая новый пароль, приписывайте к нему ключевое слово (например, oxygen), а на бумажке пишите кот-акваланг (то есть что-то, что лично для вас ассоциируется с корнем и ключевым словом).

С точки зрения классической кибербезопасности этот совет далеко не идеален. Любой опытный безопасник возмутится — как же можно записывать хоть какую-то часть пароля?! Но вся штука в том, что этот совет вполне себе применим на практике. И пусть уж лучше люди будут следовать хорошему совету, чем игнорировать идеальный.

Совместимость

Совместимость с повседневной работой — это тоже достаточно важная тема. Когда у кого-то из начальства возникает идея «повысить уровень осведомленности» (а, скажем прямо, в 95% случаев такая идея возникает не на пустом месте, а после инцидента), они назначают ответственного и ждут, что все сотрудники отложат свои дела и пойдут учиться.

На практике это выливается в какие-нибудь большие лекции на целый день типа «расскажем всем обо всем» или в «неделю кибербезопасности». В результате часть сотрудников воспримет это как законный повод поменьше работать, другая часть будет нервничать из-за горящих сроков, а третья просто ничего не запомнит из-за обилия информации за короткое время.

Да, можно будет поставить галочку: «Сотрудники тренинг прошли». Но какой с этого всего будет реальный выхлоп? Может быть, это встряхнет кого-то из сотрудников. Может быть, пару недель после этого они внимательно будут читать каждое письмо и бояться фишинга. А что останется у них в голове?

Поэтому мы стараемся (в частности, при помощи нашей платформы Automated Security Awareness Platform) не перегружать людей информацией. Пара мини-активностей в неделю как раз и позволит не швырнуть в человека неперерабатываемый объем информации, а аккуратно вплести ее в рабочий график, заложив фундамент для культуры кибербезопасности. Мини-уроки, мини-тесты, мини-симуляции атак. Причем благодаря платформе такое обучение даже не требует особых усилий по управлению. Подробнее — вот тут.

Жизненность и наглядность

По этому вопросу наша позиция такова: мы работаем с людьми, а не с аккаунтами. Обучение должно быть интересным, иначе в голове ничего не останется. И обучение должно быть релевантным. Мы используем систему уровней, каждый из которых рекомендован для групп сотрудников с разной зоной ответственности.

Зачем мы будем учить противостоять киберугрозам для платежных систем сотрудника, у которого никогда не будет доступа к этим системам? Ему достаточно базовых знаний. А вот бухгалтер имеет дело и с финансовыми инструментами, и с письмами извне, так что ему имеет смысл изучить вопросы безопасности поглубже. Причем первым делом мы наглядно показываем, зачем что-то нужно знать, а уже потом даем практические советы.

Еще один способ сделать так, чтобы сотрудники не просто «узнали об угрозах», а получили практические навыки, — организовать интерактивную симуляцию. Зачастую это единственный способ работы с топ-менеджментом, который не так просто заставить проходить обычные тренинги.

Наши симуляции Kaspersky Interactive Protection Simulation воспринимаются людьми не как «занятие», а скорее как вариант тимбилдинга. Когда директор вместе с безопасником пытается найти оптимальное решение для того, чтобы модель компании не развалилась за пять ходов, он начинает понимать, зачем нужны те или иные меры, на что имеет смысл тратить бюджет и как доходность компании напрямую зависит от кибербезопасности. На самом деле это достаточно уникальный опыт.

О преимуществах построения культуры кибербезопасности перед устаревшими методами обучения думаем не только мы. Сходные идеи высказываются и в исследованиях аналитических компаний. Вот, например, отчет Forrester.

Категории: Новости вендоров

Умный протез: взломать, чтобы защитить

ср, 27/02/2019 - 18:08

Пожалуй, самая избитая шутка последних лет в сфере информационной безопасности: S в аббревиатуре IoT отвечает за Security. Действительно, Интернет вещей уже давно стал всеобщим посмешищем среди экспертов по ИБ, и на любой хакерской конференции обязательно прозвучит доклад, в котором расскажут об очередном «умном» устройстве, взломанном вдоль и поперек. Эти взломы уже давно никого не удивляют — наоборот, гораздо больший интерес вызывают исследования, в результате которых выясняется, что с безопасностью в устройстве все не так уж плохо.

Обычно внимание исследователей сфокусировано на том, чем уязвимости в Internet of Things угрожают пользователям. Однако есть и вторая сторона медали: уязвимости в «умных» устройствах представляют опасность для разрабатывающей их компании, поскольку могут привести к утечке данных, их повреждению, а также выводу из строя самих устройств или инфраструктуры.

На Mobile World Congress эксперты нашего центра реагирования на инциденты в сфере информационной безопасности промышленных объектов (ICS CERT) представили исследование умных протезов, разработанных компанией Motorica.

Для начала — хорошие новости. Во-первых, нашим экспертам не удалось найти уязвимости в прошивке самих протезов. Во-вторых, передача данных в системе Motorica происходит только в одном направлении — от протеза в облако. Так что, к примеру, взломать подключенный протез для того, чтобы удаленно им управлять, не получится — с этой точки зрения все хорошо.

Однако дальнейшее изучение показало, что при разработке облачной инфраструктуры, которая собирает и хранит телеметрические данные, полученные с протезов, были допущены серьезные ошибки. Вот какие возможности они открывают атакующему:

  • Получить доступ к информации всех аккаунтов в системе — как пользовательских, так и администраторских, включая незашифрованные логины и пароли.
  • Читать, удалять, или изменять любые данные телеметрии, хранящиеся в базе, а также добавлять новые.
  • Добавлять новые аккаунты (включая администраторские).
  • Удалять или изменять имеющиеся учетные записи — к примеру, поменять пароль администратора.
  • Запустить DoS-атаку против администратора, препятствующую входу в систему.

Данные уязвимости могли потенциально привести к утечке всех пользовательских данных или их повреждению. Причем последний из пунктов вышеприведенного списка позволил бы значительно увеличить время реакции на взлом.

Разумеется, наши исследователи рассказали обо всех найденных уязвимостях компании Motorica, и на данный момент все проблемы устранены. К сожалению, эта маленькая победа не отменяет того факта, что в целом Интернет вещей продолжает оставаться небезопасным. Вот как это можно изменить:

  • Разработчикам следует иметь представление о наиболее распространенных угрозах и правилах создания безопасного кода. Важно, чтобы это было так на всех этапах разработки — наше исследование очень наглядно иллюстрирует тот факт, что ошибки, допущенные при создании одной из частей системы, могут свести на нет все остальные усилия.
  • Производителям «умных» вещей стоит использовать программы «баг-баунти» — это очень эффективный способ поиска уязвимостей и их устранения.
  • В идеале следует заказывать аудит разрабатываемых продуктов экспертам по информационной безопасности.
Категории: Новости вендоров

Проблемы облачной почты: спам, фишинг и вредоносное ПО

вт, 26/02/2019 - 22:57

Все больше организаций переносят почту в облако. Казалось бы, благодаря этому спам и вредоносные письма должны значительно реже доходить до адресатов. Во всяком случае, так нам обещали: централизованное управление безопасностью и мощные алгоритмы для обработки больших данных должны были оставить в прошлом массовые рассылки, спам и типовое вредоносное ПО. Ведь чем больше почтовых ящиков отправляют данные для анализа, тем лучше. И это работает, но только отчасти. Например, пользователи Office 365 действительно защищены от 90% спама и угроз, распространяемых по почте. Но как быть с остальными 10%?

По данным портала Dark Reading (ссылающегося на исследование компании Cyren), встроенная защита Office 365 упустила 9,3% спама, фишинговых писем и сообщений, содержащих вредоносное ПО. Отчет компании Virus Bulletin рисует не такую мрачную, но все равно безрадостную картину. Особенно печально выглядит статистика ложных срабатываний: Office 365 ошибочно пометил как спам 3,9% тестовых сообщений.

Нам эта статистика показалась достаточно удручающей, а потому мы решили как-то изменить эту ситуацию. В прошлом году мы выпустили Kaspersky Security для Office 365, предварительно проведя расширенное бета-тестирование по всему миру. Оно лишь подтвердило, что ИТ-администраторам не следует всецело полагаться на встроенные средства защиты для облачной почты.

В ходе подготовки решения к запуску мы проанализировали более 3 млн писем и выявили около 800 образцов вредоносного ПО, 60 000 спам-сообщений, 110 000 массовых рассылок и 20 000 фишинговых писем. Чтобы разобраться, как это выглядит на практике, рассмотрим пример. Компания, где работает 300 сотрудников, в среднем получает 40 000 сообщений в день, то есть упомянутые 3 млн писем накапливаются примерно за 2,5 месяца пользования почтой. При этом всего за 1 рабочий день сотрудники получают 800 спам-сообщений, почти 1500 массовых рассылок и более 250 фишинговых писем, а также 1-2 раза сталкиваются с вредоносным ПО. И это после того, как входящая почта прошла проверку встроенными средствами защиты Office 365. Не будем забывать и о том, что эти же средства удаляют 3,9% полезных писем, ошибочно принимая их за вредоносные (см. отчет Virus Bulletin). При таком раскладе невольно задумываешься о том, что пора принять меры.

Kaspersky Security для Microsoft Office 365 использует новейшие эвристические технологии, «песочницу», машинное обучение и другие методы для защиты почты от спама, фишинга (в том числе целевых фишинговых атак), вредоносных вложений и пока неизвестных угроз. Как и сам Microsoft Office 365, наши защитные средства размещены в облаке. И, как и все продукты «Лаборатории Касперского», они опираются на надежные и неоднократно протестированные независимыми экспертами технологии.

Управлять решением можно из единой интуитивно понятной консоли. Не нужно ничего устанавливать, не нужно покупать новое оборудование или специально обучать сотрудников.

Kaspersky Security для Office 365 можно попробовать совершенно бесплатно (на это у вас будет 30 дней). Просто создайте учетную запись на портале Kaspersky Business Hub — это займет всего несколько минут!

Категории: Новости вендоров

Как выбрать лучший антивирус для Android

пн, 25/02/2019 - 11:18

Нужен ли на смартфоне антивирус? Еще пять лет назад ответ на этот вопрос не казался таким уж очевидным. Однако с тех пор число атак на мобильные устройства серьезно выросло. Теперь ответ больше не вызывает сомнений: да, без защиты для смартфона с Android вам уже не обойтись. Вопрос только в том, как выбрать лучший антивирус для Android.

Как выбрать лучший антивирус для смартфона или планшета с ОС Android

Современные приложения для защиты мобильных устройств не только умеют обезвреживать зловредов, но и обладают множеством других полезных функций. Однако антивирус все же остается важной частью абсолютно любой защитной программы для Android.

Чем же хороший антивирус отличается от плохого? И как выбрать лучший антивирус? Параметров, по которым можно сравнивать антивирусы для Android, немало. К счастью, независимые тестовые лаборатории как раз и занимаются тем, что проверяют защитные решения и выставляют им оценки по каждому из этих параметров. Давайте рассмотрим их подробнее.

Процент обнаруживаемых угроз (коэффициент обнаружения)

Антивирус должен ловить все приложения, которые плохо себя ведут или пытаются под шумок проникнуть на ваш смартфон. У хорошего антивируса будет высокий коэффициент обнаружения в независимых тестированиях. Это значит, что при проверке он замечает и блокирует максимальное количество угроз.

Например, согласно данным независимой лаборатории AV-TEST, Kaspersky Internet Security для Android перехватывает 99,9% зловредов в реальном времени и 100% новейших угроз, обнаруженных в последние четыре недели. Для сравнения: средний показатель по отрасли составляет 98%. Это означает, что Kaspersky Internet Security для Android демонстрирует вполне достойный результат.

Ошибочные срабатывания

Еще один параметр — ошибочные (или ложноположительные) срабатывания. Он показывает, насколько часто ваш антивирус поднимает тревогу на пустом месте. Согласно тому же тестированию AV-TEST, Kaspersky Internet Security для Android выдает только одно ложное срабатывание на 2385 добросовестных приложений из Google Play — и совсем не ошибается, если имеет дело с легитимными программами из сторонних магазинов. Это означает, что он почти никогда не побеспокоит вас не по делу.

Производительность

Третий параметр показывает, насколько быстро работает антивирус и насколько сильно он влияет на скорость работы системы и расход аккумулятора вашего смартфона. В тестировании эта характеристика обозначается как производительность. Естественно, чем быстрее работает решение и чем меньше ресурсов оно потребляет, тем лучше. В идеале антивирус для Android должен работать незаметно, когда ничего опасного не происходит.

Функциональность

Как мы уже говорили выше, защитные решения для Android включают не только антивирусы, но и массу других полезных возможностей. Это тоже нужно учитывать. Приведем ниже список функций, на которые стоит обращать внимание (AV-TEST тоже учитывает их наличие при оценке средств мобильной безопасности):

  • Антивор — позволяет удаленно блокировать потерянное или украденное устройство, а также вычищать с него информацию.
  • Блокировка вызовов — не дает спамерам и другим нежелательным абонентам звонить на ваш телефон.
  • Фильтр сообщений — то же самое, но для SMS.
  • Безопасный браузер — запрещает вашему браузеру загружать вредоносные страницы.
  • Родительский контроль — позволяет родителям ограничить время работы с устройством для своих детей, а также блокировать доступ к определенным приложениям и фильтровать контент, доступный с устройства в Интернете.
  • Резервное копирование — используется для создания резервных копий фотографий и других нужных данных.
  • Шифрование — позволяет зашифровать содержимое устройства либо создать VPN-соединение для безопасного интернет-подключения.

Список функций Kaspersky Internet Security для Android включает ряд этих возможностей (антивор, блокировку вызовов, фильтр сообщений и безопасный браузер), а также некоторые другие. Например, модуль для защиты от фишинговых сообщений, который фильтрует попытки фишинга, и защиту конфиденциальности, которая позволяет избежать вездесущей слежки в Интернете.

Родительский контроль, резервное копирование и шифрование в Kaspersky Internet Security для Android отсутствуют — в основном потому, что у нас есть для этого отдельные решения. В частности, Kaspersky Secure Connection предоставляет удобный VPN-сервис, а Kaspersky Safe Kids — продвинутую систему родительского контроля со множеством функций, в том числе уникальных.

Итак, лучший антивирус для смартфона с Android должен иметь самый высокий коэффициент обнаружения, как можно меньше влиять на производительность и время работы от батареи, а также редко выдавать ложноположительные срабатывания. Наконец, русскоговорящему пользователю удобнее, когда антивирус для Android говорит с ним на русском языке.

Где же найти данные, которые помогут сравнить антивирусные решения по этим параметрам? Ответ прост: на сайтах независимых тестовых лабораторий, которые часто публикуют такую информацию. Вот, например, независимые тесты AV-TEST, AV Comparatives и PCMag. Сравните их данные и проверьте список дополнительных функций, чтобы понять, какое защитное решение для Android подойдет именно вам.

И еще один важный момент: защитные решения, как правило, стоят денег, однако для Android существуют и бесплатные варианты антивирусов. Давайте посмотрим, чем бесплатные решения отличаются от платных.

Нужен ли мне платный антивирус для Android или бесплатной версии достаточно?

Платить или не платить за антивирус для Android — вот в чем вопрос. Все зависит от того, в каком режиме вы собираетесь его использовать. Например, основное различие между платной и бесплатной версиями Kaspersky Internet Security для Android состоит в том, что платная проверяет систему автоматически, а в бесплатной вам придется запускать сканирование вручную.

Это означает, что решения требуют кардинально разных привычек. Платную версию можно просто установить — и больше ни о чем не беспокоиться. Антивирус сам все будет для вас делать, сканируя каждый новый файл и каждый открываемый сайт.

Однако чтобы защитить себя с бесплатной версией Kaspersky Internet Security для Android, придется вручную запускать сканирование каждый раз, когда вы устанавливаете новое приложение или скачиваете новый файл.

Если вы считаете, что вам хватит на это терпения и самодисциплины, то бесплатная версия вполне подойдет — вы можете скачать наш бесплатный антивирус для Android здесь. Но если все время помнить о ручном сканировании вам не хочется, лучше всего приобрести платную версию, которая сделает все сама.

Если вы решили остановиться на платной версии нашего мобильного антивируса, сначала загрузите Kaspersky Internet для Android по той же ссылке, что и выше, а затем оплатите покупку внутри приложения.

И помните, что сегодня антивирус для Android — не роскошь, а необходимость. Выбор остается за вами, но защита устройствам с Android нужна не меньше, чем обычным компьютерам.

Категории: Новости вендоров

Страницы