Новости вендоров

Сервера и ПК OLDI на базе ОС Windows

Microsoft - вс, 14/04/2019 - 19:44

Под брендом OLDI на рынок постоянно выходят интересные модели компьютеров, включая «башенные» сервера начального уровня для бизнеса и ПК для геймеров и обычных пользователей. Этот год не стал исключением.

The post Сервера и ПК OLDI на базе ОС Windows appeared first on Новости.

Категории: Новости вендоров

Кто восстановит зашифрованные корпоративные данные? Скорее всего, никто.

Как показывает недавний инцидент с норвежским промышленным гигантом Hydro, угроза шифровальщиков-вымогателей все еще актуальна, а защищены далеко не все. Одна из причин, вероятно, в искренней вере в то, что в случае чего зашифрованные данные так или иначе восстановят. Если не собственный ИТ-специалист, то эксперты ИБ-компаний. В крайнем случае можно заплатить выкуп. Да, ведь есть же многочисленные фирмы, специализирующиеся на расшифровке данных. Но бывают случаи, когда обращаться к таким фирмам — еще хуже, чем платить злоумышленникам.

Почему не стоит обращаться к фирмам, которые обещают стопроцентную гарантию расшифровки данных?

В Интернете часто попадается реклама компаний, которые обещают восстановить данные, несмотря ни на что. У них на сайтах, как правило, можно найти многословные объяснения, почему злоумышленникам платить нельзя, а также достаточно изобретательные описания секретных методов расшифровки. И зачастую выглядят эти сайты достаточно убедительно. Но есть одно «но».

Дело в том, что современные алгоритмы шифрования устроены так, что превратить важную информацию в бессмысленный набор знаков может кто угодно, а вот вернуть все «как было» — только тот, у кого есть ключ. При этом если злоумышленники не допустили ошибок, то без ключа файлы расшифровать не сможет никто — ни ваш системный администратор, ни мировой ИТ-гигант.

Соответственно, если вам говорят о стопроцентной гарантии, то однозначно пытаются обмануть. Не далее как в конце прошлого года наши коллеги выявили одну из таких фирм. Как выяснилось, она выставляла жертвам немалый счет, а сама договаривалась со злоумышленниками и получала ключ со скидкой. В итоге, по факту, жертвы не только платили злоумышленникам, но подкармливали еще и посторонних мошенников.

Почему бы не заплатить злоумышленникам?

Казалось бы, проще всего заплатить авторам зловреда. Многие именно так и поступают, и получают свои данные обратно. Например, в 2016 году атака Locky парализовала работу Пресвитерианской больницы Голливуда, и поскольку от скорости расшифровки напрямую зависели здоровье и даже жизнь пациентов, руководство приняло непростое решение заплатить выкуп в 17 тыс. долл.

Однако самый простой путь — не всегда лучший, особенно если речь не идет в прямом смысле о жизни и смерти. Во-первых, платить вымогателям недальновидно: ваши деньги, скорее всего, пойдут на разработку еще более изощренных зловредов, жертвой которых вновь можете стать вы. Во-вторых, это ненадежно: больнице повезло, но иногда злоумышленники деньги забирают, а расшифровывать файлы не спешат. А иногда попросту не могут. И в суд на них не подашь.

Почему расшифровать данные не смогут ИБ-компании

Безусловно, есть и добросовестные компании, которые постоянно ищут способы спасти данные, пострадавшие от рук киберпреступников. Мы, например. Однако, расшифровать информацию возможно, только если злоумышленники оказались недостаточно профессиональными и не смогли реализовать нормальный алгоритм (или просто допустили где-то ошибку). Когда нам удается сделать инструмент для расшифровки, мы бесплатно делимся им на сайте https://noransom.kaspersky.com/. Но такие случаи — скорее исключение из правил.

А значит, лучшее, что вы можете сделать — попытаться предотвратить заражение. У нас для этого есть целый набор инструментов. В том числе недавно обновленное бесплатное решение Kaspersky Anti-Ransomware Tool. Оно может работать параллельно с продуктами сторонних ИБ-производителей, создавая дополнительный слой защиты на рабочих станциях и серверах, работающих под ОС Windows Server.

После обновления Kaspersky Anti-ransomware Tool for Business может не только защищать корпоративные устройства от шифровальщиков-вымогателей (как известных, так и новых), но также выявлять и другие актуальные угрозы. В частности, зловредных майнеров, потенциально опасные программы и pornware. Скачать этот бесплатный продукт можно вот здесь.

Категории: Новости вендоров

Стартовала большая весенняя распродажа Xbox

Microsoft - пт, 12/04/2019 - 18:09

В цифровом магазине Xbox стартовала долгожданная весенняя распродажа! До 22 апреля всех пользователей сетевого сервиса Xbox Live ждет свыше 500 различных предложений для консолей Xbox One и Xbox 360 со скидками до 50%. Во время распродажи можно будет приобрести по выгодным ценам игры Xbox Game Studios, в том числе Crackdown 3, Forza Horizon 4, Gears […многоточие]

The post Стартовала большая весенняя распродажа Xbox appeared first on Новости.

Категории: Новости вендоров

Совет №39: вынимать флешку из компьютера можно без «безопасного извлечения»

Microsoft - пт, 12/04/2019 - 00:05

Теперь не стоит бояться за сохранность информации на USB-накопителе, вытаскивая его из компьютера. Обновление Windows 10, выпущенное в октябре 2018 года, позволяет вынимать флешку без нажатия кнопки «Безопасное извлечение». Если раньше вам приходилось совершать одно дополнительное действие, то сейчас все работает автоматически и беспокоиться о потере данных больше не нужно. Функция безопасного извлечения флеш-карты действует […многоточие]

The post Совет №39: вынимать флешку из компьютера можно без «безопасного извлечения» appeared first on Новости.

Категории: Новости вендоров

Microsoft Office и его уязвимости

Часть выступлений на конференции SAS 2019 посвящалась не изощренным APT-атакам, а повседневной работе исследователей. Наши эксперты Борис Ларин, Влад Столяров и Александр Лискин подготовили исследование под названием «Обнаружение многоуровневых атак нулевого дня на MS Office» (Catching multilayered zero-day attacks on MS Office). В нем речь идет в первую очередь об инструментах анализа вредоносных программ, однако оно также затрагивает тему современного ландшафта угроз для Microsoft Office.

Обращает на себя внимание тот факт, что всего за два года ландшафт угроз в целом значительно изменился. Наши эксперты сравнили распределение платформ, атакованных злоумышленниками в конце прошлого года и два года назад. То, что киберпреступники отошли от использования веб-уязвимостей и переключились на уязвимости Office, было вполне ожидаемо. Однако масштаб изменений удивил. За последние несколько месяцев доля атак через Office превысила 70% от общего количества.

С прошлого года в сферу внимания экспертов все чаще стали попадать уязвимости нулевого дня в Microsoft Office. Как правило, они начинали свою «карьеру» в какой-нибудь целевой атаке, но со временем становились публичными и в конечном счете попадали в очередной конструктор вредоносных документов. Также значительно сократилось время, за которое злоумышленники осваивают найденные уязвимости. Например, в случае с CVE-2017-11882 (первой уязвимости в редакторе уравнений, обнаруженной нашими экспертами) масштабная спам-кампания началась прямо в день публикации PoC. Аналогичная ситуация наблюдается и с другими уязвимостями — в течение буквально нескольких дней после обнародования технического отчета в даркнете появляется соответствующий эксплойт. При этом используемые уязвимости стали значительно менее сложными, так что киберпреступнику для создания рабочего эксплойта зачастую требуется лишь подробное описание.

Исследование наиболее часто эксплуатируемых уязвимостей в 2018 году показало, что авторы вредоносного ПО предпочитают работать с простыми логическими ошибками. Именно поэтому из всех уязвимостей Office на сегодняшний день эксплуатируются чаще всего CVE-2017-11882 и CVE-2018-0802 (обе связаны с редактором формул). Причина их популярности заключается в том, что вероятность успешной атаки через них очень высока, и они срабатывают в любой версии Word, выпущенной за последние 17 лет. Но самое важное — создание эксплойта для этих уязвимостей не требует особых навыков. Дело в том, что в редакторе формул не применялись механизмы защиты, которые в 2018 году кажутся обязательными.

Интересно, что все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов.

Почему это до сих пор происходит?

Дело в том, что поверхность атаки на Office огромна. Множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта. Но самое главное — это огромное количество неверных решений, принятых, когда пакет Office только начинали разрабатывать. Сейчас таких ошибок никто бы не допустил, но из-за необходимости обратной совместимости исправить их не получится.

Только в 2018 году мы обнаружили несколько уязвимостей нулевого дня, эксплуатируемых «в дикой природе». Среди них стоит выделить CVE-2018-8174 (уязвимость удаленного выполнения кода в движке VBScript). Этот баг особенно интересен тем, что эксплойт был обнаружен в документе Word, в то время как сама уязвимость присутствовала в Internet Explorer. Более подробную информацию можно найти в нашем блоге Securelist.

Как мы обнаруживаем уязвимости?

Наши защитные решения корпоративного класса обладают мощными эвристическими средствами обнаружения угроз, распространяемых через документы MS Office. Эвристический движок знает все форматы файлов и способы маскировки информации в документах. Это первый рубеж обороны. Но когда вредоносный объект найден и объявлен опасным, мы не останавливаемся на этом. Этот объект передается на следующие уровни системы безопасности. Особенно эффективна в их анализе «песочница».

Говоря языком информационной безопасности, песочницы позволяют изолировать небезопасную среду от безопасной и наоборот, чтобы защитить систему от эксплуатации уязвимостей и предоставить возможности для анализа вредоносного кода. Наша песочница — это система обнаружения зловредов, которая запускает подозрительный объект на виртуальной машине с полноценной ОС, анализирует его поведение и выявляет вредоносную активность. Мы разработали ее несколько лет назад для работы во внутренних системах, но впоследствии она была интегрирована в продукт Kaspersky Anti-Targeted Attack Platform.

Microsoft Office — привлекательная мишень для атак, и останется ею еще долго. Злоумышленники предпочитают легкую добычу, так что уязвимости устаревших компонентов неизбежно продолжат эксплуатировать. Поэтому для защиты вашей компании мы рекомендуем использовать решения, эффективность которых подтверждается обширным списком обнаруженных CVE.

Категории: Новости вендоров

Prey и другие игры пополнят каталог Xbox Game Pass до конца апреля

Microsoft - ср, 10/04/2019 - 23:37

Команда Xbox поделилась списком игр, которые присоединятся к постоянно растущему каталогу Xbox Game Pass в ближайшее время. До конца апреля все подписчики сервиса получат доступ к следующим проектам: Prey (11 апреля) Prey присоединится к библиотеке Xbox Game Pass уже завтра, перенеся игроков из уютных домов в коварные глубины космоса. В роли Моргана Ю вам придется […многоточие]

The post Prey и другие игры пополнят каталог Xbox Game Pass до конца апреля appeared first on Новости.

Категории: Новости вендоров

Выпущены обновления безопасности Microsoft за апрель 2019

Microsoft - ср, 10/04/2019 - 10:20

Компания Microsoft выпустила обновления безопасности для следующих продуктов: Windows, Windows Server, Microsoft Edge, Internet Explorer, Office, SharePoint Server, Exchange Server, Team Foundation Server, Azure DevOps Server, Open Enclave SDK, ASP.NET Core, Chakra Core, Windows Admin Center и Adobe Flash Player. Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже: Информация […многоточие]

The post Выпущены обновления безопасности Microsoft за апрель 2019 appeared first on Новости.

Категории: Новости вендоров

Gaza Cybergang и ее операция SneakyPastes

На конференции Kaspersky Security Analyst Summit (SAS) мы традиционно рассказываем об APT-атаках: именно там мы опубликовали сведения о Slingshot, Carbanak, Careto. Поскольку целевых атак меньше не становится, то и традицию мы не нарушаем: на SAS 2019 в Сингапуре мы рассказали об APT-группировке Gaza Cybergang.

Богатый арсенал

Группировка Gaza Cybergang, промышляющая кибершпионажем, действует в основном на территории стран Ближнего Востока и Средней Азии. Ее интересуют политики, дипломаты, журналисты, активисты и прочие политически активные граждане региона. Абсолютным лидером по количеству зафиксированных нами атак с января 2018 по январь 2019 года стали цели, находящиеся на территории Палестины. Немало попыток заражения пришлось также на Иорданию, Израиль и Ливан.

В своих атаках эта группировка использует разные по уровню сложности методы и инструменты, поэтому наши эксперты выделяют в ее составе как минимум три подгруппы.

О двух из них мы уже писали. Одна является автором кампании Desert Falcons, а вторая стояла за узконаправленными атаками Operation Parliament. Настало время поговорить о третьей, названной MoleRATs. Эта группа в основном использует относительно несложные инструменты, однако ее операция SneakyPastes (названа так за активное использование pastebin.com) от этого не становится менее опасной.

SneakyPastes

В рамках этой операции проводятся многоэтапные атаки. Начинаются они с фишинга, причем в нем используются письма с одноразовых адресов и одноразовые домены. Иногда в письмах содержится ссылка на вредонос, а иногда зараженные файлы приложены непосредственно к письму. Если жертва запустит такой файл (или перейдет по ссылке), на устройстве окажется вредоносная программа первой стадии, которая запустит цепочку заражения.

Сами письма, которые должны усыпить бдительность читателя, чаще всего на политическую тематику. Это либо какие-то протоколы переговоров политиков, либо поддельные послания от уважаемых организаций.

Заразив компьютер жертвы вредоносом первой стадии, злоумышленники стремятся закрепиться на устройстве, скрыть свое присутствие от защитных решений и максимально обезопасить командный сервер.

Они полагаются на публичные сервисы (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com и pomf.cat) для организации следующих этапов атаки (в том числе для доставки вредоносов), а главное, для общения с командным сервером. Что интересно, чаще всего используется сразу несколько методов вывода добытой информации.

В конце концов на устройство устанавливается RAT-зловред с широкими возможностями. Среди прочего он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать информацию.

Этот зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет на командный сервер.

Впрочем, мы детектируем и множество других инструментов, используемых в этой атаке. Узнать о них больше, а также ознакомиться с остальными техническими подробностями можно в посте на Securelist.

Комплексная защита от комплексных угроз

Наши продукты умеют успешно бороться с компонентами, используемыми в операции SneakyPastes. Чтобы не пополнить список ее жертв, мы предлагаем принять во внимание следующие советы.

  • Атаки Gaza Cybergang начинаются с фишинга. Научите сотрудников вашей компании распознавать опасные письма, причем не только массовые, но и целевые. Наша интерактивная платформа Kaspersky ASAP позволяет не просто давать необходимые для этого знания, но и прививать практические навыки.
  • Сложные многоступенчатые целевые атаки могут оказаться не по зубам антивирусам базового уровня. Используйте комплексные решения, разработанные для защиты от изощренных атак. Для противодействия злоумышленникам на уровне сети мы рекомендуем применять связку из Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response.
  • Если в вашей компании есть выделенная служба, отвечающая за информационную безопасность, рекомендуем подписаться на рассылку закрытых отчетов «Лаборатории Касперского», в которых мы подробно освещаем актуальные киберугрозы. Приобрести подписку можно, написав по адресу [email protected]
Категории: Новости вендоров

Тадж-Махал — тот, что между Токио и Иокогамой

Осенью 2018 года мы выявили атаку на дипломатическую организацию, принадлежащую одной из стран Центральной Азии. В этом не было бы ничего удивительного — дипломатами и их информационными системами периодически интересуются разные политические силы, — если бы не инструмент, с помощью которого этого было сделано. А именно, новая APT-платформа, названная TajMahal.

TajMahal — не просто набор бэкдоров, а качественно разработанный и высокотехнологичный шпионский фреймворк с огромным количеством плагинов (в данный момент наши эксперты нашли 80 вредоносных модулей), благодаря которым могут быть реализованы самые разнообразные сценарии атаки и задействованы различные инструменты. По оценке наших экспертов, TajMahal используется в течение последних пяти лет, и то, что «достоверная жертва» пока только одна, говорит лишь о том, что остальные, скорее всего, просто пока не обнаружены.

Что может TajMahal?

Экспертами были обнаружены две основные части этой APT-платформы: Tokyo и Yokohama. На всех зараженных компьютерах были найдены обе части. Первая выполняет функции основного бэкдора и служит для доставки вредоноса второго этапа. Что интересно — даже после начала второй фазы он остается в системе, очевидно для того, чтобы работать дополнительным каналом связи и для подстраховки. Yokohama — боевая нагрузка второго этапа. Она создает виртуальную файловую систему с плагинами, сторонними библиотеками и конфигурационными файлами. Ее арсенал весьма и весьма широк:

  • Кража cookie-файлов
  • Перехват документов из очереди на печать
  • Сбор данных о жертве (среди них список резервных копий ее iOS-устройства)
  • Запись VoIP-звонков и создание снимков экрана во время них
  • Кража образов оптических дисков, записываемых жертвой
  • Индексация файлов, в том числе на внешних носителях, и возможность кражи определенного файла при повторном обнаружении носителя
Итого

Высокий уровень технической сложности делает TajMahal весьма тревожным открытием и говорит о том, что количество выявленных жертв может в скором времени увеличиться. Продукты «Лаборатории Касперского» успешно детектируют TajMahal. Более подробный технический отчет об этой угрозе можно найти на нашем блоге Securelist.

Изначально эта угроза была обнаружена при помощи наших проактивных инструментов. Так что для защиты от этого вредоноса и его аналогов имеет смысл использовать проверенные защитные решения, построенные с применением эвристических технологий. Такие, как Kaspersky Security для бизнеса.

Категории: Новости вендоров

Как жулики используют цифрового двойника, чтобы расплатиться вашей картой

Вы, скорее всего, замечали, что авиакатастрофам СМИ уделяют гораздо больше внимания, чем авариям на дорогах, хотя суммарно жертв крушения самолетов значительно меньше. То же самое наблюдается и во многих других сферах, в том числе в кибербезопасности.

В 2014 году преступная группировка Carbanak похитила более миллиарда долларов — и это наделало немало шума в прессе. Но не стоит забывать, что махинации с кредитными картами происходят ежедневно и в итоге наносят гораздо больше ущерба.

По оценкам The Nilson Report, в 2018 году убытки от махинаций с кредитными картами составили около 24 миллиардов долларов, и в этом году они только возрастут. Так что кардинг — так специалисты по безопасности и сами киберпреступники называют аферы с банковскими картами — вовсе не умер. Напротив, эта сфера преступной деятельности прекрасно себя чувствует и продолжает расти.

В последнее время банки и платежные системы уделяют особое внимание безопасности, что должно осложнять жизнь преступникам. Увы, даже современные системы защиты от мошенничества все равно можно обмануть — в Интернете существуют целые специализированные магазины, где найдутся инструменты и сервисы для всех, кто желает попробовать силы в краже денег с чужих кредиток.

Цифровые отпечатки: как ворованные личности используются для кражи средств с карт

На конференции Security Analyst Summit 2019 исследователь «Лаборатории Касперского» Сергей Ложкин рассказал о том, что обнаружил в даркнете целый рынок под названием Genesis. Там продаются цифровые маски, которые включают в себя данные о поведении пользователя в сети и его цифровой отпечаток — историю посещения сайтов, информацию об операционной системе, браузере, установленных плагинах и так далее.

Зачем мошенники продают эти маски и какое отношение все это имеет к кардингу? Оказывается, самое непосредственное: это как раз те данные, которые системы защиты от мошенничества используют для проверки. Если защитное решение видит маску, которая совпадает с той, что пользователь применял ранее, то транзакция будет одобрена. Многие банки в этом случае даже не станут отправлять код безопасности по SMS или push-уведомление для подтверждения операции.

Так что если преступник каким-то образом похитит вашу цифровую маску и учетные данные в системе онлайн-банкинга, система защиты от кибермошенников просто примет его за вас и не станет ничего предпринимать, а с вашего счета вскоре незаметно утекут все деньги.

Вот поэтому злоумышленники скрупулезно собирают данные с устройств, а затем продают их на Genesis. Цены варьируются от 5 до 200 долларов в зависимости от объема и содержания украденной информации. Другие жулики покупают эти данные, чтобы затем выдавать себя за настоящего владельца цифровой маски.

Для удобства покупателей создатели Genesis сделали специальный плагин для браузера — Genesis Security. Это расширение позволяет злоумышленнику использовать купленную цифровую маску для воссоздания виртуальной личности ее настоящего владельца и тем самым обманывать системы защиты.

Сбор отпечатков

Но откуда же киберпреступники, промышляющие на Genesis, берут данные для продажи? Ответ довольно расплывчат, но при этом очень прост: с помощью зловредов разнообразных сортов.

Далеко не каждая вредоносная программа будет шифровать данные и требовать выкуп или сразу примется воровать деньги, как только обоснуется на вашем устройстве. Некоторые зловреды ведут себя гораздо менее буйно и втихую собирают всю информацию, до которой могут добраться. В том числе создают цифровые маски, которые потом появятся на прилавках магазина Genesis.

Другие способы обойти защиту

Первый способ усыпить бдительность защитных систем — выглядеть для нее знакомым. Второй — напротив, представиться новым пользователем. Преступники, конечно, обо всем этом знают. В Интернете даже есть сервис, позволяющий провернуть обе схемы.

Выглядеть совершенно незнакомым — значит использовать цифровую маску, не имеющую ничего общего с теми, что уже известны системе. Мошенник не сможет подключиться к сервису, если хоть какой-то параметр его цифровой маски был ранее замечен системой защиты — а это могут быть, например, технические характеристики устройства, разрешение экрана и много чего еще. Одним словом, установка нового браузера тут не поможет.

Однако с помощью сервиса под названием Sphere мошенник может создать новую цифровую личность и настроить все вышеперечисленные параметры таким образом, чтобы система защиты восприняла его как совершенно нового пользователя — так у нее просто не будет оснований для недоверия.

Как дать отпор создателям двойников

Описанные выше методы работают даже для очень продвинутых систем защиты от мошенничества. Проблема заключается в том, что алгоритмы, которые определяют, может ли пользователь получить доступ к средствам на карте, опираются ровно на те же данные, которые собирают злоумышленники.

Так можно ли вообще защититься от такого кардинга?

Банкам обязательно нужно использовать двухфакторную аутентификацию, чтобы усилить защиту. Возможно, в качестве второго фактора потребуется даже ввести проверку биометрических данных — аутентификацию по отпечатку пальца (не цифровому, а самому настоящему), сканирование радужки глаза, распознавание лица. Кроме того, банки должны быть в курсе всех актуальных мошеннических схем, в противном случае они просто не смогут вовремя принять меры.

Для обычного пользователя платежных систем единственный способ защититься от данного вида кардинга — не дать злоумышленникам украсть свою цифровую маску. Мы рекомендуем использовать Kaspersky Security Cloud, которое сможет отразить атаку любого зловреда, покушающегося на ваши данные.

Категории: Новости вендоров

Ликбез по кибербезопасности для ваших сотрудников

Повышение осведомленности сотрудников о кибербезопасности — вероятно, самая востребованная услуга на IT-рынке. Компании отлично понимают, что большинство инцидентов происходят из-за ошибок сотрудников и только компетентное и эффективное обучение способно исправить ситуацию.

Однако большинство программ по повышению осведомленности были созданы специально для крупных корпораций. Такие решения сложны в настройке и с трудом адаптируются под нужды небольших компаний. Малому бизнесу требуется нечто принципиально иное — например, онлайн-сервис, который эффективно помогает сотрудникам узнавать больше о киберугрозах, не требуя значительных ресурсов. Поэтому мы запустили новую автоматизированную платформу для повышения осведомленности о кибербезопасности (Kaspersky Automated Security Awareness Platform) — решение, спроектированное в первую очередь для малых и средних компаний, но подходящее и крупным корпорациям.

Мы считаем, что сотрудники должны понимать, для чего им нужно развивает у них тот или иной навык. Поэтому платформа преподает знания не как сухую теорию, а как набор примеров, имеющих прямое отношение к их повседневной работе. Занятия состоят из коротких, интересных и разноплановых задач. Мы хотим, чтобы людям нравилось то, что они изучают — тогда и материал усваивается эффективнее. Кроме того, мы применяем принцип микрообучения: уроки длятся недолго (от 1 до 5 минут), и каждый посвящен развитию конкретного навыка кибербезопасности. Например, изучая модуль «Электронная почта и фишинг: начальный уровень», сотрудники за 30 минут получают 13 таких навыков.

Создавая образовательные материалы для платформы, мы не только используем свой богатый опыт защиты от киберугроз, но и привлекаем специалистов по поведенческой психологии и теории усвоения информации и обучения. Так, расписания повторения тем основано на кривой забывания.

Как это работает?

Курс очень легко запустить, настроить и контролировать: платформа полностью автоматизирована, поэтому вам не нужно назначать специального менеджера, который будет создавать график обучения для каждого сотрудника, раздавать задания и тому подобное. Достаточно загрузить список пользователей, разделить их на группы с помощью простых правил и начать обучение.

Постановка целей

Вы можете назначить разные цели для каждой группы, а не пытаться обучить каждого сотрудника всему сразу. Например, если ваши дизайнеры не имеют доступа к конфиденциальной информации, зачем впустую тратить силы, преподавая им сложные защитные процедуры или технические аспекты кибербезопасности? Распорядитесь их временем разумно: назначьте им только обучение начального уровня, которого хватит для формирования базовых навыков по защите компании и самих себя от наиболее распространенных типов атак.

Создание плана обучения

Платформа автоматически создает план обучения для каждой группы сотрудников. Каждый проходит материал согласно своему уровню риска, скорости обучения, графику отпусков и прочим факторам.

Курс охватывает все актуальные аспекты кибербезопасности. В настоящее время он включает шесть ключевых тем, однако в 2019 году мы доведем их число до десяти:

  • веб-сайты, ссылки и Интернет;
  • безопасность электронной почты и защита от фишинга;
  • пароли и учетные записи;
  • социальные сети и службы обмена мгновенными сообщениями;
  • безопасность компьютеров;
  • защита мобильных устройств;
  • защита конфиденциальных данных;
  • социальная инженерия;
  • персональные данные и GDPR;
  • безопасность за пределами офиса.

Каждая тема делится на несколько уровней сложности (от начального до продвинутого). С первых дней обучения сотрудники начинают приобретать специализированные полезные навыки работы в цифровой среде.

Кроме того, платформа гарантирует закрепление знаний — ведь любые навыки быстро теряются, если не освежать их время от времени. Во-первых, уроки выстроены так, что ученикам приходится регулярно повторять пройденное. Во-вторых, темы пересекаются между собой: например, изучая раздел «Социальные сети», пользователи еще раз вспомнят полученные ранее советы по работе с паролями и ссылками. Благодаря этому свежеприобретенные знания и умения не забудутся за пару недель. Более того, мы развиваем у людей навык распознавания закономерностей. Благодаря ему сотрудники могут заметить признаки опасности и принять все необходимые меры предосторожности, даже столкнувшись с еще неизвестными угрозами.

Отчетность и сравнительный анализ

На главной странице показана основная статистика, включающая имена отстающих и темы, на которых они забуксовали. При необходимости система может даже разослать мотивационные сообщения или предупреждения по хранящимся в ней шаблонам.

Как начать пользоваться платформой

Платформа доступна на английском, немецком, итальянском, русском, французском и испанском языках. В этом году мы планируем добавить арабский и нидерландский языки.

Чтобы больше узнать о платформе Kaspersky Automated Security Awareness Platform и бесплатно попробовать ее возможности, зайдите на наш корпоративный веб-сайт.

Подготовка к работе с платформой займет всего несколько минут: регистрация полностью автоматизирована, и вам не нужно будет ждать утверждения своего запроса. Просто зарегистрируйтесь, добавьте пользователей, разделите их на группы и назначьте дату начала курса, а все остальное платформа сделает сама.
 

Категории: Новости вендоров

RSAC 2019: Зачем злоумышленникам domain fronting

Про существование такой техники, как domain fronting – способ прикрываться чужим доменом, многие узнали после того, как ее использовал мессенджер Telegram, чтобы избежать блокировки со стороны российского интернет-регулятора Роскомнадзора. О ней же решили поговорить сотрудники SANS Institute на конференции RSA 2019. Злоумышленники используют эту технику не столько как вектор атаки, сколько как метод управления зараженным компьютером и эксфильтрации похищенных данных. Эд Скодис (Ed Skoudis), о докладе которого мы уже рассказывали, описал типичный алгоритм действий киберпретупников, которые пытаются «раствориться в облаках».

Чаще всего сложные APT-атаки обнаруживают именно на этапе обмена данными с командным сервером. Внезапное общение компьютера, находящегося внутри корпоративной сети, с неизвестной машиной вовне — тревожный сигнал, на который команда ИБ-специалистов наверняка среагирует. Поэтому злоумышленники и пытаются всеми силами замаскировать это общение. В последнее время все чаще для этого используют различные сети доставки контента (Content Delivery Network, CDN).

Описанный Скодисом алгоритм выглядит следующим образом:

  1. В сети компании есть компьютер, зараженный вредоносом.
  2. Эта машина посылает DNS-запрос на чистый доверенный веб-сайт, размещенный в доверенной CDN.
  3. Атакующий также является клиентом этой CDN и размещает на ней свой сайт.
  4. Зараженный компьютер устанавливает шифрованное TLS-соединение с доверенным сайтом.
  5. Внутри этого соединения, вредонос формирует HTTP 1.1-запрос, в котором обращается к сайту атакующих.
  6. Этот сайт перенаправляет запрос на свои зловредные серверы.
  7. Канал связи установлен.

Для ИБ-специалистов, которые защищают сеть компании все выглядит как общение компьютера с по зашифрованному каналу с безопасным сайтом, находящемся в знакомой CDN. Все потому, что они воспринимают CDN, клиентами которой является их фирма, доверенной частью сети. А это большая ошибка.

Все это, по мнению Скодиса, симптомы крайне опасной тенденции. Domain Fronting — неприятная уловка, но с ней можно справиться. Опасно то, что злоумышленники начали осваивать облачные технологии. Теоретически они могут создать цепочку из разных CDN и надежно спрятать свою активность за облачными сервисами, устроить «отмывку» связей. Шансы того, что одна CDN будет блокировать другую из соображений безопасности, стремятся к нулю – это наверняка повредит их бизнесу.

Для борьбы с этим типом уловок Скодис рекомендует использовать методы перехвата TLS-соединений. Однако главное понимать, что такое может произойти, и учитывать облачный вектор атаки при построении модели угроз.

Эксперты «Лаборатории Касперского» также сталкивались с аналогичными уловками злоумышленников. Наше решение Kaspersky Threat Management and Defense позволит обнаружить такой канал связи и блокировать его.

Категории: Новости вендоров

Совет №38: как управлять паролями от сайтов в Microsoft Edge

Microsoft - пн, 08/04/2019 - 14:03
Практически каждый интернет-сервис требует завести аккаунт, придумать пароль. Невозможно все параметры держать в голове, особенно если учесть какими сложными сейчас должны быть надежные пароли. Браузер Microsoft Edge позволяет управлять ими. Если вы зашли на новый сайт, то браузер спросит вас, хотите ли вы, чтобы он запомнил ваши учетные данные.   В Microsoft Edge пароли сохраняются […многоточие]
Категории: Новости вендоров

EXE-зараза для вашего «Мака»

О том, что неуязвимость macOS — это миф, мы вам уже рассказывали, и не один раз. Недавно злоумышленники нашли очередной способ обмануть бдительность встроенного защитного механизма: преступники собирали данные о зараженной системе и загружали в нее рекламные приложения с помощью файлов с расширением EXE, которое обычно используется в Windows. Кто бы мог подумать, что EXE-файл может быть опасен для «Мака» — однако этот способ заражения действительно работает.

Хроники заражения: пиратский файрвол с EXE-зловредом в комплекте

Ирония в том, что зловред добавили не куда-нибудь, а в пиратскую копию защитного программного обеспечения — файрвола Little Snitch. Пользователи, решившие сэкономить на оплате лицензии, предсказуемо получили изрядную головную боль.

Зараженная версия брандмауэра распространялась через торренты. Оттуда жертва скачивала на компьютер ZIP-архив с образом диска в формате DMG — пока ничего необычного. А вот если просмотреть содержимое этого DMG-файла, можно обнаружить в нем папку MonoBundle с неким installer.exe. Это уже нетипичный для macOS объект: обычно на «Маке» EXE-файлы просто не работают.

Gatekeeper не спасет

Более того, macOS настолько не поддерживает исполняемые файлы для Windows, что технология Gatekeeper, которая не дает подозрительным программам запускаться в системе, просто игнорирует EXE-файлы. Это вполне объяснимо: перегружать систему проверкой заведомо неработающих файлов никакого резона нет, тем более что Apple уделяет много внимания быстродействию своей техники.

Все было бы хорошо, если бы не одно «но»: программ для Windows много, и иногда они очень нужны обладателям Mac. Поэтому существуют решения, позволяющие запускать «неродные» для платформы файлы. Одно из них — фреймворк Mono, бесплатная система, при помощи которой Windows-приложения могут работать в других ОС, в том числе в macOS.

Как вы уже, вероятно, догадались, именно им воспользовались злоумышленники. Обычно фреймворк нужно устанавливать на компьютер отдельно, но преступники придумали выход, объединив его в один пакет со зловредом (помните, злополучный «экзешник» находился в папке MonoBundle?). В результате даже на тех «Маках», владельцы которых обходятся «родными» программами, зловред успешно запускается.

Хроники заражения: шпионаж и реклама

В первую очередь вредоносная программа собирает информацию о зараженной системе. Киберпреступников интересует название модели, идентификаторы устройства, технические характеристики процессора, объем оперативной памяти и многое другое. Также зловред собирает и отправляет на свой командный сервер сведения об установленных приложениях.

Одновременно он загружает на зараженный компьютер еще несколько образов с установщиками, замаскированными под Adobe Flash Media Player или Little Snitch. На самом же деле это самые заурядные рекламные утилиты, которые будут донимать вас навязчивыми баннерами.

Как защититься

Мораль у этой истории проста: в мире информационных технологий полностью безопасных систем не бывает. А встроенным средствам защиты слепо доверять нельзя, даже если они считаются очень надежными. Вот несколько советов, как защитить свой компьютер от хитроумных зловредов.

  • Не устанавливайте пиратские версии приложений. Если вам необходима какая-либо программа, а платить категорически не хочется, поищите изначально бесплатный аналог.
  • Загружайте программы из официальных источников — магазина AppStore или с сайтов разработчиков.
  • Если вы все-таки решили загрузить приложение из неофициального источника, например с тех же торрент-трекеров — обязательно проверяйте, что именно вы скачали. С подозрением относитесь к любым посторонним файлам в установочном пакете.
  • Используйте надежный антивирус, который проверяет все подозрительные файлы без исключений.
Категории: Новости вендоров

Совет №37: больше чем будильник

Microsoft - пт, 05/04/2019 - 00:43
Системное приложение в Windows 10 позволяет настроить будильник, часы и часовые пояса, запустить таймер и секундомер. Полезная штука в быту, которая оптимизирует многие процессы. Приложение Будильники и часы работает, даже если оно закрыто или устройство заблокировано. Как настроить будильник Нажмите кнопку Пуск и выберите Будильники и часыв списке приложений. Перейдите в раздел Параметры> Система > Питание и спящий режим, […многоточие]
Категории: Новости вендоров

Microsoft представила Visual Studio 2019

Microsoft - чт, 04/04/2019 - 13:15
Интегрированная среда разработки Visual Studio 2019 для Windows и Mac стала доступна для скачивания на официальном сайте Microsoft. Новая версия получила ряд возможностей, повышающих скорость, удобство и производительность разработки. Одним из основных нововведений стала доступность функции Live Share, которая позволяет разработчикам совместно писать код, сохраняя при этом свои собственные настройки редактора. Кроме того, Live Share […многоточие]
Категории: Новости вендоров

Потенциальные проблемы из-за сторонних веб-плагинов

Часто интернет-магазины, информационные порталы и другие ресурсы базируются на специальных платформах, предоставляющих разработчикам набор готовых инструментов. Наш блог, к примеру, построен именно так. Часто инструменты предоставляются в виде плагинов, позволяющих добавить на сайт те функции, которые нужны именно вам. С одной стороны, это удобно и позволяет не «изобретать велосипед» каждый раз, когда нужно использовать какой-то инструмент. С другой — чем больше на сайте сторонних разработок, тем выше риск, что что-то может пойти не так.

Плагины и их проблемы

Плагин  — это небольшой программный модуль, добавляющий на сайт функциональность, которой в нем нет по умолчанию или которая реализована удобнее, чем стандартная. Существуют плагины для отображения виджетов соцсетей, для сбора статистики, для создания опросов и других видов контента, и так далее.

Если вы подключите к движку своего сайта плагин, то он будет выполняться автоматически и побеспокоит вас, только когда в нем произойдет ошибка (и то лишь в том случае, если эту ошибку кто-то заметит). В этом и кроется опасность таких модулей: если автор молча забросит свой плагин или продаст его другому разработчику, скорее всего, вы ничего не заметите.

Дырявые плагины

В плагинах, которые не поддерживаются годами, скорее всего, присутствуют неисправленные уязвимости, через которые можно захватить сайт или загрузить на него вредоносную программу — кейлоггер, майнер криптовалюты или все, что преступной душе угодно.

При этом владельцы сайтов часто не следят за обновлениями. Как показало исследование Wordfence, уязвимые модули после прекращения поддержки годами продолжают работать.

Иногда авторы плагинов закрывают уязвимости, но они по той или иной причине не устанавливаются автоматически. Например, авторы некоторых изученных экспертами модулей при обновлении просто забывали изменять номер версии. В результате на ресурсах клиентов, не проверивших наличие обновлений вручную, остались устаревшие плагины.

Подмена плагина

Некоторые платформы для управления контентом сайтов закрывают доступ к скачиванию модулей, которые сняли с поддержки. Однако удалить уязвимые плагины с пользовательских сайтов нельзя, поскольку это может привести к сбоям в работе последних.

Кроме того, заброшенные плагины могут храниться не на самой платформе, а на общедоступных сервисах. Когда автор снимает с поддержки или удаляет такой модуль, ваш сайт продолжает обращаться к контейнеру, в котором он находился. При этом злоумышленники запросто могут захватить этот контейнер или создать его клон и заставить ресурс подгружать вместо плагина вредоносный код.

Именно это произошло со счетчиком твитов New Share Counts, размещенным в облачном хранилище Amazon S3. Когда его поддержка закончилась, разработчик опубликовал сообщение об этом на своем сайте, однако более 800 клиентов его не прочли.

Спустя некоторое время автор плагина закрыл контейнер на Amazon S3, чем и воспользовались злоумышленники. Они создали хранилище с точно таким же именем и поместили в него вредоносный скрипт. Использующие плагин сайты стали подгружать вместо счетчика твитов новый код, который перенаправлял пользователей на фишинговый ресурс, обещавший им приз за заполнение анкеты.

Владелец сменился, пользователи не заметили

Иногда разработчики не забрасывают, а перепродают плагины. При этом далеко не каждый интересуется личностью покупателя, а значит, приобрести модуль может и злоумышленник. В таком случае велик шанс, что с очередным обновлением на ваш сайт загрузят вредоносный код.

Обнаружить подобные плагины очень сложно. Например, один вредоносный модуль, установленный на сайты более 300 тыс. раз, попал в поле зрения исследователей по чистой случайности: новый хозяин решил его переименовать. Плагин удалили из публичного доступа из-за незаконного упоминания в новом названии бренда WordPress. В результате модулем заинтересовались специалисты Wordfence, которые проверили его с точки зрения информационной безопасности. Анализ показал, что в коде плагина скрывался бэкдор.

Присматривайте за плагинами на своем сайте

Как видите, есть множество способов заразить сайт через установленные на нем плагины, и не от всех его может защитить платформа, на которой он размещен. Поэтому мы рекомендуем вам самостоятельно следить за безопасностью плагинов на сайте.

  • Составьте список плагинов, которые используются на ваших ресурсах, с указанием места их хранения, и регулярно проверяйте и обновляйте его.
  • Читайте информационные сообщения разработчиков стороннего ПО, которое используете, и площадок, через которые оно распространяется.
  • Вовремя обновляйте плагины, а если они более не поддерживаются — как можно скорее ищите им замену.
  • Если же по какой-либо причине один из сайтов вашей компании больше не нужен и вы прекращаете его поддержку, не забудьте удалить его содержимое, включая плагины. Со временем в них могут появиться уязвимости, которыми воспользуются злоумышленники, скомпрометировав при этом и вашу компанию.
  • Сотрудников, работающих с публично доступными веб-сайтами, следует обучать навыкам противостояния современным киберугрозам. Например, при помощи нашей платформы ASAP.
Категории: Новости вендоров

Что не так с коммерческим шпионским ПО

Наверняка почти каждому хоть раз в жизни хотелось проследить за другими. Чтобы удостовериться, что партнер не изменяет, что ребенок не связался с дурной компанией, а подчиненный не работает на конкурента. Слежка за родными и коллегами пользуется спросом, а спрос, как известно, рождает предложение.

Предложение выглядит как немаленький ассортимент так называемых легальных шпионских программ (также известных как stalkerware или spouseware), которые за относительно небольшие деньги можно установить на устройство сотрудника или родственника. Такие приложения, пытаясь не выдавать себя, передают установившему их человеку данные: сведения о местоположении, истории браузера, SMS, сообщениях в социальных сетях и так далее. Некоторые программы позволяют даже записывать с гаджета видео и звук.

Stalkerware — неэтично, зато легально (почти)

С моральной точки зрения использовать шпионские программы нехорошо: устанавливают их, как правило, без ведома владельца устройства, работают они в фоновом режиме и имеют доступ к очень личной информации. Однако юридически такие приложения во многих странах не запрещены, даже если сама по себе слежка за близкими преследуется по закону. Разработчики находят лазейки в законодательстве, например называя свой продукт решением для родительского контроля.

Неудивительно, что формально дозволенные приложения продолжают покупать, несмотря на то, что это неэтично. За прошедший год одни только наши решения обнаружили шпионские программы на телефонах и планшетах более чем 58 тысяч пользователей. Из них 35 тысяч человек узнали о существовании на их устройствах легального шпионского ПО только после того, как установили наше защитное решение и оно произвело первичное сканирование.

Шпионские приложения могут сливать ваши данные

Несмотря на полулегальный статус, stalkerware на самом деле опасно – эти приложения подвергают опасности и того, кто их установил, и того, за кем они следят. Как такая программа передает установившему всю ту информацию, которую она собирает? Для начала она заливает ее на сервер, а там уже установивший может посмотреть, что же именно удалось собрать с устройства. То есть, скажем, если вы решили проследить за сотрудником, которого подозреваете в нечестной игре, то на этот сервер попадут входящие и исходящие письма со всеми конфиденциальными документами и подробностями о проектах, в том числе те, которые этому сотруднику написали вы. Если вы интересуетесь секретами своей пассии, то и ваши любовные сообщения тоже окажутся в досье.

Казалось бы, что в этом плохого, если данные на сервере видны только вам? Проблема в том, что, скорее всего, доступ к ним есть не только у вас. Почти наверняка их видит еще и разработчик приложения — это в лучшем случае. В худшем по небрежности этого самого разработчика они могут попасть в руки злоумышленников или вовсе в открытый доступ.

Например, в августе исследователю под псевдонимом L. M. удалось обнаружить уязвимость в Android-приложении TheTruthSpy, которое, по сути, передавало логин и пароль без шифрования. Воспользовавшись ею, он извлек фотографии, аудиозаписи, сообщения и данные о местоположении с 10 тысяч устройств, за которыми велась слежка.

В марте другой исследователь, Сиан Хисли (Cian Heasley), нашел в открытом доступе целый сервер компании MobiiSpy, на котором хранилось более 95 тысяч фотографий, в том числе интимных, и более 25 тысяч аудиозаписей. Хостинг-провайдер Codero, у которого был размещен сайт MobiiSpy, отреагировал на инцидент, заблокировав ресурс.

Всего, по данным издания Motherboard, за последние два года утечки произошли из сервисов 12 разработчиков stalkerware. То есть, поставив такое приложение кому-либо, вы почти наверняка подвергаете опасности и его, и себя.

Stalkerware — дыра в защите устройства

Сам по себе процесс установки шпионских приложений тоже небезопасен. Во-первых, большинство из них не соответствует политикам официальных магазинов вроде Google Play, поэтому там вы их не найдете. А значит, в случае Android для них придется разрешить на устройстве установку приложений из сторонних источников. Это же, в свою очередь, открывает двери и многочисленным зловредам.

Во-вторых, stalkerware часто требует множества прав в системе, вплоть до root-доступа, который дает такой программе полный контроль над гаджетом. В том числе позволяет устанавливать любые другие программы по своему выбору.

Кроме того, некоторые приложения для слежки требуют отключить защитные решения или даже сами от них избавляются, если им уже дали необходимые полномочия.

Собственно, все эти особенности отличают stakerware от программ родительского контроля. Они не пытаются себя скрыть на устройстве, их вполне можно найти в официальных магазинах, они не требуют отключать антивирусы – и потому не угрожают пользователям.

Как защититься от легальных шпионских программ

Как видите, прежде чем устанавливать на устройство своих близких stalkerware, следует трижды подумать. А чтобы никто незаметно не подбросил такой «подарок» вам, следуйте нашим советам.

  • Защищайте свои устройства надежным паролем и никому его не сообщайте. Даже близким.
  • Запретите установку приложений из сторонних источников. Это защитит вас не только от stalkerware, но и от полноценных зловредов.
  • Регулярно проверяйте, какие приложения установлены на вашем телефоне, и удаляйте ненужные. Заодно освободите лишнее место в памяти и уменьшите потребление трафика.
  • Используйте надежное защитное решение: хотя stalkerware считается законным и не определяется как вредоносная программа, многие антивирусы его обнаруживают и информируют о нем пользователей. Только называют его not-a-virus, потому как формально этот софт нельзя считать зловердным. Поэтому не игнорируйте угрозы этого класса.
  • Если вы пользуетесь Kaspersky Internet Security для Android, то вам не придется разбираться в классах и названиях угроз. Мы считаем, что называть скрытое шпионское ПО «не-вирусом» как-то неправильно – люди могут не понять, какую угрозу оно представляет. Поэтому мы разработали новую функцию Privacy Alert, которая прицельно предупредит вас о слежке и расскажет о том, чем она опасна. Выглядеть это будет вот так:
Категории: Новости вендоров

Страницы