Новости вендоров

Фишинг на криптовалютах: как воруют биткойны

Недавние безумные скачки курса Биткойна — а заодно и других криптовалют — сделали эту тему невероятно модной. Если еще какой-нибудь год назад о «крипте» знали только гики, то теперь о ней заговорили буквально все интернет-издания — и даже на радио и телевидении день не обходится без свежих сводок с криптобирж.

Разумеется, мошенники всех сортов тоже не остались в стороне. В том числе и те из них, которые промышляют фишингом — созданием поддельных сайтов, ворующих учетные данные у неосторожных пользователей.

Криптовалютный фишинг попроще

Наиболее простой вариант криптовалютного фишинга — старые добрые спам-рассылки электронных писем, якобы отправленных тем или иным веб-сервисом. В данном случае письма рассылаются от имени сайтов криптовалютных кошельков или бирж.

Подобные фальшивые сообщения выглядят заметно более детальными, аккуратно и умно написанными, чем фишинговые сообщения в среднем. Скажем, это может быть оповещение безопасности, в котором говорится о том, что недавно в ваш аккаунт кто-то пытался войти с такого-то адреса и такого-то браузера — пройдите по ссылке, чтобы проверить, все ли в порядке. Пользователь мог сам настроить получение подобных сообщений на сайте кошелька — и ничего неожиданного или тем более неправильного он не заприметит.
Или это может быть приглашение принять участие в опросе, посвященном тем или иным событиям в мире криптовалют — за что обещано не сказочно большое, но весьма щедрое вознаграждение (0,005 Биткойна по нынешнему курсу — порядка $50-70). Опять же: «пройдите по ссылке, чтобы начать опрос».
Разумеется, в итоге все сводится к тому, что жертву направят на поддельный сайт криптовалютного сервиса, на котором будет предложено ввести учетные данные кошелька. Наибольшей популярностью пользуется имитация сайта blockchain.info. Сайт самого популярного веб-кошелька Биткойн выглядит довольно просто, но в то же время узнаваемо — это помогает преступникам эффективно его подделывать.

Три разных фишинговых сайта, имитирующих blockchain.info

Вообще, хорошо чувствуется, что ставки высоки: угон кошелька хотя бы с парой десятых биткойна — это вам не кража какого-нибудь жалкого почтового аккаунта, которые на черном рынки продаются по 20 центов за мешок. Преступники видят быструю и прямую прибыль, поэтому вкладывают в создание фишинговых сообщений больше усилий, чем обычно — и сообщения получаются заметно более правдоподобными.

Криптовалютный фишинг с выдумкой

Недавно обнаружилась более замысловатая фишинговая схема, напрямую связанная с криптовалютами, а также с некоторыми, скажем так, интересными особенностями интерфейса и принципа работы Facebook. Вот как эта схема устроена.

  • Мошенники находят то или иное критовалютное сообщество и создают в Фейсбуке страницу с тем же названием, что и у официальной страницы сообщества, а также идентичным оформлением. Адрес поддельной страницы очень похож на адрес настоящей — отличается он всего на одну букву. Это не так просто углядеть, ведь в Facebook названия организаций и имена людей (которые можно сделать любыми) всегда отображаются гораздо крупнее и заметнее, чем реальные адреса.

Настоящая страница Waves Platform в Facebook и поддельная

  • После этого мошенники рассылают фишинговые сообщения членам настоящего сообщества от имени поддельной страницы. Личные сообщения для этого по ряду причин не годятся (например потому, что их нельзя отправить пользователю от имени страницы).
    Поэтому мошенники используют интересный трюк. Для того, чтобы обратиться к жертве адресно, они делятся ее фотографией профиля на своей странице и отмечают пользователя в этом посте.
    Хитрость в том, что фотография профиля всегда видна всем, а запретить, чтобы кто-то ею делился или чтобы вас отмечали в Facebook, нельзя. Поэтому этот прием сработает даже с теми, кто очень тщательно настроил приватность своего профиля. Единственная возможность хоть как-то защититься от подобных действий — отключить уведомления об отметках со стороны «левых» людей, страниц и сообществ.
  • Все самое интересное происходит в тексте того сообщения, в котором мошенники отмечают пользователя. Например, в сообщении пишется, что пользователь вошел в число 100 счастливчиков, которые за лояльность к данной криптоплатформе получают награду в 20.72327239 (да-да, именно такая точная цифра) единиц криптовалюты. И, само собой, ссылка, по которой можно получить причитающиеся монетки.
    Надо заметить, что сообщение содержит подробные условия получения награды (определенное количество транзакций на данной платформе), подкупающую точностью, не чрезмерно высокую, но вполне привлекательную сумму (20.72327239 монет из примера по текущему курсу — примерно $100-200) и вообще выглядит достаточно правдоподобно.

Еще несколько примеров сообщений от криптовалютных фишинговых страниц в Facebook

Как защититься от криптовалютного фишинга
  1. То, что в последнее время происходит на рынке криптовалют, очень похоже на аттракцион невиданной щедрости. Однако криптовалютные сервисы — не благотворительные организации, они не раздают деньги направо и налево. И если вам обещают криптовалюту на халяву — скорее всего, тут что-то нечисто.
  2. Всегда аккуратно проверяйте все ссылки. Лучше всего вообще не кликать по ссылкам из сообщений от интернет-сервисов — вместо этого вручную введите адрес нужного сервиса в адресную строку браузера.
  3. Для того, чтобы избегать мошеннических схем в Facebook, аккуратно настройте приватность. Как это сделать, написано вот в этом посте. Также полезно настроить уведомления в Facebook — про это у нас тоже есть пост.
  4. Используйте антивирус, в котором есть специальная защита от фишинга. Например, такая защита есть в нашем Kaspersky Internet Security.
Категории: Новости вендоров

Как противостоять кибератакам, использующим социальную инженерию

Microsoft - пт, 19/01/2018 - 12:35

Десять лет назад большинство кибератак начиналось с установки вредоносного ПО или c комплекса сложных действий, направленных непосредственно на инфраструктуру компании. Но сегодня все изменилось, и злоумышленники чаще всего используют фишинговые рассылки для кражи учетных данных.   Рис. 1. Поиск лазеек в инфраструктуре Переход на цифровые технологии происходит повсеместно, и от … Read more »

Запись Как противостоять кибератакам, использующим социальную инженерию впервые появилась Новости.

Категории: Новости вендоров

Выявлен — не значит обезврежен

Новости об уязвимостях появляются чуть ли не каждый день. Их долго и шумно обсуждают в интернете, разработчики выпускают заплатки, а потом все успокаиваются. И может сложиться впечатление, что все в порядке, проблема решена. Но на самом деле это не так: далеко не все администраторы устанавливают обновления, ну и тем более не все делают это вовремя, то есть максимально быстро. Особенно когда речь идет о программном обеспечении, работающем на сетевом оборудовании: для его обновления зачастую приходится прилагать много усилий.

Мотивация у системных администраторов, которые не ставят обновления, может быть разная. Некоторые не верят в то, что могут стать целью злоумышленников. Другие просто считают, что пока уязвимость теоретическая, волноваться не стоит.

В прошлом году в оборудовании Cisco было найдено несколько уязвимостей. Одна из них — возможность исполнения произвольного кода при эксплуатации ошибок в реализации протокола SNMP в операционных системах Cisco IOS и IOS XE (по номенклатуре Cisco — cisco-sa-20170629-snmp). Эксплуатируя эту уязвимость, злоумышленник потенциально может получить полный контроль над системой. Известно об этой проблеме с июля 2017 года, патч давно доступен (Cisco вообще оперативно закрывают уязвимости в своих продуктах), однако до сих пор она считается теоретической: попыток эксплуатации не выявлено.

Наш эксперт Артем Кондратенко проводил тест на проникновение и обнаружил маршрутизатор Cisco c дефолтной общей строкой SNMP (общая строка, или community string, — это что-то вроде пароля, позволяющего получить статистику от устройства по протоколу SNMP). Он решил проверить на практике, насколько эта уязвимость может быть опасной, и поставил себе цель получить через этот маршрутизатор доступ во внутреннюю сеть. К слову — случай не уникальный: согласно данным поисковика Shodan, в сети находится 3313 устройств этой модели с все той же дефолтной общей строкой.

Технические подробности мы опустим. Те, кто хочет ознакомиться с ними, могут посмотреть выступление Артема на Chaos Communications Congress. Важен финал. Он продемонстрировал, что при помощи этой уязвимости можно получить доступ к устройству с уровнем привилегий 15 (высшим в оболочке Cisco IOS). Да, случаев эксплуатации этой уязвимости злоумышленниками пока не выявлено, но это не значит, что о ней можно забыть.

В общей сложности, с момента обнаружения уязвимого устройства на то, чтобы доказать возможность эксплуатации, у Артема ушло четыре недели.

Чтобы быть уверенным, что ваше сетевое оборудование не станет первой жертвой, необходимо:

  1. Удостовериться что ваши маршрутизаторы обновлены.
  2. Следить за тем, чтобы в устройствах, имеющих выход во внешние сети, не использовалась дефолтная общая строка (а лучше вообще не использовать ее).
  3. Следить за датой конца срока службы вашего сетевого оборудования — после этого оно перестанет обслуживаться производителями и вряд ли получит обновления, закрывающие уязвимости, которые будут обнаружены после этой даты.
Категории: Новости вендоров

Microsoft проанализирует иммунную систему человека с помощью ИИ

Microsoft - чт, 18/01/2018 - 10:32

Microsoft совместно с компанией Adaptive Biotechnologies работают над созданием метода анализа крови, который поможет расшифровать иммунную систему человека, чтобы одновременно выявлять широкий спектр заболеваний на ранних стадиях, таких как рак, инфекции или аутоиммунные расстройства, а значит, начинать лечение своевременно. В будущем такой тест сможет стать универсальным методом обследования. Вся информация, … Read more »

Запись Microsoft проанализирует иммунную систему человека с помощью ИИ впервые появилась Новости.

Категории: Новости вендоров

ИИ от Microsoft научился читать и отвечать на вопросы по тексту как человек

Microsoft - ср, 17/01/2018 - 14:06

Это важная веха в развитии поисковых систем и интеллектуальных помощников, таких как Bing и Кортана. Исследовательская группа Microsoft Research Asia получила результаты, сравнимые с человеческими, используя набор данных SQuAD (Stanford Question Answering Dataset), разработанный специалистами из Стэнфордского университета. Этот набор данных для машинного чтения и понимания текстов содержит вопросы, основанные … Read more »

Запись ИИ от Microsoft научился читать и отвечать на вопросы по тексту как человек впервые появилась Новости.

Категории: Новости вендоров

Skygofree — мобильный шпион по-голливудски

Большинство троянов похожи друг на друга: пробравшись на устройства, они воруют платежные данные его владельца, добывают для злоумышленников криптовалюту или шифруют данные, чтобы потребовать выкуп. Но иногда встречаются экземпляры, чьи возможности заставляют вспомнить голливудские фильмы про шпионов.

Одним из таких кинематографичных троянов оказался недавно обнаруженный нами Android-зловред Skygofree (кстати, троян не имеет отношения к сервису Sky Go: зловреда назвали так по сочетанию букв в одном из использованных им доменов). У него полно разных функций, в том числе есть и уникальные, которые мы больше нигде не встречали. Например, он умеет отслеживать местоположение устройства и включать запись звука, когда владелец оказывается вблизи определенных координат. На практике это значит, что злоумышленники могут начать прослушивать окружение жертвы, скажем, когда она входит в офис или в гости к знакомому финансовому директору.

Еще один интересный прием, который освоил Skygofree, — втихую подключать зараженный смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве. Это позволяет собирать и анализировать трафик жертвы. Иными словами, кто-то будет точно знать, на какие сайты заходила жертва и какие логины, пароли и номера карт вводила.

Есть у зловреда и пара функций, облегчающая ему работу в режиме ожидания. Так, новейшая версия Android может автоматически останавливать неактивные процессы для экономии заряда батареи, но Skygofree обходит это, периодически отправляя системе уведомления. А на смартфонах одного из крупнейших производителей, которые при выключении экрана останавливают работу всех приложений, кроме избранных, Skygofree сам добавляет себя в список этих самых избранных.

Также зловред умеет следить за работой популярных приложений вроде Facebook Messenger, Skype, Viber, WhatsApp. Причем в последнем случае разработчики вновь проявили смекалку — троян читает переписку в WhatsApp через «Специальные возможности» (Accessibility Services). Мы уже рассказывали, как этот инструмент для пользователей со слабым зрением или слухом злоумышленники могут использовать, чтобы контролировать зараженное устройство. Это своеобразный «цифровой глаз», который считывает то, что выводится на экран,— в случае Skygofree он собирает текстовые сообщения из WhatsApp. Использовать Accessibility Services можно только с разрешения пользователя, но зловред прячет запрос на это разрешение за каким-нибудь другим, внешне безобидным запросом.

Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство, и можно только гадать, как преступники будут использовать эти фото.

Впрочем, банальными функциями авторы инновационного трояна тоже не побрезговали: перехватывать звонки, смс, записи календаря и прочие данные пользователя Skygofree тоже умеет.

Персональный шпион вместо быстрого Интернета

Обнаружили Skygofree недавно, в конце 2017 года, однако, если судить по результатам анализа, злоумышленники используют его еще с 2014-го и постоянно совершенствуют. За три года из простенького зловреда он вырос до многофункционального шпионского инструмента.

Зловред распространяется через Интернет, используя поддельные сайты сотовых операторов. На них злоумышленники предлагают установить Skygofree под видом обновления, которое повысит скорость мобильного доступа к Интернету. Если посетитель попадается на удочку и скачивает себе заразу, троян показывает уведомление о якобы начавшейся настройке, прячется от пользователя и запрашивает с командного сервера дальнейшие инструкции. В зависимости от ответа он может скачивать самую разную полезную нагрузку — злоумышленники предусмотрели решения практически на все случаи жизни.

Предупрежден — значит вооружен

Пока что наша облачная служба безопасности зафиксировала всего несколько заражений, причем все — в Италии. Однако это не значит, что российским пользователям можно расслабиться: преступники могут в любой момент сменить целевую аудиторию зловреда. Хорошая новость в том, что защититься от самого продвинутого трояна можно так же, как от любой другой заразы:

  1. Устанавливайте приложения только из официальных магазинов. И лучше вообще запретите в настройках смартфона установку приложений из сторонних источников.
  2. Сомневаетесь — не качайте. Обращайте внимание на ошибки в названии приложений, малое число скачиваний и запрос подозрительных разрешений.
  3. Установите надежное защитное решение, например Kaspersky Internet Security для Android. Это защитит ваш аппарат от большинства зловредных приложений и файлов, подозрительных веб-сайтов и опасных ссылок. Проверку в бесплатной версии надо запускать вручную, а в платной она запускается автоматически.
  1. Бизнес-пользователям мы рекомендуем защищать телефоны и планшеты, которые сотрудники используют на работе, при помощи Kaspersky Security for Mobile, одного из компонентов Kaspersky Endpoint Security для бизнеса.
Категории: Новости вендоров

15 – 21 января: новые игры для Xbox

Microsoft - вт, 16/01/2018 - 12:20

С 15 по 21 января пользователей Xbox One ждёт много интересных проектов, включая атмосферную приключенческую игру InnerSpace, мистический детектив The Vanishing of Ethan Carter и Mutant Football League, которая будет представлена в рамках программы Xbox Game Preview. InnerSpace Издатель: Aspyr Media Дата выхода: 16 января 2018 Исследуйте на самолёте необычный … Read more »

Запись 15 – 21 января: новые игры для Xbox впервые появилась Новости.

Категории: Новости вендоров

Улучшенная версия Forza Horizon 3 для Xbox One X доступна с 15 января

Microsoft - пн, 15/01/2018 - 19:43

С 2016 года миллионы пользователей Xbox One и Windows 10 исследуют мир Forza Horizon 3 — самой высокооцененной эксклюзивной игры на Xbox One. Команда Xbox рада сообщить, что сегодня выходит бесплатное обновление Forza Horizon 3, которое позволит игре использовать все возможности Xbox One X. Улучшенная версия Forza Horizon 3 разработана … Read more »

Запись Улучшенная версия Forza Horizon 3 для Xbox One X доступна с 15 января впервые появилась Новости.

Категории: Новости вендоров

Стартовал конкурс студенческих проектов по ИИ, MR и Big Data Imagine Cup 2018

Microsoft - пн, 15/01/2018 - 15:29

Первый отборочный этап одного из самых престижных студенческих соревнований в сфере высоких технологий Imagine Cup 2018 стартовал. Международный конкурс при поддержке компании Microsoft пройдет в 16-й раз, за все время существования в нем приняли участие более 400 тыс. человек. Команды из России успешно выступают на турнире и практически каждый год занимают … Read more »

Запись Стартовал конкурс студенческих проектов по ИИ, MR и Big Data Imagine Cup 2018 впервые появилась Новости.

Категории: Новости вендоров

HTTPS не значит «безопасность»

Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!

Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.

Безопасное соединение не значит безопасный сайт

Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».

Шифрование – это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица – провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.

Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.

Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.

Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.

А что если замочек не зеленый?

В целом бывает еще два варианта. Если замочка нет вообще – это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» – просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит – их может кто-нибудь подсмотреть.

Второй вариант – перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант – обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.

Что нужно помнить, чтобы не попасться на удочку

Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.

Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.

  • Никогда не вводите ваши логины, пароли, банковские и другие личные данные на сайте, пока окончательно не удостоверитесь в его подлинности. Для этого всегда проверяйте доменное имя (обязательно очень внимательно, имя сайта мошенников может отличаться всего на один символ!) и переходите только по надежным ссылкам.
  • Всегда спрашивайте себя, зачем вам регистрация на том или ином сайте, что он предлагает, не выглядит ли подозрительно.
  • Не забывайте о хорошей защите своих устройств: Kaspersky Internet Security сверит адрес страницы с теми, что хранятся в обширной базе данных фишинговых сайтов, и обнаружит мошенников независимо от того, насколько «надежным» выглядит ресурс.
Категории: Новости вендоров

Что не так с зарядками для электрокаров

За последние пять лет электромобили проделали огромный путь: из непрактичной футуристической диковины они превратились в то, чем люди жаждут обладать. Благодаря существенному снижению цены количество проданных электрокаров к началу 2017 года достигло 2 миллионов и продолжает расти. Инфраструктура для их обслуживания тоже быстро развивается, и зарядная станция по соседству уже не кажется такой уж экзотикой.

Однако, как это часто случается с быстро развивающимися новыми экономическими направлениями, производители включаются в конкурентную борьбу, пытаясь захватить как можно большую долю рынка, и не слишком задумываются, что будет потом. Мы, понятное дело, говорим о весьма конкретном аспекте — о безопасности. Не физической — устройство вряд ли ударит вас током, а о кибербезопасности. Основная концепция зарядных станций — «плати и заряжай» — пока реализуется без должного внимания к защите персональных данных и денег клиента. Исследователь Матиас Дальхаймер (Mathias Dalheimer) поднял эту тему на тридцать четвертом конгрессе хакеров Chaos Communication Congress в своем докладе об уязвимостях инфраструктуры для электромобилей.

Как происходит зарядка электрокара

По мере того как растет количество электромобилей, увеличивается и число зарядных станций. Компании, которые ими владеют, получают плату за предоставленную ими электроэнергию. Для таких операций необходима система расчетов – и она, конечно же, есть. Так что перед тем как начать зарядку автомобиля, вы должны идентифицировать себя. Для этого используется бесконтактная NFC-карта, привязанная к вашей учетной записи.

Для расчетов за зарядку электромобилей обычно используется протокол Open Charge Point Protocol, который обеспечивает связь между системой управления расчетами и зарядной станцией. Зарядная станция отправляет системе расчетов запрос, указывая в нем ваши идентификационные данные. Система управления расчетами одобряет запрос и сообщает об этом зарядной станции — и после этого вы можете начать зарядку. Потом зарядная станция определит, сколько электричества вы получили, и отправит эти данные системе расчетов, чтобы включить их в счет, который будет выставлен вам в конце месяца.

Вроде ничего нового или особенного в этом нет. А теперь давайте присмотримся и поймем, где здесь слабые места.

Проблемы, кругом одни проблемы

Дальхаймер протестировал различные компоненты этой системы и обнаружил проблемы с безопасностью в каждом из них. Начнем с идентификационных карт. Они предоставляются сторонними поставщиками и — сюрприз! — большинство из них не обеспечивает защиты ваших данных. Это очень простые NFC-карты, которые не шифруют ни ваш идентификационный код (а ничего другого для идентификации и не требуется), ни какие-либо другие данные, которые на них содержатся. Однако этим проблемы с картами не ограничиваются. Такие карты очень легко программируются: чтобы продемонстрировать это, Матиас создал копию собственной карты и успешно зарядил автомобиль с ее помощью. Человек, которому захочется бесплатно заряжать электромобиль, легко может сделать себе множество карт с разными номерами счетов в надежде, что какой-то из них окажется действующим. (Матиас не пробовал это сделать — по этическим соображениям.)

Поскольку поставщики услуг зарядки выставляют счета только раз в месяц, при таком взломе владелец ничего не заметит, пока не получит очередной счет.

Еще одно слабое место процедуры оплаты: большинство станций используют протокол OCPP в уже относительно старой версии 2012 года, которая основана на HTTP. (Все мы знаем, что не так с HTTP — этот протокол не использует шифрование.) Матиас продемонстрировал, как легко можно организовать атаку типа «человек посередине» с перенаправлением транзакции.

Более того, обе станции, которые Матиас использовал для своих тестов, были оборудованы USB-портами. Подключите к такому порту пустую флешку — и на нее скопируются логи и параметры конфигурации. Из таких данных легко можно извлечь логин и пароль для сервера OCPP, а также номера идентификаторов предыдущих пользователей — а это, как мы помним, все, что требуется, чтобы создать рабочую копию идентификационных карт этих пользователей.

Хуже того: если данные на флешке изменить, а затем снова вставить ее в станцию зарядки, последняя автоматически обновит свою прошивку, приняв записанное на флешке за новую конфигурацию. Это открывает для хакеров целый ряд дополнительных возможностей.

Подводим итог. Получается, что преступники могут: получать номера идентификационных карт; создавать фальшивые копии этих карт и использовать их для транзакций (платить за которые придется настоящим владельцам счетов); перенаправлять запросы на зарядку, что позволяет, по сути, полностью вывести из строя станцию; получать доступ к станции с полномочиями суперпользователя и дальше творить с ней что угодно. И все это лишь потому, что поставщики не стали принимать меры для обеспечения безопасности.

Категории: Новости вендоров

Как обновления для борьбы с уязвимостями Spectre и Meltdown влияют на производительность систем Windows

Microsoft - ср, 10/01/2018 - 21:25

На прошлой неделе технологическая индустрия и многие наши пользователи узнали о новых уязвимостях в процессорах смартфонов, компьютеров и серверов. Нам (как и другим представителям отрасли) сообщили об этой уязвимости на условиях конфиденциальности несколько месяцев назад, и мы сразу же приступили к разработке решений устранения уязвимостей, а также к обновлению нашей … Read more »

Запись Как обновления для борьбы с уязвимостями Spectre и Meltdown влияют на производительность систем Windows впервые появилась Новости.

Категории: Новости вендоров

Две серьезные уязвимости в процессорах Intel

В чипах Intel обнаружены две серьезные уязвимости, каждую из которых злоумышленники могут использовать, чтобы получить конфиденциальную информацию из приложений за счет доступа к оперативной памяти. Первая из них, Meltdown, позволяет преодолеть границу между пользовательскими приложениями и частями операционной системы, содержащими конфиденциальные данные. С помощью второй, Spectre, обнаруженной также в чипах AMD и ARM, злоумышленники могут заставить уязвимое приложение передать им содержимое памяти.

Обычно установленные на устройстве приложения выполняются в «пользовательском режиме» и не имеют доступа к критически важным разделам операционной системы. Если приложению требуется доступ к таким областям — например, к диску, на котором оно размещено, сети или процессору, — оно должно запрашивать разрешение на использование «защищенного режима». Эксплуатируя уязвимость Meltdown, злоумышленник может использовать защищенный режим и получить доступ к оперативной памяти, не запрашивая такого разрешения. Это позволяет, например, похитить данные из памяти других запущенных приложений — менеджеров паролей, браузеров и почтовых программ, а также фотографии и документы.

Иными словами, Meltdown позволяет считать любые данные из памяти устройства. Это могут быть пароли, ключи шифрования, имена пользователей, данные кредитных карт и многое другое. Уязвимость Spectre, в свою очередь, позволяет считывать данные только из памяти  уязвимого приложения. Например, если вы заходите на веб-сайт, код JavaScript на этом сайте может считать имена пользователя и пароли из памяти вашего браузера.

Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP

— Michael Schwarz (@misc0110) January 4, 2018

Meltdown и Spectre — это аппаратные, а не программные уязвимости, так что исправить их весьма непросто. Патчи, закрывающие Meltdown, уже выпущены для Linux, Windows и MacOS. Защита от уязвимости Spectre еще только разрабатывается. Подробнее об обеих уязвимостях можно прочитать здесь.

Пока самое главное – установить новейшие обновления безопасности для системы, как только они станут доступны. Впрочем, это важно всегда. Корпоративным пользователям мы также рекомендуем свериться с рекомендациями Microsoft (Windows Client Guidance и Windows Server guidance). Злоумышленники начнут использовать Meltdown и Spectre в самое ближайшее время — образец кода для эксплуатации уязвимостей уже опубликован. Важно успеть защититься до этого.

Совместимость продуктов «Лаборатории Касперского» с обновлением безопасности для Windows

Разработчики операционных систем постарались как можно скорее выпустить патч, защищающий от эксплуатации Meltdown, и уже 3 января Microsoft опубликовала обновления безопасности для Windows. Однако они оказались не совместимы со многими защитными решениями. В результате часть функций таких решений переставала корректно работать либо операционная система и вовсе зависала или перезагружалась.

Хорошие новости: как корпоративные, так и домашние защитные решения «Лаборатории Касперского» полностью совместимы с этими обновлениями. Microsoft отправляет обновление на устройство, только если операционная система дает знать, что готова к его установке. Со своей стороны, мы включили метку о готовности в обновления антивирусных баз, выпущенные еще 28 декабря 2017 года. Если у вас установлены актуальные антивирусные базы данных, ваш компьютер готов получить обновление Windows, которое устраняет уязвимость Meltdown. Если вы еще не получили его, оно скоро появится — и мы настоятельно рекомендуем установить его как можно скорее.

Категории: Новости вендоров

Робот-пылесос Xiaomi Mi Robot взломали

Дыры в интернете вещей стали обычным пугалом нашего времени, но даже страшные сказки иногда заканчиваются хорошо. Вот вам свежий пример: экспертам по информационной безопасности Деннис Гизе (Dennis Giese) и Дэниэл Вегемер (Daniel Wegemer) удалось взломать робот-пылесос Xiaomi Mi Robot — однако в процессе исследования выяснилось, что он намного безопаснее большинства смарт-устройств.

В своем выступлении на Chaos Communication Congress 34, который недавно прошел в Лейпциге, исследователи рассказали о том, как устроено программное обеспечение пылесоса и о том, какими уязвимостями они воспользовались для того, чтобы преодолеть его защиту.

Аппаратный взлом пылесоса Mi Robot с помощью фольги

Началось все с того, что Гизе и Вегемер с удивлением обнаружили, что начинка робота-пылесоса Xiaomi мощнее, чем у многих смартфонов: в него встроено целых три; процессора ARM, один из них четырехъядерный. Уже интригует, не так ли? Для разогрева Гизе и Вегемер попробовали несколько очевидных способов атаки.

Первым делом они проверили, можно ли использовать для взлома пылесоса порт micro-USB. Оказалось, что нельзя: разработчики Xiaomi защитили подключение аутентификацией. Затем исследователи полностью разобрали Mi Robot и попытались найти последовательный порт на материнской плате — но эта затея тоже оказалась неудачной.

Следующую попытку взлома эксперты предприняли через сеть. Они просканировали сетевые порты устройства, но все оказались закрыты. Перехват трафика тоже ни к чему не привел — выяснилось, что обмен данными пылесоса с внешним миром полностью зашифрован.

Лично я был впечатлен таким вступлением: уже на этой стадии большинство других IoT-устройств удалось бы взломать. Их производители редко дают себе труд предусмотреть такие меры безопасности. Наше недавнее исследование наглядно продемонстрировало, насколько плачевно обстоят дела с защитой большинства подключенных устройств.

Но вернемся к Xiaomi Mi Robot. Следующая попытка заключалась в атаке на аппаратную часть пылесоса. Тут наконец-то исследователям улыбнулась удача — замкнув фольгой «правильные» контакты процессора, им удалось перевести чип в специальный режим, разрешающий не только чтение, но даже запись флеш-памяти напрямую через USB-порт.

Таким образом Гизе и Вегемер смогли извлечь прошивку Mi Robot, провести ее реверс-инжиниринг и модификацию, а потом загрузить результат своих трудов обратно в робот-пылесос — и таким образом получить полный контроль над устройством.

Беспроводной взлом пылесоса Mi Robot

Но вскрытие корпуса и манипуляции с железом — это не круто, всегда гораздо интереснее, когда хакнуть удается «без проникновения». После реверс-инжиниринга прошивки исследователи нашли способ взломать пылесос просто через Wi-Fi, воспользовавшись недоработками в механизме обновления.

Вообще говоря, процедура обновления прошивки реализована Xiaomi весьма грамотно: зашифрованный архив со свежей прошивкой загружается через зашифрованное подключение после получения зашифрованного же сообщения с командой обновиться.

Однако кое-что реализовано не идеально. Во-первых, оказалось, что эти архивы с обновлениями Xiaomi защищены одним и тем же статичным паролем: rockrobo (никогда не пользуйтесь настолько слабыми паролями). Зная это, исследователи подготовили зашифрованный нужным образом пакет с собственной модифицированной прошивкой.

Вторая ошибка разработчиков состояла в том, что команду обновить ПО пылесосу можно отправить со смартфона, для этого используется встроенный в приложение Xiaomi ключ. Оставалось извлечь этот ключ из приложения и после этого исследователи получили возможность отправить пылесосу команду на загрузку и установку обновления — но не из облака Xiaomi, а с их собственного сервера. Вот так был найден еще один способ взлома устройства, на этот раз беспроводной.

Прошивка Mi Robot изнутри

Изучая прошивку, Гизе и Вегемер узнали ряд интересных фактов о смарт-устройствах Xiaomi. Во-первых, прошивка Mi Robot представляет собой операционную систему Ubuntu Linux — причем все патчи устанавливаются регулярно и оперативно. Во-вторых, компания применяет уникальные пароли суперпользователя на каждом устройстве, а значит, не существует единого пароля, которым можно одним махом взломать целую армию роботов-пылесосов. И в-третьих, система оснащена сетевым экраном, который блокирует любые полезные для хакеров порты. Вновь снимаю шляпу перед Xiaomi: по стандартам IoT они реализовали на удивление хорошую защиту.

Однако в бочке меда не обошлось без ложки дегтя: обнаружилось, что Mi Robot собирает и отправляет в облако Xiaomi очень много данных — по несколько мегабайт в день. Причем наряду с относительно безобидной телеметрией пылесос передает названия и пароли сетей Wi-Fi, к которым подключается, а также схемы помещений, которые создает с помощью встроенного лидара.

Еще один неприятный момент: все собранные пылесосом данные навечно остаются в системе, даже после сброса до заводских настроек. Так что если кто-то купит подержанный робот-пылесос Xiaomi на eBay и сумеет его взломать (а после публикации исследования Гизе и Вегемера это будет не так сложно сделать), то сможет без проблем добраться до паролей предыдущих хозяев.

Стоит подчеркнуть, что оба способа атаки, найденные Гизе и Вегемером, позволяют им взломать только собственные устройства. Первый метод требует физического доступа к пылесосу. Для второго же необходимо раздобыть ключ шифрования, чтобы сформировать фальшивый запрос на обновление, — а эти ключи генерируются заново при каждом «спаривании» устройства с мобильным приложению, не повторяясь. Заполучить такой ключ без доступа к смартфону, подключенному к нужному вам устройству Xiaomi, очень непросто.

Так что создание ботнета Xiaomirai нам вряд ли грозит. Скорее, наоборот: исследование продемонстрировало, что Xiaomi намного серьезнее относится к безопасности, чем большинство производителей подключенных устройств. Как известно, взломать можно практически что угодно, но если система хорошо защищена, вряд ли злоумышленники будут тратить на нее время — обычно их привлекает легкая добыча.

Категории: Новости вендоров

Хранилище OneDrive – лидер Forrester Wave

Microsoft - сб, 06/01/2018 - 03:09

В декабре мы писали о публикации отчета Forrester Wave «Платформы синхронизации и совместного использования файлов на предприятии (EFSS) — облачные решения, IV кв. 2017 г.». В этом документе компания Forrester поместила Microsoft OneDrive в группу лидеров. Microsoft стала не только одной из ведущих компаний, но и лучшей по текущему предложению, а также разделила … Read more »

Запись Хранилище OneDrive – лидер Forrester Wave впервые появилась Новости.

Категории: Новости вендоров

Страницы