Брайан Кребс получил посылку от российских хакеров

Брайан Кребс получил посылку от российских хакеров

Известный журналист и блогер, специализирующийся на ИБ-тематике, Брайан Кребс продолжает страдать от своих «фанатов» — хакеров, которым Брайан надоел своими разоблачениями. Они уже присылали к нему на дом отряд спецназа, брали кредит на $20 тыс. на его имя, перечислили $1000 на его счет Paypal с украденной платежной карты. Авторы вредоносного ПО упоминают Брайана Кребса даже в коде своих программ.

Сейчас хакеры подготовили Кребсу новую «подставу». На одном из русскоязычных форумов объявили сбор средств (в биткоинах) для покупки 1 грамма героина в магазине Silk Road — и отправки Брайану Кребсу по почте. Идея была в том, что перед получением посылки кто-нибудь позвонит в местное отделение полиции и предупредит их о наркозависимости Кребса и о том, что ему опять по почте пришли наркотики.

Действиями руководил русскоязычный пользователь под ником Flycracker, известный также как MUXACC1, судя по твиттеру, читатель журнала «Хакер».

Операция прошла вполне успешно: удалось собрать больше двух биткоинов, 12 пакетиков с порошком (10+2 бонусных) было заказано по цене 1,6532 BTC и отправлено Брайану. К сожалению для авторов затеи, праздника не получилось — как выяснилось, Брайан Кребс заранее установил наблюдение за этим русскоязычным форумом и отслеживал всю операцию от начала и до конца. Он заблаговременно предупредил ФБР и полицию о том, что ему собираются прислать героин по почте.

В понедельник 29 июля посылка пришла адресату. Пакетики были грамотно спрятаны в конверте с глянцевым журналом Chicago Tribune, приклеенные к обратной стороне. Брайан Кребс немедленно надел респиратор, резиновые перчатки — и вскрыл один из пакетиков. Распознать содержимое ему не удалось. Он вызвал полицию, которая вскоре приехала и конфисковала посылку. У них не оказалось с собой прибора для определения героина: такой прибор один на весь участок — и его забрала другая группа на задание, так что содержимое пакетов проверят позднее.

Как всегда, Брайан Кребс оказался на шаг впереди своих врагов.

Найден способ создать ПО, устойчивое к реверс-инжинирингу

Найден способ создать ПО, устойчивое к реверс-инжинирингу

Команда исследователей Калифорнийского университета в Лос-Анджелесе под руководством профессора компьютерных наук Амита Сахая (Amit Sahai) разработали метод шифрования кода программного обеспечения, устойчивого к реверс-инжинирингу.

Ранее любые техники обфускации кода лишь отодвигали процесс дизассемблирования приложения, и восстановление алгоритмов работы приложения было лишь делом времени. Новая система создает «железную стену», которая делает невозможным дизассемблирование кода без решения математических проблем. Этот процесс по словам исследователей может занять сотни лет с использованием современных компьютеров.

«Настоящий вызов и большая тайна этого области – возможность создать и зашифровать приложение таким образом, чтобы оно при этом запускалось и выполняло все свои функции», — сообщил Сахай.

Метод, используемый учеными получил название «полилинейный пазл» и положил начало еще одному прорыву в области криптографии — функциональному шифрованию.

Исследователи полагают, что их метод позволит защитить корпоративные секреты, не позволит более искать уязвимости путем дизассемблирования патчей и защитит интеллектуальную собственность разработчика. К сожалению, этим методом могут также воспользоваться вирусописатели. Подобное решение сильно усложнит исследования антивирусных лабораторий и сделает вредоносный код устойчивым к обнаружению. С другой стороны, успешное использование обфускации кода вирусописателями заставит антивирусные компании отказаться от давно устаревшего подхода к обнаружению вирусов по сигнатурам кода и более активно развивать и внедрять эвристику.

Помимо Амита Сахая исследование проводили также Генри Самуэли (Henry Samueli), Санджам Гарг (Sanjam Garg), Крейг Джентри (Craig Gentry), Шай Халей (Shai Halevi), Марианна Райкова (Mariana Raykova), а также Брент Вотерс (Brent Waters).

Россияне обнаружили критически опасную уязвимость в SAP Router

Россияне обнаружили критически опасную уязвимость в SAP Router

Александр Панасенко

Впервые в истории крупнейшей в мире конференции по ИБ Black Hat 2013 уязвимость, найденная российскими исследователями, была номинирована на звание лучшей уязвимости серверной части программного обеспечения 2013 года.

Критическая уязвимость, найденная исследователем компании Digital Security Григорием Носенко, связана с переполнением буфера в SAP-роутере и позволяет любому атакующему из Интернет получить полный доступ к системе и ко внутренним серверам SAP-систем большинства организаций. Это первая и пока единственная уязвимость такого уровня критичности, обнаруженная в SAP-роутере. Данное приложение долгое время было практически неуязвимым, пишет cybersecurity.ru.

С учетом того, что SAP-роутер используется огромным количеством корпоративных клиентов SAP и предназначен для получения удаленного доступа через Интернет ко внутренним SAP-системам, эта уязвимость является особо опасной. Именно поэтому корпорация SAP, получив информацию о ней, оперативно ее устранила, выпустив соответствующее обновление и своевременно уведомив об этом своих клиентов в мае 2013 года.

Компания Digital Security рекомендует устранить данную уязвимость в кратчайшие сроки. Более подробные детали будут опубликованы в августе вместе с ежегодным исследованием безопасности SAP. Digital Security является официальным сервис-партнером SAP AG, а также разработчиком продукта ERPScan Security Monitoring Suite.

ESET: популярность TOR-ботнетов стремительно растет

ESET: популярность TOR-ботнетов стремительно растет

В последнее время компании по безопасности и законодательные органы стран мира объединяют усилия для борьбы с ботнетами, поэтому киберпреступники ищут новые методы создания ботсетей. Одним из популярных способов является децентрализация коммуникационной инфраструктуры и превращение ее в пиринговую сеть. Другой метод заключается в сокрытии C&C-серверов в TOR-сетях.

Киберпреступники успешно используют TOR для того, чтобы скрыть C&C-серверы ботнетов от обнаружения. Удачный пример недавно обнаружили исследователи компании ESET. Эксперты провели анализ двух TOR-ботнетов. Для создания первого из них злоумышленники воспользовались старой разновидностью трояна, которая только недавно получила возможность использовать протокол TOR для соединения с C&C-серверами внутри TOR-сети.

Второй ботнет немного интереснее и новее (он был создан в начале июля нынешнего года). Троянское ПО Atrax, используемое в качестве бэкдора, похищает информацию, загружает прикрепленные файлы, плагины и вредоносные программы, а также устанавливает клиент TOR на целевые системы.

По словам экспертов, при первом соединении с C&C-сервером Atrax отправляет собранную информацию об инфицированном компьютере на адрес внутри TOR-сети. При этом невозможно определить настоящий IP-адрес C&C-сервера или домен. Тем не менее, исследователям удалось проанализировать адреса, генерируемые внутри TOR-сети, и обнаружить панель для авторизации на C&C-серверах.

«Win32/Atrax.A является интересным примером TOR-ботнета с шифрованием AES для прикрепленных плагинов и уникальным ключом шифрования, в зависимости от аппаратного обеспечения зараженного компьютера», — сообщили эксперты, добавив, что продолжают мониторинг активности ботсети. По словам исследователей, в будущем следует ожидать появления еще большего количества TOR-ботнетов.

В Сколково утекли персональные данные учёных и чиновников

В Сколково утекли персональные данные учёных и чиновников

Александр Панасенко

Похоже, в России наметился серьёзный скандал с утечкой данных и проверка защиты секретной информации. Сайт фонда «Сколково» по ошибке в течение года публиковал персональные данные учёных, экспертов и чиновников. Депутат-единоросс Илья Костунов рассказал нам, что потребовал от руководства иннограда разобраться.

Причём не только по поводу персональных данных, но и более глобально — насколько российские проекты и разработки защищены от технического шпионажа других государств. Костунов говорит, что, например, в закрытой части сколковского сайта для внутренней работы выкладывают разные отчёты с детальными техническими подробностями. Взлом и утечка данных из этой базы могут обернуться для государства миллионными, если не миллиардными убытками, сообщает rbctv.rbc.ru.

Депутат ГД РФ Илья Костунов отмечает:

«Основная суть запроса, она у Вексельберга, которую отправил, — это просьба проинформировать, каким образом защищены данные о проектах, о заявках на проекты «Сколково» от российских учёных и изобретателей, которые хотят сотрудничать с фондом. И какие санкции предусмотрены в случае, если они результаты разработок, на которые до этого потратили годы школы учёных России. Государство выделило десятки миллионов рублей на их поддержку, если вдруг эти разработки утекут в «Майкрософт» или в какую-нибудь другую ведущую корпорацию».

Ну, после сигнала парламентария персональные данные с номерами, разумеется, оперативно убрали из сети. Сам файл доступен и сейчас, но в нём остались только имена и должности экспертов. А до этого, по сути, любой посетитель сайта, не регистрируясь, мог получить номера мобильных телефонов и информацию о служебных и личных авто членов открытого правительства. Фонд принёс им свои извинения, а сотрудник, поместивший файл на страницу, получил дисциплинарное взыскание.

Четверо россиян и один украинец осуществили крупнейший взлом в истории с помощью SQL-инъекций

Четверо россиян и один украинец осуществили крупнейший взлом в истории с помощью SQL-инъекций

Министерство юстиции США сообщает о крупнейшем взломе в истории, который удалось раскрыть правоохранительным органам. В федеральном суде Ньюарка (Нью-Джерси) предъявлено обвинение пяти хакерам, которые несут ответственность за кражу более 160 миллионов «дампов» платежных карт, что привело к ущербу в сотни миллионов долларов.

Жертвами взломов в 2005-2012 гг стали компании финансового сектора, банки и торговые сети, вот список пострадавших:

  • NASDAQ (взлом не отразился на торговой платформе);
  • Citibank;
  • PNC Bank;
  • 7-Eleven;
  • Carrefour;
  • JCPenney;
  • Hannaford;
  • Heartland Payment Systems;
  • Wet Seal;
  • Commidea;
  • Dexia;
  • JetBlue;
  • Dow Jones;
  • Euronet;
  • Visa Jordan;
  • Global Payment;
  • Diners Singapore;
  • Ingenicard.

Следователи объясняют, что за аферой стоят пять человек, у каждого из которых была специфическая роль в организации.

Владимир Дринкман, 32 года, Сыктывкар и Москва (Россия), и Александр Калинин, 26 лет, Санкт-Петербург (Россия), предположительно специализировались на проникновении в корпоративные сети и получении доступа к системам жертвы с помощью SQL-инъекций.

Роман Котов, 32 года, Москва, предположительно занимался майнингом сетей, которые вскрыли Дринкман и Калинин, для поиска ценных данных. Для этого на компьютерах внутри сети помещался бэкдор. Некоторые компьютерные сети жертв находились под контролем хакеров больше года.

Следствие выявило, что подсудимые скрывали свои действия с помощью анонимного веб-хостинга, который им обеспечил Михаил Рытиков, 26 лет, Одесса (Украина).

Дмитрий Смилянец, 29 лет, Москва, предположительно занимался продажей добытых кредиток и распределением заработанных денег. По данным следствия, он продавал дампы американских карточек по $10, канадских — по $15, а европейских — по $50, не считая оптовых скидок и скидок постоянным клиентам.

«Такой тип преступлений — это передовой рубеж, — прокомментировал главный прокурор США. — Те люди, у которых есть способности и склонности проникать в наши компьютерные сети, угрожают нашему экономическому благосостоянию, нашей приватности, нашей национальной безопасности».

Власти объясняют, что из-за украденных кредиток пострадали не только компании, перечисленные в списке выше, но и множество мелких торговцев, интернет-магазинов по всему миру.

Из пятерых обвиняемых трое пока остаются на свободе в России и Украине, а вот Дринкману и Смилянцу не повезло: их арестовали во время поездки в Нидерланды 28 июня 2012 года, второго уже экстрадировали в США.

Хакер взломал сайт Федеральной ассоциации юристов США

Хакер взломал сайт Федеральной ассоциации юристов США

Хакер, известный под ником Ag3nt47 утверждает, что ему удалось взломать официальный сайт отделения Федеральной ассоциации юристов США города Атланта (fedbaratlanta.org). В качестве доказательств хакер опубликовал некоторые данные пользователей сайта fedbaratlanta.org.

В открытый доступ попали имена администраторов, а также логины и пароли пользователей сайта.

Кроме того, Ag3nt47 выложил на сайте Pastebin имена, адреса, адреса электронной почты, пароли и другие данные, приблизительно, 85 человек.

Эксперты отмечают, что подтвердить или опровергнуть заявление Ag3nt47, основываясь лишь на опубликованных им данных, практически невозможно, но многие имена, содержащиеся в опубликованном хакером файле, действительно соответствуют именам членов отделения Федеральной ассоциации юристов США города Атланта (штат Джорджия).

Anonymous взломали сайты религиозного движения «Ходатаи за Америку»

Anonymous взломали сайты религиозного движения «Ходатаи за Америку»

Активисты хакерской группировки Anonymous утверждают, что им удалось взломать несколько сайтов религиозного движения «Ходатаи за Америку» (Intercessors for America), некоммерческой религиозной организации, основанной в 1973, в США.

В открытый доступ попали логины и пароли около 10000 интернет-пользователей, подписавшихся на рассылку на ifapray.org и getamericapraying.com.

Проанализировав опубликованные хакерами данные, эксперты Cyber War News обнаружили 9885 уникальных адресов электронной почты и незашифрованных паролей. По словам экспертов, хакеры, скорее всего, воспользовались одной из уязвимостей в CMS WordPress, на которой работают оба взломанных сайта.

Мотивы хакеров точно не известны, но всё указывает на то, что Anonymous не нравится тот факт, что данная религиозная организация сотрудничает с правительством США.

Уязвимость Android даёт возможность скрытно заражать приложения

Уязвимость Android даёт возможность скрытно заражать приложения

Александр Панасенко

Корпорация Symantec раскрывает информацию о новой уязвимости платформы Android, позволяющей злоумышленникам внедрять вредоносный код в легитимные приложения, не нарушая при этом их цифровую подпись. Теперь даже самые опытные пользователи не смогут однозначно сказать, заражено ли то или иное приложение.

Все Android-приложения должны иметь цифровую подпись, удостоверяющую неизменность кода разработчика. Помимо этого, в ОС Android используется система разрешений на уровне приложений, где для осуществления тех или иных операций приложение должно получить разрешение пользователя. Цифровая подпись подтверждает неизменность кода приложения и предоставленных ему прав.

Серьёзная уязвимость в ОС Android позволяет злоумышленникам спрятать вредоносный код внутри легитимных приложений и, используя предоставленные приложению права доступа, выполнять критически важные с точки зрения пользователя действия. Вся информация об этой уязвимости уже выложена в сеть, и воспользоваться ею очень просто.

Приёмы внедрения вредоносного кода в приложения уже какое-то время используются злоумышленниками. Однако до этого им приходилось менять и имя приложения, и издателя, а также подписывать заражённое приложение своей собственной цифровой подписью. Поэтому любой, кто внимательно приглядывался к программе, сразу мог заметить нелегитимность издателя. Теперь злоумышленникам нет нужды менять цифровую подпись – они могут заражать и использовать легитимные приложения, и при этом даже опытный пользователь не сможет однозначно сказать, что приложение было заражено.

Эксперты Symantec встроили технологию распознавания ситуаций использования данной уязвимости в систему Norton Mobile Insight, и, проверив более 4 000 000 приложений, пока ещё не выявили ни одного случая заражения. Однако было зафиксировано некоторое количество легитимных приложений, ведущих себя схожим образом. Это объясняется тем, что многие приложения создаются с помощью широко распространённых наборов инструментов, APK-файлы которых могут содержать данную уязвимость. К сожалению, 99% Android-устройств подвержены этой уязвимости, а подготовка и выпуск исправлений (если таковые вообще выпускаются), как правило, занимает у производителей некоторое время.

Пользователи Android-устройств могут защититься от заражённых приложений, использующих данную уязвимость, установив Norton Mobile Security, регулярные обновления которого обеспечивают надёжный уровень защиты от всех актуальных угроз.

Код драйвера exFAT похищен у Samsung и опубликован под GPL

Код драйвера exFAT похищен у Samsung и опубликован под GPL

На сайте gpl-violations.org появилась информация о том, что проект по созданию работающей на уровне ядра Linux реализации файловой системы exFAT, опубликованный на ресурсе в прошлом месяце, основан на коде, который на самом деле создан разработчиками Samsung.

Как оказалось, изначально драйвер был разработан Samsung для внутреннего использования, однако по ошибке был размещен на GitHub. Этим воспользовался неизвестный эксперт и клонировал код в свой репозиторий. Он адаптировал драйвер для работы с новыми версиями ядра Linux, стерев оттуда все упоминания оригинальной лицензии Samsung, и опубликовал его на Github под лицензией GPL. Более того, этот драйвер уже появился на Phoronix, как легитимный код.

Пользователь rxrz, опубликовавший код под лицензией GPL, не отрицает, что код разработан Samsung, однако на предложения остальных пользователей удалить его, реагирует в агрессивной форме: «Кто вы такой, чтобы предлагать что-либо? Вы Samsung? Или вы разработчик кода? Нет. Так что, предлагайте где-нибудь в другом месте».

«Это код проприетарного драйвера exFAT, разработанный Samsung Inc. и утекший в Сеть. Он работает, вы можете его использовать. Что еще вам нужно? Бумаги с подписями родителей о том, что вам можно его использовать? Я программист, а не юрист. Вот код, решайте сами, что с ним делать. … Samsung наплевать на этот модуль, они не потеряли деньги из-за его утечки. Если они попросят GitHub удалить этот репозиторий, то только для того, чтобы поддержать свой имидж среди толпы разработчиков XDA и зрелых пользователей Linux» — заявил rxrz, добавив, что опубликовал код под лицензией GPL только для того, чтобы сайты могли спокойно распространять его, не воспринимая как утечку.