Глава АНБ не смог отрицать наличие программ слежения за членами Конгресса США

Глава АНБ не смог отрицать наличие программ слежения за членами Конгресса США

В прошлую пятницу, 3 января, сенатор США Берни Сандерс (Bernie Sanders)  задал  главе Агентства национальной безопасности Киту Александеру (Keith Alexander) вопрос, на который тот не смог ответить отрицательно: «Следило ли АНБ раньше и следит ли в настоящее время за Конгрессом или другими официальными лицами Америки, избранными гражданами?».

В тот же день Директор Национальной разведки (Director of National Intelligence, DNI) Джеймс Клеппер (James Clapper) заявил, что Суд по контролю за внешней разведкой США (Foreign Intelligence Surveillance Court, FISC) одобрил программу сбора данных АНБ. Данная программа заключается в том, что, если член Конгресса звонит кому-нибудь за границу, или отвечает на звонок из-за рубежа, эти метаданные будут сохранены и, возможно, проанализированы.

По мнению Сандерса, проблема между АНБ и общественностью состоит в точности определения терминов – ведомство отличает «сбор данных» от «шпионажа». Сенатор задал вопрос, включает ли в себя понятие «шпионаж» сбор метаданных о телефонных звонках чиновников, совершенных с их частных телефонов, просмотренном контенте на web-сайтах, отправленных письмах электронной почты и другой информации о третьих лицах, недоступной широкой общественности? Если да, то не этим ли занимается АНБ? Вряд ли ведомство сможет отрицать это. До настоящего времени оно просто обходило этот вопрос.

АНБ  заявило  изданию The Guardian, что «программы АНБ по сбору данных включают процедуры, защищающие приватность граждан США. Эта защита предусмотрена на протяжении всего процесса сбора информации. Члены Конгресса также подлежат защите конфиденциальности, как и остальные граждане США». Таким образом, АНБ не ответило на вопрос Сандерса, по крайней мере, не напрямую. Если члены Конгресса приравниваются ко всем остальным гражданам США, можно сделать вывод, что слежение за ними осуществляется. Только АНБ называет это «сбором данных», а сенатор – «шпионажем».

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

По данным Anti-Phishing Working Group (APWG) компании Websense, объем фишинга сократился на 1,12% по сравнению с прошлым годом и сейчас на фишинговые сообщения приходится не более 0,5% электронных писем. В 2013 г. существенно снизилось число крупных фишинговых атак, вероятно, за счет использования хакерами своих ресурсов для других видов деятельности, скажем DDoS.

В то же время фишинг становится более хитроумным и целевым, а это означает, что большая доля получателей открывает прикрепленные файлы или переходит по содержащимся в сообщениях ссылкам. Во многих случаях фишинговые сообщения рассылаются с легитимных доменов, что усложняет их детектирование с помощью репутационных технологий. Достаточно часто используются персонализованные сообщения, поддельные сообщения о невозможности доставки почты, приглашения присоединиться к соцсети LinkedIn, пр. До сих пор популярным у хакеров остается регистрирование поддельных доменов (название которых близко по написанию к доменам популярных брендов), которые затем используются для фишинга.

Лидером в рассылке фишинговых сообщений остается Китай, за ним следуют США, Германия, Великобритания, Канада, Россия, Франция, Гонконг, Нидерланды и Бразилия.

В Украине наблюдается рост финансовой киберпреступности

В Украине наблюдается рост финансовой киберпреступности

В 2013 году отмечается рост киберпреступлений с использованием систем дистанционного банковского обслуживания (ДБО) и мошенничества в интернете, сообщили в Независимой ассоциации банков Украины (НАБУ).
Сотрудник службы безопасности Альфа-Банка Сергей Досенко отмечает, что 2013-й год банки могут назвать годом кибертерроризма.

По данным Украинской межбанковской ассоциации членов платежных систем ЕМА, за январь-сентябрь 2013 г. было предпринято 257 попыток списания средств со счетов клиентов банков (их общая сумма 108,7 млн грн), в 2012 г. таких попыток было 179 (150,1 млн грн), в 2011 г. — всего шесть (14,9 млн грн).

По словам директора департамента противодействия кибермошенничеству МВД Украины Максима Литвинова, в нынешнем году правоохранительные органы зафиксировали 270 попыток взлома систем ДБО на сумму свыше 100 млн грн. Из зарегистрированных списаний на 67 млн грн получилось заблокировать и вернуть около 47 млн грн.

Руководитель проекта Противодействие кибермошенничеству НАБУ Татьяна Самсонюк отметила, что преступники используют низкий уровень осведомленности украинских граждан в вопросах безопасности и конфиденциальности информации.

Основными причинами утечки информации в большинстве случаев являются вирусы, констатируют в ЕМА. Программ, с помощью которых мошенники отбирают деньги у населения и банков, множество. Одни из таких вредоносителей — вирусы Gamker и Carberp, банковские трояны для кражи информации.

АНБ использует куки Google для идентификации пользователей

АНБ использует куки Google для идентификации пользователей

Газета The Washington Post опубликовала фрагменты нескольких секретных презентаций АНБ (pdf, зеркало). В них идет речь о разных методах аналитической работы АНБ. В частности, о технологии определения личностей граждан, которые сопровождают грузы на контейнеровозах, по данным с вышек сотовой связи. Упоминается об программе HAPPYFOOT, которая собирает и анализирует данные о координатах мобильных устройств.

Но самое интересное находится на странице, где говорится об эксплуатации для компьютерных сетей (CNE: computer-network exploitation). Там АНБ вкратце перечисляет методы взлома компьютерного оборудования.

АНБ признается в пассивном мониторинге интернет-трафика с автоматизацией, где это возможно. Элитное спецподразделение хакеров (TAO), которое осуществляет непосредственные взломы удаленных компьютеров, снабжается необходимой информацией для работы, в том числе идентификаторами WLLid и учетными данными для DSL-аккаунтов, куками, идентификаторами Google PREFID.

PREF — это следящие куки от компании Google. Они обычно не содержат имени пользователя, но содержат уникальные номера PREFID для идентификации пользователя на разных сайтах. Как видим, АНБ тоже извлекает пользу из идентификационных куков, чтобы проще фильтровать трафик конкретных людей в общем потоке. Аналитическая платформа Google Analytics и следящие куки Google используются на 60-65% популярных сайтов в интернете.

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Обнаружены новые угрозы, превращающие Android-смартфоны в следящие устройства с множеством ошибок. Так, по данным исследователей из компании Bitdefender, одна из угроз исходит от ПО под названием Widdit, которое используют разработчики более 1000 приложений. Widdit включает в себя загрузчик, который в момент установки требует огромное количество ненужных ему привилегий.

«Эти привилегии необязательно используются в наборе ПО разработчика (software development kit, SDK), однако эти запросы гарантируют, что в дальнейшем любой компонент, введенный в SDK, будет работать из коробки, — отметил эксперт компании Bitdefender Влад Бордиану в блоге. – Среди таких привилегий мы обнаружили разрешение на отключение экрана блокировки, запись аудио, а также доступ к истории браузера и закладкам».

Приложения, использующие Widdit, также могут исполнять специальный код при перезагрузке устройства, получать текстовые сообщения или совершать звонки в момент установки или удаления приложения. Помимо этого, Widdit использует незашифрованный HTTP-канал для загрузки обновлений, что, по мнению специалистов, позволяет злоумышленникам заменять легитимные обновления вредоносными файлами, а также осуществлять атаки человек-посередине.

Хакеры похитили пароли от 2 млн аккаунтов в Facebook и Twitter

Хакеры похитили пароли от 2 млн аккаунтов в Facebook и Twitter

Александр Панасенко

Сотрудники американской компании Trustwave, специализирующейся на кибербезопасности, обнаружили хакерский сервер, на котором хранились имена пользователей и пароли почти от 2 миллионов учетных записей в крупнейших социальных сетях мира.

По данным телеканала CNNMoney, специалисты Trustwave обнаружили сервер хакеров еще 24 ноября. Данные аккаунтов похищались при помощи вредоносной программы, которая устанавливалась на компьютеры пользователей соцсетей по всему миру. В результате в распоряжении киберпреступников оказались ключи от 318 тысяч учетных записей в Facebook, 70 тысяч аккаунтов Gmail и YouTube, 22 тысяч аккаунтов Twitter, а также 9 тысяч аккаунтов российской соцсети «Одноклассники», сообщает digit.ru.

«У нас нет свидетельств того, что они (хакеры) заходили в эти аккаунты, но, возможно, они делали это», — цитирует CNNMoney заявление одного из представителей Trustwave. По сообщению компании, ее сотрудники еще во вторник проинформировали о хищении паролей пострадавшие соцсети.

72% жертв финансовых атак в России не смогли вернуть похищенные средства

72% жертв финансовых атак в России не смогли вернуть похищенные средства

Александр Панасенко

Около 72% пользователей в России, потерявших деньги в результате деятельности кибермошенников, не смогли вернуть украденные средства. Таковы результаты исследования, проведенного «Лабораторией Касперского» совместно с аналитической компанией B2B International летом 2013 года*. По миру аналогичный показатель составил всего 27%.

В России чаще всего безвозвратно утерянными оказывались суммы, похищенные в результате SMS-мошенничества и «неудачных» покупок в Сети, например, когда пользователь оплатил товар на сайте интернет-аукциона, но не получил его – об этом сообщили 30% жертв. В 13% случаев деньги пользователей были украдены во время работы с платежными системами; еще 13% жертв – это клиенты онлайн-магазинов, а 7% пострадавших попрощались со своими средствами во время использования систем интернет-банкинга.

Даже если мошенникам удалось похитить деньги клиента платежной системы или покупателя интернет-магазина, вероятность их возврата остаётся. Однако, как показывают результаты исследования, процент таких случаев совсем небольшой. Только 17% жертв онлайн-мошенников смогли возместить похищенные деньги в полном объеме и еще 11% – лишь часть потерянной суммы. При этом российские банки реже возвращают своим клиентам деньги, украденные злоумышленниками (лишь в 4% случаев), чем, например, платежные системы или онлайн-магазины (7% случаев).

Доля «невозвратов» в мире намного ниже, чем в России. Пользователям за рубежом в 60% случаев удалось полностью вернуть свои средства, а в 13% – частично. Стоит отметить, что зарубежные банки полностью возместили похищенные деньги 15% клиентов, в России же только 3% получили такую компенсацию. При этом большое число российских пользователей уверены, что они находятся под защитой владельцев сервисов, через которые они осуществляют свои денежные транзакции. Так, четверть респондентов в России считают, что банк обязан возмещать потерянные в результате онлайн-транзакций деньги, а 47% убеждены, что  бесплатное банковское ПО должно обеспечить безопасность операций.

«Финансовые операции в Интернете, с какого бы устройства они не совершались, всегда связаны с большим риском. Мы рекомендуем использовать продукты класса Internet Security, так как они позволяют существенно повысить защищенность онлайн-транзакций. Кроме того, учитывая особенности финансовых мошенничеств в Сети, «Лаборатория Касперского» разработала уникальную технологию «Безопасные платежи», обеспечивающую целенаправленную защиту от подобных атак», – говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

«Безопасные платежи» – это набор высококлассных защитных механизмов, автоматически активируемых всякий раз, когда пользователь взаимодействует с онлайн-банкингом, платежной системой или интернет-магазином. Встроенная многоуровневая система проверки легитимности сайта, на который пытается зайти пользователь, обеспечивает защиту от фишинговых атак; особый безопасный режим браузера защищает от вредоносного кода, встроенного в веб-страницы; механизм проверки приложений на компьютере на предмет наличия уязвимостей защищает от эксплойтов. Дополнительно для Mac и Windows технологии «Безопасных платежей» обеспечивают защиту всех данных, введённых на сайтах финансовых систем для осуществления доступа к ним и подтверждения операций.

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Александр Панасенко

Мобильный троянец Svpeng, обнаруженный специалистами «Лаборатории Касперского» летом этого года и обладающий способностью красть деньги у пользователей смартфонов Android непосредственно с банковских счетов, стал еще хитрее – теперь он способен выманивать у пользователей их учетные данные от систем онлайн-банкинга при помощи фишинга.

Новый функционал этого троянца проявляется в том, что зловред подменяет открытое окно легального банковского приложения на фишинговое. Соответственно, все данные учетной записи системы интернет-банкинга, которые пользователь вводит в этом поддельном окне, отправляются прямиком к злоумышленникам.

Подобным же образом троянец Svpeng пытается украсть и данные банковской карты жертвы: при запуске приложения Google Play пользователь видит на экране смартфона окно, в котором ему предлагается ввести номер и секретный код своей платежной карты. Этот фишинговый прием также позволяет мошенникам получить легкий доступ к финансовым данным доверчивых или невнимательных пользователей.

Фишинговый функционал троянца Svpeng в действии

 

За три месяца существования троянца Svpeng «Лаборатория Касперского» обнаружила 50 модификаций этой вредоносной программы, а защитный продукт Kaspersky Internet Security для Android за это же время заблокировал более 900 установок троянца.

Примечательно, что в случае попадания на смартфон этот зловред предпринимает меры для самозащиты, усложняющие его обнаружение и удаление из системы. В частности, Svpeng использует ранее неизвестную уязвимость в платформе Android, благодаря которой может предотвращать сброс настроек телефона до заводских и препятствовать своему удалению. Единственным «противоядием» в этой ситуации является антивирус – Kaspersky Internet Security для Android способен удалить эту вредоносную программу из смартфона несмотря на все ее ухищрения.

«Мобильный троянец Svpeng распространяется с помощью SMS-спама, в котором злоумышленники нередко используют приемы социальной инженерии: имена известных сервисов, интригующие предложения, прикрытие знакомыми именами. Все это не должно вводить пользователя в заблуждение. Переход по ссылке в SMS является одним из наиболее распространенных способов заражения вредоносными программами, а потому делать этого никогда не стоит», – советует Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

СОИБ: 30% офисных сотрудников за вознаграждение готовы стать инсайдерами

30% офисных сотрудников за вознаграждение готовы стать инсайдерами

Александр Панасенко

Компания LETA провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников российских компаний. Результаты исследования позволили выявить низкий уровень знаний респондентов в области ИБ, несоблюдение простейших правил защиты информации, высокий риск проникновения в корпоративную сеть, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ.

Специалистам, отвечающим за информационную безопасность в организациях, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников российских компаний оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 14 процентов респондентов регулярно проходят инструктаж по информационной безопасности, сообщает cybersecurity.ru.

При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

Исследование показало, что большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 37% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям.

Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 11% опрошенных. Причем речь идет не только о паролях для почты – в каждой компании есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить злоумышленникам задачу по проникновению в корпоративную сеть.

Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать еще одним каналом утечки данных.

Результаты опроса показывают, что 8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или злоумышленников после того, как работники отправляют ее в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. В России тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен российских компаний различных сфер деятельности. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в августе-сентябре 2013 года.

Опубликованы документы АНБ о попытках взять под контроль сеть Tor

Опубликованы документы АНБ о попытках взять под контроль сеть Tor

Газета The Guardian опубликовала новую подборку документов Агентства национальной безопасности от Эдварда Сноудена. Они раскрывают свет на попытки АНБ взять под контроль сеть анонимайзеров Tor. Несмотря на многомиллиардные бюджеты, эта задача оказалась им не по зубам.

Одна из презентаций имеет красноречивое название “Tor Stinks” («Отвратительный Tor», pdf). Презентация от июня 2012 года. Ее авторы сразу констатируют печальную истину: «Мы никогда не сможем деанонимизировать всех пользователей Tor в каждый момент времени. Выполнив вручную анализ, можно деанонимизировать только очень малую часть пользователей Tor, однако безуспешны попытки деанонимизировать какого-то конкретного пользователя по запросу TOPI».

Проблема в том, пишут авторы отчета, что у АНБ есть доступ только к очень немногим узлам, в то время как соединение каждого пользователя шифруется на трех случайных узлах. Таким образом, очень мала вероятность, что все три эти узла окажутся доступны. Руководство агентства поставило цель увеличить количество подконтрольных узлов.

Другой подход — использовать куки для идентификации пользователей Tor в то время, когда они выходят за пределы защищенной сети. Агенты тщательно изучали механизм установки «вечных» куков (Evercookie), которые практически невозможно полностью удалить.

АНБ активно отслеживает трафик Tor и способно определять HTTP-запросы от узлов Tor к отдельным серверам по «отпечаткам», которые помещаются в базы данных вроде XKeyscore.

Агентство затем пытается использовать внутренние ресурсы, чтобы попытаться инфицировать конкретных пользователей с помощью перехвата трафика от узла Tor к контролируемому АНБ серверу и применения эксплойтов для Firefox (система АНБ под кодовым названием FoxAcid). Подобнее об этой технике атаки см. в отдельной презентации (pdf) и в статье Брюса Шнайера. В презентации указано, что АНБ использовало эксплойты для Firefox 10.0 ESR и уверено, что найдет ключики для Firefox 17.0 ESR. В одном из слайдов указано, что АНБ перехватывало запросы от узлов Tor к серверам Google.

Перехват трафика пользователей осуществляется с помощью секретных серверов АНБ под кодовым названием Quantum, которые устанавливаются на магистральных каналах связи у крупнейших интернет-провайдеров США. Таким образом, если поступает запрос от узла Tor к какому-нибудь американскому сайту, то АНБ может ответить раньше, чем тот сайт.

Эксплойт-пак FoxAcid от АНБ регулярно обновляется, и в одном из мануалов был указан номер версии 8.2.1.1.