Первый человек арестован за эксплуатацию бага Heartbleed

Первый человек арестован за эксплуатацию бага Heartbleed

Канадская полиция задержала 19-летнего парня из города Лондон (провинция Онтарио). Его обвиняют в несанкционированном доступе к серверу Канадской налоговой службы и копировании информации о налогоплательщиках. Начинающий хакер по имени Стефан Артуро Солис-Рейес (Stephen Arthuro Solis-Reyes), предположительно, использовал уязвимость Heartbleed в криптографической библиотеке OpenSSL.

Государственная служба задержалась с обновлением программного обеспечения на своих серверах, чем и воспользовался тинейджер. Узнав о взломе, налоговики закрыли сайт на несколько дней для проведения расследования — и правоохранительные органы все-таки сумели вычислить злоумышленника, который не слишком заботился о скрытности. По информации налоговой службы, скомпрометированы номера социального страхования примерно 900 пользователей.

В то же время закрылись и сайты других государственных агентств Канады. Задержание прошло 15 апреля, из дома Стефана конфисковано компьютерное оборудование для поиска улик.

Студент факультета информатики местного университета предстанет перед судом 17 июля.

В 2013 году госструктуры России потратили на ИБ менее 5% своих ИТ-бюджетов

В 2013 году госструктуры России потратили на ИБ менее 5% своих ИТ-бюджетов

Александр Панасенко

По результатам аналитического исследования, проведенного компанией «Код Безопасности», в 2013 году государственные ведомства потратили на защиту информационных ресурсов около 4,8% своих ИТ-бюджетов. Наиболее востребованными продуктами в госведомствах стали решения класса FW/VPN, на которые было потрачено 27% ИБ-бюджета, и антивирусы (18%).

Примерно одинаковые суммы, а именно 13,2% и 13,13% ИБ-бюджетов, были потрачены на закупку продуктов класса СЗИ от НСД/модули доверенной загрузки и сканеров защищенности соответственно. Около 12% госорганы потратили на решения класса IDM/PKI/SSO, которые обеспечивают эффективное управление доступом к государственным информационным ресурсам. Замыкают рейтинг средства предотвращения вторжений,токены и средства защиты виртуализации, на каждое было затрачено менее чем 3% ИБ-бюджета. Наименее востребованными решениями в госорганах оказались средства предотвращения утечек информации (0,66%).
Рисунок 1. Структура затрат на информационную безопасность по классам продуктов

 

По данным отчета доля ИБ-продуктов российского производства в госзакупках 2013 года составила более 90%. Продукты зарубежных вендоров смогли конкурировать с российскими только в двух категориях: системы IDM/PKI/SSO, где их доля составила около 43%, и средства предотвращения утечек информации (83%).

«Проанализировав открытые данные с сайта госзакупок, мы получили представление о том, как распределяются затраты госведомств на информационную безопасность по классам продуктов. В конечном счете это позволило нам оценить текущую ситуацию на российском рынке ИБ и понять, какую долю рынка в этой структуре занимает «Код Безопасности», – прокомментировал Андрей Голов, генеральный директор компании «Код Безопасности».

Число DDoS-атак на объекты в РФ в 2013 г выросло на 178%

Число DDoS-атак на объекты в РФ в 2013 г выросло на 178%

Александр Панасенко

Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 году выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).

Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем, пишет digit.ru.

Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 год превысил 1,3 триллиона рублей.

«В наше время изменилась парадигма ведения военных действий. Взамен традиционных средств на первый план выходит информационное и кибероружие. Нам необходимо в срочном порядке принять меры по предотвращению подобного вмешательства, в первую очередь, за счет создания эффективных отечественных средств информационной инфраструктуры. В России существует богатый опыт разработки и эксплуатации стратегических информационных систем, создания собственных технологий информационной безопасности. Этот опыт необходимо использовать в масштабах страны», — заявила президент НАИРИТ Ольга Ускова.

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

В последнее время злоумышленники все чаще прибегают к DDoS-атакам, при этом весьма масштабным. В частности, эксперты из Sucuri говорят о том, что в одном из недавних инцидентов безопасности были задействованы более 162 тысяч сайтов на базе WordPress. Известно, что все ресурсы работали с активным по умолчанию протоколом вызова удаленных процедур XML-RPC.

Как утверждают эксперты, атака осуществляется посредством генерации потока запросов Layer 7. При этом все сайты могут отправлять сотни тысяч запросов в секунду.

Судя по всему, большинство запросов содержат случайное значение («?4137049=643182»), необходимое для очистки кэша и полной перезагрузки страницы. По данным Sucuri, подобные атаки весьма успешны, поскольку они способны быстро нарушить работу сервера.

Эксперты компании также уверены, что DDoS-атаки с задействованием сайтов с уязвимостью XML-RPC могут быть более масштабными. Узнать, не является ли сайт частью атаки, можно посредством проверки файла регистрации на наличие POST-запросов к файлу XML-RPC. Также существует база, созданная Sucuri, в которой содержится список задействованных в инцидентах безопасности ресурсов.

Первая DDoS-атака 100 Гбит/с без DNS-умножения

Первая DDoS-атака 100 Гбит/с без DNS-умножения

В марте этого года мы наблюдали первую в истории DDoS-атаку мощностью более 100 Гбит/с. Тогда, в марте, такой поток трафика нападающие смогли сгенерировать, используя умножение запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера и часто плохо сконфигурированы, то есть открыты для внешних запросов.

Злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне. Вы можете отправить такой запрос размером 64 байта (dig ANY isc.org x.x.x.x) и сгенерировать ответ 3223 байта.

Актуальный список открытых резолверов всегда можно найти здесь.

24 сентября 2013 года состоялась новая DDoS-атака мощностью 100 Гбит/с, которая продолжалась девять часов, сообщает компания Incapsula. При этом она не назвала URL сайта своего клиента, жертвы атаки.

В нынешней DDoS-атаке удивительно то, что атакующие вовсе не использовали резолверы, так что это первая в истории атака подобной силы без умножения запросов. Получается, что у кого-то есть в наличии каналы суммарной пропускной способностью аж 100 Гбит/с. Если бы они использовали умножение запросов, то могли бы увеличить трафик в десятки раз.

США обвиняют иранских хакеров в атаке на серверы ВМФ США

США обвиняют иранских хакеров в атаке на серверы ВМФ США

Александр Панасенко

Власти США обвинили Иран во взломе некоторых компьютеров военноморского флота, сообщает The Wall Street Journal. Издание отмечает, что подобные обвинения звучат на фоне напряженности в отношениях между двумя странами, а также ранее прозвучавших в Иране обвинений относительно заражения вредоносными кодами иранских ядерных объектов. Кроме того, две стороны сейчас находятся в переговорном процессе относительно ядерной программы Ирана.

Официальные представители ВМФ США говорят, что атаки были проведены иранскими хакерами вскоре после того, как в ИТ-системе военного ведомства был проведен программно-аппаратный апгрейд. Известно, что первая хакерская активность была отмечена еще 15 сентября, здесь были заражены вредоносами компьютеры, применявшиеся военными для работы с электронной почтой и рядом внутренних военных сервисов.

В США говорят, что пока нет никаких доказательств того, что хакерам удалось украсть какую-то значимую информацию, однако сам тот факт, что интранет-сети одного из самых защищенных американских военных ведомств стали доступны для хакеров уже заставляет задуматься. WSJ пишет, что последний случай с иранской атакой на объекты ВМФ США указывает на растущий уровень подготовки иранских хакеров, передает cybersecurity.ru.

В официальных американских документах говорится, что быстро выросший уровень подготовки иранских хакеров, это их сотрудничество с Россией. Что касается атаки именно ВМФ, то здесь все логично — именно корабли американских ВМФ стоят в Персидском заливе и первыми могут нанести удар по Ирану. Американские военные говорят, что во время последней атаки никакие закрытые данные о планах ВМФ не были украдены, хотя сама система Navy Marine Corps Internet была скомпрометирована.

Следы нового трояна для Mac OS

Следы нового трояна для Mac OS

В сети распространяется новый троян, направленный против компьютеров Mac. Вредоносная программа замаскирована под фотографию с изображением целующейся парочки. Расширение .app, которое позволило бы опознать именно программу, а не графический файл, не отображается при нормальных настройках компьютера.

При клике на иконку изображения троян устанавливается на компьютер пользователя и открывает бэкдор, а также выходит на связь с командным сервером, контролируемым киберпреступниками. Таким образом, хакеры получают возможность удаленного доступа к содержимому компьютера пользователя.

Как сообщает Лайза Майерс, исследователь компании Intego, специализирующейся на защите Mac, механизмы распространения трояна пока неизвестны. Майерс предполагает, что речь может идти о целенаправленной атаке, и изображение целующейся парочки жертвы получают в сообщениях электронной почты. Так же киберпреступники могут изучать поведение своих жертв в сети и размещать троян на сайтах, которые посещаются объектами атаки особенно часто.

Специалистам Intego удалось установить контакт с командным сервером хакеров (в настоящий момент он отключен). Проанализировав информацию о подключившейся к нему системе, сервер загрузил на использованный для теста компьютер Intego логотип хакерской группировки «Сирийская электронная армия». Впрочем, аналитики пока не спешат с выводами. Сирийские хакеры склонны громогласно объявлять о своих акциях, существенно преувеличивая успехи. Пока же они никак не прокомментировали ситуацию с новым трояном.

Сирийская электронная армия не признаёт утечки данных

Сирийская электронная армия не признаёт утечки данных

Сирийская электронная армия (SEA), которая привлекла к себе интерес публики после ряда успешных взломов, недавно подверглась частичной деанонимизации.

Члены SEA в пятницу полностью отрицали факт утечки данных, как и сам факт взлома. «В любом случае, мы не держим никаких секретных или личных данных на публичном сервере. Мы распределенная группа, и почти все, что нам нужно, находится на наших собственных компьютерах, а общение осуществляется в IRC», — говорили они.

В ответ на это в субботу некто выложил в открытый доступ архив 1,3 ГБ с файлами, полученными с серверов SEA после их взлома в апреле 2013-го. Теперь отрицать факт взлома SEA будет гораздо труднее. Опубликовано полное содержимое веб-серверов, а также скриншоты внутренней инфраструктуры блогов, админки виртуальной машины Parallels для сайта syrian-es.com, множество учетных данных к аккаунтам Twitter и LinkedIn, вероятно, активистов SEA, логи всех команд bash за несколько месяцев 2013 года, введенных администраторами сервера. Анализ этих команд показывает, что админы активно использовали IM-мессенджер imo.im.

На Android приходится 79% мобильных атак

На Android приходится 79% мобильных атак

Кирилл Токарев

79% всех вредоносных программ на мобильных телефонах в 2012 году были замечены на устройствах под управлением Google Android. Об этом сообщает вебсайт Public Intelligence, ссылающийся на информационные сообщения от ФБР и Министерства национальной безопасности США. Эти послания предназначаются для американской полиции и медицинского персонала. Операционная система Nokia Symbian заняла второе место по количеству зарегистрированных вредоносных атак.

Android остается самой популярной мобильной системой в мире. Американские чиновники полагают, что распространенность ОС является главной причиной внимания хакеров к данной платформе. К тому же у Android открытый код, из-за чего подобраться к ней намного проще. Текстовые трояны отвечают за половину всех кибератак на Android. Кроме того взломщики часто используют специальные приложения, которые умеют отслеживать нажатия на клавиши пользователей, а также запускают поддельные вебсайты, напоминающие Google Play, для распространения вредоносных программ.

Исследователи уверяют, что 44% пользователей Android до сих пор используют старые версии систем 2.3.3-2.3.7 (Gingerbread), которые были выпущены в 2011 году. В них присутствует ряд уязвимостей, которые были закрыты в последующих релизах.

«Увеличение эксплуатации мобильных устройств федеральными работниками и представителями местных властей заставляет внимательней следить за мобильной безопасностью», – говорится в сообщении ФБР.

Устройства Apple остаются практически неуязвимыми для взломщиков: вредоносные программы встречаются на iOS-продуктах редко. Представители американской компании утверждают, что более чем 93% из огромной базы в 600 млн пользователей iPhone и iPad используют iOS 6 – самую современную версию ОС. Следующий вариант данной платформы будет представлен в сентябре.

В прошлом месяце компания Symantec сообщила об уязвимости, которая позволяла получить доступ к любому мобильному телефону на базе Android. К счастью, данную неполадку в итоге сумели закрыть.

Кибератаки в Европе вызывали чаще проблемы, чем аппаратные сбои

Кибератаки в Европе вызывали чаще проблемы, чем аппаратные сбои

Автор: Валерий Шевцов

Хотя кибератаки, совершенные в течение прошлого года, вызвали всего 6 процентов случаев отключения и прекращения доступа к публичным электронным сетям и сервисам в Европе, от них пострадало гораздо большее число людей, чем от аппаратных сбоев. Согласно с докладом агентства Евросоюза по вопросам сетевой и информационной безопасности (ENISA), кибератаки стали наиболее распространенной причиной отказа в обслуживании.

Аппаратные сбои составили всего 38 процентов от общего числа инцидентов и в среднем коснулись 1.4 миллиона пользователей. Такие данные опубликовало во вторник агентство ENISA в своем ежегодном отчете о сетевых происшествиях. Для сравнения – инциденты, возникшие вследствие кибератак, коснулись 1.8 миллионов пользователей.

В основном кибератаки нарушали доступ к Интернет-ресурсам и заняли второе место среди основных причин нарушения в работе фиксированного доступа к сети Интернет. По информации ENISA кибератаки составляют 20 процентов от перечисленных случаев. Кроме того агентство насчитало, что на работу мобильных Интернет-сервисов это влияло в 13 процентах случаев.

В отчете ENISA фигурируют данные о 79 крупных инцидентах, которые произошли на территории 18 стран-членов Европейского Союза в 2012 году. В результате чего была одновременно нарушена работа фиксированной и мобильной связи (Интернет и телефонии). ENISA относит в сервисам фиксированной связи те виды телекоммуникаций, которые используют в своей работе dial-up, DSL, cable, fiber, PSTN, VoIP over DSL и прочие проводные технологии.

Сегодня все провайдеры телекоммуникационных сервисов обязаны сообщать о серьезных нарушениях в сетевой безопасности государственным регуляторным органам связи, которые в свою очередь докладывают информацию об этих случаях в ENISA и Европейскую комиссию. Девять стран Евросоюза не сообщили ни об одном инциденте в 2012 году, а одна страна не реализовала свое право на публикацию подобного отчета.

Упомянутое выше агентство не только разделило все инциденты на пять основных категорий, но и разбило их на более детализированные подкатегории, по причинам возникновения. Корневыми категориями стали следующие инциденты: системные ошибки, вмешательство сторонних организаций, вредоносные воздействия, человеческий фактор и природные явления.

По информации ENISA, самой распространенной категорией инцидентов стали системные ошибки. Они составили 76 процентов от общего числа инцидентов и включили в себя ситуации, вызванные сбоями в аппаратном и программном обеспечении. Большинство случаев происходили из-за сбоев в сетевом оборудовании, локальных точках доступа и домашних устройствах.

Далее, с 13 процентами следует воздействие сторонних организаций. Вредоносные (умышленные) воздействия составили 8 процентов, а природные явления нарушили работу Сети в 6 процентах случаев. Ну а человеческие ошибки оказались на последнем месте – 5 процентов. Последние две категории, несмотря на свою редкость, вызывали наиболее длительные сбои – в среднем по 36 и 26 часов, соответственно. Хотя при этом они поразили сравнительно малое количество пользователей – 557 и 447 тысяч соответственно.