История - достойная пера Марка Твена.

В апреле 2019 года муниципальные власти маленького американского городка Стюарт (штат Флорида, население - около 16500 человек) словили ransomware Ryuk. Вредонос зашифровал городские сервера, после чего злодеи потребовали 300 тыс. долларов в биткоинах.

Городские власти отказались платить и попробовали восстановить информацию из бекапа. Но что-то пошло не так и часть данных была утеряна. Среди них - доказательства по 28 эпизодам в отношении 6 наркоторговцев. По бороде пошли результаты сыскной работы за полтора года.

В итоге обвиняемых планируется выпустить в ближайшее время.

С такими новостями иной раз начинаешь думать, что извечная российская бюрократия, которая все документы стремится дублировать в бумажном виде, не такое уж и зло. И шутить про "127 томов уголовного дела" уже не хочется.

https://nakedsecurity.sophos.com/2020/02/28/ransomware-wipes-evidence-lets-suspected-drug-dealers-walk-free/

​​Скоро на всех пляжах мира!

#коронавирус

Когда появляются новости про выявленные уязвимости в специализированном оборудовании или ПО, то это, конечно, важно, но касается далеко не всех. Однако, графические процессоры от Nvidia стоят в большинстве домашних ПК по всему миру.

Вчера производитель видеокарт выпустил патч, устраняющий несколько уязвимостей в драйвере GPU, а также в сопутствующем ПО, имеющих высокий и средний уровни критичности.

Так, две уязвимости в драйвере видеокарты позволяют злоумышленнику из-под локального пользователя повышать свои привилегии, а также исполнять произвольный код. Дырки в сопутствующем ПО могут привести к отказу в обслуживании.

Что же, как обычно, чистая попа и своевременные обновления - залог здоровья и крепких нервов.

https://www.bleepingcomputer.com/news/security/nvidia-fixes-high-severity-flaw-in-windows-gpu-display-driver/

Шутка про бомбежку Воронежа нам всегда нравилась. Но, как оказывается, наши заокеанские друзья тоже не лыком шиты.

На днях, например, американские Министерство юстиции и Служба национальной безопасности взяли в плен сайт британского рекламного агентства Designate.

12 февраля сотрудники компании заметили, что вместо главной страницы их сайта стоит заглушка, гласящая, что "доменное имя изъято американскими органами безопасности в соответствии с ордером суда Нью-Йорка."

Выяснилось, что в рамках расследования фактов незаконной проституции(sic!), жители волшебной страны Пендостан тупо переписали DNS и завернули на себя весь трафик, в том числе почтовый.

В результате переговоров британцам лишь через неделю удалось договориться о возврате домена, но только в обмен на подписание соглашения об отказе от претензий.

Считаем, что данная передовая правоохранительная практика просто великолепна - "Мы тебе бутылку из задницы вытащим, но только в обмен на отказ от претензий." Не дай Б-г наши фантазеры на вооружение возьмут.

https://www.theregister.co.uk/2020/02/28/ad_agency_website_seized_/

Такая уж складывается обстановка, что практически каждый день у нас выходят посты про коронавирус. Правда больше юмористического характера.

Сегодня же - тема сугубо прикладная.

На ZeroDay вышла объемная статья про организацию удаленной работы компании в условиях вирусной эпидемии. В материале приводятся 4 основных, с точки зрения автора, стратегии удаленного доступа и краткое описание соответствующих программных решений.

Безусловно, большая часть советов носит характер очевидный для ИТ и инфосек специалистов, которые уже сталкивались с такой проблемой. Хотя встречаются и оригинальные предложения - например, попробовать использование очков VR, якобы это создает иллюзию нахождения в офисе и настраивает на рабочий лад.

Тем не менее, статья, на наш взгляд, весьма полезна и может быть использована как грубая дорожная карта по организации удаленной работы, отталкиваясь от которой можно будет настроить удаленный офис для большинства сотрудников компании.

#коронавирус

https://www.zdnet.com/article/effective-strategies-and-tools-for-remote-work-during-coronavirus/#ftag=RSSbaffb68

​​Anti-Malware предлагают использовать Signal вместо WhatsApp, потому что последний, де, более секьюрный.

Мы же берем смелость утверждать, что с точки зрения приватности имеем в чистом виде аксиому Эскобара. Ибо, по нашим данным, в Signal таки имеется backdoor. Который успешно используют не только американские рыцари плаща и топора, но и особо талантливые хакеры.

Вчера исследователь Амол Байкар сообщил, что в декабре 2019 года обнаружил уязвимость, позволяющую увести учетную запись Facebook.

Ошибка содержалась в механизме Social Login, позволяющем аутентификацию в сторонних web-приложениях с помощью учетной записи Facebook, и позволяла перехватить токен протокола авторизации OAuth 2.0. А уже в последующем получить полный доступ к учетной записи социальной сети.

По словам Амол Байкар, данная ошибка существовала, вероятно, в течение 9-10 лет.

В результате взаимодействия с исследователем в январе этого года Facebook устранила уязвимость и позже выплатила ему 55 тыс. долларов в качестве премии.

Но, в случае если вы логинились на сторонних сайтах через учетку Facebook, стоит все-таки подумать о смене пароля. На всякий случай.

https://www.amolbaikar.com/facebook-oauth-framework-vulnerability/

И в продолжение темы приватности популярных мессенджеров.

Тот самый Джек Дэвис, один из лидеров Anonymous и LulzSec, получивший в свое время в Великобритании 37 дней ареста и 2 года запрета на работу в сети, напоминает про запросы правоохранительных органов Британии и ЕС в Facebook относительно пользователей WhatsApp.

А конкретно, Facebook передает по запросу список всех контактов и имен групп пользователя, прошлых и настоящих, включая все телефоны, которые были подключены к учетной записи, а также всю иную информацию об учетной записи.

Совокупность такой информации в отношении большого количества пользователей позволяет составить картину их взаимодействия в рамках WhatsApp со всеми тонкостями и нюансами.

Кроме того, если пользователь не отключил автоматическое добавление, то его могут пригласить в какую-либо провокационную группу типа "Фанаты Бен-Ладена" или "Бей геев и Бориса Джонсона". После чего он запросто попадет на карандаш (а может и на кукан, тут от обстановки зависит) соответствующих служб.

Мы же говорим - аксиома Эскобара.

https://twitter.com/DoubleJake/status/1234071075258019840

Как в США готовятся к коронавирусу.

"Меня послали в Costco (сеть магазинов самообслуживания), чтобы посмотреть - затаривается ли народ на случай эпидемии коронавируса (хотя чиновники от здравоохранения говорят, что нет причин для беспокойства). И этот чувак вышел из магазина с 16 упаковками презервативов и большой банкой кокосового масла. У всех свои приоритеты."

#коронавирус

https://twitter.com/jillreports/status/1233870486670495745

И еще раз о коронавирусе. И больше не будем, честно, вернемся к вопросам инфосека. Просто тема очень уж животрепещуща.

По наводке с Aftershock - краткая выжимка статьи на Reddit, посвященной результатам 9-дневной командировки 25 экспертов ВОЗ в Китай для изучения данных по коронавирусу.

1. До 85% заражения происходили внутри семьи либо при других тесных регулярных контактах с зараженными воздушно-капельным путем. На больших расстояниях воздушно-капельный путь не является основным способом распространения.

2.5% больных нуждаются в ИВЛ. Еще 15% - в кислороде, причем достаточно длительно (больше нескольких дней - неделю-две?). У таких больных заболевание продолжается 3-6 недель. Остальные переносят болезнь в легкой форме и болеют 1-2 недели. Таким образом основной вызов для системы здравоохранения - необходимость обеспечения нужного количества койкомест, кислорода и аппаратов ИВЛ.

3. Поскольку теперь Китай производит достаточное количество тестов на вирус, дающих достоверные результат в течение 1 дня, то возможно сплошное тестирование больных с признаками ОРВИ. Так, в провинции Гуандун было протестировано 320 000 человек, и 0,14% из них были заражены коронавирусом.

4. Наиболее распространенными симптомами являются повышенная температура (88%) и сухой кашель (68%). Также часто встречаются слабость (38%), выделения при кашле (33%), одышка (18%), боль в горле (14%), головные боли (14%), мышечные боли (14%), озноб (11%). Редко встречаются тошнота и рвота (5%), заложенность носа (5%) и диарея (4%). Текущие сопли - не симптом COVID!

5. По результатам исследования 44 672 (по состоянию на 17 февраля) случаев заражения смертность составила 3,4%. На смертность влияют возраст, сопутствующие заболевания, пол, но особенно сильно - реакция системы здравоохранения.

6. . Самое главное - это, во-первых, агрессивно сдерживать распространение вируса, чтобы сохранить количество тяжелобольных пациентов на низком уровне, а во-вторых, увеличивать количество коек до тех пор, пока их не станет достаточно для тяжелобольных. Кроме того, благодаря оперативному распространению наиболее эффективных мер лечения вируса уровень смертности в Китае снижается.

7. Чем вы моложе, тем меньше вероятность того, что вы заразитесь, и тем меньше вероятность того, что у вас будут осложнения. Ниже таблица распределения заболеваемости и смертности.

Возраст % от числа зараженных % смертности среди зараженных
0-9 0,9% отсутствует
10-19 1,2% 0,1%
20-29 8,1% 0,2%
30-39 17,0% 0,2%
40-49 19,2% 0,4%
50-59 22,4% 1,3%
60-69 19,2% 3,6%
70-79 8,8% 8,0%
80+ 3,2% 14,8%

Мужчины умирают почти в 1,7 раза чаще чем женщины.

И еще несколько выводов:
- статистика Китая соответствует реальной картине;
- большая часть мирового сообщества не в состоянии реализовать меры, которые были применены для сдерживания COVID-19 в Китае.
- и, самое главное, по всей видимости, единственным реальным средством сдерживания эпидемии на данный момент являются жесткие карантинные меры. Без всяких там "а вы меня по суду только можете в больницу поместить".

Короче говоря, мы, конечно, все умрем, но не в этот раз.

#коронавирус

https://www.reddit.com/r/China_Flu/comments/fbt49e/the_who_sent_25_international_experts_to_china/

Check Point запустили online-энциклопедию Malware Evasion Encyclopedia, в которой описывают более 50 способов, с помощью которых malware определяет - находится ли он внутри виртуальной машины или нет. В случае если вывод положительный - вредонос зачастую не предпринимает дальнейших активных действий.

Отсюда вывод - чаще пользуйтесь виртуальными машинами для работы. Этот факт сам по себе может повысить вашу защищенность.

https://twitter.com/_CPResearch_/status/1234118966475460609

​​Немного технического юмора

​​Алярм, папуасы взбунтовались! История со швейцарской компанией Crypto AG, производителем криптографического оборудования под управлением ЦРУ и БНД, получила неожиданное продолжение.

Вместо того, чтобы молча сглотнуть, швейцарцы решили дать обратку и стучат кулаком. Правда, пока под одеялом.

Государственный секретариат по экономическим связям (SECO) Швейцарии подал уголовную жалобу в Генеральную прокуратуру страны, по результатам рассмотрения которой последняя должна будет принять решение возбуждать уголовное разбирательство или нет.

В качестве потенциальных обвиняемых в жалобе указаны "неизвестные лица", а основной претензией со стороны швейцарских правительственных органов является нарушение Crypto AG Швейцарского закона "О контроле за товарами".

Этот закон гласит, что за нарушение установленных правил, к примеру, за предоставление ложной или неполной информации при оформлении лицензии, можно сесть на десяток лет решетку и получить штраф до пяти миллионов швейцарских франков. В данном случае SECO считает, что была введена в заблуждение при разрешении на продажу товаров Crypto AG, поскольку не была предупреждена о существующей системе бэкдоров.

Смогут ли швейцарские часовые гномы перебодать интересы ЦРУ? Вопрос риторический.

Но сама тенденция радует.

https://www.zdnet.com/article/swiss-government-submits-criminal-complaint-over-cia-crypto-ag-spying-scandal/

На конференции RSA Security бывший сотрудник АНБ, а в настоящее время исследователь безопасности Jamf, Патрик Уордл выступил с потрясающей силы заявлением.

Он предложил хакерам использовать уже существующие наработки государственных спецслужб в области создания вредоносов.

"В трехбуквенных агентствах есть невероятно хорошо финансируемые, хорошо обеспеченные, очень мотивированные хакерские группы, которые создают удивительное вредоносное ПО, которое полнофункционально и также полностью протестировано. Идея в том, почему бы не переназначить их для своей собственной миссии?"

При этом исследователь продемонстрировал четыре образца вредоноснов для Mac (созданных АНБ?), контроль над которыми он перехватил.

По словам Уордла, подобный подход имеет два явных преимущества.

Во-первых, это позволит сохранить свои собственные методы вирусописания в секрете.

Во-вторых, в случае обнаружения атаки вина за нее будет возложена на авторов ПО.

Мы, если честно, даже не знаем, как это прокомментировать. Гайдай какой-то.

https://appleinsider.com/articles/20/03/02/state-sponsored-mac-malware-easily-repurposed-by-ex-nsa-hacker

Китайцы умеют не только в борьбу с коронавирусом, но и перенимать передовые практики по обвинению противоположной стороны (в данном случае США) с масштабных кибератаках.

Китайская инфосек компания Qihoo 360 заявляет, что вскрыла комплексную кибератаку со стороны ЦРУ, продолжавшуюся в течение 11 лет. Непосредственным исполнителем китайцы называют группу APT-C-39, находящуюся в подчинении Управления науки и техники (DS&T) ЦРУ.

По соображениям национальной безопасности Qihoo 360 не раскрывает всех подробностей, но сообщает о нескольких объектах кибератаки. В частности, APT-C-39 интересовало прикладное ПО в авиационной отрасли. Таким образом, по мнению исследователей, ЦРУ собирает информацию о пассажирах, грузах и прочие данные авиаперевозок по всему миру.

Qihoo 360 сообщает, что образцы вредоносного ПО, использовавшегося APT-C-39, сходятся с образцами из ЦРУшного проекта Vault 7, который вскрыли WikiLeaks в 2017 году. Вот только использовали хакеры его задолго до публикации Ассанжа.

Кроме этого китайцы приводят еще несколько фактов, косвенно свидетельствующих о причастности американской разведки к указанной кибератаке.

И вот все бы хорошо было у китайских друзей, но зачем они стали пытаться доказать изложенные тезисы? По методичке же следует написать "highly likely" и сразу перейти к санкциям.

На нашей памяти это второй раз, когда китайцы обвиняют американцев в информационных войнах. Первый раз были Equation, да и то 5 лет назад. Надеемся на новые неожиданные разоблачения.

Большинство из нас привыкло выкладывать свои смартфоны на стол в кафе, ресторане или кальянной. И совершенно зря.

Как установили исследователи из Университета Вашингтона в Сент-Луисе, если ваше устройство лежит на твердой поверхности, то оно подвержено атаке с помощью ультразвука, эффективной на расстоянии до 10 метров.

Оказывается, что Siri и Google Assistant воспринимают частоту, намного более широкую, чем способен воспроизводить человеческий голос. Таким образом с помощью ультразвуковых волн в их адрес можно подавать команды, которые будут интерпретироваться смартфоном как голосовые, но при этом будут совершенно не слышны для человеческого уха.

Исследователи разработали несколько потенциальных сценариев атак с использованием данной уязвимости, одной из которых является направление команды на уменьшение громкости до чрезвычайно низкого уровня, а затем направление следующей команды прочитать вслух содержимое текстового сообщения, содержащего, к примеру, двухфакторный код аутентификации.

Само собой, для этого необходимо специализированное оборудование, включающее ультразвуковой генератор и скрытый микрофон. Но, как признаются американские ученые, в конце концов, при определенной подготовке может подойти и переделанный смартфон.

А мы вспомнили замечательную телекоммуникационную легенду про человека с идеальным слухом, который свистел в трубку тоновые сигналы аналоговым АТС и так бесплатно звонил за границу.

И лишь один вопрос нас беспокоит - кому потребовалась обработка ультразвукового диапазона голосовыми помощниками? Либо все-таки мы под тайным управлением ящериков с Нибиру, либо это заранее заложенный бэкдор. Второе скорее.

https://www.vice.com/en_us/article/bvg5dv/ultrasonic-waves-can-make-siri-share-your-secrets

Появились подробности блокировки аккаунта крупной китайской софтверной компании Cheetah Mobile в Google Play.

Напомним, что в феврале Google заблокировала в Play Store более 600 приложений, а также разместившие их аккаунты. Под подобные меры воздействия попала и Cheetah, приложения которой имели сотни миллионов загрузок, а инструмент безопасности Clean Master с функциями антивируса и приватности, был загружен более миллиарда раз.

Как выясняется теперь, американская инфосек компания White Ops в декабре прошлого года направила в Google результаты своего исследования, которые свидетельствовали, что Clean Master, а также другие приложения от китайской компании собирают большое количество пользовательских данных - от истории точек Wi-Fi до сбора web-трафика и изучения поведения пользователя при просмотре конкретных страниц.

Китайцы оправдываются, что сбор этой информации был необходим для обеспечения безопасности пользователя. Инфосек эксперты в этом сомневаются, можно было использовать другие подходы - например, использовать хэши. И вообще, сбор информации приложениями Cheetah явно избыточен.

Вот такая засада от китайских "партнеров". Если у кого-то до сих пор стоит Clean Master, то лучше удалите.

https://www.forbes.com/sites/thomasbrewster/2020/03/03/warning-an-android-security-app-with-1-billion-downloads-is-recording-users-web-browsing/

Председатель СКР Бастрыкин заявляет - "образован отдел по расследованию киберпреступлений и преступлений в сфере высоких технологий"

Напомним, что чуть раньше министр МВД Колокольцев тоже сообщил, что в министерстве созданы спецподразделения по борьбе с киберпреступностью.

И если вы подумаете, что создание в 2020 году новых подразделений по борьбе и расследованию киберпреступлений при наличии уже существующих выглядит странно, то мы сейчас все поясним.

Просто количество маразма в этих ведомствах достигло такого размера, что он (маразм) коллапсировал и образовал маразматическую черную дыру (МЧД). В результате наша правоохранительная система очутилась в сингулярности и теперь живет в обратном временном потоке.

Сегодня они начали бороться с компьютерной преступностью. Через 5 лет создадут спецуправление по расследованию грабежей сберкасс. А еще через 10 выделят в штате отдел по борьбе с кражей лошадей и тележных колес.

Теперь заживем.

​​В феврале мы писали про то, что Касперский, в отличие от многих ИТ компаний, не гнется под порывами коронавирусного ветра и отменять свой Саммит аналитиков безопасности (SAS) в Барселоне в начале апреля не собирается.

Но с тех пор много воды утекло и недалекая от Испании страна макарон и тарантеллы стала вдруг коронавирусным бубоном Европы. Поэтому HR'ы Касперского поняли, что так можно и всех антивирусных аналитиков лишиться.

В связи с этим SAS таки отменяется - https://twitter.com/TheSAScon/status/1234911915773583361

А количество отмененных конференций по инфосеку уже таково, что отслеживать каждую по отдельности смысла нет. Поэтому мы нашли в сети сайт ItIsCanceledYet, который агрегирует подобную информацию и отмечает у себя.

Учтите при планировке своих командировок. А лучше не летайте пока никуда.

#коронавирус

Владельцы ransomware Nemty таки запустили сайт, на котором обещают размещать украденные данные в случае, если владельцы информации не согласятся заплатить выкуп. Свои планы хакеры анонсировали в январе этого года.

Впрочем, они далеко не первые. В декабре 2019 года группа MAZE запустила аналогичный сайт Name and Shame, на котором разместила данные американской компании Southware, отказавшейся ранее платить вымогателям 6 млн. долларов. В конце декабря хостер закрыл сайт, однако в январе он открылся на другой площадке. Сейчас он доступен.

В конце февраля аналогичные ресурсы создали группы DoppelPaymer и Sodinokibi.

Похоже, что у вымогателей появился новый действенный способ давления на владельцев зашифрованных ransomware данных. Потому что в этом случае бэкапы уже не помогут – если чувствительная информация попадет к конкурентам или, тем паче, черная бухгалтерия станет доступна налоговой, то бизнес может и совсем накрыться.

https://securityaffairs.co/wordpress/98865/malware/nemty-ransomware-data-leak-site.html