Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

CaPa


soner30

Об уязвимости нулевого дня в Windows написали в Twitter


В августе этого года специалист по информационной безопасности SandboxEscaper опубликовал в Twitter информацию об уязвимости в Windows. Она использовала механизм Advanced Local Procedure Call (ALPC) в Windows Task Scheduler и позволяла повышать привилегии в целевой системе. SandboxEscaper опубликовал тогда информацию в Twitter, а позже выяснилось, что уязвимость уже эксплуатируют хакеры.


А на днях тот же SandboxEscaper нашёл другую брешь. Она затрагивает Windows 10, Server 2016 и Server 2019. В Twitter он кратко описал её и приложил ссылку на эксплойт.

Новая 0-day-брешь связана с работой Microsoft Data Sharing. Непосредственно она находится в библиотеке dssvc.dll и может быть использована для повышения привилегий в системе, к которой есть доступ. Но это ещё не всё. Уязвимость позволяет удалять файлы, в том числе те, которые требуют для этого административного доступа. Иначе говоря, можно удалить DLL или другие критически важные файлы системы, заменить их на инфицированные или «следящие» версии, и так далее. На этом настаивает SandboxEscaper.

А другой специалист по безопасности Кевин Бомонт (Kevin Beaumont) заявил, что эта брешь похожа на августовскую. Отмечается, что пока разработчики из Microsoft не закрыли их. А вот программисты из ACROS Security уже предоставили свои микропатчи для обеих уязвимостей. Они добавлены в состав продукта 0patch, поскольку в Редмонде, скорее всего, ничего исправлять не будут до следующего «вторника обновлений», то есть до середины ноября.


Напомним, что в конце сентября в фирменной СУБД от Microsoft была обнаружена брешь. Её нашли специалисты Trend Micro, а сама уязвимость затрагивала базу данных Jet Database Engine и проявлялась на всех десктопных ОС от Windows 7 до Windows Server 2016.





В jQuery File Upload нашли уязвимость, которая угрожает тысячам проектов




Популярный скрипт jQuery File Upload, как оказалось, может содержать в себе опасность для тысяч веб-проектов. Специалист по IT-безопасности Ларри Кэшдоллар (Larry Cashdollar) обнаружил, что он содержит брешь, которая позволяет загружать на целевой сервер различные файлы: установщики бэкдоров, скрипты, веб-оболочки для запуска сторонних программ и так далее.


Плагин jQuery File Upload используется в CMS-платформах, расширениях WordPress и Joomla и других проектах. Кэшдоллар насчитал порядка 7,8 тысяч различных сервисов с ним только на GitHub. В них плагин используется в оригинальном или модифицированном варианте. jQuery File Upload позволяет загружать фото и видео, поддерживает функцию drag-and-drop, загрузку нескольких файлов и другие возможности.

Проблема, как оказалось, тянется с 23 ноября 2010 года и до наших дней. А с 2015 года эта уязвимость активно эксплуатируется хакерами. Суть её проста -- в Apache Web Server версии 2.3.9 разработчики отключили по умолчанию поддержку правил из файла .htaccess. Этот файл хранит разрешения для загружаемых объектов, однако на тот момент было принято решение прописывать данные иначе.

Разработчик Себастьян Чан (Sebastian Tschan), также известный как Blueimp, выпустил обновление jQuery File Upload под номером 9.22.1, которое устранило эту уязвимость. В более ранних версиях скрипт обращается именно к .htaccess за нужными параметрами, потому они считаются небезопасными.


При этом Кэшдоллар заявил, что пока ещё тысячи веб-проектов содержат баг. Для исправления нужно обновить его на всех серверах, подверженных уязвимости, а это потребует ресурсов и времени. По словам специалиста по информационной безопасности, он проверил более тысячи проектов на GitHub, но лишь в 36 случаях уязвимости не было




Исследование: режим Do not track в браузерах не работает





Все современные браузеры используют функцию Do not track (DNT), которая применяется миллионами людей в мире. Её рекламируют Google, Microsoft, Apple и Mozilla, заявляя, что это защищает приватность пользователей. Однако Forrester Research утверждает, что функция попросту не работает.


Суть в том, что переключатель в браузере лишь информирует сайт о том, что не следует отслеживать пользователя. А решение принимает владелец сайта. И если порталы Pinterest и Medium действительно придерживаются этого требования, то Yahoo и Twitter, к примеру, отказались поддерживать эту возможность вскоре после её появления. А целый сонм сайтов -- от Google и Facebook до Pornhub и xHamster попросту проигнорировали эту возможность, собирая данные, как и прежде.

Издание Gizmodo отмечает ироничный факт: в браузере Chrome от Google функция «не отслеживать» присутствует, но поисковый гигант не использует её. При этом многие начинают говорить о необходимости удалить DNT из программ.

«DNT -- это во многих отношениях неудачный эксперимент. Возникает вопрос, а не пора ли объявить о неудаче, вывести эту функцию из браузеров и двигаться дальше?» -- заявил Джонатан Майер, доцент компьютерных наук в университете Принстона.

А Питер Долянски, продакт-менеджер подразделения Mozilla, считает, что отрасль не приняла функцию, но удалять её не стоит, а нужно переработать. В компании заявили, что готовят своё решение, которое не зависит от владельцев сайтов. Подобное готовят и в Apple.


Важно отметить, что эксперты открыто говорят о незаинтересованности рекламной отрасли в DNT. В 2011 году, когда возник прецедент обязать рекламодателей на уровне закона не отслеживать данные пользователей при включённом режиме Do not track, представители компаний были готовы пойти на переговоры, но затем «спустили на тормозах» этот вопрос.

Также есть технические проблемы в виде отсутствия стандарта. Проще говоря, никто не знает, как правильно работать с DNT. Однако сейчас своеобразной альтернативой DNT стали блокировщики рекламы, которые просто «режут» её на страницах





CaPa

что-то как-то много таких глобальных косяков анонсировали. Даже жуткова-то стало.
Надо бы у себя прошерстить всё. 

а с майкрософта я не перестаю удивляться. думал, что уже ничего не удивит, но нет...
Вообще, как сам считаешь, может это специально созданная лазейка?

soner30

ну лазейки создают всегда ,все и вся-это практикуют ! вопрос их доступности  и цели,
сам знаешь на самую хитрою жопу всегда найдется лом ))

CaPa

ну как сказать... если эти лазейки специально спецслужбами разработаны.
какой ещё лом в данном случае? главное что б тебе самом твоим же ломом не вставили )))

soner30

Заплатка против Spectre 2 снижает производительность Linux на значение до 50 %




На что можно пойти, чтобы сделать компьютер более безопасным? Большинство людей, обеспокоенных защитой данных, понимают, что уменьшение рисков связано с какими-то компромиссами, либо в области удобства, либо затрат, либо производительности. Тем не менее, многие пользователи Linux не были готовы к тому, что заплатка против уязвимости Spectre 2 снизит производительность их систем с процессорами Intel на значение до 50 %.

Обновление, о котором идёт речь, было выпущено вместе с ядром Linux 4.20. Оно включает исправление STIBP (Single Thread Indirect Branch Predictors) для исполняющихся в многопоточном режиме процессов (SMT). Заплатка должна предотвращать атаки, основанные на уязвимости Spectre 2, но она также вредит производительности процессоров Intel с поддержкой Hyper-Threading, если эти чипы используют последние обновления микрокода.


Было изначально ясно, что STIBP повлияет на производительность. Тем не менее Линус Торвальдс (Linus Torvalds), который вернулся к штурвалу после краткого перерыва в сентябре, сказал с негодованием: «Нигде в обсуждении я не заметил упоминания о том, насколько негативным оказалось влияние на производительность этой заплатки. Когда скорость снижается на 50 % в некоторых задачах, люди должны начать спрашивать себя, стоит ли использовать подобную ,,защиту"?».

Господин Торвальдс также добавил, что люди, действительно обеспокоенные своей безопасностью, просто полностью отключают технологию SMT. Поэтому текущая ситуация побудила известного разработчика предложить следующее решение для будущей сборки Linux под системы Intel, которое должно успокоить большинство пользователей:

«Я думаю, нам необходимо использовать ту же логику, что и для L1TF: мы по умолчанию используем такие заплатки, которые не влияют на производительность. Нужно предупреждать о таком, а после этого я бы посмотрел на сумасшедших, которые предпочли бы 50-процентное падение производительности, лишь бы решить проблему, носящую всё ещё теоретический характер».


Кстати, господин Торвальдс -- не единственный, кого удивляет эта реализация STIBP. Например, работающий на Intel специалист по безопасности Linux Аржан ван де Вен (Arjan van de Ven) отметил: «В документации AMD официально рекомендует не активировать эту заплатку по умолчанию, и я могу сказать, что и наша позиция в Intel аналогична: данная защита действительно не должна быть активирована по умолчанию». Он добавил, что использование инструмента в «хирургически необходимых» случаях -- это одно, а включать его всегда неверно




Перехват данных платёжной карты возможен во всех банкоматах



Компания Positive Technologies продолжает делиться результатами комплексного исследования, в ходе которого изучалась безопасность распространённых банкоматов.


На прошлой неделе, напомним, сообщалось, что практически все банкоматы таких производителей, как NCR, Diebold Nixdorf и GRGBanking, уязвимы для атак того или иного типа. Киберпреступники, в частности, могут обойти защиту автоматов и похитить денежные средства.

Как теперь отмечается, пострадать от действий злоумышленников могут не только банки, использующие уязвимые устройства, но и рядовые клиенты. Дело в том, что во всех изученных банкоматах теоретически возможен перехват данных платёжной карты.

На банковской карте присутствует магнитная полоса, которая содержит информацию, необходимую для проведения операций. Долгое время преступники использовали физические накладки на картридер -- скиммеры, которые считывали данные непосредственно с магнитной полосы. Однако банки научились защищаться от подобных атак, и киберпреступники начали брать на вооружение новые методы кражи информации с банковских карт.


Так, перехватить данные можно во время их передачи между OC банкомата и картридером. В ходе такой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платёжных карт.

Ещё один метод -- установка специализированной вредоносной программы на банкомат. На проведение подобной атаки преступнику понадобится в среднем 15 минут. Правда, в этом случае требуется доступ в сервисную зону банкомата.




CaPa

Спасибо тебе за новости! теперь +1 новая фобия )


soner30

Внутренние документы Facebook вызвали у парламента Англии множество вопросов относительно конфиденциальности данных




Парламент Великобритании намерен разобраться в политике конфиденциальности данных Facebook, независимо от того, желает ли Марк Цукерберг давать показания или нет. Председатель комитета по цифровой культуре, медиа и спорту (DCMS) Дамиан Коллинз использовал специальный подход, чтобы заставить разработчика Six4Three передать внутренние документы Facebook.



Сообщается, что в этих файлах содержатся детали о решениях Facebook предоставления данных, которые привели к скандалу с Cambridge Analytica, включая электронные письма между руководителями и переписки с Цукербергом.

Six4Three предприняла действия против Facebook после того, как заявила, что сайт был осведомлен о потенциальных последствиях нарушения политики конфиденциальности и намеренно обратил внимание на лазейку, которую использовала Cambridge Analytica для сбора информации. Представители Facebook утверждали, что утверждения «основаны на пустом месте» и что они намерены опровергнуть их в суде.



Согласно приказу калифорнийского суда, публикация файлов на территории США была ограничена. Facebook уже обратилась к комитету Великобритании с просьбой обойтись без рассмотрения документов и вернуть их социальной сети. Но компания Цукерберга фактически не может повлиять на это, поскольку парламент Англии действует под своей юрисдикцией.



Сам Цукерберг не будет давать показания перед международным комитетом на слушании, которое состоится 27 ноября. Вместо него выступит вице-президент Ричард Аллан. Несмотря на это, у правительства Великобритании может возникнуть достаточно вопросов относительно конфиденциальности данных соцсети при подробном изучении всех полученных документов.





soner30

Windows 10 сливает «Историю активности» в облако без разрешения




Вокруг операционной системы Windows 10 от Microsoft снова разгорается скандал. Пользователь Reddit обнаружил, что «десятка» сливает на облачный сервер «Историю активности», также известную как системный журнал. В ней регистрируют абсолютно все действия, происходящие в системе. Самое интересное, что ОС делает это, даже если явно запретить это.


Если зайти в Параметры > Конфиденциальность > Журнал действий, там есть две «галочки»:

Сохранить мой журнал активности на этом устройстве;
Отправить мой журнал активности в Microsoft.
При этом если даже не включать синхронизацию данных с облаком или принудительно дезактивировать эту функцию, система всё равно будет передавать информацию. При этом в учётной записи Microsoft «История активности» отображает сведения от всех приложений и сервисов Microsoft, которые привязаны к этому аккаунту, в том числе с платформы Android, или с других компьютеров или планшетов.

Так что же происходит? По данным издания TechRadar, ситуация довольно запутанная. Дело в том, что настройки конфиденциальности разбросаны по системе, потому не факт, что пользователь отключает их все. Также, по другой версии, слитыми данными могут быть сведения телеметрии, которые обезличены и не привязаны к конкретному пользователю.

Однако ситуация остаётся сложной, поскольку Microsoft явно не желает упрощать пользователям возможность отключения сбора данных. Да, ранее компания заявила, что в последних сборках системы можно просматривать, какие данные отправляются в компанию и самостоятельно корректировать «уровень открытости». Однако проблема, по сути, так и осталась нерешённой.


В TechRadar считают, что Microsoft должна кардинально изменить подход к сбору данных, поскольку подобные открытия явно не способствуют укреплению доверия к компании из Редмонда. Тем более, что в корпорации делают всё, чтобы скрыть подобные действия, что лишь усугубляет ситуацию.

При этом в компании утверждают, что всему виной неправильный выбор названия. Microsoft собирается исправить этот недостаток, переименовать раздел в учётной записи Microsoft






Криптомайнеры продолжают атаковать российских пользователей




Компания Check Point Software Technologies обнародовала отчёт Global Threat Index, в котором представлены результаты исследования ситуации с кибербезопасностью в ноябре текущего года.

Сообщается, что российских пользователей продолжают активно атаковать криптомайнеры -- зловреды, задача которых заключается в скрытой добыче криптовалют. Так, самой активной вредоносной программой в нашей стране по итогам ноября стал майнер Coinhive, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу.


На втором месте в рейтинге зловредов расположился майнер Cryptoloot, использующий мощность процессора или видеокарты компьютера жертвы для добычи криптоденег.

Замыкает тройку модульный бот Andromeda, который применяется злоумышленниками для доставки дополнительных вредоносных программ на заражённые устройства.

В то же время эксперты отмечают, что злоумышленники используют значимые события, такие как праздники, распродажи или крупные спортивные события, чтобы получить незаконную прибыль. К примеру, ботнет Emotet смог войти в Топ-10 рейтинга за счёт нескольких сезонных вредоносных кампаний -- ко Дню благодарения и «Чёрной пятнице».


Если рассматривать сегмент мобильных угроз, то в тройку лидеров вошли вредоносные программы для операционной системы Android. Это, в частности, модульный троян Triada, зловред Hiddad с возможностью демонстрации рекламы и банковский троян Lokibot.





CaPa

"При этом в компании утверждают, что всему виной неправильный выбор названия. Microsoft собирается исправить этот недостаток, переименовать раздел в учётной записи Microsoft"
удручающая тенденция. вместо решения проблемы - просто переименуют.
Берут пример с государства российского, где давно принято на вооружение изменения имён различным ведомствам, но, как мне кажется, проблемы это не решает.

soner30

Хакеры обошли одну из самых сложных систем безопасности



Эксперты в сфере компьютерной безопасности рассказали о том, как хакеры могут легко обходить системы авторизации, основанные на сканировании и анализе подкожных кровеносных сосудов. О том, как это делается, исследователи биометрических систем аутентификации поделились на ежегодном собрании Chaos Communication Congress, традиционно проходившем с 27-го по 29-е декабря и собиравшем вокруг себя специалистов по компьютерному взлому со всего света.
Последние годы устройства и системы безопасности все активнее полагаются на так называемую биометрические методы аутентификации, когда для доступа к компьютерным системам используются программные и аппаратные средства для сканирования уникальных физиологических особенностей человека. Примерами таких систем могут служить те же сканеры отпечатков пальцев, либо технология FaceID, которая используется в смартфонах iPhone для предоставления доступа к устройству по особенностям лица пользователя. Одним из наиболее современных и сложных методов биометрической защиты является так называемая идентификация по рисунку вен ладони, которая, как следует из названия, проводит сканирование размера, форм и расположения подкожных кровеносных сосудов в руке пользователя. Но как оказалось, хакеры смогли обойти и его.
Биометрические системы безопасности -- не панацея
На проходившем на этой неделе в Германии ежегодном Всемирном конгрессе хакеров специалисты по исследованию систем цифровой безопасности рассказали, как им удалось создать из воска искусственную руку и обмануть с помощью нее систему сканирования подкожных кровеносных сосудов.
Цитировать«Ирония заключается в том, что подобный метод авторизации позиционируется в качестве высококлассной и передовой системы безопасности. Но вам необходимо всего лишь немного модифицировать обычную камеру, использовать кое-какие довольно дешевые материалы, а затем без проблем ее взломать», -- говорит Ян Крисслер, более известный в хакерских кругах под псевдонимом «starbug», который вместе с другим специалистом по взлому компьютерных систем, Джулианом Альбрехтом, проводил исследование метода идентификации по рисунку кровеносных сосудов.
Метод идентификации по карте кровеносных сосудов использует алгоритмы, которые сравнивают рисунок вен на руке пользователя с содержащейся в базе данных эталонной информацией об этом человеке. Согласно последним данным немецких СМИ, такая система используется, например, в новом берлинском офисе Федеральной разведывательной службы Германии.
Пара слайдов, которые были показаны Крисслером в ходе его презентации
Одна из особенностей системы авторизации на основе метода сканирования подкожных кровеносных сосудов, выделяющая ее на фоне метода, скажем так, более традиционной системы сканирования отпечатков пальцев заключается в том, что хакеру сложнее вычислить структурные особенности карты кровеносных сосудов пользователя под кожей. Если речь идет об отпечатках пальцев, то получить их дубликат гораздо проще. Например, образец отпечатка можно получить из следов, оставленных на предметах, к которым прикасался человек, либо с помощью качественных фотографий пальцев.
Крисслер и Альбрехт создали свой имитатор ладони на базе фотографий своих собственных рук. Для получения образца карты кровеносных сосудов они использовали обычную однообъективную зеркальную камеру с демонтированным инфракрасным фильтром.
Цитировать«Вполне хватит снимков ладоней, полученных с расстояния около 5 метров. Для создания меньших подозрений у жертвы такие снимки можно легко получить, например, на пресс-конференции этого человека», -- объясняет Крисслер.
В общей сложности за 30 дней исследований Крисслер и Альбрехт получили более 2500 фотографий рук, отобрав в итоге наиболее удачные варианты для максимальной эффективности. После этого хакеры отлили из воска модели ладоней, а затем нанесли на их поверхность карту кровеносных сосудов.
Цитировать«Когда мы впервые обманули систему авторизации, я очень удивился тому, насколько это оказывается просто», -- добавляет Крисслер.
Выводами своей работы Крисслер и Альбрехт поделились с компаниями Fujitsu и Hitachi. Со слов Крисслера, в Hitachi очень заинтересовались исследованием и даже отправили своих сотрудников обсудить его детали. Fujitsu в свою очередь пока никак не отреагировала на сообщение и запросы.
Следует понимать, что Крисслер и Альбрехт занимались этим исследованием всего около месяца. Таким образом, при наличии достаточного финансирования и ресурсов вероятный противник мог бы повторить результаты этих исследований, переведя их на новый масштаб. Опасений добавляет тот факт, что объекты, которые защищаются подобными системами безопасности, как правило являются крупными транснациональными корпорациями, а также правительственными и в том числе военными организациями, которые могут представлять большой интерес со стороны государств-оппонентов.
Цитировать«Биометрика - это непрекращающаяся гонка вооружений. Производители стараются постоянно улучшать свои системы безопасности, а хакеры всегда возвращаются и пытаются эти системы взломать», -- подытоживает Крисслер.


soner30

Эксперты считают, что шифровальщик WannaCry не уничтожен



После атаки шифровальщика WannaCry прошло уже полтора года. На данный момент вирус остановлен благодаря специалисту по информационной безопасности Маркусу Хатчинсу (Marcus Hutchins), который зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Именно это доменное имя с длинным и бессмысленным названием было обнаружено исследователем в коде вредоносной программы, и его регистрация позволила остановить распространение шифровальщика, который регулярно слал запросы к упомянутому домену. Однако, как оказалось, не всё так просто.


По данным коллег Хатчинса из компании Kryptos Logic, WannaCry не уничтожен, а просто ждёт. Сейчас его сдерживает «аварийный рубильник», но, если домен отключат, начнётся новая волна. Эксперты заявили о 17 миллионах запросов к домену каждую неделю, которые идут с 630 тысяч уникальных IP-адресов из 194 стран.

Больше всего заражённых компьютеров находится в Китае, Индонезии и Вьетнаме. Россия располагается на пятом месте. По данным «Лаборатории Касперского», в третьем квартале 2018 года на WannaCry пришлось 29 % всех атак вымогателей. Иначе говоря, в случае блокировки домена, сбоев или чего-то ещё, начнётся новая массированная атака.

Отметим, что в прошлый раз сильнее всего пострадали компании в России, Украине и Тайване. В частности, были затронуты компьютеры «Сбербанка», «МегаФона», РЖД, МВД и МЧС. Шифровальщик атаковал Windows 7, 8 и 8.1. Как оказалось, на Windows 10 его обезвреживал встроенный антивирус Microsoft. При этом другие защитные компоненты ОС почти всегда пропускали WannaCry.

В других странах пострадали автомобильные концерны Renault и Nissan, банкоматы в Китае, интернет-провайдеры Испании и Португалии, аэропорты и так далее. В целом, ущерб был нанесён весьма значительный.



CaPa

"оказалось, на Windows 10 его обезвреживал встроенный антивирус Microsoft."
Что ж это за вирус такой, который может обойти такую защиту от Microsoft ? :)


Как я себе представляю защиту Винды:

Вам недоступны вложения в этом разделе.


Вверх