Новости про атака и Интернет и сети

В инженерном блоге ресурса сообщается, что 28 февраля GitHub.com был в офлайне с 17:21 до 17:26 (по Всемирному координируемому времени), и сразу же снова «упал» с 17:26 до 17:30.

По данным ресурса, первая атака достигала максимальной плотности в 1,35 Тб/с, в то время как вторая достигла плотности 400 Гб/с. Это делает её крупнейшей атакой за всё время. До этого самой мощной была DDoS атака на скорости 1,1 Тб/с.

Отмечено, что атака была произведена десятками тысяч распределённых уникальных точек. При достижении пика в 1,35 Тб/с скорость передачи пакетов составила 126,9 миллиона за секунду.

В GitHub отметили, что атака подобного рода может генерировать огромные объёмы траффика со спуфированием IP адресов, что позволяет откликам нацеливаться на другие адреса, как те, что обслуживают GitHub.com, и направлять больше данных на цель, чем необходимо было бы источнику без спуфа. В данной атаке коэффициент усиления составил 51000. Это значит, что каждый байт, отправленный атакующим, превращался в 51 КБ трафика на сервере GitHub.

При этом сайт отметил, что никакого риска для пользователей она не несёт, а конфиденциальность и целостность пользовательских данных не пострадала.

Чтобы защитить ресурсы от атак подобного рода компания Google создала специальный инструмент под названием «Project Shield», который и предотвращает атаки на вашу сеть с использованием перенаправленного через серверы Google трафика.

Данный проект предлагается в качестве бесплатного инструмента, который нацелен на фильтрацию настоящего трафика, от вредоносного.

Однако инструмент Sheild не будет доступен повсеместно. Поисковый гигант предлагает его лишь новостным ресурсам, а также организациям, занимающимся мониторингом деятельности политиков и соблюдения прав человека. Это значит, что отдельные блогеры, предприятия и игровые сервисы не смогут получить доступ к Project Shield. Кроме того, чтобы воспользоваться сервисом, сайту необходимо использовать утилиту, позволяющую слушать трафик и определять его тип, чтобы осуществлять эффективную фильтрацию вредоносных пакетов.

Ошибка была обнаружена в системе ZynOS, которая была разработана ZyXEL и применяется как в продуктах самой ZyXEL, так и устанавливается на свой страх и риск энтузиастами на изделия от других производителей, включая TP-Link, ZTE и D-Link.

Для подтверждения выявленной проблемы был продемонстрирован взлом роутера D-Link DSL2740R, который провела болгарская группа «белых» хакеров под названием Ethical Hacking.

Ошибка в программе приводит к тому, что для внесения изменений в настройки не требуется даже соответствующий уровень доступа. Хакеры просто получили доступ к странице удалённой настройки роутера, также можно получить и доступ к локальной сети. Вредоносный код, исправленный прямо в браузере пользователя, можно использовать для проведения атаки через интерфейс и отправлять сообщения определенному IP адресу.

Это звучит как просто невозможный факт, но ведь раньше уже похожая проблема с роутером выявлялась, причём произошло это чуть больше года назад, в октябре 2013. Также в марте 2014 года была проведена атака по схеме мажсайтовой подделке запроса. Тогда Team Cymru выявила данную проблему на примере целой «зомби сети».

p.s. Прошивки от сторонних производителей действительно могут быть установлены в некоторые устройства D-Link (как в случае с установкой ZynOS на роутер), но при этом компания D-Link не несет ответственности за работоспособность модифицированного таким образом устройста, и более того, такое устройство снимается с гарантии, о чем указано на официальном сайте компании. И хотя это обычная практика гарантийного сопровождения устройств, энтузиастам не лишне будет об этом помнить, приступая к модификации (перепрошивке) устройств.

По информации Forbes, брешь была выявлена на первой неделе декабря, и об этом сообщил персоналу старший вице-президент компании и старший информационный директор Боб Уоролл в электронном письме.

Он сообщил персоналу, что IT команда предприняла «всесторонние меры» для повышения безопасности с момента выявления бреши и предотвратила подобные атаки в будущем. Он предупредил персонал о необходимости контроля за своими банковскими счетами и платежами, а также о необходимости информировать полицию в случае подозрения, что они стали жертвами воров, и остерегаться фишинговых писем.

Директор также посоветовал всем пользователям менять свои пароли и избегать использования одинаковых паролей для более чем одного аккаунта.

Основываясь на письме, разосланном Уороллом, в Forbes предположили, что атака стала результатом фишинговой схемы, т. е. кто-то смог использовать пароль, полученный у одного из сотрудников компании обманным путём.

Версии RomPager вплоть до 4.34 содержат критическую ошибку, которая позволяет хакерам отправить HTTP куки файлы, которые повреждают память устройства и передают административный доступ, позволяя атакующим удалённо контролировать трафик пользователей и даже больше.

Из-за ошибки в коде RomPager, допущенной разработчиками из AllegroSoft, хакеры могут читать простой текстовый трафик пользователей, проходящий через роутер, а также, вероятно, выполнять и другие действия, включая подмену настроек DNS и мониторинг или управление веб камерами, компьютерами и прочими подключенными устройствами.

Исследователи назвали данную уязвимость «Misfortune Cookie» и сообщили, что уязвимость имеет высокий уровень опасности, поскольку может повлечь утечку персональных и деловых данных либо инфицировать компьютеры в Сети. Полный перечень уязвимых моделей роутеров приведён в этом PDF документе.

В своём блоге Tor Project написал, что они выявили группу, которая передавала данные о попытках деанонимизации пользователей, особенно тех, которые работали со скрытыми сервисами Tor. В настоящий момент не ясно, какие данные удалось перехватить атакующим.

Сейчас остаётся без ответа очень много вопросов. Однако разработчики анонимной сети, по крайней мере, могут собрать воедино массу сведений о произошедшем. Они сообщили, что атакующие модифицировали заголовки протокола Tor, чтобы произвести атаки с подтверждением траффика.

«Хакеры получили доступ к сети 30 января этого года, и мы удалили их из сети 4 июля. Пока мы не знаем, когда они начали совершать атаки, однако пользователи, которые пользовались скрытыми сервисами с начала февраля до 4 июля, могут пострадать», — говорится в заявлении разработчиков.

К сожалению, что понимается под словом «пострадать», пока не известно. Известно, что взломщики искали пользователей, которые предоставляли дескрипторы скрытых сервисов сети, однако, скорее всего, хакеры не могли видеть трафик на уровне приложений (например, какие страницы были загружены).

Возможно, атакующие хотели выявить людей, публикующих дескрипторы, чтобы определить физическое расположение этого сервиса.

Специалисты IT активно работали над заплаткой уязвимости в OpenSSL и их старания увенчались успехом. Исследовательская фирма Sucuri проверила миллион самых посещаемых сайтов Интернета в поисках уязвимости Heartbleed. Коммерческий директор Sucuri Даниель Сид в своём блоге написал, что спустя 10 дней активной работы над устранением уязвимости, он ожидал, что каждый сервер получит патч.

Для подтверждения своих догадок компания просканировала миллион самых популярных ресурсов в списке Alexa. Компания выяснила, что самая популярная в мире 1000 сайтов уже пропатчена соответствующим образом, и лишь 0,53% из популярнейших 10 тысяч ресурсов по-прежнему уязвимы. Среди менее популярных и меньших сайтов, количество незалатанных серверов составило 2%.

И хотя 2% выглядит очень маленькой долей, в натуральном измерении это около 20 тысяч популярных сайтов, которые по-прежнему уязвимы перед Heartbleed.

Когда Хеффнер анализировал файл прошивки одного из роутеров компании он обнаружил, что в нём есть прописанная система авторизации. В общем, изменив строку пользовательского агента в браузере на «xmlset_roodkcableoj28840ybtide», вы можете получить полный доступ к вэб интерфейсу маршрутизатора без необходимости ввода имени пользователя и пароля.

Примечательно, что данный бэкдор не является ошибкой программирования. В коде прошивки, после написанного бэкдора, идёт комментарий «отредактировано 04882 joel backdoor». Скорее всего это значит, что программист компании по имени Джоель преднамеренно включил в прошивку возможность несанкционированного доступа.

«Моё предположение таково, что разработчики поняли, что некоторые программы/службы нуждаются в возможности автоматически менять настройки устройств», — написал в отчёте Хеффнер. В результате анализа в компании узнали, что сервер уже имеет всё необходимое для реализации этой задумки, причём неважно, где находится сервер. «Единственной проблемой, — по словам автора, — было требование ввода логина и пароля сервера, которые конечный пользователь мог поменять. И потом в момент просветления Джоель подпрыгнул и сказал: „Не беспокойтесь, у меня есть хитрый план!“».

Данный код был обнаружен во множестве старых моделей роутеров D-Link, включая DIR-100, DI-524 и DI-524UP, DI-604S, DI-604UP и DI-604+, а также TM-G5240. Кроме этого уязвимость содержится и в массе роутеров, основанных на аппаратном обеспечении D-Link, но производимых третьими компаниями. Также уязвимой считается и модель DIR-615, продаваемая некоторыми провайдерами под собственными брендами.

Новые роутеры также могут иметь подобные бэкдоры, однако их триггеры работают по-иному, а потому, они пока не обнаружены.

Они считают, что самым слабым местом в сетевой безопасности являются пароли, поскольку людям приходится запоминать длинные сложные комбинации знаков для каждой учётной записи. Надо признать, что в большинстве случаев люди используют одинаковые или похожие пароли для всех учётных записей. Конечно, проведение ликбезов в этой области важно, но это не выход из ситуации.

Решение же проблемы Google видит в использовании маленьких USB ключей, которые хранят ваши онлайн идентификаторы.

Суть в том, что физическое устройство не только позволяет хранить множественные пароли, как для вэбсайтов, так и для входа в ОС, но его также тяжелее скопировать. Сейчас злоумышленник может украсть ваши пароли, находясь на другом конце Земли, однако он не сможет добраться до вашего кармана, где лежит USB брелок.

В январе компания Google обещает выпустить документа, в котором отдел безопасности компании раскроет способы реализации таких брелков и расскажет о протоколе работы этих устройств для аутентификации пользователей.

Также команда разработчиков занята работой над модификацией браузера Google Chrome, для обеспечения его работы с YubiKey, криптографической USB картой, которая уже может использоваться для менеджмента паролей. Однако после проведенных модификаций браузер от Google сможет работать с YubiKey автоматически, без дополнительной настройки.

В будущем же в Google хочет видеть ещё более простые и беспроводные средства ауентификации, которыми могут стать сотовые телефоны или даже кольца на пальцах.

При этом согласно их недавнему отчёту об интернет безопасности, сайты религиозной или идеологической тематики имеют в среднем в три раза большее число «угроз», чем сайты, предоставляющие контент для взрослых.

В отчёте сказано: «Интересно отметить, что сайты предоставляющие взрослый/порнографический контент не входят в топ пятёрку, но всё же в десятке. Мы полагаем, что причиной тому служит то, что владельцы порнографических вебсайтов уже зарабатывают на интернете и, как следствие, крайне заинтересованы в сохранении их сайтов свободными от вредоносного ПО; это не хорошо для ведения бизнеса».

Отчёт был основан на информации, собранной за прошлый год Symantec Global Intelligence Network, осуществлявших мониторинг кибернетических атак в более чем 200 странах посредством собственных служб и средств.

В Symantec утверждают, что в 2011 году компания заблокировала 5,5 млрд. атак, что на 81% больше, чем в 2010 г.

Учитывая тенденции других фирм, занимающихся безопасностью в интернете, Symantec сообщает о резко возросшем количестве атак, направленных на смартфоны и планшетные ПК, а также об атаках направленных на работников компаний или правительственных агентств.

При этом всё больше и больше устройств повседневного использования оснащаются центральными универсальными процессорами и имеют подключение к Интернету, благодаря чему к своему названию они получают префикс «смарт». Однако у любой медали есть две стороны, а значит, все подобные устройства подвергнуты такому же риску инфицирования, как и любой другой компьютер.

Согласно недавнему исследованию Луиджи Ориемма (Luigi Auriemma) установлено, что смартТВ, в частности от Samsung, имеют широкий спектр всевозможных уязвимостей. Другой эксперт безопасности, Габриель Менезес Нунес (Gabriel Menezes Nunes), также заинтересовавшись подобными рисками, нашёл брешь в обороне телевизоров Sony Bravia. Утверждается, что обе найденные уязвимости могут быть использованы для серьёзного нарушения в работе экрана телевизора, делая его практически бесполезным.

Безопасность работы подключаемого к Сети бытового оборудования не может быть проконтролирована, поэтому производители должны в срочном порядке исправить сложившуюся ситуацию. Конечно, армия ботнетов из бытовых приборов не выглядит устрашающе, но кому на самом деле хотелось бы узнать, на что способны полчища зомби из бывших смарт телевизоров, смарт стиральных машин и смарт холодильников?

Чтобы вы имели представление, стоит отметить, что за всю свою историю лаборатория Panda выявила 88 миллионов образцов вредоносного ПО. Таким образом, лишь за прошлый год было выявлено одна треть всех угроз. В пересчёте можно сказать, что каждый день на земле писалось 73 тысячи вирусов, что на 10 000 больше чем в 2010-м году.

Если распределить выявленные угрозы по типам, то в 2011 году доминирующими были трояны, заняв 73%. Трояны показали значительный рост с 2009 г., когда их доля составляла 56% и 2010-го, когда троянов было 60% среди прочего вредоносного ПО. В прошлом году количество вирусов в «пироге» вредного ПО составило 14%, а червей лишь 8%. Рекламное и шпионское ПО в сумме заняло 3%.
Самыми крупными странами, подверженными инфекции были Китай, где 60% всех компьютеров были заражены угрозами различного типа. Второе и третье место заняли Таиланд с 56% и Тайвань, в котом проникновение вредоносного ПО составило 52% компьютеров. Это очень сомнительное достижение, поскольку эти страны практически вдвое превышают среднемировой уровень заражения, который составляет 38,49%.

Прошлый год также знаменовался большим количество хакерских атак и кибервоин, которым подверглось большое количество компаний, однако наиболее памятной в этом плане оказалась Sony. Правительства разных стран тоже подверглись атакам, а создание подразделений по борьбе с киберпреступностью стало нормой для многих государств. Кроме того специалисты Panda Labs отмечают, что укоренилась тенденция распространения вредоносного ПО посредством социального медиаконтента.