Новости про безопасность и Интернет и сети

По информации US-CERT, вирус Backoff способен: размещаться в памяти для считывания данных с платёжных карт, что позволяет хакерам получать номера карт, а также выпускать поддельные карты; вести журналы нажатия клавиш; выполнять команды управления, отправлять выявленные данные, обновлять ПО, загружать и выполнять другие вредоносные программы, а также деинсталлироваться; встраиваться в explorer.exe, чтобы в случае сбоя компоненты вируса автоматически перезапускались.

«Преступники получили первичный доступ через системы удалённого доступ, установленные на многих POS системах в целях поддержки и устранения проблем», — заявил Карл Синглер, менеджер по интеллектуальным угрозам. Некоторые из этих систем удалённого доступа включают Microsoft Remote Desktop, Apple Remote Desktop, Chrome Remote Desktop, Splashtop 2, Pulseway и Join.Me от LogMEIn.

После этого хакеры осуществляют брут-форс атаку на систему удалённого доступа, а раскрыв пароль, размещают на терминале оплаты вредоносное ПО.

Синглер отметил, что под удар попали более 600 предприятий, в основном торгующих едой и напитками. При этом в US-CERT заявил, что сейчас большинство антивирусов не способны выявить угрозу, поэтому рекомендуется обновлять ПО терминалов до последней версии.

В своём блоге Tor Project написал, что они выявили группу, которая передавала данные о попытках деанонимизации пользователей, особенно тех, которые работали со скрытыми сервисами Tor. В настоящий момент не ясно, какие данные удалось перехватить атакующим.

Сейчас остаётся без ответа очень много вопросов. Однако разработчики анонимной сети, по крайней мере, могут собрать воедино массу сведений о произошедшем. Они сообщили, что атакующие модифицировали заголовки протокола Tor, чтобы произвести атаки с подтверждением траффика.

«Хакеры получили доступ к сети 30 января этого года, и мы удалили их из сети 4 июля. Пока мы не знаем, когда они начали совершать атаки, однако пользователи, которые пользовались скрытыми сервисами с начала февраля до 4 июля, могут пострадать», — говорится в заявлении разработчиков.

К сожалению, что понимается под словом «пострадать», пока не известно. Известно, что взломщики искали пользователей, которые предоставляли дескрипторы скрытых сервисов сети, однако, скорее всего, хакеры не могли видеть трафик на уровне приложений (например, какие страницы были загружены).

Возможно, атакующие хотели выявить людей, публикующих дескрипторы, чтобы определить физическое расположение этого сервиса.

Уязвимость позволяет атакующим отключить продукты безопасности Microsoft, разместив на компьютере жертвы специально подготовленный файл, заставив скачать его из Интернета, отправив по почте или через сервис мгновенных сообщений.

Уязвимость находилась в движке защиты от вредоносного ПО, который является основой для многих продуктов безопасности Microsoft для настольных систем и серверов. Он входит в такие приложения как Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection и Windows Defender, которые поставляются с предустановленными операционными системами Windows Vista и более новыми.

Сам же софтверный гигант отметил «важность» этой уязвимости, что значит, что она может быть использована для доступа к данным или ресурсам процессора пользователя, однако для этого пользователю необходимо «помочь» злоумышленнику.

В случае если хакеру удалось достичь своей цели, Microsoft Malware Protection Engine прекращает мониторинг повреждённой системы. В целом, получить доступ к компьютеру оказывается достаточно сложно, поэтому случаев использования данной бреши в системе безопасности пока не зафиксировано.

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.

Исследовательская фирма FireEye утверждает, что в мире было загружено порядка 150 миллионов приложений для Android, уязвимых к ошибке Heartbleed. И что ещё хуже, в Google Play полно уязвимых приложений, которые никак не сортированы, а значит, вам будет крайне неудобно узнавать, уязвима ли ваша любимая программа.

 «Приложения Android часто используют родные библиотеки, которые напрямую или косвенно касаются уязвимых библиотек OpenSSL», — отмечают исследователи. «Поэтому, несмотря на то, что платформа Android не подвержена уязвимости сама по себе, взломщики по-прежнему атакуют её уязвимые приложения. Они могут украсть сетевой трафик, перенаправить приложение на вредоносный сервер и затем послать приложению поддельное подтверждение heartbeat, чтобы украсть важный контент из памяти».

10 апреля специалисты FireEye установили, что уязвимые приложения были загружены 220 миллионов раз, однако спустя неделю их количество уменьшилось до 150 миллионов. Так что не всё плохо, есть и хорошие новости. Похоже, что авторы приложений достаточно быстро исправляют свои программы, делая их безопасными к Heartbleed.

В недавней статье Bloomberg «источник близкий к происходящему» заявил, что АНБ «регулярно использовало ошибку для получения критично важных сведений», в то же время никак не предупреждая о ней разработчиков OpenSSL.

«Поместив ошибку Heartbleed в свой арсенал, АНБ могла добывать пароли и прочие основные данные, которые составляли блоки превосходных операций хакеров, стоящих в основе его миссии, однако ценой миллионов обычных пользователей, которые оказались уязвимыми к атакам прочих государственных разведывательных структур и криминальных хакеров».

В дирекции Национального разведывательного совета США опровергли данные сведения, заявив, что федеральное правительство ничего не знало о Heartbleed, пока об ошибке не сообщили исследователи в области безопасности. Там пояснили, что федеральные агентства скорее заинтересованы в выявлении уязвимостей, чем в сохранении их для разведывательных целей, поскольку этот подход полностью соответствует позиции «абсолютной национальной безопасности».

В дирекции сослались на таковые рекомендации Белого Дома, сообщив, что они называются Vulnerabilities Equities Process (что можно перевести как «обычный процесс работы с уязвимостями»), которые направлены на выявление ошибок подобных Heartbleed.

Единственной возможностью для этого является встраивание в компьютер крошечного передатчика. При этом он должен быть действительно маленьким, чтобы уместится в такое устройство как, например, кабель USB. Затем, собрав информацию, АНБ может инициировать передачу данных по радиоканалу на расстояние до 8 миль, передавая необходимые сведения за миллисекунды. Издание сообщает, что с 2008 года, когда данная программа была внедрена, были перехвачены около 100 000 компьютеров, для внедрения необходимых микросхем.

Программа, названная Quantum, требовала физического доступа к оборудованию, за которым планировалась слежка, однако, как нам теперь известно, получить доступ к компьютерам было предельно просто, перехватив поставку аппаратного обеспечения.

По уверениям New York Times, все 100 000 компьютеров, подверженных модификации, не распространялись на собственный рынок США. Целью АНБ были военные ведомства России и США, наркокартели, европейские торговые институты и такие страны как Саудовская Аравия, Индия и Пакистан.

В прошлом году это соотношение было практически равно единице, но в этом году автоматизированные системы сгенерировали на 20% больше данных, чем люди. Исследователи, проанализировав данных из сетей 20 тысяч своих клиентов, сделали заключение, что в 2013 году за 61,5% трафика ответственны боты. Остальные 38,5% интернет-трафика создано людьми.

И такое разделение может говорить о проблеме. Хотя большинство ботов являются лишь различными сборщиками информации, например пауками поисковых систем, пытающихся проиндексировать веб-ресурсы, всё же треть трафика созданного ботами носит подозрительный характер.

Другой важной особенностью активности ботов стало уменьшение количества ботов-спаммеров, которые оставляли рекламные ссылки в комментариях и на форумах. Однако после того как их количество резко сократилось им на смену пришли боты «самозванцы другого вида». Эти самозванцы, по данным Incapsula, включают агентов по сборке маркетинговых данных, инструменты DDoS и прочие программы, занимающие канал связи и препятствующие нормальному функционированию веб-ресурсов.

Исполнительный директор Yahoo Марисса Майер написала в своём блоге о том, что её компания никогда не даст доступ к своим ЦОД агентству национальной безопасности или какому-то другому правительственному агентству. Это означает, что если какой-либо трафик и был прослушан правительством, то это было сделано незаконно. Она сообщила, что для того, чтобы сделать системы Yahoo более безопасными, её компания ввела SSL шифрование с использованием 2048-битного ключа в Yahoo Mail. Ожидается, что данная мера будет введена в действие 8 января 2014.

Кроме того Yahoo планирует начать шифровать всю информацию, передаваемую между ЦОД компании к концу первого квартала 2014 года. Первой, сообщившей о прослушивании правительством инфраструктуры Кремниевой Долины, была газета Washington Post, которая ссылалась в своей статье на утекшие сверхсекретные документы, предоставленные Эдвардом Сноуденом.

Вчера с нами связался представитель компании TP-Link и сообщил, что данные проблемы известны компании, и что в большинстве случаев они уже решены.

Поддержка TP-Link распространила следующее заявление: «Компания TP-LINK устранила уязвимость, обнаруженную в безопасности нескольких моделей устройств, при которой потенциальный злоумышленник получал возможность менять вышестоящий DNS-сервер пользовательского маршрутизатора, вследствие чего, при посещении пользователем подверженного риску веб-сайта он перенаправлялся на контролируемый злоумышленником IP-адрес. Данная уязвимость могла позволить злоумышленникам совершать атаки на пользовательские сети».

Компания решила проблему потенциально уязвимых устройств посредством выпуска нового программного обеспечения, уменьшающего возможность вероятного влияния на работу маршрутизаторов со стороны хакеров. Был применён новый механизм безопасности, который проверяет поле реферера для предотвращения атаки с поддельными межсайтовыми запросами.

Нынешнее состояние дел таково:

• Для TL-WR741ND проблема была решена в апрельской прошивке, когда незадолго до этого была выявлена схожая уязвимость. Версии прошивок 130325 и 130419 не имеют уязвимостей.
• TP-LINK WR1043ND V1 вплоть до прошивки версии 3.3.12 build 120405 уязвим (версия 3.3.13 build 130325 и поздние неуязвимы)
• TP-LINK TL-MR3020 прошивки версии 3.14.2 Build 120817 Rel.55520n и 3.15.2 Build 130326 Rel.58517n уязвимы (но не подвержены риску в конфигурации эксплоита по умолчанию). Новая версия build 130929 неуязвима.
• TL-WDR3600 прошивки версии 3.13.26 Build 130129 Rel.59449n и 3.13.31 Build 130320 Rel.55761n уязвимы (но не подвержены риску в конфигурации эксплоита по умолчанию). Новая версия build 130909 неуязвима.

Для предотвращения возможного проведения сетевых атак компания TP-Link рекомендует обновить прошивки для своих маршрутизаторов, что можно сделать по следующим ссылкам:

TL-WDR3600: http://www.tp-link.com/en/support/download/?model=TL-WDR3600&version=V1#tbl_j

TL-MR3020: http://www.tp-link.com/en/support/download/?model=TL-MR3020&version=V1#tbl_j

TL-WR1043ND V1 http://www.tp-link.com/en/support/download/?model=TL-WR1043ND&version=V1#tbl_j .