Новости про безопасность

По данным немецкой компании Cyscon GmbH, которая специализируется на выявлении и снижении рисков кибер угроз, пользователи большинства стран Европы полагаются на необновлённые обозреватели Сети, что может вытекать в массу возможностей для хакеров.

Фирма создала интерактивную карту, которая показала в пропорциях количество людей в каждой стране, которые имеют в браузерах устаревшие плагины и надстройки при наличии к ним патчей.

По данным статистики Cyscon, европейской страной, где пользователи наиболее обеспокоены актуальностью своего браузера и дополнений к нему, стала Голландия. Так, в Нидерландах на 51% компьютеров имеется хотя бы один плагин, который требует обновления.

Наихудшим образом ситуация с обновлением обстоит на Фарерских островах, где все обозреватели Сети имеют устаревшие дополнения. Однако это датская автономия, а вот из независимых стран наихудшим образом дела обстоят в Хорватии, где 97% ПК требуют обновлений плагинов. За ней следует Молдова с 94%, Сербия и Беларусь с 86%, а также Германия с 80%. Россия оказалась примерно в середине списка с 76% браузеров с устаревшими плагинами.

Таким образом, исследование демонстрирует, что в Европе не существует государства, где хотя бы половина компьютеров не имела бы устаревших дополнений к обозревателям Сети.

Компания TrapX заявляет, что инфицированные сканеры, сделанные нераскрываемым производителем, расположенным в провинции Шандон, были проданы восьми другим неназываемым фирмам, включая большие компании, занимающиеся робототехникой. Сам же производитель отрицает, что в самом сканере или в ПО для сканирования, выложенным на сайте, имеется шпионский модуль.

Шестнадцать из 48 сканеров, поставленных одной компании, были инфицированы. Они все были успешно найдены и выявлены хост имена, содержащие слова о финансах, и выдающие логистические и финансовые данные.

В отчёте сказано: «Было выявлено просачивание всех финансовых данных и данных о планировании, предоставляя атакующим полную информацию о ситуации и видимость о всей общемировой логистике и поставках компании».

В TrapX считают, что атака, получившая название Zombie Zero, была заказана китайским правительством и была нацелена на логистическую информацию каждой фирмы, приобретающей эти сканеры.

Виной всему оказалась служба операционной системы Android под названием Preferred Network Offload (PNO), которая позволяет телефону искать и подключаться к WiFi сетям, даже при выключенном экране устройства. В результате устройство меньше теряет заряд и снижает трафик через мобильные сети.

Оказалось, что устройство с включённым PNO и не подключенной к какой-либо WiFi сети может быть перехвачено кем угодно посредством этого же канала связи. После чего хакеры могут прочесть список последних доступных 15 сетей (SSID). Эти сети должны иметь названия, записанные простым текстом латиницей. Чтобы SSID сети попал в список, службе достаточно лишь опросить имя, но не подключаться к сети. Собрав эти данные воедино, и наложив их на существующую карту WiFi сетей, можно составить точный маршрут, по которому перемещался телефон.

У такого способа взлома есть и недостатки. Дело в том, что очень часто точки доступа имеют одноимённые названия с провайдером интернета, моделью маршрутизатора либо по названию сетевого кафе (например, McDonald’s). Однако в памяти устройства сохраняется не только имя сети, но и MAC адрес роутера, так что приложив немного больше усилий, можно провести точную идентификацию.

Представитель Google по этому поводу сообщил EFF: «Мы относимся к безопасности данных о местоположении наших очень серьезно, и мы всегда рады быть предупреждёнными о потенциальной ошибке как можно раньше. И хотя изменение в этом поведении потенциально приведёт к тому, что пользователи не смогут подключиться к скрытым точкам доступа, мы продолжаем изучать, что нам стоит изменить в будущем релизе».

Недавнее исследование, проведённое Avast, должно заставить вас дважды подумать о возможности продажи своего старого Android смартфона. Для исследования безопасности такой сделки компания приобрела на eBay 20 б/у телефонов под управлением Android и решила изучить их на предмет наличия данных от предыдущего владельца.

Результаты оказались пугающими. Среди восстановленных со смартфонов данных были выявлены порядка 40 тысяч фотографий (а на некоторых из них были люди без одежды), 750 электронных писем и текстовых сообщений, 250 имён и адресов и даже приобретённые приложения. Также сообщается, что один из телефонов имел некоторое ПО связанное с безопасностью, однако именно это устройство и предоставило исследователям наиболее уязвимую информацию, связанную с бывшим владельцем.

Инженеры Avast не только установили предыдущего владельца устройства, они получили доступ к его учётной записи в Facebook, установлено, в каких местах он использовал GPS данные и найдена контактная информация о более чем десяти его самых близких друзьях и членах его семьи. Также было выявлено, что он был любителем различных материалов «для взрослых».

И да, все эти сведения добыты из телефонов, которые подверглись процедуре полной очистки и сбросу к заводским установкам.

Основная проблема заключается в том, что удаляемый файл на самом деле остаётся на месте, а удаляются лишь ссылки на эти данные, например, из файловой таблицы накопителя, а эта зона помечается как свободная. И пока данные не будут перезаписаны новыми, они остаются доступными. Производители накопителей как правило предусматривают возможность перезаписи пустого места на диске случайными данными, но вот в Google, похоже, этим решили не заморачиваться.

Конечно, Avast не просто так опубликовала это исследование. Сейчас она рекламирует свои программы в области безопасности, которые теперь позволяют полностью удалять данные с телефонов.

Уязвимость находится в Android KeyStore, которая является крайне важной зоной ОС, ответственной за хранение криптографических ключей и прочих важных сведений. Уязвимость была выявлена исследователями IBM, которые смогли использовать ошибку и выполнить вредоносный код, который извлёк ключи, используемые для банкинга и прочих важных приложений, служб VPN и PIN кодов или сканов отпечатков пальцев, использующихся для входа в систему. Уязвимость существовала незамеченной некоторое время, но компания Google исправила её в KitKat. Однако старые версии ОС, которые занимают 86,4% рынка, не получили исправлений.

Следует отметить, что брешь не так-то просто использовать. Атакующим потребуется заставить пользователя установить специальное приложение, которое должно обойти все прочие схемы защиты. При этом исследователи отмечают, что уязвимость по-прежнему остаётся опасной, поскольку способна привести к потере наиболее важных ресурсов, хранящихся в Android ОС.

Так, авторы этого ПО будут убеждать вас в его необходимости, а глава подразделения безопасности Android в Google, Адриан Людвиг, заявил, что антивирусы не предоставляют защиты мобильным пользователям.

«Я думаю, платить деньги за продукт, от которого вы возможно никогда не получите защиты является нерациональным риском, однако люди покупают вещи по множеству причин».

Более того, он утверждает, что основная безопасность уже реализована Google посредством сканирования и проверки приложений до того, как они попадают на Google App Store. В результате, по его словам, Android является одной из самых безопасных платформ и риски, о которых говорят, преувеличены:

«И на практике большинство людей никогда не увидят потенциально вредоносное приложение. Фактически, большинство людей даже не знают кого-либо, кто бы устанавливал потенциально вредоносное приложение. Поэтому я считаю, что это преувеличенный риск».

А вы пользуетесь антивирусами для Android?

Ошибка Heartbleed, выявленная инженерами Google, вызвала настоящую панику среди всех компаний по всему миру. Администраторы латали библиотеки OpenSSL, а пользователям пришлось в срочном порядке менять пароли к своим учётным записям.

После публикации информации об уязвимости, исследователь в области безопасности Роберт Дэвид Грэхэм из Errata Security установил, что уязвимыми являются 600 000 серверов по всему миру. Месяцем позднее половина из них получила свои патчи, и в зоне риска оставались 318 239 серверов.

Однако двумя месяцами спустя, 309 197 серверов оказались по-прежнему не защищёнными. Патч, которым воспользовались 50% вебмастеров за первый месяц, оказался практически невостребованным в течение второго.

Всё это по мнению аналитика означает, что многие люди просто прекратили даже попытки пропатчить свои системы. Таким образом, теперь он ожидает «медленного снижения» числа уязвимых серверов, которое будет происходить по мере их физической замены. «Даже десятилетие спустя я по-прежнему ожидаю найти тысячи систем, включая критические, которые будут по-прежнему уязвимы».

А что делать клиентам сервисов? Можно воспользоваться бесплатной службой от McAfee, которая проверяет, уязвим ли ваш любимый сайт, ну а проще и надёжнее всего — использовать разные пароли к разным ресурсам.

Фирма, FireEye, занимающаяся вопросами безопасности, выявила подозрительное приложение, и в результате сотрудничества с Google удалила это приложение из магазина. Причиной удаления программы стала её возможность воровать пользовательские данные, включая SMS сообщения, сертификаты и даже сведения о банковских операциях.

Приложение под названием Googl App Stoy, выдавало себя за официальный магазин Google Play Store, и после установки имело ту же самую иконку, под которой была очень похожая подпись.

Это приложение умело обходило антивирусы — лишь три из 151 антивируса могли определить её. И делала она это благодаря шифрованию вредоносной части прикрываясь поддельным интерфейсом пользователя.

Будучи однажды инсталлированным, приложение нельзя было удалить. Вместо этого оно обманывало пользователя в том, что это якобы имеет место быть ошибка автоматического удаления, выводя соответствующие ошибки на экран. Однако иконка программы исчезала из перечня приложений.

Таким образом, после того как значок приложения исчезал с главного экрана, оно продолжало работать в фоновом режиме, в котором собирала данные и отправляла их по электронной почте на учётную запись Gmail. Команде FireEye также пришлось работать и с командой почтовика, чтобы те закрыли учётные записи, получавшие данные от этого приложения.

О том, каким образом авторам приложения удавалось заставить своих жертв его устанавливать, пока ничего не известно.

Согласно недавнему исследованию, от 22 до 43 процентов людей согласны установить на свой ПК неизвестное программное обеспечение, если они за это получат вознаграждение в размере от пенни до доллара. Причём они согласны это делать даже в случае, если их ОС отметит это приложение как потенциальную угрозу при его запуске.

Если вы считаете, что при таком подходе пользователи проявят дополнительную осторожность, то вы ошибаетесь. Согласно исследованию Николаса Кристина, лишь 17 человек из 965 исполняли предложенные программы на виртуальных машинах, чтобы снизить риск возможных повреждений.

Не секрет, что можно легко заставить кого-нибудь подорвать свою электронную безопасность. Достаточно посмотреть на Кевина Митника, который взламывал сети, получая логины от крайне доверчивых сотрудников.

Как бы то ни было, исследования также отмечает, что для хакеров, экономически выгоднее платить напрямую своим потенциальным жертвам, чем строить бот-сети. Поскольку люди не связывают большие объёмы средств с безопасностью, преступники теперь могут просто начать платить напрямую своим жертвам, и воровать у них данные, избегая необходимости в использовании уязвимостей систем безопасности.

Уязвимость позволяет атакующим отключить продукты безопасности Microsoft, разместив на компьютере жертвы специально подготовленный файл, заставив скачать его из Интернета, отправив по почте или через сервис мгновенных сообщений.

Уязвимость находилась в движке защиты от вредоносного ПО, который является основой для многих продуктов безопасности Microsoft для настольных систем и серверов. Он входит в такие приложения как Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection и Windows Defender, которые поставляются с предустановленными операционными системами Windows Vista и более новыми.

Сам же софтверный гигант отметил «важность» этой уязвимости, что значит, что она может быть использована для доступа к данным или ресурсам процессора пользователя, однако для этого пользователю необходимо «помочь» злоумышленнику.

В случае если хакеру удалось достичь своей цели, Microsoft Malware Protection Engine прекращает мониторинг повреждённой системы. В целом, получить доступ к компьютеру оказывается достаточно сложно, поэтому случаев использования данной бреши в системе безопасности пока не зафиксировано.