Популярный мобильный мессенджер Viber подвержен критической уязвимости, так как передает фото и видео без какого-либо шифрования, а также сохраняет файлы по адресам, доступ к которым открыт не только для прямого получателя. Такие данные сегодня обнародовали независимые специалисты из Университета Нью-Хэвена.
Они обнаружили, что данные и ссылки в Viber можно перехватывать при помощи обычного Windows-ПК, подключенного к той же беспроводной сети, что смартфон с Viber. Кроме того, на ПК с беспроводной картой можно создать точку доступа к которой будет подключаться смартфон и перехватывать данные. Конечно, сниффинг данных - это отнюдь не тривиальная задача, она требует определенной квалификации от хакера, но сейчас в сети есть программы-анализаторы трафика, работающие по принципу man-in-the-middle, и способные по заданным флагам находить нужные данные.
«Наша задача — предупредить людей и разработчиков об опасности. Нужно сообщить об этом, чтобы пользователи были осведомлены до момента выхода патча», - говорит Ибрагим Багили, один из специалистов, выявивших уязвимость. По его словам, компания Viber Media уже поставлена в известность и планирует выпуск исправления в ближайшее время.
Как сообщают исследователи безопасности, им удалось выявить интересный бэкдор в неофициальном плагине для платформы Joomla. По словам специалистов, все было настолько хорошо продумано, что поначалу они не смогли понять, что имеют дело с бэкдором. Для наглядности эксперты предоставили .
«На первый взгляд ничего подозрительного. Ничего не зашифровано, не запутано и нет излишних комментариев. Самый обычный код для плагина Joomla, - отмечают в Sucuri. – Однако если вы посмотрите немного внимательней, то заметите, что конструктор класса не так уж и безобиден».
Исследователи подчеркивают, что не заметить уязвимость при просмотре кода довольно легко. Более того, упустить ее могут и многие сканеры безопасности, однако надежным методом противостояния подобным угрозам является использование инструментов по контролю целостности кода.
«Лаборатория Касперского» сообщили о трояне для Android, широко распространившемся за последний год. Троян FakeInst выдает себя за приложение для просмотра порно, однако, попав на устройство, он загружает зашифрованный файл и начинает рассылать SMS-сообщения на определенные заранее номера в зависимости от регионального телефонного кода.
Троян FakeInst был обнаружен в феврале 2013 года и с тех пор получил продолжение еще в 14 разных версиях. Первые модификации умели отправлять премиум SMS только в России, но в конце первого полугодия 2013 года появилась поддержка еще 64 стран, среди которых были государства Европы, СНГ, Латинской Америки и Азии. Наибольшее количество случаев заражения FakeInst.ef встречается в России и Канаде.
Для отправки SMS из разных стран троянец расшифровывает свой конфиг-файл, в котором хранятся необходимые номера и префиксы для международной связи. В этом файле FakeInst.ef выбирает подходящие значения в соответствии с мобильным кодом страны пользователя, после чего производит отправку сообщения. Когда троян сталкивается с телефонным кодом определенной страны, начиная 311 и заканчивая 316 (США), он начинает рассылать SMS-сообщения стоимостью $2 каждый. FakeInst также способен перехватывать входящие сообщения, а также получать команды с C&C-сервера на рассылку определенных сообщений на конкретные номера.
«Мы полагаем, что троянец был создан русскоязычными хакерами, так как ранние версии этого троянца были рассчитаны на работу только в России. К тому же все C&C-сервера зарегистрированы и пользуются услугами хостинга в России. Практически во всех версиях FakeInst.ef используется один из двух управляющих серверов, зарегистрированных на имя человека, указавшего московский адрес и российский номер телефона», – отметили эксперты.
Угроза со стороны хакеров вполне реальна, и результаты нового доклада Akamai показывают, что ситуация ухудшается. Исследование компании Akamai показывает, что хакеры атаковали сайты на 75% чаще в четвертом квартале прошлого года, чем в предыдущем квартале.
Исследование направлено на изучение количества DDoS-атак на web-сайты по всему миру. В Akamai говорят, что бизнес-сайты были наиболее частыми мишенями, и каждый третий сайт в настоящее время может стать жертвой хакеров.
В четвертом квартале 2013 года 43% всех DDoS-атак возникли в Китае, чуть меньше в США и Канаде. Последние заняли второе и третье место после Поднебесной. Akamai отмечает, что нападения, происходящие в Канаде, выросли на шокирующие 2500% по сравнению с тем же периодом времени в 2012 году.
С положительной стороны, Akamai также сообщила, что средняя скорость интернета выросла на 5,5% в глобальном масштабе до 3.8Mbps в четвертом квартале, а популярность интернета возросла на 3% по сравнению с третьим кварталом прошлого года. Таким образом, можно отметить параллельный рост количества DDoS-атак и частоты использования сети Интернет.
Эксперты обнаружили уязвимость протокола обновления в антивирусе "Доктор Веб" - в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости впервые опубликована в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret).
Уязвимость до сих пор остается открыта, несмотря на множеством сертификатов (ФСТЭК, ФСБ, Минобороны РФ) у уязвимого Dr.Web версии 6.0. В ходе эксперимента все настройки антивируса выставлены по-умолчанию, встроенная защита не отключалась. В качестве операционной системы используется Windows 7. Для эксплуатации уязвимости необходимо, чтобы атакующий имел возможность перенаправления трафика пользователя (например, вследствие подмены DNS-сервера, отравления ARP-кэша или как-то еще, не исключая физический доступ к каналу связи). Для простоты эксперимента, в тестовой среде компьютеры клиента и злоумышленника находятся в одной сети.
Для скачивания обновлений со своих серверов, Dr.Web использует HTTP-протокол, т.е. данные передаются в открытом виде. После процедуры скачивания файлов, происходит замена старых файлов антивируса. При этом дополнительных проверок не производится. Например, Dr.Web без проблем принял троян-загрузчик вместо родного "drwebupw.exe". После его загрузки "Доктор Веб" выполнил инфицированный объект, предоставив полный контроль атакующему.
Доля спама в почтовом трафике в марте снизилась на 6,4% и в итоге составила 63,5%. Также по сравнению с февралем в начале весны уменьшился поток так называемого праздничного спама – рекламных сообщений, эксплуатирующих тематику актуальных для текущего сезона праздников.
В течение первого весеннего месяца широкое распространение в Сети получили рекламные рассылки с предложениями выучить иностранные языки при помощи разнообразных авторских методик. Подобный спам пестрел сообщениями о возможности выучить любой язык по Skype, узнать секреты уникального метода самостоятельного обучения, а также предложениями от конкретных языковых школ и учебных центров. Помимо этого, заметный след в мартовском почтовом трафике оставили сообщения, в которых спамеры предлагали оптимизировать расходы на телефонную связь. Большая часть таких писем была адресована крупным и средним компаниям. Немало вредоносных вложений в марте распространялось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами.
Среди регионов лидером по распространению спама неизменно остается Азия. Более того, в марте ее позиции укрепились: эта часть света увеличила свою долю на 4% и в итоге оказалась ответственна за 58% мирового спама. Азиатский след доминирует и в рейтинге стран-источников нежелательных сообщений. По сравнению с февралем тройка лидеров не изменилась, и первое место все так же занимает Китай с долей 24,6%, на втором месте располагаются США с показателем 17%, а на третьем оказалась Южная Корея, откуда было разослано 13,6% мирового спама.
«Спамеры делают все возможное для того, чтобы заставить пользователя отреагировать на их письмо и открыть вложение или пройти по ссылке, которые запросто могут быть вредоносными. Количество атак на финансовый сектор заметно увеличилось за прошедший год. Это связано с тем, что все больше людей пользуются интернет-банкингом», – рассказывают эксперты.
Исследователи из IOActive сообщили об обнаружении множества проблем безопасности в системах спутниковой связи. Один из крупнейших производителей таких систем, компания Iridium, согласилась с выводами экспертов, в то время как Thuraya заявила, что информация, предоставленная IOActive, неточная.
По словам экспертов, спутниковый терминал SATCOM уязвим к бэкдорам, недокументированным и небезопасным протоколам и слабым алгоритмам шифрования. Исследования основываются на анализе и реверс-инжиниринге свободных и общедоступных обновлений популярной технологии SATCOM производства Harris, Hughes, Cobham, Thuraya, JRC и Iridium.
Главная проблема заключается в том, что уязвимости были обнаружены во всех терминалах, исследованных IOActive. Эксплуатация брешей позволит хакерам перехватывать, манипулировать или блокировать связь, а в некоторых случаях даже удаленно управлять физическим устройством. Более того, если скомпрометированным будет хотя бы один терминал, под угрозу попадает вся инфраструктура SATCOM. Жертвами уязвимостей могут стать самолеты, корабли, военные, службы спасения, СМИ, промышленные организации (нефтяные вышки, газопроводы, водоочистные сооружения, ветряные турбины и т. д.).
В настоящее время IOActive сотрудничает с производителями уязвимых спутниковых терминалов и Координационным центром CERT для того, чтобы решить возникшую проблему. Более подробная информация об уязвимостях появится во второй половине 2014 года, а пока у производителей есть время на их устранение.
Apple устранила серьезную уязвимость в безопасности операционных систем OS X и iOS, которая позволяла злоумышленнику перехватить информацию из SSL-соединений. Это один из многих багов, исправленных 22 апреля с апдейтами OS X и iOS 7.1.1. Среди них есть и другие серьезные уязвимости, в том числе обход защиты памяти ASLR и выполнение произвольного кода после открытия вредоносных файлов PDF и JPEG в OS X Mavericks.
Криптобаг с «тройным рукопожатием» присутствует в системах OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.2, а также iOS 7.1 и более ранних версий. Уязвимость позволяет злоумышленнику из привилегированной позиции в сети установить два соединения SSL с одними и теми же криптографическими ключами и рукопожатиями, внедрить свою информацию в одно соединение, а затем заново установить связь таким образом, что соединения подключаются друг к другу.
Еще одна устраненная уязвимость касается работы CFNetwork HTTPProtocol. Из-за небольшой ошибки в программном коде HTTP-заголовок Set-C***** обрабатывается системой в любом случае, даже если соединение уже закрыто, а HTTP-заголовок не передан до конца. Таким образом, хакер может отменить настройки безопасности, закрыв соединение до того, как переданы настройки, а затем получить содержимое незащищенного cоokie.
Эти баги можно эксплуатировать на старых версиях OS X и iOS, для которых не выпущены обновления. Владельцам новых устройств Apple рекомендуется сделать апдейт как можно быстрее.
По стечению обстоятельств, обновления безопасности от Apple вышли именно сейчас, когда интернет-шифрование переживает серьезный кризис в связи с множеством найденных уязвимостей. Самым серьезной стала уязвимость Heartbleed в библиотеке OpenSSL, хотя Apple тоже блеснула своим багом “goto fail” два месяца назад.
Количество DDoS-атак за год выросло в среднем на 47%, причем средняя интенсивность атаки за тот же период возросла на 133%, что говорит об увеличении доступности сетевых ресурсов, находящихся в распоряжении хакеров. Об этом говорится в последнем отчете компании Prolexic.
Организаторы DDoS-атак в первом квартале 2014 года чаще других злоупотребляли такими сетевыми протоколами, как Character Generator (CHARGEN), Network Time Protocol (NTP) и Domain Name System (DNS). Еще одним опасным трендом в организации DDoS-атак специалисты называют атаки класса reflection and amplification, распространенность которых за год выросла на 40%.
По данным компании, за последний год нагрузка не сети фильтрации трафика выросла в среднем вдвое, что говорит о фактическом увеличении доступности сетевых ресурсов в распоряжении хакеров. За счет традиционных бот-сетей, а также техник отражения трафика и манипуляции с DNS, организаторам атак удалось организовывать сетевой поток мощностью до 200 Гбит/сек с информационной нагрузкой до 53,5 Мп/с.
Prolexic отмечает, что организаторы атак чаще стали использовать для DDoS-атаки с участием сетевого уровня (Layer 3 и 4), тогда как DDoS на уровне приложений (Layer 7) снизились за год на 21%.
Учетные записи пользователей Steam очень часто становятся целью хакеров, которые разрабатывают очень изощренные методы взлома. Для защиты клиентов Valve создала функцию Steam Guard, однако в своем текущем виде ее оказалось недостаточно — недавно систему научились обходить фишеры.
Благодаря Steam Guard пользователи получают на электронную почту код подтверждения каждый раз, когда осуществляется попытка авторизации с нового компьютера. Это означает, что даже если у хакера есть логин и пароль, он не может украсть учетную запись без доступа к почтовому ящику жертвы.
Однако, фишеры нашли способ обойти механизм защиты с помощью фишинговой атаки. При посещении специально сформированной страницы у игрока спрашивают логин и пароль Steam-аккаунта, после ввода которого отображается следующее сообщение: «Мы заметили, что вы заходите в Steam из нового браузера или нового компьютера. Возможно, вас просто давно здесь не было… В качестве дополнительной меры безопасности вам придется обеспечить доступ через этот браузер, передав определенный файл ssfn* из папки Steam… Файл ssfn* содержит ваш ID и расположен в одном из разделов папки Steam (…/Program Files/Steam/ssfn* )».
Дело в том, что при авторизации в Steam из нового устройства Steam Guard создает SSFN-файл, который подтверждает, что устройство действительно принадлежит владельцу аккаунта. Получив данный файл, злоумышленники могут очень легко войти в игровой сервис под именем жертвы, не вводя дополнительный код защиты.
Данный метод фишинга активно используется уже приблизительно месяц, из-за чего многие пользователи жалуются на потери аккаунтов, карточек и прочего. Учитывая количество игроков, продажа игровых аккаунтов в Steam - достаточно прибыльный бизнес.
Если за последние три для в вашем почтовом ящике появились подозрительные письма с адресов @aol.com — не нужно удивляться. Проблема имеет массовый характер. Сотни пользователей сообщают о взломе их почтовых ящиков, а также о спуфинге адресов. Говорят, что уже три дня с ящиков AOL Mail и/или с обратными адресами @aol.com идет массовая рассылка спама и фишинговых писем.
О причинах и масштабе взлома говорить пока рано. Сама компания AOL воздерживается от комментариев. Представители фирмы только подтвердили факт массового спуфинга и сказали, что он затронул менее 1% пользователей почтового сервиса. Учитывая, что услугами AOL Mail пользуются около 10 млн человек, используются аккаунты не более чем 100 тыс. пользователей.
В твиттер-аккаунте @aolmailhelp специалисты компании пытаются помочь пострадавшим. На официальном сайте опубликована справочная статья «Что такое спуфинг почтового ящика и как определить, что мой аккаунт используется для спуфинга». AOL обещает устранить проблему в течение ближайшего времени.
Российское законодательство позволяет ФСБ использовать систему СОРМ для сбора, анализа и хранения данных, которые передаются и принимаются российскими сетями. Действие системы распространяется на телефонные звонки, электронную почту, посещение web-сайтов и транзакции посредством кредитных карт. Об этом сообщает известный IT-эксперт Брюс Шнайер (Bruce Schneier).
Впервые СОРМ использовалась в 1990 году. В то время с ее помощью собирали метаданные и контент. СОРМ-1 собирает информацию о мобильных и стационарных телефонных звонках, СОРМ-2 – интернет-трафик, а СОРМ-3 – данные со всех социальных сетей. При этом, данные хранятся на протяжении 3х лет.
Стоит отметить, что согласно российским законам, все интернет-провайдеры обязаны установить систему мониторинга ФСБ на свои сети для того, чтобы трафик поступал напрямую к спецслужбам без ведома или сотрудничества оператора. Поставщики услуг должны оплатить устройство и стоимость его установки.
Разрешение на сбор данных может выдать суд, однако оно секретное, и о нем не уведомляют поставщиков услуг. Согласно опубликованным Верховным судом России данным, в 2012 году было зафиксировано около 540 тыс. случаев перехвата телефонных разговоров и интернет-трафика со стороны ФСБ. Несмотря на то, что ФСБ является единственной службой, которая имеет право осуществлять слежку, к данным, собранным при помощи СОРМ, имеют доступ еще 7 российских силовых структур, если они сделают соответствующий запрос.
По словам Шнайера, во время Олимпийских игр система была улучшена, путем добавления функций одновременного видеонаблюдения и перехвата телефонных разговоров.
ssl)
||
Exploit.IO
Безопасность
Другое