Министерство юстиции США сообщило о формировании нового отдела, которое будет специализироваться на расследовании компьютерных преступлений.
Отдел создан при уголовном подразделении министерства, в секции Computer Crime and Intellectual Property. Его задачей станет сотрудничество с компаниями частного сектора и правоохранительными органами для повышения эффективности мер кибербезопасности в общественном и частном секторах.
«Важно бороться с угрозами компьютерной безопасности на нескольких фронтах, одновременно при расследовании преступлений и для их предотвращения», — сказала руководитель уголовного подразделения Лесли Колдуэлл (Leslie Caldwell) в официальном заявлении. Новый отдел станет центральным звеном при координации усилий разных ведомств и компаний.
Вероятно, толчком к созданию нового отдела стала последняя история со взломом Sony Pictures, который эксперты называют беспрецедентным по своему масштабу. Взлом привёл к утечке конфиденциальных данных о десятках тысяч сотрудников Sony Pictures, а также тех, кто работал с ней по контракту, в том числе известных актёров.
Лесли Колдуэлл также сказала, что новый отдел должен «бороться с растущим недоверием общества к электронной слежке и высокотехнологическим методам, которые применяют правоохранительные органы» для слежки за населением. Это недоверие вполне оправдано, учитывая множественные факты, опубликованные благодаря Эдварду Сноудену. Руководитель подразделения министерства юстиции США подчеркнула, что такое недоверие мешает эффективному проведению расследований. При этом оно объясняется, во многом, «непониманием технических возможностей инструментов, используемых правоохранительными органами и способов, которыми они используются».
В отличие от общепринятых мнений, при уголовных расследованиях уважаются приватность и гражданские свободы пользователей, заверила Колдуэлл.
На прошлой неделе в открытый доступ попал внутренний документ ФБР, он содержит анализ вредоносной программы, с помощью которой была «поставлена на колени» компания Sony Pictures.
В описании сказано о «деструктивном зловреде, использованном неизвестными операторами». Он способен стирать все данные на заражённых компьютерах под Windows и распространяться по сети для атаки серверов под Windows. Для распространения используются встроенная в операционную систему служба обмена файлами.
Представители компании Sony Pictures охарактеризовали программу как «очень сложную», а независимые эксперты из Mandiant подтвердили, что на момент распространения она не определялась антивирусами.
После установки на компьютер программа связывается с командным сервером через интернет. Хотя следователям удалось установить сигнатуру командного трафика, но вряд ли это поможет выявить зловред, потому что подключение к C&C-серверу происходит уже после того, как начался процесс удаления файлов.
Экспертам не удалось пока установить, как происходило первоначальное заражение. При установке дроппер запускался как Windows-сервис и создавал сетевой диск с помощью переменной “%SystemRoot%”. К сетевому диску открывался доступ со всех компьютеров в локальной сети. Потом программа запускала командную строку Windows Management Interface (WMI), чтобы распространить файлы с сетевого диска на другие компьютеры.
Анализ зловреда Trojan.Win32.Destover.a опубликован в базе Malwr. В соответствии с ним, дроппер связывался с несколькими IP-адресами, вероятно, расположенными в Японии (возможно, это связано с расположением штаб-квартиры Sony).
Дроппер устанавливал файл, схожий по названию с Internet Information Server (IIS), iissrv.exe, который прослушивал TCP/IP на порту 80 и в реальности является миниатюрным веб-сервером. Именно он показывал на экране картинку JPEG и текст во время удаления файлов.
В определённый момент (возможно, по указанию от C&C-сервера) запускался файл igfxtrayex.exe, который и осуществлял удаление файлов сектор за сектором, предварительно связавшись с несколькими IP-адресами в Италии, Таиланде и других странах (вероятно, это адреса взломанных VPN и прокси). После удаления файлов с помощью дискового драйвера EldoS компьютер уходил в спящий режим на два часа, после чего перезагружался.
Специалисты предупреждают, что перед такой атакой уязвимы все компании, которые используют серверы под Windows.
Ситуация с защищённостью домашних точек доступа WiFi удручает экспертов. Например, проведённое компании Avast в США недавнее исследование показало, что более половины домашних маршрутизаторов защищены паролем по умолчанию или другим легко подбираемым паролем. В наших краях ситуация вряд ли лучше.
Общим местом являются комбинации типа admin/admin или admin/password, или даже admin/<без пароля>.
Почти каждый четвёртый использует в качестве пароля личную информацию: адрес, имя, номер телефона, название улицы или другие легко угадываемые термины.
Незащищённые маршрутизаторы предоставляют удобные точки входа для злоумышленников. Речь идёт о разнообразных видах атак, начиная от кражи персональной информации и заканчивая внедрением в браузерные сессии.
Одним из самых больших рисков для безопасности специалисты назвали подмену настроек DNS в маршрутизаторе, так что трафик пользователя начинает маршрутизироваться через сторонний сервер, принадлежащий атакующему. С помощью этого метода можно получить учётные данные, например, от системы онлайн-банкинга.
У абсолютного большинства опрошенных пользователей (88%) к маршрутизатору подключается 6 и более домашних устройств. Кроме персональных компьютеров и ноутбуков, сейчас к их числу присоединились различные мобильные гаджеты (28%), принтеры и сканеры (17%), «умные» телевизоры (12%), плееры DVD и Blu-ray (4%).
Три четверти участников опроса сказали при этом, что считают крайне некомфортной ситуацию, если бы сосед или какой-нибудь незнакомец втайне пользовался их доступом в интернет. Интересно, что 8% пользователей при этом признались, что сами втихаря использовали соседский WiFi.
«Сегодняшняя ситуация с безопасностью домашних WiFi-маршрутизаторов очень напоминает ситуацию с персональными компьютерами в конце 90-х, — комментирует Винс Стеклер (Vince Steckler), исполнительный директор Avast, — когда небрежное отношение к безопасности сочетается с новыми уязвимостями, которые находят каждый день, что создаёт окружение, легко эксплуатируемое злоумышленниками. Основная разница в том, что сейчас у людей гораздо больше персональной информации хранится на их цифровых устройствах, чем в 90-е годы».
Агентство Reuters опубликовало интересный репортаж о деятельности так называемого Бюро 121 — элитного хакерского подразделения, которое занимается в том числе атаками на сети западных компаний. Интерес к этой теме возник после того, как Sony Pictures заподозрила Северную Корею во взломе своей компьютерной сети. Якобы, взлом связан с готовящимся к выходу комедийным фильмом «Интервью», где высмеивается северокорейский лидер Ким Чен Ын.
Естественно, северокорейские дипломаты опровергли причастность к взлому. Да и в такую версию верится с трудом, ведь злоумышленники прямо заявляли, что атака проведена с целью насолить исполнительному директору компании Sony Pictures. К тому же, они явно действовали на публику, что было бы непрофессионально со стороны сотрудников государственной разведки.
Репортаж Reuters основан на информации от перебежчиков, которым удалось добраться в Южную Корею. Они говорят, что в Бюро 121 берут самых талантливых компьютерных экспертов со всей страны. Их отбирают по одному и обучают с 17-ти лет. Один из рассказчиков обучался с такими студентами на факультете информатики в военном Университете автоматики, здание которого в Пхеньяне вместе с общежитием обнесено колючей проволокой. Ежегодно кафедра выпускает 100 специалистов.
Отдел является частью является частью разведывательного подразделения Генерального штаба, элитного подразделения при Корейской народной армии. По словам информатора, хакерское подразделение состоит примерно из 1800 «бойцов». Власти всячески балуют их, например, предоставляют просторные квартиры для жилья и щедрое довольствие.
Некоторых хакеров выпускают для работы за границей, в том числе под видом сотрудников коммерческих компаний.
Большинство атак Бюро 121 нацелено на Южную Корею, с которой северная половина технически до сих пор находится в состоянии войны. В прошлом году более 30 000 компьютеров в южнокорейских банках и телекомпаниях были выведены из строя примерно таким же способом, как сейчас Sony Pictures, с использованием вредоносной программы, которой присвоили название DarkSeoul. Согласно расследованию Symantec, атаку провела группа от 10 до 50 человек, которая функционировала в течение пяти лет.
Северокорейские политики не скрывают враждебности и по отношению к США, ведь те выступили на стороне Южной Кореи в войне 1950-53 гг, так что атака на американские компании была бы вполне логичной.
Компании InfoWatch и Wallarm объявляют о выпуске совместного интегрированного продукта, который будет доступен клиентам обеих компаний с 1 января 2015 года.
Новое решение позволит защитить от хакерских атак различные веб-приложения — от простых сайтов-визиток до систем интернет-банкинга и закупочных площадок.
Известно, что в последнее время успешные атаки на веб-ресурсы проходят на уровне приложений. При этом немалая «заслуга» в этом принадлежит разработчикам сайтов, оставляющим в процессе программирования уязвимости, которыми пользуются злоумышленники для хакерских и DDoS-атак. Для эффективного противостояния таким угрозам и создания соответствующего решения компании InfoWatch и Wallarm объединили усилия.
Ошибки в исходном коде веб-приложения, найденные в результате статического анализа, проводимого решением InfoWatch Appercut, теперь в режиме онлайн передаются Wallarm, который проверяет возможность их злонамеренной эксплуатации. Подтвердив гипотезу о наличии уязвимости с помощью активного сканера, продукт блокирует веб-запросы к уязвимой части веб-приложений на уровне WAF (так называемого файрвола для веб-приложений). Это позволяет защитить веб-приложение, не дожидаясь исправления некорректного кода программистами.
«Подобный подход полностью укладывается в концепцию continuous security — обеспечения непрерывной информационной безопасности бизнес-процессов, исключающего возможность человеческой ошибки и несовместимости точечных решений, — сказал Иван Новиков, генеральный директор Wallarm. — Теперь, когда Wallarm находит уязвимости снаружи сетевого периметра, а InfoWatch Appercut — внутри приложения, у пользователей появится простой и удобный инструмент, экономящий значительные ресурсы, что критично в современных условиях».
Таким образом, на быстрорастущий (более 30% в год) рынок защиты веб-приложений — а это порядка полумиллиарда долларов в 2013 году — выводится продукт на базе технологии, в которой сочетается статический анализа исходного кода и анализ приложений по методу «чёрного ящика».
«Увеличившееся в последнее время количество и интенсивность атак на финансовые и государственные информационные ресурсы России требуют совместных усилий разработчиков средств защиты и служб информационной безопасности предприятий, — считает Рустэм Хайретдинов, заместитель генерального директора InfoWatch. — Успешным примером реализации такого сотрудничества является наш новый совместный продукт. Не сомневаюсь, что он будет широко востребован как на российском, так и на международном рынке, где обе компании давно и успешно работают. Более того, мы предполагаем в обозримом будущем занять заметную долю этого рынка. Сейчас сложно делать прогнозы, но мы рассчитываем на 10-15%. В настоящее время наиболее активно новое решение будет продвигаться в финансовом секторе, на рынки интернет-торговли и в сферу госуслуг».
После двух лет разработки Google выпустила Android Studio 1.0 — первую стабильную версию интегрированной среды разработки (IDE) для разработчиков под Android. Программа сделана на основе популярной среды IntelliJ IDEA Java IDE и обладает тем же набором достоинств в части редактирования кода: автодополнение, рефакторинг, анализ кода и проч.
Анонс Android Studio состоялся ещё в мае 2013 года на конференции I/O Developer, так что ждать пришлось немало времени.
Прямо сейчас можно скачать версии для Windows, Linux и Mac с официального сайта Android Developer.
Android Studio позиционируется как средство повысить скорость и эффективность разработки и преподносится замена Eclipse. Программа позволяет проверить приложение на устройствах с разным размером экрана и даже с разными версиями API, твоя программа будет нормально работать на разных версиях Android, что по нынешним временам очень важно.
Из других «фишек» стоит отметить встроенную интеграцию с Github, поддержку нескольких APK с разными функциями внутри одного проекта, модуль оптимизации с монитором оперативной памяти (на скриншоте внизу).
Вчера представители хакерской группировки #GOP (Guardians of Peace) выложили в открытый доступ почтовые ящики Outlook двухтоп-менеджеров компании Sony Pictures. Файлы опубликованы на файлообменных сайтах и в торрентах, а ссылки на них — в сообщении на Pastebin. Копии почтовых ящиков сделаны вечером 22 ноября. Напомним, что компания Sony Pictures сообщила о взломе своей сети 24 ноября.
В сообщении хакеры опровергают обвинения руководства Sony Pictures в рассылке писем с угрозами в адрес сотрудников компании. «Мы уже выдвинули чёткие требования к руководству Sony, однако, они отказываются принимать их».
В то же время, группа предупредила о недопустимости выпускать на экраны «террористический фильм, способный нарушить региональное спокойствие и вызвать войну». Вероятно, речь идёт о комедийном фильме «Интервью», который высмеивает северокорейского лидера. Таким образом, косвенно подтверждается версия о том, что операцию провела группа из Северной Кореи. Хотя, может быть, некто заметает следы и пускает следствие по ложному следу.
«Вы, Sony и ФБР, не сможете найти нас. Мы тоже очень хороши», — добавляют они в конце сообщения.
Кроме содержимого почтовых ящиков, в опубликованных архивах присутствует вредоносное программное обеспечение.