Буквально вчера в Сети публиковались скриншоты мобильной версии Spartan, а сегодня компания Microsoft показала этот таинственный браузер в реальном виде, выпустив свежий билд Windows 10 Technical Preview. Да ещё вместе с ним вышел встроенный цифровой ассистент Cortana с распознаванием речи (пока только для американской версии ОС).
Выход сборки 10049 торжественно анонсирован в официальном блоге.
Новый билд 10049 всего на неделю с небольшим свежее, чем 10041, так что за исключением Spartan все остальные изменения в операционной системе — это лишь небольшие улучшения и исправления багов. Например, исправлен баг с вылетом приложения Photos, если щёлкнуть по пиктограмме приложения в левом верхнем углу после того, как сделана фотография. Исправлен также глюк, когда окна могли быть видны даже позади стартовой панели или других системных панелей.
Microsoft пока не публикует образы ISO для билда 10049, но его можно получить через систему обновлений, если в настройках ОС указана опция частых обновлений на все билды подряд.
Браузер Spartan (название могут изменить в будущем) основан на новом движке EdgeHTML. Он избавлен от устаревшего наследия MSHTML, которое сохраняется в Internet Explorer для совместимости со старыми веб-приложениями, но заметно тормозит работу браузера.
Специалисты давно предупреждают, что человечество ещё не столкнулось с настоящими проблемами безопасности электронных устройств. Взломы смартфонов и компьютеров — это ерунда по сравнению с тем, что начнётся в эпоху Интернета вещей. Особенно когда повсеместное применение найдут носимая электроника и персональные медицинские устройства.
Как показывает история, если люди способны представить себе какой-то наихудший сценарий, то рано или поздно он воплотится в жизнь.
Стационарные, носимые и имплантируемые в тело человека приборы уже используются в медицине, хотя не слишком широко. Но гораздо больше таких устройств находится в разработке, в связи с чем встаёт вопрос безопасности. Этой теме посвящён новый отчёт «Интернет вещей в медицине. Преимущества и риски», составленный специалистами Atlantic Council, Центра международной безопасности Брента Скоукрофта и Intel Security.
Эксперты предвидят появление чёрного рынка 0day-эксплоитов, подобного тому, какой сейчас существует для уязвимостей в браузерах, ОС и пользовательских программах для ПК. Это обязательно случится, если прямо сейчас разработчики медицинских устройств и регуляторы не предпримут должных защитных мер.
Как показывает практика с автомобилями, производители ставят безопасность одним из последних приоритетов при разработке новых моделей. Для них главное — сделать красивый и функциональный продукт и продать его покупателю.
Авторы отчёта рекомендуют медицинской индустрии принять несколько мер. Нужно тестировать безопасность устройств до их выхода на рынок, а не после. Кроме того, нужно улучшить взаимодействие общественных организаций и частных компаний-разработчиков. Далее, следует улучшить процесс законодательного регулирования отрасли, потому что из-за устаревших нормативов производителям иногда приходится использовать устаревшие технологии. В конце концов, следует начать широкое общественное обсуждение кибербезопасности для медицинских устройств.
Вместе с обычными разработчиками, при Mozilla действует хакерский отдел OpSec, который занимается вопросами безопасности данных. Специалисты этого отдела создали и используют в своей деятельности кроссплатформенную систему безопасности MIG: Mozilla InvestiGator для защиты инфраструктуры Mozilla.
MIG способна проверять файловые системы и сетевые данные тысяч хостов в параллельном режиме. Но до недавнего времени она не умела инспектировать оперативную память и активные процессы, что зачастую необходимо во время проверок безопасности.
И тут на помощь пришли ребята из Аргентины. Группа студентов университета Буэнос-Айреса под руководством опытного инженера из Mozilla в течение шести месяцев трудилась над инструментами цифровой экспертизы оперативной памяти — библиотеками, которые работают под Linux, Windows и Mac OS.
Созданная ими программа Masche предоставляет базовые примитивы для сканирования оперативной памяти и текущих процессов, не мешая нормальной работе серверов. По сравнению с существующими фреймворками вроде Volatility или Rekall, инструментарий Masche не обеспечивает такой продвинутой функциональности и настроек. Вместо этого, он концентрируется на поиске конкретных строк и значений в памяти на большом кластере серверов — и делает это максимально быстро и на работающих серверах.
Mozilla уже интегрировала Masche в систему MIG и применяет на своей инфраструктуре. Исходный код Masche полностью открыт и опубликован на Github, а в будущем будет улучшаться с добавлением новых функций.
Mozilla вечером 31 марта выложила на официальный FTP-сервер браузер Firefox 37 для всех платформ. Одновременно версии Beta, Aurora и Nightly обновляются до 38, 39 и 40, соответственно. Также осуществлён апгрейд Firefox Extended Support Release до 31.6.
В Firefox 37 не так много изменений, которые бросаются в глаза. Основные обновления сделаны, как говорится, под капотом. Тем не менее, для массовой аудитории может быть приятно узнать, что на YouTube теперь поддерживаются по умолчанию Media Source Extensions (MSE) API для нативного воспроизведения видео HTML5, а также режим MSE & H.264 (раньше они активировались через about:config)
В браузер внедрили систему Heartbeat для сбора телеметрии, отправки краш-репортов, оценки работы браузера и др. Система оценивает время загрузки и количество сбоев. Текущая телеметрия показывается командой about:telemetry.
Собранная информация отправляется в Mozilla, а агрегированные данные от всех пользователей выводятся на сайте Mozilla Telemetry.
Телеметрия отключена по умолчанию, но некоторые другие режимы Heartbeat включены. Если для тебя важна конфиденциальность, то лучше вообще отключить Heartbeat через about:config. Там следует найти строку browser.selfsupport.url и очистить поле «Значение».
Следует отметить значительный труд разработчиков в области безопасности. Вот некоторые из изменений.
Поиск Bing теперь по умолчанию работает по HTTPS
Отключен режим отката к уязвимой версии TLS
Проведена оптимизация TLS False Start, так что теперь он требует набор шифров AEAD
OneCRL — централизованный отзыв сертификатов (список отозванных сертификатов будет периодически подгружаться с сервера)
Прекращена поддержка сертификатов для доменов вида example.com. (с точкой на конце), foo*.example.com и *foo.example.com (поддерживается лишь *.example.com)
Подробные сообщения об ошибках SSL, не связанных с сертификатами
Интересно, что поиск «Яндекс» теперь используется по в турецкой версии Firefox.
B инструментах разработчиках приятное нововведение — новая панель безопасности.
Она показывает все детали безопасности для выбранного соединения.
Из других изменений для разработчика — информационная панель для анимированных элементов.
Кроме того, появилась панель отладки для chrome:// и about://, а также вывод в консоль уведомлений о слабом шифровании, поддержка WebSocket в Web Workers, доступ к IndexedDB из «воркеров» и возможность отладки страниц, открытых в других браузерах.
Check Point® Software Technologies Ltd., крупнейший в мире вендор, специализирующийся на интернет-безопасности, опубликовал отчет об обнаружении группы злоумышленников, которая, вероятно, происходит из Ливана и связана с его политическим силам.
Исследователи из подразделения Check Point Malware and Vulnerability Research Group обнаружили систему Volatile Cedar, которая использует для атак специально разработанное вредоносное ПО под кодовым названием Explosive. Кампания стартовала еще в начале 2012 года, в ее рамках были проведены успешные атаки на целый ряд ресурсов по всему миру. В результате этих атак злоумышленники получили возможность отслеживать действия жертв и похищать их данные.
Мы можем подтвердить, что на сегодняшний день в число жертв группировки входят организации оборонной промышленности, телекоммуникационные и медиакомпании, а также образовательные учреждения. Природа атак и их последствия говорят о том, что целью злоумышленников является получение не финансовых выгод, а доступа к конфиденциальной информации жертв атак.
Ключевые результаты исследования:
Volatile Cedar — это целенаправленная и прекрасно организованная кампания. Она направлена на тщательно выбранные организации, при этом масштаб заражения держится под контролем, что позволяет злоумышленникам выполнять задачи с минимальным риском обнаружения.
Первые доказательства функционирования Explosive появились в ноябре 2012 года. С тех пор было обнаружено несколько версий этого вредоносного ПО.
Метод работы данной преступной группировки заключается в атаках на доступные извне веб-серверы, при этом поиск уязвимостей выполняется как в автоматическом, так и в ручном режиме.
Получив доступ к серверу и контроль над ним, злоумышленник может использовать его как опорную точку для изучения, идентификации и атак на дополнительные ресурсы, находящиеся в сети организации. Мы обнаружили признаки как попыток онлайн-проникновения, так и механизма распространения вредоносного ПО через зараженные USB-носители.
«Volatile Cedar — это очень интересная вредоносная кампания. Она успешно работает на протяжении долгого времени, избегая обнаружения за счет хорошо спланированных и аккуратно управляемых процессов. Система постоянно отслеживает действия своих жертв и моментально реагирует на инциденты обнаружения, — говорит Дэн Вайли (Dan Wiley), глава подразделения Incident Response & Threat Intelligence Check Point Software Technologies. — Это один из образов целевых атак будущего: вредоносное ПО тихо наблюдает за сетью, похищает данные и может быстро сменить стратегию действий при обнаружении антивирусным приложением. Поэтому организациям нужно использовать проактивный подход к обеспечению безопасности своих сетей».
Клиенты Check Point уже защищены от Volatile Cedar за счет наличия множественных сигнатур на различных уровнях защиты, а также блейдов ThreatCloud, которые способны распознавать все варианты вредоносного ПО Explosive. Организации могут защитить себя от атак, подобных Volatile Cedar, применяя продвинутую инфраструктуру безопасности, которая включает в себя правильную сегментацию ЛВС с помощью межсетевых экранов, IPS, систему анти-бот, своевременную установку патчей и контроль использования приложений.
Дополнительную информацию о Volatile Cedar можно найти в подробном отчете о кампании.
Подразделение Check Point Malware and Vulnerability Research Group регулярно проводит исследования атак и уязвимостей и создает новые решения для повышения безопасности клиентов Check Point. Дополнительную информацию о других результатах работы и исследованиях Check Point вы можете найти на сайте.
Достаёшь из кармана компьютер, вставляешь его в монитор или ТВ, подключаешь клавиатуру по USB — и можно работать. Такая модная концепция уже породила к жизни ряд устройств типа флэшки с процессором внутри, скоро к ним присоединится Chromebit.
Размером с кубинскую сигару, компьютер разработан в компании Google, а выпуском займётся Asus. «Флэшка» подключается к монитору/ТВ по HDMI, имеет разъёмы USB для энергопитания, подключения мыши и клавиатуры, поддерживает 802.11ac и Bluetooth 4.0. Микрокомпьютер основан на микросхеме Rockchip 3288 SoC, оснащён 2 ГБ ОЗУ и 16 ГБ флэш-памяти. Google обещает, что цена Chromebit не превысит $100.
Что ж, это отличная игрушка для школьников и неприхотливых пользователей, которым компьютер нужен для выполнения ограниченного круга задач.
Chromebit — одно из нескольких бюджетных устройств, которые компания Google представила сегодня. Кроме него, анонсированы 11,1-дюймовые хромбуки по цене $149 производства Hisense и Haier.
Показан также ноутбук Asus Flip с экраном на 10,1 дюйма, который лёгких движением руки превращается в планшет.
Похоже, банковский троян Vawtrak претендует на звание самого креативного зловреда из существующих. В последней версии эта малварь научилась загружать обновления из фавиконов, используя Tor2Web прокси.
Об эволюции Vawtrak рассказывается в отчёте специалистов по безопасности из антивирусной лаборатории AVG Technologies.
Особенно распространённый в США, Великобритании и Чехии троян попадает на компьютеры различными способами, через drive-by атаки, эксплоит-паки и загрузчики. Затем он получает доступ к банковскому счёту жертвы, а также задействует известный модуль Pony для копирования всех возможных учётных данных.
В последней версии трояна наибольший интерес исследователей привлекли две функции: использование стеганографии (прячет адреса серверов обновлений в фавиконы) и использование Tor2Web прокси.
Стеганография помогает скрыть сам факт загрузки списка адресов для обновления, поскольку скачивание фавикона не выглядит чем-то особенным. Вот как выглядит зашифрованный фрагмент и расшифрованный код с адресами серверов.
В каждом экземпляре трояна зашит список командных серверов в скрытой сети, причём доступ к ним осуществляется через Tor2Web без установки дополнительного программного обеспечения на компьютер жертвы.
Троян Vawtrak появился в начале 2015 года, а пика активности достиг в конце января. В феврале его активность упала, но с тех пор остаётся довольно стабильной и даже немного растёт.
Для тысяч пользователей анонимные прокси кажутся более удобными, чем Tor, если нужно загрузить страничку-другую, скрыть свой IP и заголовки HTTP. Поэтому в Сети работают сотни анонимайзеров, помогающих решить эту задачу.
Но есть и оборотная сторона медали. Некоторые анонимайзеры шпионят за своими собственными пользователями, что несложно, ведь те добровольно пропускают через них свой трафик. Кроме того, анонимные прокси постоянно используются злоумышленниками. Как показали специалисты Incapsula, эти сервисы подходят для проведения исключительно эффективных DDoS-атак.
Incapsula давно занимается защитой от DDoS, а два года назад начала записывать все IP-адреса, откуда идёт вредоносный трафик. Сейчас база превысила 4,2 млн адресов. Кроме всего прочего, двухлетний мониторинг показывает роль анонимных прокси в DDoS-атаках.
Incapsula называет атаки с участием анонимных прокси «выстрелами из дробовика» (shotgun DDoS). Как показано на схеме, в таких случаях трафик из одного источника размножается и «дробью» покрывает мишень.
Злоумышленнику нужно использовать специальное программное обеспечение, которое собирает и обновляет списки анонимных прокси. Всё это просто делается и давно используется, благо в интернете можно найти большие и часто обновляемые списки открытых прокси. Есть способы, как сгенерировать список своими силами.
Многие организации используют геоблокировку по стране происхождения запросов, а с анонимными прокси-серверами такую блокировку можно обойти, пишет Incapsula.
Специалисты говорят, что в силу высокой эффективности анонимные прокси постоянно используются для DDoS-атак. Примерно в половине случаев используется также сеть Tor, причём в большинстве случаев применяется программный инструмент Hammer для POST-атак. Чтобы вывести из строя небольшой сайт на выделенном сервере, достаточно 50-100 запросов в секунду, пишет Incapsula.
Максимальное количество IP-адресов, которые участвовали в одной атаке, составляет 4387. В среднем — 1800. При атаках через прокси среднее количество запросов составило 540 000 на атаку.
