uinC NewsLetter #15, 2013


Приветствуем!

Новости из Security Мира

8/04/2013 09:45 Anonymous отчитались о взломе 100 тысяч израильских сайтов
Хакерское движение Anonymous атаковало более 100 тысяч израильских сайтов в ходе масштабной акции #OpIsrael, прошедшей 7 апреля. Об этом сообщается в микроблоге, специально созданном для информирования о ходе атаки. В сообщении отмечается также, что жертвами хакеров стали 40 тысяч страниц в Facebook и пять тысяч Twitter-аккаунтов. Кроме того, утверждается в микроблоге Anonymous, было взломано 30 тысяч банковских счетов, принадлежащих израильтянам. Общий ущерб от атаки хакеры оценили в три миллиарда долларов. На сайте The Hacker News приведен список некоторых атакованных сайтов, а также украденные хакерами данные. Издание отмечает, что DDoS-атаке подверглось около 700 израильских ресурсов, включая несколько правительственных. Некоторые из них, например, сайт израильского парламента, оставались недоступны на момент написания заметки. Как передает The Independent, представитель национального кибер-бюро Израиля Ицхак Бен-Исраэль (Yitzhak Ben Yisrael) заявил, что большинство попыток хакеров вывести из строя местные сайты были безуспешными. Он пояснил, что Anonymous неспособны навредить важной инфраструктуре страны. По мнению Бен-Исраэля, главной целью хакеров было создание шума в СМИ. Атаку на Израиль Anonymous анонсировали заранее. Они отмечали, что #OpIsrael является ответом на «ноябрьскую агрессию против людей, живущих в секторе Газа». Своими действиями они планировали поддержать палестинцев и «стереть Израиль из киберпространства». Примечательно, что в ноябре 2012 года, когда проводилась операция в секторе Газа, израильские сайты также подвергались атакам. Власти страны утверждали, что смогли отразить большинство попыток хакеров.
Источник

8/04/2013 10:16 Canonical опубликовала технические данные о новой Ubuntu 13.04
На неделе Canonical выпустила техническую информацию о том, каким именно станет новый дистрибутив Ubuntu 13.04 Raring Ringtail, релиз которого ожидается 25 апреля. Одновременно с ним в свет выйдут и другие Ubuntu-сателлитные проекты, такие как Edubuntu, Kubuntu, Lubuntu, UbuntuKylin, Ubuntu Cloud, Ubuntu Studio и Xubuntu. Сейчас для пользователей дистрибутива доступна вторая бета-версия операционной системы, вышедшая на прошлой неделе. Ожидается, что новая Ubuntu 13.04 получит жизненный цикл по обновленному (укороченному) графику, который был сокращен с 18 до 9 месяцев для всех неLTS-версий систем Ubuntu. Как рассказали в Canonical, новая версия Ubuntu 13.04 получит ряд новшеств. Во-первых, она распрощается с Windows-инсталлятором Wubi (Windows-based Ubuntu Installer), который на протяжении длительного времени поставлялся с операционой системой и позволял из Windows установить на компьютер Ubuntu (на тот же раздел, что и Windows). В Canonical говорят, что последние версии Wubi содержали в себе изрядное количество багов и не пользовались спросом у основной массы пользователей. При этом, установить ОС на компьютер вместе с Windows, конечно же, все еще можно. Для этого можно пользоваться загрузочным носителем LiveDVD или LiveUSB. Также в Ubuntu 13.04 появится система генерации задач и служб по тем или иным событиям в операционной системе (Upstart), причем если раньше данная функция работала только по системным событиям, то сейчас она действует также и для сессионных событий. В качестве базовой графической среды здесь будет включена GNOME 3.6 с браузером Firefox, системой Ubuntu Software Center и Update Manager, офисным пакетом LibreOffice, заменяющим собой пакеты Abiword и Gnumeric. Среди других новшеств пакета можно отметить обновленные версии программного обеспечения Python 3.3, Upstart 1.8 и версию ядра 3.8.0-16.26 Ubuntu Linux kernel, базирующуюся на оригинальном ядре Linux 3.8.5.
Источник

9/04/2013 10:29 В Skype орудуют Bitcoin-мошенники
Эксперты «Лаборатории Касперского» обнаружили две набирающие обороты вредоносные кампании в Skype: в обоих случаях злоумышленники заманивают пользователей перейти по вредоносной ссылке методами социальной инженерии, обещая интересный фото- или видео-контент. Для распространения вредоносных ссылок используются похищенные или специально созданные Skype-аккаунты, а конечной целью одной из кампаний предположительно является мошенническая генерация виртуальной валюты Bitcoin. Первая из обнаруженных атак стартовала еще 1 марта, однако рекордных масштабов достигла только в начале апреля: количество переходов по вредоносной ссылке составляло в среднем 2,7 раза в секунду. Чаще всего по ссылке переходили пользователи из России, Украины, Болгарии, Китая, Тайваня и Италии. В ходе анализа кода программы, которая загружалась на ПК пользователя в случае перехода по ссылке, эксперты обнаружили, что в одной из строк содержалось упоминание Bitcoin wallet – кошелька в системе виртуальной валюты Bitcoin. В четверг 4 апреля стало известно об еще одной похожей атаке. Пользователи получали сообщение с призывом перейти по ссылке, однако, как выяснили специалисты «Лаборатории Касперского», на этот раз вместе с вредоносной программой на компьютер пользователя устанавливалась специальная программа для генерации виртуальной валюты Bitcoin. Эта валюта позволяет зарабатывать деньги за счет предоставления вычислительных ресурсов компьютера, на котором установлено специализированное приложение. Участник системы предоставляет свой компьютер для проведения вычислений, а взамен получает монеты Bitcoin, которые впоследствии можно конвертировать в другую валюту или использовать для оплаты товаров и услуг в некоторых интернет-магазинах. Только в течение первых суток с момента старта кампании по вредоносной ссылке ежечасно переходили около 2 тысяч пользователей, подсчитал Дмитрий Бестужев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского». Судя по географии распространения, пользователи, которые могут стать жертвами второй кампании, находятся в Италии, России, Польше, Коста-Рике, Испании, Германии и Украине. Также занимательным может показаться тот факт, что вредоносная кампания стартовала, когда курс Bitcoin достиг исторического максимума. По состоянию на 8 апреля курс валюты возрос до 173 долларов США за монету, при том, что еще в 2011 году за нее не давали более 2 долларов США. Таким образом, Bitcoin становится настоящим «лакомым куском» для киберпреступников.
Источник

9/04/2013 11:15 Предложен алгоритм увеличения пропускной способности ВОЛС
Группа учёных, работающих в Австралийском Центре Устройств Сверхвысокой Пропускной Способности для Оптических Систем (CUDOS), разработала алгоритм кодирования данных, который может существенно увеличить эффективность существующих оптических сетей. По утверждению исследователей, их разработка позволит передавать весь мировой трафик по единственному волокну. Для демонстрации возможностей, учёные перепрограммировали WSS (специальное устройство, использующее свет лазера с различной длинной волны для мультиплексирования нескольких потоков данных для последующей их передачи в единственном оптическом волокне). Команде во главе с профессором Arthur Lowery и доктором Liang Du удалось передать сигнал со скоростью 10 Тбит/с на расстояние 850 километров. Это, конечно, меньше рекорда в 26 Тбит/с, но достигнутая дистанция больше 50 километров на целый порядок. рофессор Lowry сообщает, что свитч может быть использован для «втискивания» сигналов в пробелы, непременно возникающие в потоках данных, передаваемых между городами. «Важно отметить, что новый трафик может быть втиснут в волокно в любом месте любой составляющей оптоволоконного хайвэя. Вместо того, чтобы укладывать сотни новых параллельных оптических волокон для повышения пропускной способности сети, мы может сделать использование существующих сетей более эффективным путём оптимизирования способа, которым передаются данные на большие расстояния». Команда считает, что их технология позволит существующей инфраструктуре с минимальными инвестициями справиться с ростом спроса на Интернет, который, как ожидается, увеличится в 1000 раз в течение десятилетия.
Источник

9/04/2013 11:59 The Pirate Bay переехал на гренландский домен
Торрент-портал The Pirate Bay переехал с домена .se в зону .gl, относящуюся к Гренландии. Об этом сообщает TorrentFreak. По словам источников издания в The Pirate Bay, администрация портала решила перейти на новый домен, так как боялась, что шведские власти (в их юрисдикции находится зона .se) попытаются изъять текущий адрес. TorrentFreak отмечает, что ресурс «пропишется» на новом домене на постоянной основе. При этом для пользователей портала ничего не изменится: при переходе по старому адресу thepiratebay.se они будут перенаправлены на thepiratebay.gl. The Pirate Bay не первый раз меняет домен. В начале 2012 года ресурс отказался от адреса в международной зоне .org, перейдя на шведский домен. Делалось это для того, чтобы защитить ресурс от американских властей, которые могли отобрать адрес. TorrentFreak отмечает, что у владельцев ресурса есть еще несколько десятков альтернативных доменов, на которые они могут перейти в случае опасности.
Источник

9/04/2013 12:23 Через год Microsoft прекратит поддержку Windows XP
8 апреля 2014 года корпорация Microsoft прекратит поддержку операционных систем Windows ХР с третьим сервис-паком и Windows XP x64 Edition со вторым пакетом обновлений. Платформа Windows ХР дебютировала в 2001 году, став одним из самых успешных продуктов Microsoft. По данным Net Applications, в 2008 году эта ОС была инсталлирована на 80% персональных компьютеров с подключением к Интернету. Однако в последние годы Windows ХР медленно, но верно сдаёт позиции: в прошлом месяце ей отдавали предпочтение 38,73% ПК-пользователей. Microsoft прекратила основную поддержку Windows ХР в апреле 2009-го. После этого наступила фаза расширенной поддержки: до апреля 2014 года Microsoft бесплатно распространяет патчи для «дыр» в системе безопасности, однако за другие исправления и технические консультации приходится платить. Кстати, покупатели компьютеров с платформой Windows 7 смогут воспользоваться возможностью даунгрейда до Windows ХР вплоть до 2020 года. Эта программа действует для Windows 7 Professional и Ultimate, которые могут быть заменены системой Windows XP Professional. На момент прекращения поддержки Windows XP (8 апреля 2014 года) этой операционной системе будет уже 12 лет, что делает её самой долгоживущей ОС Windows.
Источник

10/04/2013 10:14 Adobe и Microsoft выпускают наборы исправлений
Компании Adobe и Microsoft во вторник выпустили ежемесчные наборы исправлений для своего программного обеспечения, устранив в популярных продуктах ряд критических уязвимостей и ошибок в программном коде. Adobe Systems устранила уязвимости в своих трех популярных издательских наборах - Coldfusion, Flash и Shockwave. Для Flash обновление доступно под операционные системы Windows, Mac OS X и Linux, мобильная версия обновленного плеера также была выпущена под операционную систему Android. Согласно данным Adobe, обновление ликвидирует уязвимости в четырех моментах продукта. В компании говорят, что некоторые из уязвимостей во Flash уже используются в интернете и пользователям рекомендуется как можно скорее установить обновленную версию, дабы не подвергаться дополнительной опасности. Также четыре исправления были выпущены и для Shockwave, доступного под операционные системы Windows и Mac OS X. В Adobe говорят, что удаленные атаки на данный медиа-плеер могут привести к возможности исполнения вредоносного кода в системе пользователя и краже данных. Что касается платформы ColdFusion, то этот серверный продукт получил исправления для версий под Windows, Mac OS X и Unix. Здесь большая часть багов связана с искусственным повышением привилегий в системе. Обновление также понижает приоритет ряда процессов в ColdFusion, чтобы закрыть от них доступность системных файлов. В свою очередь Microsoft выпустила девять исправлений для своих продуктов, два из которых имеют критическую степень опасности и предназначены для Internet Explorer и Windows. Баги позволяли проводить удаленное исполнение кода в системе. Еще семь исправлений имеют высокую степень важности и приводят к поднятию привилегий в системе, DoS-атакам и утечке пользовательских данных. Отметим, что один из критических патчей предназначен для всех версий Internet Explorer, включая последнюю десятую. Второй критический баг касается приложения Windows Remote Desktop Client, которое присутствует в операционных системах Windows, за исключением Windows 8, Server 2012 и Windows RT.
Источник

10/04/2013 11:02 Южная Корея обвинила КНДР в кибератаке
Сеул обвинил разведку КНДР в хакерской атаке на южнокорейские банки и телеканалы. Об этом 10 апреля сообщает агентство Yonhap. Как утверждают власти Южной Кореи, хакеры из КНДР распространили вирусы, которые уничтожили информацию почти на 48 тысячах компьютеров. Представители южнокорейского министерства связи отметили, что Пхеньян использовал подобные методы во время многочисленных атак в предыдущие годы. Серия атак на Южную Корею началась 20 марта. Целью хакеров стали компьютеры нескольких южнокорейских банков и телеканалов. Агентство AAP, ссылаясь на южнокорейское агентство по интернет безопасности KISA, уточняет, что эта атака готовилась в течение восьми месяцев. За несколько дней до заражения южнокорейских компьютеров с обвинениями в хакерской атаке выступили в КНДР. Местные СМИ заявили, что США и их союзники атаковали северокорейские ресурсы, пытаясь «изолировать и задушить» Северную Корею. Отношения между КНДР, Южной Кореей и США обострились в последние несколько месяцев. Пхеньян разорвал пакт о ненападении с Сеулом и, по данным западных разведслужб, начал готовиться к войне. Обострение произошло после того, как США усилили санкции против КНДР, которая в феврале 2013 года провела очередные ядерные испытания.
Источник

10/04/2013 11:45 Два хакера из LulzSec признались в атаках на ЦРУ
Два члена хакерской группировки LulzSec Джейк Дэвис (Jake Davis) и Мустафа Аль-Бассам (Mustafa Al-Bassam) признались в участии в кибератаках на Центральное разведывательное управление США и ряд других организаций. Об этом сообщает The Independent. 20-летний Дэвис и 18-летний Аль-Бассам признались, что добились блокировки доступа к сайтам ЦРУ, британского агентства по борьбе с организованной преступностью (SOCA), компании Sony, издательства News International и Баптистской церкви Вестборо (Westboro Baptist Church), выступавшей против гомосексуалистов. Кроме того, хакеры сознались во взломе систем Sony, киностудии 20th Century Fox и американской полиции. Они крали данные с серверов и перенаправляли посетителей взломанных сайтов на мошеннические ресурсы. Издание отмечает, что имена Джейка Дэвиса и Мустафы Аль-Бассама в связи с хакерской группировкой были названы впервые. Кроме них, обвинения предъявлены еще двум членам LulzSec. Один из них, Райан Клири (Ryan Cleary), признал шесть пунктов обвинения ранее. Четвертый хакер, Райан Акройд (Ryan Ackroyd), отрицает свое участие в организации DDoS-атак и взломе сайтов. Трое признавших вину хакеров ожидают приговора, тогда как Акройда ждет судебное разбирательство. Хакерская группа LulzSec начала действовать весной 2011 года, а уже 26 июня объявила о прекращении своей деятельности. Хакеры объясняли, что устраивают атаки без какой-либо конкретной цели, а просто «ради смеха». Райана Клири, который считался «пресс-секретарем» группы, поймали еще 21 июня 2011 года. В октябре 2012 года еще один обвиняемый в участии в атаках, Рейнально Ривера (Raynaldo Rivera), признался во взломе Sony.
Источник

11/04/2013 09:39 Хакера из литовского вуза поймали на торговле оценками
22-летний студент Вильнюсского университета, некий Юстинас В., взломал компьютерную систему вуза и улучшал оценки себе и своим друзьям. Об этом сообщает Delfi.lt. Нарушения со стороны молодого человека были установлены в ходе расследования. Как признался хакер, ему удалось проникнуть в университетскую базу данных, которая не была должным образом защищена, и узнать пароли преподавателей. Получив возможность менять выставленные ему оценки, молодой человек улучшал их на несколько баллов (в литовских вузах действует 10-бальная система). Иногда даже в случае недопуска к экзамену он удалял соответствующую запись и выставлял якобы полученную оценку. О возможностях Юстинаса В. были осведомлены и его знакомые однокурсники. Они платили ему, чтобы он улучшал оценки и им тоже. Плата составляла 150-300 литов (примерно 50-100 долларов). Таким образом хакер заработал около 1300 литов (немногим менее 500 долларов). В общей сложности оценки молодой человек менял 27 раз. После того, как факты взлома были установлены, Юстинаса В. из университета исключили. Позднее суд, разбиравший это дело, назначил ему штраф в восемь тысяч литов (около трех тысяч долларов), кроме того, у молодого человека был конфискован компьютер.
Источник

11/04/2013 10:11 Минсвязи РФ готовится узаконить понятие "спам"
Министерство связи и массовых коммуникаций РФ подготовило поправки к федеральному закону «О связи», касающиеся регулирования контентных услуг, рекламных SMS-рассылок и спама. Как говорится в блоге "Лаборатории Касперского", первый законопроект, предложенный Минкомсвязи, призван обеспечить дополнительные гарантии соблюдения прав абонентов при оказании контент-услуг. Согласно этой поправке, предоставление такого рода услуг и списание денег с абонентского счета в их оплату возможно лишь с прямого согласия абонента. Сервис-провайдеров обяжут предоставлять абонентам информацию о стоимости и содержании услуг до получения такого согласия. В связи с ростом жалоб на непрошеную рекламу, распространяемую в виде текстовых сообщений, Минкомсвязи предлагает закрепить в законе «О связи» понятие спама, предоставив телеоператорам правовую основу для противодействия массовым рассылкам. В настоящее время российский оператор не имеет права фильтровать SMS-сообщения и отказываться от их доставки, даже если есть уверенность, что это спам. Второй законопроект трактует спам как массовую рассылку рекламного характера, которая не согласована с абонентом и не исходит непосредственно от оператора. Авторы законопроекта подчеркивают, что предлагаемые ими ограничения не распространяются на рекламу, рассылка которой согласована с абонентами. Новая поправка позволит оградить россиян от спама, не лишая добросовестных рекламодателей возможности проводить коммерческие рассылки в адрес своих подписчиков.
Источник

11/04/2013 10:48 Cоциальный виджет для WordPress оказался источником спама
В плагине social-media-widget к WordPress (WordPress Social Media Widget), с реализацией виджета для вставки кнопок быстрого обращения к социальным сетям, выявлено наличие вредоносного кода для подстановки спама, сообщает opennet.ru. Усугубляет ситуацию то, что плагин пользуется большой популярностью и был загружен более 900 тысяч раз. В настоящее время плагин уже удалён из каталога WordPress, а всем пользователям дана рекомендация незамедлительного отключения данного плагина в своих системах. В процессе изучения кода плагина были выявлены вставки, осуществляющие загрузку с внешних сайтов блоков для непрошенной подстановки на использующий плагин сайт спама в форме SEO-ссылок. По предварительной оценке вредоносный код появился в репозитории 12 дней назад при выпуске релиза 4.0 данного плагина. Некоторые пользователи сообщают о наличии иного, похожего по назначению, вредоносного кода в выпуске 3.3. Месяц назад, при поступлении жалоб на загрузку данных с непонятных внешних сайтов, разработчики удалили злонамеренную вставку из репозитория, не придав должного внимания расследованию инцидента. Спустя несколько недель в код была внедрена новая вставка, в ответ на что администраторы каталога плагинов полностью заблокировали проблемный виджет и инициировали отправку пользователям обновления, удаляющего уже установленные копии social-media-widget. Судя по всему, у одного из разработчиков проекта были перехвачены параметры доступа к репозиторию, которые стали использоваться злоумышленниками для внедрения своего кода в состав плагина. Тем не менее, точной информации об источнике подстановки кода пока нет, разработчики проекта отвергают свою причастность к инциденту и пока не нашли следов утечки.
Источник

11/04/2013 11:05 Microsoft готовит обновление Windows Phone 8
Корпорация Microsoft, по информации сетевых источников, ближе к концу года выпустит обновление General Distribution Release (GDR3) для мобильной операционной системы Windows Phone 8. Сообщается, что апдейт обеспечит поддержку сенсорных дисплеев формата Full HD (1080×1920 точек) с диагональю 5 дюймов и более. В текущей версии Windows Phone 8 позволяет работать с тачскринами с разрешением не выше 1280×768 или 1280×720 пикселов. Кроме того, с появлением обновления GDR3 операционная система Windows Phone 8 обзаведётся поддержкой процессоров нового поколения, имеющих четыре вычислительных ядра. Речь, в частности, идёт о чипах Qualcomm (вероятно, имеются в виду изделия Snapdragon 800 и 600, представленные в начале года). Коммуникаторы п/у Windows Phone 8 GDR3, как ожидается, появятся на рынке к новогодним праздникам. По оценкам IDC, в 2012 году мобильные операционные системы Windows заняли 2,5% мирового рынка смартфонов против 1,8% в 2011-м. Для сравнения: доля Android-аппаратов выросла с 49,2 до 68,8%.
Источник

11/04/2013 12:08 Троян Zekos имитирует взлом аккаунта в соцсети
Компания «Доктор Веб» сегодня предупредила об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов. С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. «Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль». «Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон». При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.
Источник

11/04/2013 12:51 DE-CIX запутит крупнейшую в мире точку обмена трафиком
Оператор инфраструктуры Internet Exchange компания DE-CIX анонсировала запуск новой платформы обмена трафиком во Франкфурте-на-Майне, которая получила название DE-CIX Apollon. Представители компании заявляют, что Apollon будет крупнейшей в мире платформой Internet Exchange. Центры дислокации оборудования DE-CIX расположены в Германия, в Дубае и в ОАЕ. Немецкий центр во Франкфурте-на-Майне, где сейчас идет развертывание Apollon, обслуживает более 500 сетей из более чем 50 стран мира. DE-CIX Apollon строится на платформе FSP 3000 производства ADVA Optical Networking, поддерживающей скорости до 2 Тбит/с для каждой оптоволоконной пары. На уровне коммутации используется магистральный маршрутизатор Alcatel-Lucent Core Router 7950 XRS с плотностью до 80 портов 100 GbE в расчете на одно шасси. Уровень ядра сети DE-CIX Apollon реализован за счет четырех суперузлов, Alcatel-Lucent 7950 XRS, к которым по коммутаторам подается с трафик с клиентской стороны. Все оборудование рассредоточено в защищенных помещениях франкфуртского метро. После запуска, DE-CIX Apollon будет предоставлять полный спектр услуг обмена трафиком Ethernet, поддерживая клиентские конфигурации от 1 GbE до нескольких портов 100 GbE. Предполагается, что DE-CIX Apollon начнет работать в декабре 2013 года.
Источник

11/04/2013 14:15 Автором самого опасного трояна для Mac назван житель России
Эксперт в области ИБ Брайан Кребс обвинил жителя Саранска в создании трояна Flashback, на основе которого был создан крупнейший в истории ботнет для Mac OS X. Авторитетный эксперт в области информационной безопасности Брайан Кребс (Brian Krebs) утверждает, что ему известен автор Flashback, самого опасного трояна для компьютеров Apple. Flashback.C, обнаруженный в 2011 г., распространялся под видом установочного файла Adobe Flash Player и требовал для установки в систему ввести пароль. Несмотря на это, на основе сформировался ботнет из более чем 600 тыс. компьютеров под управлением Mac OS X. До сих пор создатель Flashback оставался анонимным, однако, по заявлению Кребса, троян был написан жителем Саранска Максимом Селихановичем. Свое утверждение Кребс строит на собственном признании участника закрытого форума «черных SEO-шников» (поисковых оптимизаторов) BlackSEO.com, известного под ником Mavook. Признание Mavook сделано в переписке по поводу получения им доступа к другому закрытому ресурсу Darkode.com. В ответ на просьбу рассказать о себе, он говорит, что является автором «ботнета на маках Flashback» и просит зарегистрировать его «под каким-нибудь непалевным ником, например macbook». Кребс отмечает, что Mavook мог приписать себе авторство Flashback, желая поднять себя в глазах собеседника, однако он и без того обладает на форуме VIP-статустом и из его профиля видно, что он один из старейших участников форума BlackSEO.com: ник Mavook зарегистрирован в 2005 г. и является 24 по счету из тысячи. Кребс приводит разговор с форума, где Mavook характеризуется как «хороший адекватный человек», способный сдать в аренду связку - серверный инструмент для управления ботнетом. Профиль Mavook указывает на его персональную страницу. Хотя Whois для нее уже давно скрыт, сервис историй Whois domaintools.com показывает, что домен был первоначально зарегистрирован в 2005 г. Максимом Селихановичем в столице в Мордовии Саранске. Для регистрации mavook.com была использована электронная почта h0mini@mail.ru. Поиск по базе данных Skype связывает ее с пользователем под ником Maximsd. Mavook также использует адрес mavook@gmail.com, который также связан с Максимом Селихановичем из Саранска через учетные записи ныне несуществующего сайта saransk-offline.com, сервиса продажи MP3-файлов. Еще один адрес Селихановича - troxel@yandex.ru, использованный для регистрации ныне удаленной учетной записи Facebook Maxim Selikhanovich из Саранска. Ник Troxel был использован на заброшенном сайте торговли mp3 mavook-mp3.com, зарегистрированном на «Mavook aka Troxel» по адресу h0mini@mail.ru. Окончательным доказательством, пишет Кребс, является то, что почта h0mini@mail.ru - это контактный адрес, указанный на сайте мак-rm.com, саранской «Мордовской аутсорсинговой компании», оказывающей услуги ИТ-аутсорсинга и веб-дизайна. По словам источника Кребса, которого сам он называет надежным, и который имеет доступ к базам данных российских налоговых органов, «Мордовская аутсорсинговая компания» зарегистрирована на имя Максима Дмитриевича Селихановича из Саранска.
Источник

12/04/2013 10:03 У The Pirate Bay отобрали гренландский домен
Гренландский регистратор Tele-Post заблокировал домены thepiratebay.gl и piratebay.gl, на которые переехал торрент-портал The Pirate Bay. Об этом сообщает издание TorrentFreak, получившее копию уведомления от регистратора. В компании пришли к выводу, что указанные домены будут использоваться для размещения нелегального контента. На момент написания заметки домены уже не работали. Сам The Pirate Bay открывается по старому адресу thepiratebay.se, расположенному в домене, который относится к Швеции. Решение Tele-Post заблокировать адреса, по всей видимости, основано на постановлении Верховного суда Дании, который в 2009 году признал The Pirate Bay нелегальным ресурсом. Гренландия является автономной территорией Дании. О решении The Pirate Bay переехать на гренландский домен .gl стало известно 9 апреля. Источники TorrentFreak объясняли это тем, что шведские власти планируют изъять у торрент-портала действующий адрес. При этом в The Pirate Bay изданию сообщили, что у администрации ресурса есть еще много доменов в запасе. На какой из них будет перемещен портал и когда это произойдет, пока неизвестно. Изначально ресурс располагался на международном домене .org. Но администрация The Pirate Bay в начале 2012 года, опасаясь, что США заблокирует этот адрес, переместила портал в зону .se.
Источник

12/04/2013 10:38 Пиратские сайты могут попасть в реестр запрещенных сайтов
Председатель Координационного совета по защите интеллектуальной собственности Евгений Севастьянов предложил вносить страницы, содержащие пиратские материалы, в реестр запрещенных сайтов. Об этом сообщает газета «Ведомости» в номере от 11 апреля. Заявление Севастьянова прозвучало 10 апреля на совещании в Министерстве культуры, где обсуждался законопроект о противодействии пиратству в Рунете. Газета отмечает, что представитель Минкомсвязи назвал использование реестра для борьбы с материалами, нарушающими авторские права, недопустимым. Ведомство выступает за создание системы, которая будет оповещать владельцев сайтов о том, что на их площадке размещен пиратский контент, добавил пресс-секретарь Минкомсвязи. Получившие предупреждение администраторы будут сами решать, удалять нелегальные материалы или идти в суд. Обсуждаемый в Минкульте законопроект предполагает, что владельцы сайтов в течение суток после получения жалобы от правообладателей должны будут удалить пиратский контент. Если они не сделают этого, обязанность переходит на хостинг-провайдера. Инициатива также предусматривает штрафы за отказ удалять нелегальный контент. Севастьянов не первый, кто предложил расширить перечень критериев, по которым ресурсы вносятся в реестр запрещенных сайтов. Так, министр связи Николай Никифоров 10 апреля в эфире «Эха Москвы» сообщил, что некий коллега предложил ему блокировать в Сети видео с нецензурной лексикой. Никифоров заявил, что это «не совсем правильный подход». Кроме того, в конце января Госдума приняла в первом чтении законопроект о запрете пропаганды гомосексуализма среди детей. Сам документ вносит поправки только в Кодекс об административных правонарушениях. Но, как заявила депутат Елена Мизулина, инициатива направлена и на внесение страниц с такой пропагандой в реестр запрещенных сайтов. Сама Мизулина поддержала эту норму. Изначально реестр запрещенных сайтов предусматривал блокировку ресурсов, содержащих детскую порнографию, пропаганду суицида и употребления наркотиков. В апреле вступил в силу закон, добавляющий к этому перечню страницы с информацией о несовершеннолетних жертвах преступлений.
Источник

12/04/2013 11:19 «Рамблер» оштрафовали за отказ раскрыть переписку инсайдера
Федеральная служба по финансовым рынкам (ФСФР) оштрафовала «Рамблер» на полмиллиона рублей за отказ предоставить информацию из электронного почтового ящика одного из своих пользователей. Об этом сообщает газета «Ведомости» в номере от 11 апреля. ФСФР запросила у «Рамблера» регистрационные данные пользователя, которого заподозрили в неправомерном использовании корпоративной информации, а также информацию об адресах, с которых он собирал и на которые перенаправлял письма. Интернет-компания предоставила ведомству базовую информацию, но отказалась без судебного решения раскрывать сведения об адресах, сочтя это нарушением тайны переписки. Директор по безопасности объединенной компании «Рамблера» и «Афиши» Александр Рылик заявил газете, что решение ФСФР будет обжаловано. Он подчеркнул, что все правоохранительные органы добиваются судебных решений для получения содержимого переписки пользователей, и неясно, почему в данном случае должно быть иначе. Как выяснили «Ведомости», в Mail.Ru Group также предоставили в ФСФР запрошенную информацию о пользователе, но отказались сообщать службе информацию об адресах, с которыми он вел переписку. Несмотря на это, отмечает газета, компания не была оштрафована. Представители «Яндекса» подтвердили газете, что для получения информации об адресатах переписки действительно нужно вскрывать саму почту. Требования ФСФР связаны с проверкой возможности инсайда и манипулирования акциями компании «Проектные инвестиции». Представитель ведомства Светлана Швецова заверила издание, что служба и раньше штрафовала интернет-компании за отказ предоставить информацию об инсайдерах.
Источник

12/04/2013 12:30 Раскрыт источник массового вирусного заражения онлайн-игр
По данным «Лаборатории Касперского», группировка Winnti с 2009 г. ведет атаки на сервера онлайн-игр с целью перепродажи игровой валюты и легальных сертификатов. «Лаборатория Касперского» обнаружила хакерскую группировку, как минимум с 2009 г. занятую атакой на производителей и издателей онлайн-игр. Следы злоумышленнников были обнаружены «Касперским» в 2011 г., когда ПК большого количества игроков популярной онлайн-игры были заражены трояном, попавшим в систему вместе с обновлениями клиента. Как сообщают эксперты «Касперского», изначальной мишенью злоумышленников были не игроки, а компании - разработчики компьютерных игр. Этот уже известный троян, обладающий функциональностью бэкдора (программы, управляющей работой ОС втайне от владельца компьютера) был получил имя Winnti, а его создатели - «группа Winnti». В «Касперском» говорят о трех схемах монетизации Winnti. Это нечестное накопление игровой валюты в онлайн-играх с последующей конверсией виртуальных денег в реальные, кража исходных кодов серверной части онлайн-игр для поиска уязвимостей в играх, и, наконец, похищение исходников серверной части игр для их развертывания на пиратских серверах. Одновременно эксперты указывают на фирменный почерк Winnti: похищение у игровых компаний легальных сертификатов и их использование во внеигровом пространстве. Так, при атаке южнокорейских соцсетей Cyworld и Nate был использован троян с подписью японской игровой компании YNK Japan Inc., и ее же сертификат применялся в кибератаках тибетских и уйгурских активистов в 2013 г. В «Касперском» не называют поименно провайдеров онлайн-игр, пострадавших от действий группы Winnti, ссылаясь на их клиентский статус в отношении компании. Вместе с тем эксперты «Лаборатории» говорят, что за время существования Winnti ею были атакованы не менее 35 компаний. О начале работы группировки эксперты говорят как о 2009 г., но замечают, что некоторые домены, на которых расположены их управляющие сервера, зарегистрированы в 2007 г. На карте географии распространения Winnti видно, что среди пострадавших компаний одна находится в Белоруссии, где базируется разработчик известной игры World of Tanks. Помимо Белоруссии активность Winnti отмечена в России, Германии, Китае, США, Японии и других странах. Однако, как отмечают эксперты, у авторов Winnti наблюдается тяготение к странам Восточной Азии, где число обнаруженных угроз выше, чем в иных регионах. В Восточной Азии пораженными оказались компании из 10 стран. Авторы отчета заявляют, что им удалось выяснить причастность к атакам Winnti хакеров китайского происхождения, чьим фирменным стилем стала кража сертификатов у атакованных компаний и последующее их использование для новых атак, сообщили в «Лаборатории Касперского».
Источник

13/04/2013 10:07 Хакер научился угонять самолеты с помощью Android-смартфона
Хакер продемонстрировал возможность дистанционного управления коммерческим воздушным судном с помощью Android-смартфона и ряда компонентов, которые можно приобрести на интернет-аукционе. Регуляторы в сфере авиации утверждают, что его метод неработоспособен в реальных системах. Эксперт по информационной безопасности Хьюго Тесо (Hugo Teso) из немецкой компании N.Runs показал способ дистанционного управления самолетом с помощью Android-приложения, сообщает The Huffington Post. Вооружившись смартфоном, радиопередатчиком и программным обеспечением для системы управления полетом, хакер смог вмешаться в сигнал стандартной цифровой системы связи ACARS, с помощью которой обмениваются сообщениями наземные станции и коммерческие воздушные суда. Передавая на самолет правильные команды управления, эксперт смог изменять параметры автопилота, включая высоту, скорость и направление. Он также смог манипулировать теми данными, которые видят пилоты на своих электронных приборах. Демонстрация была проведена в полностью закрытой системе с использованием игрового симулятора. По словам Тесо, все необходимое оборудование и программное обеспечение для дистанционной атаки воздушного судна можно приобрести на интернет-аукционе или у бывших пилотов. Суммарная стоимость всех компонентов составляет около $500. Как объяснил эксперт, выступая на конференции Hack-in-the-Box в Амстердаме, его метод основан на том, что система ACARS не содержит каких-либо функций авторизации и шифрования. Иными словами, самолет не может знать, идут команды от диспетчера или от злоумышленника, совершающего атаку. Концепт Хьюго Тесо, который последние 3 года параллельно работает в авиации, привлек внимание множества компаний, занимающихся разработкой программного обеспечения для систем управления полетом. Между тем, в Федеральном управлении гражданской авиации США считают, что описанный хакером метод не представляет угрозы, так как с его помощью «нельзя получить контроль над автопилотом и препятствовать перехвату ручного управления». Специалисты компании Honeywell, которая разрабатывает авиационное ПО, согласны с этим мнением. «Тесо использовал обычный компьютерный симулятор для демонстрации своего метода. Он не содержит технологий защиты, которые присутствуют в наших сертифицированных продуктах», - заявили в компании. Тем не менее, Honeywell связалась с работодателем Тесо, чтобы установить с ним контакт для получения консультаций. После публикации статьи на американских ресурсах с официальным сообщением выступило и Европейское агентство по авиационной безопасности, которое также заявило, что описанный метод не имеет ничего общего с технологиями защиты в реальных полетных системах.
Источник

14/04/2013 08:02 Зафиксирована массовая атака, нацеленная на создание ботнета из сайтов на базе WordPress
Последние несколько дней в Сети наблюдается интенсивная Brute Force атака, направленна на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress, сообщает opennet.ru. Атака носит массовый характер и организована с использованием крупного ботнета. Попавшие под действие атаки сайты подвергаются проверке входа под логином "admin" через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак. Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов. Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом, даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора парлей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг операторов ориентацию на преобладание исходящего трафика. Тем не менее, некоторые эксперты отвергают сведения об участии взломанных серверов в Brute Force атаке, считая, что целью их взлома является распространение вредоносного ПО для поражения клиентских систем, путем подстановки на страницы поражённых сайтов кода для эксплуатации уязвимостей в браузерах и популярных плагинов к ним. Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют не использовать для администратора логин admin, защитить доступ к скрипту wp-login.php через дополнительною Basic-аутентификацию на уровне http-сервера или разрешить вход только с определённых IP. Для ещё более серьёзной защиты можно использовать дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями. Владельцам уже взломанных сайтов рекомендуется переустановить с нуля WordPress, обновить секретные ключи и поменять все пароли.
Источник

14/04/2013 08:33 Электрические зарядные станции уязвимы для хакерских атак
Хакеры могут использовать уязвимые электрические зарядные станции для блокировки процесса зарядки электромобилями или для замыкания всей сети электрозарядных станций. С таким заявлением сегодня выступили представители HP ArcSight на конференции Hack in the Box в Амстердаме. По словам экспертов, пока система электрозарядных станций еще находится в зачаточном состоянии, примерно через 10-15 лет они могут стать вполне обыденным делом на дорогах и от их правильного функционирования будет во многом зависеть жизнь городов и близлежащих местностей. "Уже сейчас важно, чтобы станции были недосягаемы для атакующих, так как атаки на подобного рода объекты могут в будущем стоять слишком дорого", - говорит Офер Шезаф, менеджер по продуктам безопасности в HP ArcSight. "На сегодня не все подобные объекты имеют должный уровень безопасности". "Говоря упрощенно, электрозарядная станция - это компьютер на улице. Причем, это не просто компьютер, это компьютер, подключенный к сети", - говорит Шезаф. По его словам, в будущем электрозарядные станции будут строиться именно по сетевому принципу, так как на одной станции невозможно на 100% зарядить аккумулятор за несколько минут, поэтому водителю придется довольно часто посещать станции, что вынудит операторов зарядных станций строить разветвленные сети из "дорожных зарядников". Так как сама по себе станция физически может быть легко доступна как водителю, так и потенциальному атакующему, то это налагает некоторые ограничения на работу станций. В HP ArcSight говорят, что в будущем все зарядные станции будут "умными", то есть они будут отслеживать количество "отгруженной" электрической энергии, следить, чтобы некоторые станции не перегружались, в сетях не происходило замыканий, а также отслеживать, какому электромобилю сколько заряда было передано. Шезаф говорит, что они проанализировали ранее представленные зарядные станции и пришли к выводу о том, что получить к ним неавторизованный доступ даже легче, чем к среднестатистическому ПК. По его словам, архитектура зарядных станций позволяет получить доступ к системным файлам установки и проводить их реверс-инжениринг, а также дебаггинг системной прошивки. Кроме того, специалисты обращают внимание и на то, что почти во всех исследованных станциях на удивление легко было получить крипто-ключи, которыми защищались данные. Также специалисты рассказали, что зарядные станции, попавшие в исследование, поддерживали два режима работы - нормальный и режим конфигурирования. При этом, все они имели Ethernet-порты для внешних подключений. Если к станции подключить обычный ноутбук для диагностики, то ее можно легко переключить в режим конфигурирования и получать электроэнергию бесплатно. Некоторые станции поддерживают беспроводные коммуникации по сетям RS-485, которые имеют низкую пропускную способность и большую задержку сигнала. Это также открывает потенциальный вектор для атак.
Источник

14/04/2013 09:20 Microsoft обнаружила ошибку в обновлении MS13-036
Компания Microsoft обнаружила, что после установки обновления KB2823324, вошедшего в бюллетень MS13-036, устраняющего ряд уязвимостей, система не загружалась после перезагрузки и некоторые приложения не запускались, сообщает securitylab.ru. Кроме того, после загрузки обновления KB2823324, установленные на компьютерах антивирусы Касперского Kaspersky Anti-Virus для Windows Workstations и Kaspersky Anti-Virus для Windows Servers 6.0.4.1424 и 6.0.4.1611 также выдавали сообщение об ошибке, согласно которому, лицензия пользователя на ПО является недействительной. В результате, некоторые компоненты антивируса прекратили функционирование. В связи с этим, разработчики инициировали внутреннее расследование, и на время выяснения причин возникновения ошибок деактивировали все ссылки на обновление. Кроме того, бюллетень MS13-036 был изъят из пакета автоматических обновлений Windows Update. Всем пользователям, установившим обновление, компания Microsoft посоветовала удалить его.
Рекомендации


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru