Jump to content

All Activity

This stream auto-updates

  1. Today
  2. Google рискует стать цензором интернета, если суд Австралии не отменит свое решение 13:08 / 24 Января, 2022 2022-01-24T14:08:58+03:00 Alexander Antipov Компания примерит роль цензора, если суд не снимет с нее ответственность за материалы на страницах с гиперссылками. https://www.securitylab.ru/upload/iblock/1c4/1c43226cf19ebd3d4bdaf6f21681de33.jpeg Компания Google обратилась к Верховному суду Австралии с просьбой отменить решение от 2020 года, которое, по ее мнению, может оказать «опустошительный» эффект на интернет. В поданном на прошлой неделе заявлении Google заявила, что ей придется «взять на себя роль цензора», если верховный суд страны не отменит решение, возлагающее на компанию ответственность за порочащие материалы, содержащиеся на страницах с гиперссылками. Речь идет о решении австралийского суда, обязывающего техногиганта заплатить $40 тыс. адвокату Джорджу Дефтеросу (George Defteros) в качестве компенсации за распространение порочащих сведений. Как пишет The Guardian, в 2016 году Дефтерос, защищавший члена мельбурнского преступного сообщества, обратился к Google с просьбой удалить из результатов поиска статью в местной газете The Age за 2004 год. В статье сообщалось об обвинениях в убийстве троих человек, предъявленных Дефтеросу прокуратурой. Обвинения были сняты в 2005 году. Компания отказалась удалить статью из результатов поиска, сославшись на то, что ее источником является издание с хорошей репутацией. Дело дошло до суда, и Дефтерос смог убедить суд в том, что статья и поисковая выдача Google порочат его имя. С точки зрения Google, здесь речь идет об одном из фундаментальных строительных блоков интернета. «Гиперссылка сама по себе не является сообщением того, на что она ссылается», - говорится в заявлении Google, поданном в Верховный суд Австралии. Если суд не отменит свое решение, то оно сделает Google «ответственной за любой публикуемый в интернете материал, на который в результатах поиска есть гиперссылка», включая новостные статьи в уважаемых СМИ. В свою защиту компания сослалась на решение Верховного суда Канады от 2011 года, согласно которому сами по себе гиперссылки не являются публикациями порочащих материалов. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  3. https://xakep.ru/wp-content/uploads/2022/01/373009/Dark-Souls-3.jpg ПК-серверы Dark Souls: Remastered, Dark Souls 2, Dark Souls 3 и Dark Souls: PtDE временно отключены из-за опасной RCE-уязвимости, которая позволяет удаленно захватить контроль над чужой машиной. Просмотреть полный текст статьи
  4. https://xakep.ru/wp-content/uploads/2022/01/373020/forge-h.jpg Сегодня мы с тобой пройдем среднюю по сложности машину с площадки Hack The Box под названием Forge. Проэксплуатируем уязвимость SSRF в форме загрузке файлов и через эту уязвимость получим данные с локального FTP-сервера. А осложнять все это будут фильтры адресов на стороне сервера.Просмотреть полный текст статьи
  5. Европарламент одобрил законопроект по борьбе с инвазивной интернет-рекламой 12:10 / 24 Января, 2022 2022-01-24T13:10:36+03:00 Alexander Antipov Закон запретит Google, Amazon, Facebook и прочим платформам использовать личные данные пользователей для рекламы. https://www.securitylab.ru/upload/iblock/76e/76e497dfb39c9051ef3442f33be3033f.jpg Европейский парламент одобрил первоначальный проект закона, направленного борьбу с агрессивными практиками крупных технологических компаний в области интернет-рекламы. Закон о цифровых услугах, впервые представленный в 2020 году, запретит платформам, таким как Google, Amazon и Facebook, использовать персональные данные, включая сведения о сексуальной ориентации, расе или религии, для таргетированной рекламы. Закон обяжет сервисы предоставлять пользователям возможность легкого отказа от трекинга, а также удалять нелегальный контент в Сети, в том числе ненавистнические высказывания и информацию о контрафактных продуктах. Проект закона также включает два пункта, касающихся рекламы, направленной на несовершеннолетних, и так называемых “темных паттернов” - манипулятивных практик, направленных на то, чтобы заставить пользователей купить что-нибудь, предоставить свои данные или согласиться на отслеживание в интернете. Как отмечается, новые правила могут вступить в силу в 2023 году. Компаниям-нарушителям грозят штрафы в размере до 6% от мировой выручки. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  6. WhatsApp добавит двухэтапную проверку в настольной и web-версиях приложения 11:15 / 24 Января, 2022 2022-01-24T12:15:33+03:00 Alexander Antipov Добавление двухэтапной верификации обеспечит дополнительную защиту для пользователей. https://www.securitylab.ru/upload/iblock/f3c/f3c93e2ed42a96c6856b01773b492ca0.jpg По данным портала WABetaInfo, компания WhatsApp работает над возможностью добавления механизма двухэтапной верификации в настольную и web-версию мессенджера. Многие люди используют приложение WhatsApp для работы и общения, что привлекает интерес со стороны мошенников. Несмостря на предпринимаемые WhatsApp меры, число пользователей, теряющих доступ к своей учетной записи, или оказывающихся жертвами мошенничества, продолжает расти. Поскольку WhatsApp все еще работает на поддержкой нескольких устройств одновременно, пользователи смогут войти в приложения с компьютера без необходимости иметь телефон поблизости или держать его включенным. Добавление двухэтапной верификации обеспечит дополнительную защиту для пользователей. Как отмчает WABetaInfo, после регистрации учетной записи в WhatsApp и ввода шестизначного крда для входа в аккаунт потребуется персональный PIN-код. Пользователи смогут включить двухэтапную верификацию в настольной и web-версии приложения, что очень важно, особенно если человек потерял телефон или забыл PIN-код. На данный момент неясно, когда данная функция окажется доступной для публичных бета-тестеров, поскольку она все еще находится на ранних стадиях разработки. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  7. 65% сотрудников фирм получали от хакеров предложения о содействии в вымогательских атаках 10:34 / 24 Января, 2022 2022-01-24T11:34:15+03:00 Alexander Antipov В основном хакеры связывались с потенциальными “помощниками” через электронную почту. https://www.securitylab.ru/upload/iblock/e4c/e4ce9be51d6efba0513d541ce7d2cacc.jpg 65% руководителей IT-отделов или команд безопасности либо их сотрудников получали предложения от хакеров о содействии в организации вымогательских атак. Об этом свидетельствуют результаты недавнего опроса , проведенного компанией Hitachi ID Systems среди 100 руководителей IT- и команд безопасности. Как сообщили 57% респондентов, в качестве оплаты вымогатели предлагали наличные деньги или биткойны на сумму менее $500 тыс. В основном хакеры связывались с потенциальными “помощниками” через электронную почту. Из 65% опрошенных, получивших подобные предложения, 49% отметили, что их компании стали жертвами вымогательских атак. Большая часть респондентов сообщили, что консультировались с внешними экспертами прежде чем реагировать на вымогательскую атаку и получали рекомендации не платить выкуп. В то же время, 26% опрошенных отметили, что заплатили требуемую сумму (суммы выкупа варьировались от $300тыс. до $600 тыс.). Более половины (51%) руководителей заявили, что готовы к вымогательским атакам на среднем уровне, и только 4% полностью к ним готовы. “Для борьбы с растущей угрозой предприятия должны применять упреждающий наступательный подход к кибербезопасности, или они могут столкнуться с финансовым либо репутационным ущербом”, - предупредили специалисты Hitachi ID. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  8. https://xakep.ru/wp-content/uploads/2022/01/373000/The-Infraud-Organization.jpg СМИ сообщают, что сотрудники ФСБ и российских правоохранительных органов задержали четверых участников хакерской группы The Infraud Organization, один из которых был администратором кардерского форума UniCC.Просмотреть полный текст статьи
  9. Хакеры атаковали популярные YouTube-каналы о криптовалюте 09:29 / 24 Января, 2022 2022-01-24T10:29:48+03:00 Alexander Antipov На взломанных каналах были опубликованы видео, призывающие зрителей отправлять деньги на кошелек мошенников. https://www.securitylab.ru/upload/iblock/b65/b65fadc7c75872b2b4a1e5cdbc060e62.jpg В воскресенье, 23 января, хакеры атаковали целый ряд популярных YouTube-каналов, освещающих мир криптовалют, и опубликовали на них мошеннические видео, призывающие зрителей отправлять деньги на их кошелек. В частности, от атак пострадали каналы BitBoy Crypto, Altcoin Buzz, Box Mining, Floyd Mayweather, Ivan on Tech, The Moon и пр. На указанный в видео кошелек Binance Smart Chain было сделано всего девять переводов на общую сумму $850. Как сообщил изданию Cointelegraph автор YouTube-канала Boxmining Майкл Гу (Michael Gu), кто-то опубликовал на канале несанкционированное видео, но Гу обнаружил его всего через две минуты после публикации и сразу же удалил. Однако к тому времени у ролика уже были просмотры и комментарии. Гу провел внутренний аудит и не обнаружил никаких вирусов или уязвимостей, которыми могли воспользоваться хакеры для взлома его учетной записи. Похоже, проблема может быть в самом YouTube, считает блогер. Пользователь Reddit под псевдонимом 9Oh8m8 предположил, что хакеры могли получить доступ к учетным записям с помощью мошеннической техники, известной как SIM-свопинг, которая позволила им обойти двухфакторную аутентификацию. Тем не менее, Гу сомневается, что дело в SIM-свопинге, поскольку в его учетной записи Google не было никаких авторизаций. «Если бы это был SIM-свопинг, я бы лишился доступа к своему телефону и т.д., но это не произошло. Мы заметили, что на аккаунт BRAND (у которого нет логина, аккаунты брендов YouTube связаны с личными) был осуществлен вход с Филиппин. Весьма вероятно, это или взлом на стороне YouTube, или дело рук злонамеренного сотрудника. Это объясняет, как им удалось взломать столько аккаунтов за один раз», - сообщил блогер. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  10. VW уволила сотрудника, указавшего на проблемы с кибербезопасностью 09:00 / 24 Января, 2022 2022-01-24T10:00:16+03:00 Alexander Antipov Менеджер уведомил руководство, что платежная платформа Volkswagen Payments SA уязвима к мошенничеству. https://www.securitylab.ru/upload/iblock/42c/42c0cd307c736048c542772bfb7ce5ea.jpg Компания Volkswagen уволила высокопоставленного менеджера спустя несколько недель после того, тот выразил обеспокоенность относительно возможных уязвимостей в платежной платформе автопроизводителя, сообщило издание The Financial Times со ссылкой на внутрение документы компании. В сентябре 2021 года менеджер уведомил руководство, что платежная платформа Volkswagen Payments SA уязвима к мошенничеству и указал на риск кражи $2,6 млн, находившихся на счетах компании. Сотрудник также обратил внимание начальства на то, что Volkswagen может столкнуться с регулятивными мерами, если не исправит уязвимости. В результате, в октябре компания уволила менеджера. Как указали в Volkswagen, предоставленная информация была “неактуальной”, а само увольнение связано с “фундаментальной разницей в том, как мы вместе работаем”. Платежная платформа Volkswagen Payments SA, владельцем которой является финансовое подразделение VW, предоставляет финансирование дилерам и клиентам компании. 8 сентября американский банковский холдинг JPMorgan объявил о планах приобрести контрольный пакет (75%) в платежной платформе. Позже в том же месяце сотрудник VW сообщил руководству о том, что обеспокоен рисками, связанными со “случаем мошенничества”, имевшим место спустя три дня после объявления JPMorgan. “Мы должны реализовать аварийные выключатели для ограничения ущерба от подобного рода атак”, - говорится в докладной записке. В ответ на это компания заявила, что не было никакого мошенничества, и что она “немедленно и добросовестно проверяет касающуюся безопасности информацию, поступающую от сотрудников”. По данным источника Financial Times, близкого к компании, VW наняла юридическую фирму для изучения ситуации. В JPMorgan отказались от комментариев. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  11. Уязвимость в игре Dark Souls позволяет хакерам получать контроль над ПК игроков 08:00 / 24 Января, 2022 2022-01-24T09:00:59+03:00 Alexander Antipov После сообщения об уязвимости серверы некоторых игр Dark Souls были отключены в целях безопасности. https://www.securitylab.ru/upload/iblock/f85/f85c47c2b9c2ae29cc12a83483e1d964.jpg В популярной компьютерной игре Dark Souls 3 обнаружена опасная уязвимость удаленного выполнения кода, позволяющая злоумышленникам получать контроль над компьютерами игроков. Как сообщает Dexerto, уязвимость ставит под угрозу только пользователей ПК, играющих online, и потенциально может затрагивать Dark Souls, Dark Souls 2 и Elden Ring. После сообщения об уязвимости серверы некоторых игр Dark Souls были отключены в целях безопасности. Эксплуатация уязвимости была продемонстрирована во время стрима пользователя Twitch под псевдонимом The__Grim__Sleeper. В конце стрима игра вдруг «сломалась», и роботизированный голос озвучки текста от Microsoft начал критиковать геймплей. По словам The__Grim__Sleeper, автоматически открылся Microsoft PowerShell – явный признак того, что кто-то воспользовался программой для запуска скрипта, активировавшего функцию озвучки текста. Однако это не был злоумышленник. Судя по скриншоту на Discord-канале SpeedSouls, «хакер» преследовал самые благие цели. Он знал об уязвимости и попытался связаться с разработчиком Dark Souls компанией FromSoftware. Однако разработчик проигнорировал сообщения, поэтому хакер стал взламывать стримеров, чтобы привлечь внимание к проблеме. Впоследствии для разработанного сообществом анти-чит мода Blue Sentinel был выпущен патч, исправляющий уязвимость удаленного выполнения кода. Согласно публикации на Reddit-подфоруме r/darksouls3, только четыре человека знают, как проэксплуатировать вышеупомянутую уязвимость. Два из них являются разработчиками Blue Sentinel, а еще два, возможно, – исследователями, участвовавшими в раскрытии уязвимости. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  12. Microsoft отключила по умолчанию макросы Excel 4.0 (XLM) 07:32 / 24 Января, 2022 2022-01-24T08:32:24+03:00 Alexander Antipov Макросы XLM отключены по молчанию в сентябрьском форке, версии Excel 16.0.14527.20000 и более новых. https://www.securitylab.ru/upload/iblock/699/699b5bface4221e05dbd453c2299f730.jpg Компания Microsoft объявила о том, что макросы Excel 4.0 (XLM) отныне будут отключены по умолчанию, чтобы защитить пользователей от вредоносных документов. В октябре прошлого года компания впервые опубликовала в центре обновления Microsoft 365 сообщение о намерении отключить макросы XLM, если пользователи или администраторы не включили/выключили эту функцию вручную. С июля 2021 года администраторы Windows могут использовать групповые политики и отключать эту функцию вручную с помощью настройки «Включать макросы XLM, когда включены макросы VBA» в центре доверия Excel. «В июле мы добавили в центр доверия Excel новую настройку для ограничения использования макросов Excel 4.0 (XLM). Как и планировалось, теперь мы сделали ее настройкой по умолчанию при открытии макросов Excel 4.0 (XLM). Это поможет нашим клиентам защитить себя от соответствующих угроз безопасности», - сообщила старший программный директор Microsoft Кэтрин Пиджен (Catherine Pidgeon). Администраторы могут настроить способ запуска макросов Excel с помощью групповых, облачных и ADMX политик. Они также могут полностью блокировать использование макросов Excel XLM в своей среде (включая новые созданные пользователями файлы), активировав настройку «Запретить Excel запускать макросы XLM» через редактор групповых политик или ключ реестра. В настоящее время макросы XLM отключены по молчанию в сентябрьском форке, версии Excel 16.0.14527.20000 и более новых. Несмотря на то, что XLM давно устарели, тридцать лет спустя злоумышленники по-прежнему продолжают их использовать для создания документов, развертывающих вредоносное ПО, или выполнения других злонамеренных действий с файлами в локальных файловых системах, поскольку текущие версии Microsoft Office все еще поддерживают макросы XLM. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  13. Yesterday
  14. Я люб­лю сме­лые экспе­римен­ты. В качес­тве одно­го из них я решил вод­рузить Windows 11 на ста­рень­кий ThinkPad x200S. Новая вин­да сна­чала не хотела уста­нав­ливать­ся на этот ноут (потому что он древ­ний и тор­мозной), а потом — нор­маль­но работать на нем — по той же самой при­чине. Приш­лось раз­бирать­ся, как обой­ти про­вер­ку аппа­рат­ной сов­мести­мос­ти, а самое глав­ное — как зас­тавить сис­тему кру­тить­ся быс­тро и без лагов на мораль­но уста­рев­шем железе. Эти­ми спо­соба­ми я хочу поделить­ся с тобой — все они про­вере­ны на прак­тике и гаран­тирован­но работа­ют. Этот ста­рень­кий ThinkPad, обо­рудо­ван­ный про­цес­сором Intel Celeron U2300, 8 Гбай­тами опе­ратив­ки и SSD-накопи­телем все­мир­но извес­тной китай­ской фир­мы NoNaMe, я исполь­зую в даль­них поез­дках по прин­ципу «если соп­рут, то не жал­ко». С ролью пор­татив­ной рабочей машины этот ком­пак­тный ноут всег­да справ­лялся безуп­речно, осо­бен­но с уче­том того, что Windows 10 работа­ла на нем весь­ма шус­тро даже без вся­ких тви­ков. Имен­но поэто­му у меня не воз­никло ни малей­ших сом­нений, на каком имен­но железе про­тес­тировать Windows 11, преж­де чем ста­вить нез­накомую сис­тему на рабочую машину — я опа­сал­ся, что к новому «Глав­ному меню» и видо­изме­нен­ной «Панели задач» при­дет­ся дол­го при­выкать, и не факт, что получит­ся. https://st768.s3.eu-central-1.amazonaws.com/f1accb48ac68d151a5e944769b1e0b6e/24567/thinkpad.jpgThinkPad x200S c Windows 11 на бор­туПриз­нать­ся, я был неп­рият­но удив­лен быс­тро­дей­стви­ем Windows 11 на моем ThinkPad, вер­нее, его пол­ным отсутс­тви­ем. По срав­нению с «десят­кой» новая вин­да вороча­лась еле‑еле, «Про­вод­ник» запус­кался при­мер­но пол­минуты, а при откры­тии нес­коль­ких вкла­док в бра­узе­ре сис­тема и вов­се впа­дала в кому. Оче­вид­но, что это железо для Windows 11 ока­залось все‑таки сла­бова­тым, но что­бы нас­толь­ко… Я при­нял­ся сроч­но изыс­кивать спо­собы уско­рения работы Windows 11, но перед этим я был вынуж­ден повозить­ся и с самой уста­нов­кой — сис­тема жалова­лась на несов­мести­мость железа и нас­той­чиво пред­лагала поис­кать в чулане компь­ютер помощ­нее. Приш­лось при­менять ку­вал­ду магию. Одна­ко обо всем по поряд­ку. Обход проверки аппаратной совместимости Еще до офи­циаль­ного релиза Windows 11 ста­ло извес­тно: кор­порация Microsoft выкати­ла такие тре­бова­ния к сов­мести­мой аппа­рат­ной кон­фигура­ции, буд­то их писали с оглядкой на супер­компь­юте­ры Пен­тагона. Потом (видимо, под дав­лени­ем общес­твен­ности) раз­работ­чики вклю­чили зад­нюю и нем­ного уре­зали свои зап­росы, но в спис­ке все рав­но оста­лись UEFI с под­дер­жкой безопас­ной заг­рузки, доверен­ный плат­формен­ный модуль TPM 2.0 и дис­плей высокой чет­кости 720p. Совер­шенно оче­вид­но, что ThinkPad x200S, как и мно­гие дру­гие ста­рые ноут­буки, этой кон­фигура­ции совер­шенно не соот­ветс­тву­ет, потому при уста­нов­ке сис­темы я уви­дел на экра­не вот такое грус­тное сооб­щение. https://st768.s3.eu-central-1.amazonaws.com/f1accb48ac68d151a5e944769b1e0b6e/24547/01.pngВаш компь­ютер не компь­ютерПо счастью, Microsoft все‑таки пре­дус­мотре­ла воз­можность уста­нов­ки Windows 11 на несов­мести­мое железо в так называ­емой «лабора­тор­ной кон­фигура­ции», и даже опуб­ликова­ла соот­ветс­тву­ющую инс­трук­цию по обхо­ду огра­ниче­ний где‑то в глу­бинах собс­твен­ного сай­та. Ей и вос­поль­зуем­ся. Уви­дев уве­дом­ление о несо­ответс­твии компь­юте­ра фан­тази­ям раз­работ­чиков Windows, жмем «Назад», что­бы вер­нуть­ся в окно выбора вер­сии ОС, затем нажима­ем на кла­виату­ре Shift-F10, набира­ем в открыв­шемся окне коман­дной стро­ки regedit и давим Enter. В открыв­шемся окне Редак­тора реес­тра перехо­дим к вет­ке HKEY_LOCAL_MACHINE\SYSTEM\Setup\ и соз­даем там новый раз­дел LabConfig. В этом раз­деле соз­даем три 32-раз­рядных парамет­ра DWORD с име­нами BypassTPMCheck, BypassRAMCheck и BypassSecureBootCheck. Пос­ле чего двой­ным щел­чком мыши откры­ваем каж­дый из этих парамет­ров и прис­ваиваем им зна­чение «1». https://st768.s3.eu-central-1.amazonaws.com/f1accb48ac68d151a5e944769b1e0b6e/24548/02.pngОб­маныва­ем прог­рамму уста­нов­ки Windows 11Те­перь нуж­но зак­рыть «Редак­тор реес­тра» и коман­дную стро­ку, а затем про­дол­жить уста­нов­ку в преж­нем режиме. Пос­ле вышепе­речис­ленных манипу­ляций инстал­лятор не будет про­верять наличие TPM 2.0, минималь­но необ­ходимый объ­ем опе­ратив­ки и при­сутс­твие в сис­теме UEFI, но ему все рав­но пот­ребу­ется как минимум двухъ­ядер­ный про­цес­сор. Если его нет, то ты сно­ва уви­дишь сооб­щение об аппа­рат­ной несов­мести­мос­ти. Мой Celeron, по счастью, успешно про­шел фейс‑кон­троль, но вин­да пос­ле запус­ка тор­мозила так, что работа на ноут­буке прев­ратилась в сущее мучение. Сущес­тву­ет воз­можность отка­тить­ся обратно к пре­дыду­щей вер­сии Windows в течение пер­вых десяти дней пос­ле обновле­ния сис­темы, но этот шанс был мною счас­тли­во упу­щен из‑за но­вогод­него запоя новогод­них каникул. Приш­лось изыс­кивать спо­собы нас­тро­ить Windows 11 так, что­бы с ней мож­но было хоть как‑то работать, не борясь с пер­манен­тным желани­ем плю­нуть в экран ноут­бука. Создаем резервную копию Преж­де чем ковырять­ся в нас­трой­ках вин­ды и сис­темном реес­тре, име­ет смысл сде­лать его резер­вную копию и как минимум соз­дать точ­ку вос­ста­нов­ления. Реестр мож­но забека­пить с помощью кон­соль­ной коман­ды вида reg export HKLM С:\tmp\hklm.reg, где hklm.reg — файл, в котором будет сох­ранено содер­жимое вет­ви HKLM. Осталь­ные вет­ви экспор­тиру­ются ана­логич­ным обра­зом, а откат к пер­воначаль­ным нас­трой­кам выпол­няет­ся путем запус­ка reg-фай­ла. Adblock test (Why?)
  15. В сообществе вымогателей царит страх после уничтожения группировки REvil 11:10 / 23 Января, 2022 2022-01-23T12:10:29+03:00 Alexander Antipov Киберпреступники больше не верят, что Россия является убежищем для их деятельности. https://www.securitylab.ru/upload/iblock/500/5004c1e698088041e2b56d6f991ec34d.jpg После того, как Федеральная служба безопасности России (ФСБ) в январе нынешнего года нейтрализовала вымогательскую группировку REvil (Sodinokibi), восточноевропейские киберпреступники почувствовали тревогу. В течение нескольких дней после действий ФСБ исследователи из Trustwave SpiderLabs анализировали разговоры в даркнете и обнаружили, что в сообществе киберпреступников царит страх. Киберпреступники в даркнете еще в ноябре 2021 года обсуждали секретные переговоры между властями РФ и США и призывали друг друга готовиться к потенциально серьезным действиям со стороны России. По словам одного из комментаторов, все требовавшие выкуп вымогатели будут арестованы в течение 2022 года, а самые «невезучие» — в ближайшие два месяца. Опасения некоторых киберпреступников вызваны также сообщением об одном из администраторов подпольного форума, который предположительно сотрудничал с правоохранительными органами. «Публикую часть своей личной переписки, без его согласия, так как он пропал бесследно, скорее всего благодаря человеку под псевдонимом RED\KAJIT. Он администратор форума RAMP, который работает на правоохранительные органы против простых работяг», — сообщил один из пользователей. Поскольку многие администраторы имеют доступ к контактной информации участников форума, подобная обеспокоенность вполне понятна. Если участники форума больше не доверяют друг другу, им определенно будет труднее вести бизнес на хакерских форумах. Киберпреступники больше не верят, что Россия является убежищем для их деятельности. Некоторые злоумышленники стали обсуждать положительные и отрицательные стороны переноса своих операций в Индию, Китай, на Ближний Восток или даже в Израиль. Участники форума обменялись многочисленными советами о том, как обезопасить себя, если российские правоохранительные органы продолжат активно бороться с киберпреступностью. В дополнение к поиску нового места для работы, участники форума предложили использовать ПО Tor для сохранения анонимности, удалять старые сообщения, а также отказаться от хранения всех украденных данных на одном компьютере. Несколько участников форума также раскритиковали действия REvil, которые привели к ее краху, и призвали других не подражать поведению группировки. По мнению участников форумов, самый большой провал REvil произошел из-за широко разрекламированного хвастовства своими достижениями и нападения на многомиллиардные корпорации, расположенные в странах. Один из участников форума предположил, что операция ФСБ на самом деле была сфальсифицирована или была всего лишь «шоу» для международного просмотра. Данная мысль вселяет в преступников надежду на то, что спецоперация правоохранительных органов не закончится серьезными наказаниями для задержанных. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  16. На RaidForums выставлены на продажу персональные данные 2.6 млн граждан Украины 10:38 / 23 Января, 2022 2022-01-23T11:38:01+03:00 Alexander Antipov Персональные данные украинцев якобы были взяты из государственного сервиса «Дия». https://www.securitylab.ru/upload/iblock/501/5014c1a8a37a242dbda07fe56c3f7777.jpg В базе данных содержатся следующая информация: ФИО, дата рождения, пол, номер телефона, ИНН, данные из государственных и заграничных паспортов, данные из ID-карт. По словам хакера, информация представлена в форматах SQL, JPG и JSON. Всего для предпросмотра доступен архив объемом чуть более 11 ГБ. Продавец хочет за базу данных 15 тысяч долларов США. Ранее аналитики заявили, что Украине угрожают разрушительные кибератаки , которые могут затронуть критическую инфраструктуру страны. Напомним 14 января хакеры взломали сайты ряда министерств правительства Украины. По предварительным данным, к взлому причастна хакерская группировка UNC1151, которую подозревают в связях с разведслужбами Белоруссии. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  17. Last week
  18. В конце 2021 года, изучая логи Firmware Scanner, эксперты «Лаборатории Касперского» обнаружили компрометацию на уровне прошивки UEFI. Дальнейший анализ показал, что злоумышленники модифицировали один из компонентов в исследуемом образе прошивки, что позволило им изменить цепочку выполнения в UEFI и внедрить вредоносный код, запускаемый при старте машины. Проанализировав компоненты модифицированной прошивки и другие артефакты вредоносной активности в сети жертвы, исследователи пришли к выводу, что в исследуемую прошивку был внедрен вредоносный код, который получил имя MoonBounce. Отличительной особенностью MoonBounce является то, что малварь скрывается не в разделе ESP (EFI System Partition), где обычно располагается часть кода UEFI, а сразу внедряется во флэш-память SPI, расположенную на материнской плате. То есть вредонос может запускаться как после переустановки операционной системы, так и после форматирования или замены жесткого диска. Фактически буткит останется на зараженном устройстве вплоть до перепрошивки SPI-памяти (а это очень сложный процесс) или вплоть до замены материнской платы. По информации «Лаборатории Касперского», MoonBounce — это уже третий буткит UEFI, который встречался ИБ-аналитикам и был способен заражать SPI-память. Предыдущие два случая, это малварь LoJax и MosaicRegressor. Исследователи заявили, что MoonBounce использовался как способ поддержания доступа к зараженному хосту и развертывания малвари на втором этапе атаки. Фактически, пока MoonBounce был развернут только один раз (в сети неназванной транспортной компании), и, основываясь на другой малвари, развернутой в той же сети, исследователи предположили, что MoonBounce — это работа китайской кибершпионской группировки APT41. https://xakep.ru/wp-content/uploads/2022/01/372906/MoonBounce_the_dark_side_of_UEFI_firmware_04-1024x530-1.pngСвязи между элементами инфраструктуры имплантов MoonBounce и ScrambleCross, обнаруженных в одной сети Так, MoonBounce, и другие вредоносы , обнаруженное в сети жертвы, часто связывались с одной и той же серверной инфраструктурой, откуда они, скорее всего, получали инструкции от APT41. Единственной загадкой для исследователей пока остался способ установки MoonBounce. Детальный технический отчет, посвященный MoonBounce, уже опубликован на сайте компании. Фото: "Лаборатория Касперского" Adblock test (Why?)
  19. ФСБ арестовало лидеров хакерской группировки, экстрадиции которых добивалось США 19:50 / 22 Января, 2022 2022-01-22T20:50:54+03:00 Alexander Antipov Основным способом получения дохода The Infraud Organization считается использование похищенных данных банковских карт. https://www.securitylab.ru/upload/iblock/d22/d222587161177dacd4600c2633e0ec2d.jpg Сотрудники ФСБ и правоохранительные органы Российской федерации арестовали несколько участников хакерской группы The Infraud Organization, предполагаемый основатель которой Андрей Новак был объявлен в розыск в США по обвинению в кибермошенничестве. По информации источника в правоохранительных органах, Новак арестован, а еще трое предполагаемых злоумышленников отправлены под домашний арест. Как сообщает ТАСС , "В ходе оперативно-разыскной деятельности российским спецслужбам при оперативной поддержке правоохранительных органов и содействии правоохранителей из Соединенных Штатов Америки удалось установить и задержать четверых членов хакерской группировки The Infraud Organization, основным способом получения дохода которой является использование похищенных данных кредитных карт. Предполагаемый основатель преступной группировки Андрей Сергеевич Новак, находящийся в розыске в США по обвинению в кибермошенничестве, арестован на два месяца, еще трое членов группы - Кирилл Самокутяев, Константин Владимирович Бергман и Марк Аврамович Бергман - отправлены под домашний арест". Основным способом заработка хакеров были кражи данных кредитных карт и их использование. Ведется поиск остальных участников хакерской группы. Infraud Organization с 2010 по 2017 год занималась «крупномасштабным приобретением, продажей и распространением похищенных идентификационных данных, скомпрометированных дебетовых и кредитных карт, личной информации, финансовой и банковской информации, компьютерных вредоносных программ и другой контрабандой». Все трое являются членами The Infraud Organization. Они были задержаны российскими спецслужбами при поддержке правоохранительных органов США. Россия не собирается выдавать Новака властям США. Сейчас следствие продолжает устанавливать других членов междунардной хакерской организации The Infraund Organization. В 2020 году российский гражданин Сергей Медведев приговорен судом в Неваде к 10 годам лишения свободы за совершение киберпреступлений в составе группы, ущерб от которых составил $568 млн. Согласно материалам обвинения, россиянин основал Infraud Organization вместе с украинцем Святославом Бондаренко в ноябре 2010 года. "От Infraud Organization пострадали миллионы человек во всех 50 штатах США. Ее деятельность привела к финансовым потерям в $568 млн", - отмечается в пресс-релизе американского Минюста. До этого россиянин Сергей Медведев был задержан в Таиланде по запросу ФБР по подозрению в причастности к международной хакерской сети, и позже был экстрадирован в США. 14 января следователи следственного департамента МВД РФ арестовали несколько участников хакерской группировки Revil, которые подозреваются в совершении преступления, предусмотренного ч. 2 ст. 187 УК РФ ("Неправомерный оборот средств платежей")". Позднее США сказали что в числе арестованных также был участник группировки Darkside, который причастен к атаке на Colonial Pipeline. По мнению экспертов, Задержание REvil может сказаться на безопасности российских компаний. Ранее многие русскоязычные хакеры не атаковали компании России и СНГ, поскольку это было для них небезопасно. Однако за последние два года атаки с использованием программ-вымогателей участились и здесь. Задержание REvil может их лишь подстегнуть, так как после удачных зарубежных операций они могут забыть про негласные запреты. В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  20. Themida или «Фемида» — одна из самых наворо­чен­ных защит для соф­та. Вмес­те с WMProtect ее отно­сят к нас­толь­ко суровым про­тек­торам, что некото­рые прог­раммис­ты, которым жаль денег на чес­тную покуп­ку этих инс­тру­мен­тов (а сто­ят они недеше­во), прос­то ими­тиру­ют их наличие, что отпу­гива­ет ленивых и неопыт­ных хакеров. Сегод­ня мы погово­рим о том, как сбро­сить три­ал при­ложе­ния, защищен­ного нас­тоящей Themida. warning Статья написа­на в иссле­дова­тель­ских целях, име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Исполь­зование или рас­простра­нение ПО без лицен­зии про­изво­дите­ля может прес­ледовать­ся по закону. Нес­мотря на широкую популяр­ность Themida, высокую сто­имость взло­ма и, соот­ветс­твен­но, боль­шое количес­тво ману­алов и виде­оуро­ков в сети, они поч­ти всег­да бес­полез­ны. Они в основном опи­сыва­ют сня­тие ста­рых вер­сий защиты 1 и 2. Уже третья вер­сия устро­ена нас­толь­ко слож­нее, что в паб­лике нет уни­вер­саль­ных инс­тру­мен­тов и скрип­тов для ее взло­ма или обхо­да. И даже на ста­рых вер­сиях всег­да находят­ся какие‑то нюан­сы, исклю­чающие воз­можность уни­вер­саль­ного однокно­поч­ного решения. По­это­му я не буду оста­нав­ливать­ся сей­час на «тра­дици­онных» спо­собах обхо­да «Фемиды», а вмес­то это­го опи­шу наибо­лее прос­той и понят­ный метод иссле­дова­ния, взло­ма и пат­ча одно­го из защищен­ных гра­фичес­ких при­ложе­ний. Эта прог­рамма исполь­зует Themida треть­ей вер­сии, а мы, как обыч­но, воору­жим­ся лишь минималь­ным набором дос­тупных инс­тру­мен­тов (x64dbg и его пла­гины). Нуж­но заметить, что для обна­руже­ния Themida не сле­дует силь­но полагать­ся на DetectItEasy. С этим про­тек­тором гораз­до луч­ше работа­ют Nauz File Detector и ExeInfo. https://st768.s3.eu-central-1.amazonaws.com/a7754880850582b3447fd67dddb4de24/24461/1.jpgNauz File Detectorhttps://st768.s3.eu-central-1.amazonaws.com/a7754880850582b3447fd67dddb4de24/24462/2.jpgExeInfoВи­зуаль­но же на при­сутс­твие «Фемиды» в фай­ле как бы намека­ет наличие меж­ду сек­циями .idata и .pdata двух сек­ций с неп­роиз­носимы­ми наз­вани­ями из 8 слу­чай­ных сим­волов. Впро­чем, в треть­ей вер­сии раз­работ­чики уже не стес­няясь пря­мо называ­ют сек­ции .themida и .boot. Код гаран­тирован­но зашиф­рован, упа­кован и ста­тичес­кому ана­лизу и ревер­су не под­дает­ся. По­это­му поп­робу­ем заг­рузить нак­рытую Themida прог­рамму в наш любимый отладчик x64dbg. Разуме­ется, все пло­хо: при стар­те отладчик про­вали­вает­ся в вир­туаль­ную машину, столь страш­ную на вид, что отби­вает­ся вся­кая охо­та с ней раз­бирать­ся. Хотя в отдель­ных слу­чаях это­го не избе­жать, ска­жем, при при­вяз­ке кон­крет­ной прог­раммы к компь­юте­ру или дон­глу. В любом слу­чае этот путь неп­рост и тер­нист: вир­туаль­ная прог­рамма мгно­вен­но палит отладчик, вдо­бавок она отсле­жива­ет тай­минг похож­дения отдель­ных учас­тков сво­его кода. Схо­ду при­атта­чить­ся к уже активно­му про­цес­су тоже нель­зя, раз­работ­чики и это пре­дус­мотре­ли. Поп­робу­ем сде­лать чуть хит­рее — воз­можно, по прош­лым стать­ям ты пом­нишь замеча­тель­ный анти‑анти­отла­доч­ный пла­гин ScyllaHide для x64dbg, в котором спе­циаль­но для ленивых уже под­готов­лены готовые про­фили под каж­дую популяр­ную защиту. Конеч­но же, подоб­ный про­филь там есть и для Themida, прав­да, не шиб­ко силь­но он нам поможет: при заг­рузке прог­раммы он не спа­сает от анти­отладчи­ка, одна­ко при­атта­чить­ся к запущен­ному при­ложе­нию уже поз­воля­ет. Тол­ку, прав­да, с это­го нем­ного: пос­ле такого бря­ка трас­сиров­ка валит прог­рамму наповал. Но это уже прог­ресс — далее по стан­дар­тной схе­ме, опро­бован­ной нами ранее на Enigma, Obsidium и про­чих, про­буем сдам­пить прер­ванный про­цесс при помощи дру­гого спе­циаль­но пред­назна­чен­ного для это­го пла­гина — Scylla. При­ложе­ние дам­пится успешно. Как обыч­но, надо искать точ­ку вхо­да и во мно­гих слу­чаях это­го впол­не дос­таточ­но, одна­ко, наш слу­чай неп­ростой. Заг­рузив сдам­плен­ный файл в IDA мы обна­ружи­ваем, что наше при­ложе­ние неп­лохо обфусци­рова­но: на боль­шинс­тве вызовов импорти­руемых фун­кций (в час­тнос­ти, на биб­лиотеч­ных вызовах QT, на котором написа­на ана­лизи­руемая нами прог­рамма), сто­ят заг­лушки, ведущие на изрядной дли­ны цепоч­ки безум­ного код подоб­ного вида: 00007FF6F4FA521D | E9 DB2F5F00 | jmp 7FF6F55981FD 00007FF6F4FA5222 | E9 E5E31D00 | jmp 7FF6F518360C 00007FF6F4FA5227 | E9 25064500 | jmp 7FF6F53F5851 00007FF6F4FA522C | E9 375E5900 | jmp 7FF6F553B068 00007FF6F4FA5231 | 73 D5 | jae 7FF6F4FA5208 00007FF6F4FA5233 | CF | iretd 00007FF6F4FA5234 | 0026 | add byte ptr ds:[rsi],ah 00007FF6F4FA5236 | 49:89ED | mov r13,rbp ... 00007FF6F55981FD | 48:83EC 08 | sub rsp,8 00007FF6F5598201 | E9 E6DB0200 | jmp 7FF6F55C5DEC ... 00007FF6F55C5DEC | 48:83EC 08 | sub rsp,8 00007FF6F55C5DF0 | 48:83EC 08 | sub rsp,8 00007FF6F55C5DF4 | 48:81EC 08000000 | sub rsp,8 00007FF6F55C5DFB | 48:891C24 | mov qword ptr ss:[rsp],rbx 00007FF6F55C5DFF | 8F0424 | pop qword ptr ss:[rsp] 00007FF6F55C5E02 | 8F0424 | pop qword ptr ss:[rsp] 00007FF6F55C5E05 | E9 83000100 | jmp 7FF6F55D5E8D ... По‑хороше­му было бы неп­лохо отфиль­тро­вать все адре­са подоб­ного импорта и написать деоб­фуска­тор, но, учи­тывая их количес­тво, задача выг­лядит мутор­ной, а я обе­щал отно­ситель­но прос­той и ком­фор­тный путь (нас­коль­ко это воз­можно вооб­ще в слу­чае столь серь­езной защиты). Поэто­му самое вре­мя прис­тупить к ана­лизу логики прог­раммы в про­цес­се ее работы, то есть, изыс­кать воз­можность для ее трас­сиров­ки. Adblock test (Why?)
  21. Российская альтернатива Linux готова к пилотным проектам 12:20 / 22 Января, 2022 2022-01-22T13:20:17+03:00 Alexander Antipov Основная версия ОС "Фантом" уже готова к использованию в пилотах, работа над версией для Genode пока продолжается. https://www.securitylab.ru/upload/iblock/f75/f75bba0dff944654f31509b6e84c4f0d.jpg Рабочий прототип российской операционной системы “Фантом”, работа над которой ведется с 2010 года, может появиться уже в нынешнем году. Об этом сообщил генеральный директор холдинга DZ Systems (занимается разработкой ОС) Дмитрий Завалишин. По его словам, основная версия ОС уже готова к пилотным проектам, работа над версией для Genode пока продолжается. Предположительно, она будет готова к концу текущего года. “На сегодня существует базовая версия ОС "Фантом", которая включает в себя два слоя – традиционный слой кода, который управляет "железом" компьютера, и, собственно, слой реализации сущности ОС. Первый слой – это работа с процессором, контроллером памяти, драйверы устройств и т. п. Все это есть в любой ОС. Работа по портированию заключается в замене первого слоя на аналог из Genode. В процедуру входит написание прослойки, которая реализует низкоуровневые примитивы ядра ОС "Фантом", которые, в свою очередь, реализованы через аналогичные примитивы ядра Genode,” - рассказал Завалишин изданию CNews. Согласно информации на сайте проекта, “Фантом” разрабатывается с нуля и базируется на концепции персистентной виртуальной памяти. Она ориентирована на управляемый код и нацелена на применение в носимых и встроенных компьютерах. В отличие от Unix-подобных систем, опирающихся на концепцию “все есть файл”, “Фантом” работает по принципу “все есть объект”. В числе особенностей ОС отказоустойчивость и безопасность, повышенная производительность, а также начальная поддержка стандарта POSIX. Также в планах разработчиков создание версии «Фантом», интегрированной с чистым микроядром sel4, и "формально верифицированной ОС на базе верифицированного микроядра". В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  22. Запускаем оплачиваемую стажировку the Young hats: SOC Trainee 11:45 / 22 Января, 2022 2022-01-22T12:45:25+03:00 Alexander Antipov Приглашаем молодых специалистов на оплачиваемую стажировку в Экспертный Центр Безопасности Positive Technologies. https://www.securitylab.ru/upload/iblock/f33/f334f4eaca4864786c8ca5f7fb5b6d49.png Ты учишься в колледже либо вузе по направлению «Информационная безопасность»? Хочешь научиться выявлять комплексные атаки на корпоративную инфраструктуру и узнать, как на практике защищают современные компании? Тогда эта новость для тебя! Мы запускаем стажировку the Young Hats: SOC Trainee в экспертном центре безопасности Positive Technologies. Команда PT Expert Security Center помогает бизнесу обнаруживать, оперативно реагировать и расследовать киберинциденты. Наши эксперты по кибербезопасности постоянно отслеживают активность хакерских группировок , действующих на территории России и мира (в том числе и ранее неизвестных), и умеют по первым признакам и с высокой точностью определить, какая APT-группа стоит за конкретным инцидентом. Что ты будешь делать: интенсивно обучаться Тебя ждет краткое введение в безопасность операционных систем, ликбез по кибератакам, включая жизненный цикл и подходы к их классификации, знакомство с базой знаний MITRE ATT&CK и возможностями SIEM-систем на примере MaxPatrol SIEM . практиковаться в выявлении и отражении атак на различных этапах Это часть стажировки почти ничем не будет отличаться от обычного дня рядового бойца. Что ты должен знать (не пугайся, требования минимальные): что такое домен Active Directory; как устроены права доступа к файлам в Linux и типовые утилиты; что такое стек TCP/IP, а также какие есть основные прикладные протоколы и утилиты для настройки и диагностики сети; как устроена аутентификация в современных ОС; для чего нужны межсетевые экраны, VPN и NAT; какие основные сервисы есть в корпоративной сети; в чем разница между шифрованием и хешированием (а еще важно не бояться слова «криптофграфия»). Навыки программирования будут твоим преимуществом. Формат Стажировка займет 20 часов в неделю и продлится 4 месяца. Все занятия будут проходить онлайн. Теперь о самом приятном Мы знаем, как нелегко бывает молодым специалистам в начале пути. Чтобы ты мог посвятить занятиям больше времени и сил (и при этом не переживать, как заработать себе на жизнь), мы сделали стажировку оплачиваемой. Лучших выпускников по результатам стажировки мы пригласим на работу в наш экспертный центр безопасности. Когда Старт стажировки — 31 января 2022 года. Узнать больше и подать заявку . В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре! Adblock test (Why?)
  1. Load more activity
×
×
  • Create New...