На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил простой в использовании инструмент Rebind для проведения атак типа «DNS rebinding». Суть атаки «DNS rebinding» состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть веб-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя, то во внешний адрес веб-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на компьютере жертвы код может работать как прокси, предоставляя доступ извне к хостам в локальной сети, имеющим внутренние адреса. В частности, злоумышленник может получить доступ к административному интерфейсу домашнего маршрутизатора, недоступному на WAN-порту. Представленный на BlackHat инструмент Rebind предназначен именно для атак на домашние маршрутизаторы. Здесь можно посмотреть список маршрутизаторов, которые успешно атакуются им. На странице FAQ проекта можно ознакомиться с краткой инструкцией по развертыванию Rebind'а. Важным достоинством атак типа «DNS rebinding» является то, что большинство методов защиты, используемых в современных браузерах, основано как раз на проверке доменного имени, и поэтому не могут противостоять атакам этого типа. Однако, стоит отметить, что в вышедшей недавно версии NoScript 2.0 реализована защита даже от таких атак. Кроме того, защиту от описанной атаки можно реализовать на уровне программного обеспечения домашнего маршрутизатора. В качестве примера дистрибутива для маршрутизаторов, имеющего такую защиту, Хеффнер приводит pfsense. Также, защита от подобных атак поддерживается в DNS-сервере BIND начиная с версии 9.7. Ну и наконец, стоит отметить, что шансы на успех атаки значительно снижаются, если пользователь меняет стандартный пароль для доступа к интерфейсу маршрутизатора на свой собственный, стойкий.
5 августа, правоохранительные органы Эстонии передали коллегам из США Сергея Чурикова, обвиняемого в крупномасштабном мошенничестве и краже личных данных. По данным обвинения, Чуриков был членом преступной группы, в результате действий которой жители нескольких стран потеряли около 111 миллионов крон (более 7 млн. евро). Члены группы действовали в США, России, Гонконге и Канаде, сообщило посольство США в Эстонии. В США Чурикова ждет до 20 лет лишения свободы за крупное мошенничество и еще до 5 лет за компьютерное мошенничество. По данным следствия, Чуриков украл данные дебитовых карт в системе RBS Worldpay в ноябре 2008 года и передал данные своему другу Игорю Грудьеву. Обвиняемые изготовили копии карточек и за один день сняли с их помощью 3,5 млн. крон. Грудьева и Чурикова задержали 6 мая 2009 года в ходе совместной работы госпрокуратуры Эстонии, центральной криминальной полиции и американских правоохранительных органов. 6 мая 2010 года правительство Эстонии приняло решение о выдаче Чурикова властям США. Эстонские правоохранительные органы сотрудничали в рамках расследования с ФБР и коллегами из Гонконга и Нидерландов. В ноябре 2009 года американские СМИ сообщили о том, что группу иностранцев из Эстонии, Молдавии и России подозревают во взломе банка RBS WorldPay (филиал Royal Bank of Scotland) в Атланте (штат Джорджия) и краже более 9 млн. долларов. Среди основных обвиняемых – 28-летний россиянин Виктор Плещук из Санкт-Петербурга, 25-летний житель Таллина Сергей Чуриков и 28-летний Олег Ковелин из Кишинева.
Правительство Индии рассматривает возможность создания в структуре спецслужб страны управления по шпионажу в компьютерных системах стран-противников. Сотрудники управления будут заниматься проникновением в компьютерные сети противника с целью сбора секретной информации. Также с помощью управления планируется при необходимости саботировать системы противников. Впервые идея использования хакеров для компьютерного шпионажа обсуждалась в Индии на правительственном уровне 29 июля. На встрече присутствовали руководители спецслужб, советник премьер-министра по вопросам национальной безопасности, а также представители телекоммуникационных компаний. Поводом к созданию нового подразделения послужили сообщения, что компьютерным шпионажем против Индии активно занимаются некоторые соседние государства, в первую очередь, Китай и Пакистан. В частности, группу китайских хакеров подозревают в незаконном проникновении в компьютерную систему министерства обороны Индии. Кроме того, сообщалось, что в 2009 году нескольким группам хакеров, также предположительно китайских, удалось взломать около 600 компьютеров индийского министерства иностранных дел.
Немецкая полиция вышла на след двух хакеров, которые в конце июля предположительно взломали сайт мемориального комплекса Бухенвальд, расположенного на территории бывшего концлагеря. Под подозрение попали два брата в возрасте 28 лет и 31 года из города Пирна в Саксонии. В ходе обыска у них на квартире сотрудники криминальной полиции изъяли компьютер. В настоящее время проводится его экспертиза. Подозреваемые отрицают какую-либо причастность к преступлению. Оба пока остаются на свободе. По некоторым данным, ранее братья не были замечены в правонарушениях и не попадали в поле зрения полиции. Также остается неизвестным, принадлежат ли они к ультраправым. Если их вина будет доказана, им грозят штрафы или тюремное заключение сроком до трех лет. Сайты Бухенвальда и другого мемориального комплекса Дора-Миттельбау были взломаны в среду, 28 июля. Злоумышленники стерли содержание стартовых страниц, разместив на них праворадикальную символику и неонацистские лозунги, в том числе обещание «Мы вернемся». Кроме того, сайты Бухенвальда и Дора-Миттельбау были залинкованы хакерами на сайты, где содержались ревизионистские материалы об отрицании Холокоста.
Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании «Лаборатория Касперского». После внимательного изучения подписи специалисты Trend Micro выявили явные расхождения между подделкой и оригиналом. Так, помимо того, что поддельная подпись включает неверное значение хеш-функции, она оказалась просроченной. Наиболее вероятно, что для создания фальшивки злоумышленники использовали подпись утилиты ZbotKiller от «Лаборатории Касперского», полагают в Trend Micro. В ходе дальнейшего изучения обнаруженных файлов специалистам Trend Micro удалось идентифицировать зловредов. Ими оказались модификации печально известного трояна ZeuS (ZBOT) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM и TROJ_ZBOT.KJT. Примечательно, что это не первый случай подделки злоумышленниками легальных цифровых подписей. Так, червь Stuxnet распространялся с подписью корпорации Realtek Semiconductors, а его более поздняя модификация – с подписью компании JMicron Technology. Специалисты Trend Micro уже оповестили об инциденте «Лабораторию Касперского».
Согласно данным, опубликованным сегодня компанией Trusteer, как минимум 100 000 компьютеров в Великобритании заражены вредоносным программным обеспечением Zeus. Данная программа позволяет шпионить за пользовательской активностью на компьютере и создавать бот-сети для обслуживания нужд злоумышленников. По мнению исполнительного директора Trusteer Мики Будаи, заражены пользовательские компьютеры были, скорее всего, в момент посещения сайтов, которые обманным путем предлагали троянские коды пользователям. В компании говорят, что нашли и проанализировали трафик с так называемых командных серверов, на которые стекаются данные о зараженных ПК. Сейчас ИТ-исследователи говорят, что версия Zeus, используемая в Великобритании, пишет весь трафик, отправляемый через браузер пользователя, в том числе и соединения, существующие через защищенную технологию SSL, шифрующую трафик. Получает доступ к шифрованной информации Zeus за счет того, что вредоносный код ловит данные еще до того, как они были зашифрованы. «Все, что пользователь видит в браузере, видит и вредоносное программное обеспечение», — рассказывает Будаи. Все важные данные передаются Zeus на удаленный сервер, доступ к которому смогли получить в Trusteer. Специалисты нашли на сервере контрольное ПО, способное искать по ключевым словам базу данных с пользовательской информацией. «Так как Zeus полностью перехватывает все данные в браузере, то киберпреступники знают все данные, вводимые пользователем в браузер, в том числе номера банковских карт, логины и пароли социальных сетей и другие данные», — говорят в компании. Помимо этого, база Zeus содержит и много другой информации, такой как корпоративные email-адреса, финансовые сведения и т д. Будаи говорит, что Trusteer уже проинформировала полицию о своих находках, а также передала следователям почти гигабайт данных.
Омский студент получил реальный тюремный срок за взлом электронной почты, сообщает «РИА Новости». Суд приговорил 19-летнего хакера-любителя к 7 месяцам заключения в колонии-поселении. По информации агентства, студент педагогического колледжа Константин Графьев в январе взломал почтовый ящик некого неизвестного ему человека. Затем он сменил пароль от почты и «оставил владельцу сообщение с требованием заплатить 75 долларов за возвращение доступа». Не очень понятно, правда, где он его оставил, если пароль от почты изменился, и владелец все равно не смог бы залогиниться, но, возможно, у взломщика появились данные о других «локациях» своей жертвы в Интернете – и именно там он отметился. Так или иначе, злоумышленник был пойман, и его судили по всей строгости закона. Октябрьский районный суд Омска признал молодого человека виновным по части 1 статьи 138 УК РФ (нарушение тайны переписки) и части 1 статьи 272 УК РФ (неправомерный доступ к компьютерной информации) и приговорил его к 7 месяцам заключения. Стоит напомнить, что это не первая строгость российских правоохранительных органов и судей, разбирающихся с делами, связанными с взломами почты или профилей в социальных сетях. Например, за влом аккаунта в «Одноклассниках» можно сесть на 2 года.
Loading ...