Pull to refresh
  • by relevance
  • by date
  • by rating

Мировые державы договорились о ненападении в киберпространстве

Information Security *
Группа правительственных экспертов ООН по международной информационной безопасности впервые смогла достичь договорённости о правилах поведения в киберпространстве. Это правила обещают добровольно соблюдать 20 стран, подписавших договор. Среди них Россия, США, Китай, Великобритания, Франция, Бразилия, Япония, Южная Корея и Израиль.

Договор предусматривает несколько основных пунктов.

1. Не нападать на критически важную инфраструктуру других стран (АЭС, банки, системы управления транспортом или водоснабжением). ИКТ должны использоваться исключительно в мирных целях.

2. Не обвинять друг друга в кибератаках без доказательств.

3. Не вставлять вредоносные закладки в IT-продукцию (пункт внесён по инициативе России).
Читать дальше →
Total votes 26: ↑23 and ↓3 +20
Views 12K
Comments 39

Новый 0-day или фича от Microsoft?

ESET NOD32 corporate blog
Все началось с того, что специалисты белорусской антивирусной компании «ВирусБлокада» 9 июля обнаружили интересную вредоносную программу, драйвера которой имели легальную цифровую подпись от Realtek. На этом сюрпризы не закончились, так как эта вредоносная программа использовала ранее неизвестную уязвимость в обработке LNK-файлов (Shell Link) для не санкционированного распространения с различных USB-накопителей. Увидев это информационное сообщение мы тоже обратили внимание на эту угрозу, и заметили у нее достаточно интересный ландшафт распространения (данные получены через нашу систему раннего обнаружения угроз ThreatSense.Net).
image

Читать дальше →
Total votes 140: ↑128 and ↓12 +116
Views 40K
Comments 245

Уязвимость Microsoft Windows, которую демонстрировал 0-day exploit 19 июля, оказалась многовекторною: сайты могут автоматически заражать читателей через Internet Explorer

Information Security *
Многие читатели помнят, как в понедельник 19 июля во блоге компании ESET на Хабрахабре появилась блогозапись, оповестившая о появлении вредоносной программы, способной проникать в систему через особым образом оформленные значки ярлыков.

В этой блогозаписи (в конце её) рекомендовалось ознакомиться с советами во блоге независимого исследователя (по имени Didier Stevens), который рекомендовал вырубить запуск файлов с USB и CD или загрузку их оттуда в память.

Многие расслабились, а меж тем на этом ничего не закончилось.

20 июля Корпорация Майкрософт выложила, а 21 июня сайт Security Lab перепечатал обновление прежнего известия. Обновление же гласит, что для атаки на июльскую уязвимость может и не быть нужна ни флэшка, ни сидюк (или дивидюк). Вместо этого атакующему достаточно создать особым образом некоторый сайт и дожидаться того только, чтобы пользователь зашёл на сайт при помощи Internet Explorer; и как только Windows попробует загрузить значок, на сайте указанный, всё будет кончено.

Вот теперь начинается настоящее веселье. В комментариях ко блогу ESET иронизировали, кажется, только поклонники Linux; но теперь, о! теперь настаёт наконец время призывать также к переходу на Firefox, Chrome, Safari, Opera, SeaMonkey, и так далее, и так далее. И неподдельный глубокий ужас охватит всех тех, кто лазает по Паутине через IE или через любое другое зловещее поделие, на IE основанное — Maxthon, Netscape в IE-режиме, Firefox с IE-вкладкою, Chrome Frame, и так далее, и так далее.

Судный день Эксплорера!
Total votes 176: ↑114 and ↓62 +52
Views 1.7K
Comments 82

Червь Stuxnet создан для саботажа на ядерных предприятиях

Information Security *
image

Прочитав такой заголовок, я бы подумал, что речь идет о попытке привлечь внимание «проходящего мимо» читателя — но нет, такой заголовок соответствует содержанию статьи целиком и полностью. Дело в том, что специалист по информационной безопасности из Германии, Ральф Ленгнер, подверг червя детальному анализу. Результаты анализа весьма впечатляют — забегая наперед, скажу, что этот самый Ленгнер предполагает, что за созданием червя может стоять целое государство, а не какой-то там хакер-студент или их группа.

Читать дальше →
Total votes 95: ↑83 and ↓12 +71
Views 2.5K
Comments 181

Stuxnet таки добрался до иранского ядерного завода в Бушехре

Information Security *


Сегодня появилась новость о том, что официальное новостное агентство Ирана сообщило о поражении некоторых компьютерных систем ядерного иранского завода комплексным червем Stuxnet. Ранее специалисты заявляли, что этот вредоносный код «заточен» под промышленные объекты, и сразу же нашлись эксперты, утверждающие, что этот червь и был создан для поражения иранского ядерного завода. Понятно, что спекуляции на эту тему ведутся во множестве СМИ, от очень серьезных изданий до «желтой» прессы, однако пока нет никаких доказательств тому, что Stuxnet создан для Ирана.

Читать дальше →
Total votes 72: ↑56 and ↓16 +40
Views 6.9K
Comments 113

Stuxnet поразил более 1000 предприятий Китая

Information Security *
Несмотря на то, что компьютерный вирус Stuxnet уже давно известен специалистам по компьютерной безопасности, атака этого вируса продолжается — на этот раз стало известно о том, что Stuxnet поразил множество промышленных объектов Китая. И это не заявления отдельных «анонимных источников», об атаке заявило сразу несколько государственных СМИ этой страны. Общее количество, зараженных Stuxnet, исчисляется миллионами.

Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 787
Comments 17

Современные АСУ ТП

Information Security *Industrial Programming *
Sandbox
Здравствуйте!

Прочитав интересную статью, мне захотелось поделиться своими знаниями и соображениями по поводу современных АСУ ТП. Описанное ниже относиться в большей степени к продукции таких фирм как Yokogawa, Siemens и Honeywell. Сразу хочу сказать, что у каждой из систем есть свои особенности, преимущества и недостатки, так что я описываю лишь общие характеристики современных АСУ ТП.
Современные автоматизированные системы управления технологическими процессами (АСУ ТП), применяемые на опасных производствах и предприятиях (химическая, нефтехимическая промышленности, ГЭС, ТЭС, АЭС и т.д.), как правило, состоят из распределенной системы управления (РСУ) и системы противоаварийной автоматической защиты (ПАЗ).

Читать дальше →
Total votes 75: ↑72 and ↓3 +69
Views 66K
Comments 63

Stuxnet. Истерия продолжается…

ESET NOD32 corporate blog
Уже много раз обсуждалась тема червя Stuxnet на Хабре. Казалось бы, осветили данное событие со всех сторон, однако все же много важных моментов осталось за кадром. Дело в том, что за всем этим «желтоватым» информационным шумом, фигурирующем сейчас в СМИ, не видно сути. А ведь до сих пор никто не может ответить точно на вопрос, зачем и кому могла быть выгодна такая атака. Прямых фактов не у кого нет, а фигурируют лишь домыслы, сделанные на довольно шатком фундаменте косвенных улик. Но давайте поговорим обо всем по порядку.

На конференции VB’2010, которая прошла в Ванкувере на прошлой неделе, очень много говорили об этой атаке, причем с разных ракурсов. Наиболее интересным по данной теме было выступление «An indepth look into Stuxnet» от исследователя из Symantec, Liam O'Murchu. В рамках его доклада была проведена любопытная демонстрация, которая показывала результат эксплуатации SCADA-системы.

Читать дальше →
Total votes 39: ↑31 and ↓8 +23
Views 18K
Comments 34

Stuxnet: война 2.0

Information Security *
Вирус, атаковавший ядерные объекты Ирана, ознаменовал начало эпохи кибернетических войн.
Мир — на грани военной IT-революции? Факты. Комментарии. Аналитика.

«Не знаю, каким оружием будут сражаться в третьей мировой войне, но в четвертой в ход пойдут камни и дубинки»
Альберт Эйнштейн

В конце сентября стало известно, что вирус Stuxnet нанес серьезный урон иранской ядерной программе. Используя уязвимости операционной системы и пресловутый «человеческий фактор», Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвал сроки запуска ядерной АЭС в Бушере. Заказчик – неизвестен. Исполнитель – нерадивый сотрудник Siemens, вставивший инфицированный флэш-накопитель в рабочую станцию. Ущерб, нанесенный ядерным объектам Ирана, сопоставим с ущербом от атаки израильских ВВС.
Мир заговорил о войнах нового поколения. Кибернетические атаки могут стать идеальными инструментами следующих войн – они стремительны, эффективны в своей разрушительности и, как правило, анонимны. Сегодня государства в спешном порядке договариваются о совместной стратегии противостояния кибернетическим угрозам. Что будет завтра? К сожалению, наиболее реалистичным ответом на этот вопрос до сих пор остается невеселый афоризм Эйнштейна.
Читать дальше →
Total votes 126: ↑96 and ↓30 +66
Views 43K
Comments 131

Эксперты обнаружили очередную модификацию Stuxnet

Information Security *
Несмотря на все попытки экспертов по сетевой безопасности найти надежное средство борьбы с червем Stuxnet, эта задача пока является невыполнимой. Более того, обнаруживаются новые разновидности Stuxnet, которые работают с иными типами управляющих систем, чем те версии червя, что были обнаружены ранее. Эксперты обнаружили еще одну модификацию, способную работать на управляющем оборудовании частотных конвертеров.

Читать дальше →
Total votes 11: ↑8 and ↓3 +5
Views 831
Comments 8

MS закрыла вчера 17 уязвимостей, в числе которых DLL Preloading/Hijacking и последняя незакрытая уязвимость из червя Stuxnet

Information Security *
MS выпустила вчера большое количество заплат, многие из этих уязвимостей известны уже не первый месяц. А некоторые из них уже вовсю использовались во вредоносных программах, собственно откуда и была получена информация о них.

MS10-090 (IE) — это комплексный пакет патчей закрывающий целую пачку брешей (CVE-2010-3340, CVE-2010-3342, CVE-2010-3343, CVE-2010-3345, CVE-2010-3346, CVE-2010-3348, CVE-2010-3962). Большинство из этих прелестных уязвимостей позволяют удаленное выполнение кода под IE6/IE7/IE8.

MS10-091 (Opentype Font driver) — это обновление также закрывает целый букет уязвимостей (CVE-2010-3956, CVE-2010-3957, CVE-2010-3959) в Opentype Font driver (OTF), которые могут привести к удаленному выполнению кода. Злоумышленник может создать специально подготовленный OpenType шрифт на сетевой шаре и при просмотре в Windows Explorer происходит выполнение произвольного кода, который будет выполняться с правами системы.
Читать дальше →
Total votes 38: ↑36 and ↓2 +34
Views 824
Comments 17

Хакеры проникли в системы атомной электростанции в Иране. Кто может за этим стоять?

Symantec corporate blog
Translation
Еще летом этого года аналитики Symantec зафиксировали за 72 часа около 14,000 уникальных IP адресов, инфицированных данным червем. Тогда массовая общественность не придала этому особого значения. Но уже тогда ученых заинтересовал тот факт, что 60 процентов зараженных систем находилось не где нибудь, а в Иране.

Активно обсуждать угрозу начали, когда иранские власти подтвердили факт проникновения Stuxnet в системы атомной электростанции в Бушере. Этот инцидент является почти классическим примером успешной компьютерной атаки и образцом того, как эти атаки будут использоваться в будущем.
Успешное проведение атаки позволило нападающим украсть конфиденциальные документы с описанием архитектуры и данных об использовании системы SCADA (автоматизированной системы управления рабочим процессом).
Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Views 4.9K
Comments 8

О защите объектов критической инфраструктуры в России

Symantec corporate blog
Работая во многих регионах мира, мы имеем доступ к данным, касающимся информационной безопасности в различных странах и в мире в целом, анализируем ее и порой делаем интересные выводы. А недавно в связи с нашумевшими атаками Stuxnet мы задались следующим вопросом: А готовы ли российские объекты критической инфрасткуктуры противостоять кибератакам? untitledfds

Так вот, сегодня мы хотели бы выставить на обсуждение данные нашего исследования защиты объектов критической инфраструктуры в России и мире.
Читать дальше →
Total votes 9: ↑5 and ↓4 +1
Views 5K
Comments 0

Как Symantec взломала Stuxnet

Information Security *
Translation
imageИстория, стоящая за спиной Stuxnet — червя ориентированного на Иранские атомные электростанции, была описана уже не раз (в том числе и на Хабре) с того момента, как прошедшей весной группа разработчиков из Symantec выпустила этот документ — досье, посвященное этому беспрецедентно сложному творению чьих-то рук. Но видеть — значит верить. И у меня был шанс присутствовать на специальном брифинге в штаб-квартире Symantec, расположенной в Mountain View — California, где Патрик Гарднер, директор их группы безопасности, показывал как все происходило на самом деле. Это был великолепно.

Stuxnet был очень сложной программой, содержащей около 10 000 строк кода, написание которых заняло человеко-годы. Symantec обнаружила первые версии червя примерно за год до настоящей атаки, имевшей место год назад в июне и у них не был ни малейшего понятия о том, что же это такое, до тех пора пока события не начали развиваться на атомном объекте. Они раскололи код командой из трех человек, работавших на полный рабочий день, за несколько месяцев.

Этот софт очень специфичен, и затрагивал отдельный программируемый логический контроллер от компании Siemens, проводящий серию из 9 000 различных центрифуг, используемых для разделения урана. Червь начисто уничтожал около 1000 из них, наносив серьезный ущерб и отбрасывая всю атомную программу Ирана на год, или даже более, назад.

Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора.
Читать дальше →
Total votes 129: ↑120 and ↓9 +111
Views 10K
Comments 158

В Сети появился червь Duqu, «родственник» Stuxnet

Information Security *


Помнится, некоторое время назад новостные ресурсы запестрели заголовками об опаснейшем черве Stuxnet, который поражал специализированное программное обеспечение специфического оборудования АЭС (помнится, под раздачу попадали контроллеры от Siemens). Так вот, сейчас эксперты из Symantec обнаружили родственное червю Stuxnet зловредное ПО, уже получившее название Duqu. По мнению экспертов, этот червь не будет использовать тактику Stuxnet, выбирая несколько иные объекты для поражения. Duqu предназначен для кражи разного рода информации с промышленных объектов. Новый червь был обнаружен только на этой неделе, и специалисты только начали работать с этим ПО.

Читать дальше →
Total votes 30: ↑29 and ↓1 +28
Views 1.2K
Comments 9

Суперсолдат Duqu делает грязную работу и самоликвидируется!

Symantec corporate blog
Интересный экземпляр нашли давеча наши аналитики, его тут же окрестили вторым Stuxnetом.
W32.Duqu — новый суперчервь, который может втихую по-шпионски собрать с зараженного компьютера нужную ему информацию:

• файлы, в т.ч. на съемных носителях
• скриншоты
• логи с клавиатуры
• список запущенных процессов
• данные учетных записей пользователей
• названия открытых окон
• сетевую информацию
• сведения о домене
• имена дисков
• и др.

передать ее куда надо… и самоликвидироваться через 36 дней.

Чем не суперсолдат?

PS: тех. подробности можно почитать тут и здесь (на английском) и в посте от marks (на хабровском)
Total votes 17: ↑10 and ↓7 +3
Views 4.5K
Comments 4

Duqu: история Stuxnet продолжается…

ESET NOD32 corporate blog
На протяжении последних нескольких дней большое внимание приковано к вредоносной программе Win32/Duqu. Дело в том, что по особенностям своей реализации Win32/Duqu похож на широко известный Win32/Stuxnet. В прошлом году мы проводили довольно детальный анализ червя Win32/Stuxnet, в результате которого появился исследовательский отчет «Stuxnet Under the Microscope». И сейчас исследуем Win32/Duqu, изучив модули и механизмы их работы которого, можно утверждать, что эта вредоносная программа базируется на одних тех же исходных кодах или библиотеках, что и сам Win32/Stuxnet. Пожалуй, это даже не просто исходные коды, а некоторый framework для разработки вредоносных программ или кибероружия. Восстановленный код драйверов Duqu нам очень напомнил, то, что мы уже видели в Stuxnet. Эти драйверы практически идентичны с тем, что мы видели прошлой осенью.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 7.1K
Comments 5

История компьютерных вирусов

Runa Capital corporate blog
image

Стартап StopTheHacker завершил первый раунд финансирования и объявил о запуске коммерческих SaaS-услуг по безопасности вебсайтов.

Размер инвестиций составил 1,1 миллион долларов США от государственных и частных инвесторов, в число которых вошли фонд Runa Capital и Брайан Несмит, бывший президент компании Blue Coat.

image

Мы настолько привыкли к вирусам, что сложно даже представить себе интернет без вредоносного софта. Но мало кто отдает себе отчет, каких масштабов достигла проблема.

Читать дальше →
Total votes 42: ↑34 and ↓8 +26
Views 27K
Comments 39

Stuxnet, Flame и Duqu использовали GPL-код

Information Security *Open source *
Stuxnet, Flame и Duqu — три самые известные программы, предположительно созданные спецслужбами в качестве «кибеоружия» против других стран. Программа Stuxnet успешно вывела из строя 80% иранских центрифуг по обогащению урана, а шпионская программа Flame несколько лет скрытно работала на иранских компьютерах, установившись как обновление Windows.

На прошлой неделе предположения об американском заказе подтвердились: выяснилось, что президент Обама лично следил за внедрением вируса Stuxnet на иранские компьютеры. Насчёт Flame и Duqu прямых доказательств пока нет. Но вряд ли приходится сомневаться, что эти программы тоже созданы по заказу американцев.

Самое интересное, что во всех трёх программах использовалась библиотека LZO, которая распространяется строго под лицензией GNU GPL.
Читать дальше →
Total votes 80: ↑55 and ↓25 +30
Views 3.8K
Comments 67

Остаться в живых. Безопасность SCADA

Positive Technologies corporate blog Information Security *
Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются…

Однако, когда речь идет не о хакере-одиночке, а о группе профессионалов, состоящей из специалистов по АСУ ТП, хакеров и инженеров, которые действуют (вполне вероятно), опираясь на поддержку целого государства, — все становится возможным.
Читать дальше →
Total votes 40: ↑31 and ↓9 +22
Views 13K
Comments 12
1