Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.



Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов.

Финский исследователь Juuso Salonen опубликовал специальную утилиту (http://juusosalonen.com/post/30923743427/breaking-into-the-os-x-keychain), назначение которой заключается в выделении паролей из подсистемы управления парольной информации Keychain. Keychaindump уже привлекала внимание исследователей, которые убеждены, что подобный подход можно успешно использовать при разработке вредоносного кода под MAC OS X.
Впервые, она была представлена в MAC OS 8.6. Keychain хранит различные типы парольной информации (формы к WEB-сайтам, FTP, SSH-аккаунты, доступ к сетевым «шарам», беспроводным сетям, цифровые сертификаты).

Файлы Keychain хранятся в ~/Library/Keychains/, /Library/Keychains/, и /Network/Library/Keychains/ соответственно. «login», файл Keychain по-умолчанию, автоматически снимает блокировку сразу же после успешного логина пользователя в систему со своим пользовательским паролем. Тем не менее, реальный пароль к нему может и не отличаться от того, что используется пользователем. При этом не разрешено устанавливать нулевой пароль, автоматическая блокировка осуществляется с течением времени при длительном простое системы.




Как только пользователь разлочил keychain, пароль превращается в 24-байтовй «master key» и хранится в сегменте памти процесса «securityd». Путем отдельного исследования, была выявлена конкретная хранимая структура в области памяти, которая указывает на «master key». Она содержит поле размером в 8 байт с соответствующим значением «0x18» (24 в HEX'е).

Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.

Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.

Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.

Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.

Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.

Group-IB — российский лидер рынка расследования компьютерных преступлений — совместно с сообществом HostExploit представляет очередной отчет Топ 50 «Самые плохие сети и хосты» по итогам II квартала 2012 года. На этот раз отечественные провайдеры значительно ухудшили свои позиции в данном рейтинге. Это напрямую отразилось на положении России в общем зачете стран, в котором она оказалась на верхней строчке.

Во II квартале 2012 года произошло возвращение на первое место общего рейтинга российского хоста WEBALTA, который уже возглавлял список в начале 2011 года. Индекс HE «победителя» составил 214,67. Данная автономная система перепрыгнула с четвертой позиции на первую из-за высокой концентрации вредоносных программ и иных угроз, включая XSS-атаки и RFI. Напомним, что в прошлом году WEBALTA уже находилась на верхней строчке благодаря наличию огромного количества эксплойт-серверов и серверов Zeus.



Необходимо отметить, что автономные системы, зарегистрированные в России, продолжают ухудшать свое положение. Если в I квартале 2012 года в списке Топ 50 они занимали пять позиций, то в этот раз — уже девять, в том числе первое и второе место общего рейтинга. Российские хосты являются также лидерами в категориях «C&C-серверы» и «Фишинг-серверы». К сожалению, следствием данной тенденции стало ухудшение общего рейтинга России. В зачете стран Российская Федерация с индексом 359,3 «завоевала» верхнюю строчку, опередив Люксембург, Латвию и Украину. Такое положение дел показывает, что, несмотря на успехи масштабных операций против киберпреступных групп, состоящих в так называемом клубе Carberp, предстоит провести еще много работы по очищению зарегистрированных в России систем.

В настоящий момент каждому желающему предоставляется возможность бесплатного тестирования Silent Circle, для этого нужно просто отправить заявку с указанием адреса электронной почты. Проект разрабатывался около 7-ми лет.



Идеологами проекта являются:
— Phil Zimmermann (создатель PGP);
— Mike Janke (в прошлом — снайпер подразделения «морские котики» ВМС США);
— Vic Hyder (командир подразделения морской пехоты ВМС США);
— Jon Callas (сооснователь PGP Corporation, технический директор Entrust).

Возможности приложения будут позволять организовать шифрования голосовой, видео и текстовой информации (электронная почта, SMS, средства IM и др.). Приложение адаптировано ко всем современным мобильным платформам, включая Android и Apple iOS. Одной из наиболее интересных функций Silent Code является организация защищенной видеоконференции.

Изначально идея была связана с применением подобных технологий на службе военных, когда солдатам необходимо связаться со своими семьями и близкими, при этом обеспечив надежность и безопасность переговоров. Правительство США обеспокоено появлением подобного приложения в отношении простых смертных, в первую очередь по причине того, что использование Silent Code осложнит возможность перехвата данных в целях оперативно-розыскных мероприятий, что определено Communications Assistance for Law Enforcement Act (CALEA).

В Сети появился интересный сервис мониторинга информации по открытым источникам — Recorded Future.

Он позволяет аккумулировать информацию из более чем 150 000 различных СМИ с возможностью хранения архива до 5 лет с возможностью последующего анализа и извлечения знаний о возможных последствиях произошедшего и будущих событиях.

Автором сервиса является Chris Holden, любезно предложивший нам воспользоваться Recorded Future без внесения оплаты, хотя полный функционал доступен только на коммерческой основе.

Например, сейчас сервис осуществляет непрерывный мониторинг более 8 000 политических лидеров различных государств мира, позволяя отслеживать куда и зачем поедет какой-либо известный деятель. Порой, хорошая аналитика этих событий позволяет установить взаимосвязи в международных отношениях и спрогнозировать наиболее вероятные модели их развития путем анализа истории путешествий выбранного деятеля.

Наиболее интересные кейсы, демонстрирующие возможности системы, отражены на следующих прикладных примерах:

— отслеживание возникающих киберугроз и действий хакеров в мире
— анализ содержимого писем из круга приближенных Усамы Бин-Ладена
— анализ протестной активности
— анализ выборов в Греции и Египте

На рынке ИБ появляются все новые и новые средства защиты конечного клиента (ДБО, ERP/SAP и так далее). Кроме ценовой политики, совсем немногие из нас сталкивались с анализом эффективности защиты, которую они могут реально обеспечить.



Специалистами компании Group-IB было проведено исследование по анализу возможных брешей продукта Checkpoint Abra, который представляет из себя специально сконфигурированный отделяемый носитель, позволяющий организовать защищенное виртуальное рабочее место на любом компьютере, к которому он подключается.