ITSec.Ru // Угрозы

Из Health Net пропал жесткий диск с приватными данными клиентов

Tue, 01 Dec 2009 21:00:00 GMT

Компания Health Net сообщила об утечке персональных данных примерно 1,5 млн своих клиентов. Примерно полгода назад в компании потеряли внешний жесткий диск, на котором находились номера социального страхования, а также приватная информация о здоровье людей. Данные на пропавшем диске не были зашифрованы и хранились в виде образов. В Health Net убеждены, что последнее обстоятельство должно поспособствовать защите информации, ведь для работы с образами необходимо специальное программное обеспечение, говорится в сообщении компании Perimetrix.

Комиссар по делам страхования Томас Салливан (Thomas Sullivan) сообщил, что сейчас он тесно работает с Health Net по поводу устранения последствий утечки. Первоочередные мероприятия направлены на уведомление пострадавших. Салливан также подтвердил, что потребует от Health Net, чтобы компания оплатила клиентам услугу кредитного мониторинга. Причем поставщик услуги уже определен – это компания Debix.

Генеральный прокурор штата Коннектикут Ричард Блументаль (Richard Blumenthal) заявил, что в ходе расследования необходимо будет выяснить не только обстоятельства инцидента, но и причины, по которым компания умалчивала об утечке.

"На практике нередко происходит так, что между самим инцидентом информационной безопасности и моментом его обнаружения проходит довольно длительное время, – сообщил Владимир Ульянов, руководитель аналитического центра Perimetrix. – Однако в данном случае пропажу винчестера обнаружили сразу. Можно предположить, что задержка в раскрытии инцидента связана с тем, что в Health Net до последнего надеялись найти жесткий диск".

Пользователи VPN от Cisco, Juniper, SafeNet и Sonic Wall уязвимы для атак

Mon, 30 Nov 2009 21:00:00 GMT

Программное обеспечение для построения виртуальных частных сетей (VPN) от Cisco Systems, Juniper и других поставщиков может сделать пользователей уязвимыми к широкому спектру сетевых атак. С таким заявлением выступила в понедельник организация US CERT.

Так называемые "clientless SSL VPN", которые обеспечивают доступ ко внутренним сетям, почте и другим ресурсам посредством обычного браузера, делают пользователей уязвимыми для атак, позволяющих злоумышленникам просматривать пароли и следить за нажатиями клавиш. Из всего многообразия продуктов, выпускаемого более чем девятью десятками компаний, уязвимыми точно являются VPN-комплексы Cisco, Juniper, SafeNet и Sonic Wall. Ситуация с оставшимися платформами пока неясна.

Эксплуатация уязвимости возможна только в случае тесной привязки вредоносного кода к определенному веб-сайту или домену, поэтому вероятность того, что такой код будет доступен широкой публике, невелика. Тем не менее, учитывая огромное количество ценной информации, скрытой в типичной виртуальной частной сети, эта брешь все равно может быть использована хакерами для обхода авторизации на веб-сайте.

Политика Same Origin Policy является фундаментальным принципом сетевой безопасности, запрещающим доступ к cookies, JavaScript и прочему контенту сайта с другого ресурса. Clientless SSL ниспровергает ее, позволяя пользователям туннелировать доступ к интрасети, веб-почте и другим ресурсам через сайт, защищенный SSL-шифрованием. В ходе этого процесса сторонние гиперссылки и cookies конвертируются таким образом, чтобы их можно было использовать в VPN. Хакеры могут видоизменить контент так, что идентификаторы сессии, используемые для авторизации пользователей, возможно будет модифицировать или украсть.

"Убедив пользователя просмотреть специально созданную веб-страницу, удаленный хакер может получить маркеры VPN-сессии, а затем считать или модифицировать контент (включая cookies, скрипты и HTML-содержимое) любого сайта, доступ к которому был получен с помощью SSL VPN. Таким образом, ограничения Same Origin Policy могут быть сняты во всех браузерах", - говорится в руководстве US CERT.

Данный метод, в частности, может быть использован для обхода доменных ограничений в зонах безопасности Internet Explorer и плагине NoScript для Firefox. US CERT предупреждает, что решения данной проблемы нет, а в ряде случаев и не может быть в принципе, поэтому всем пользователям SSL VPN рекомендовано связаться с поставщиками для подтверждения наличия или отсутствия бреши в конкретных конфигурациях.

Новая технология позволяет спрятать вирус внутри текста

Mon, 30 Nov 2009 21:00:00 GMT

Группа исследователей обнаружила способ прятать вирусы внутри обычных английских предложений.

Ученые разработали технологию, которая умеет проводить поиск по большому количеству текстов на английском языке (более 15 тыс. статей из Wikipedia и около 27 тыс. книг), находя в них комбинации слов, которые можно использовать во вредоносном коде.

По словам специалистов, используя новую методику, хакеры могут обойти большинство существующих сегодня антивирусов.Это связано с тем, что нынешние антивирусные системы основываются на предположении, что вредоносный код отличается от обычного текста, такого как английская проза, так как имеет другую структуру. Поэтому вредоносный код, спрятанный внутри обычного текста, не определяется антивирусами.

Обнаружен веб-сервис, позволяющий автоматизировать процесс взлома паролей WordPress

Mon, 30 Nov 2009 21:00:00 GMT

Хакеры разработали схему распределенного взлома паролей администраторов к аккаунтам Wordpress, применение которой не сулит ничего хорошего тем блогам, чьи владельцы используют небезопасные пароли.

PHP-скрипты, расположенные на виртуальном сервере, запускают на целевые сайты брутфорс-атаки, позволяя одновременно подбирать пароли сразу ко многим ресурсам. Результаты таких атак записываются в специальную базу данных.

SANS Internet Storm Centre отмечает, что брутфорс-атаки на Wordpress – это весьма распространенное явление. Тем не менее, специалисты Центра подчеркивают, что появление распределенных сервисов для взлома блогов выводит эту проблему на новый уровень.

"Несмотря на то, что данный конкретный образец достаточно прост, сила, стоящая за связкой скрипта и базы данных MySQL, позволяет нападающим осуществлять атаку не только по названиям сайтов, но и по испробованным паролям", - пишет в сетевом дневнике организации ее эксперт Бойян Здрня.

Администраторам блогов во избежание взлома рекомендовано использовать трудные для подбора пароли и ограничить доступ к IP-адресам.

Зафиксирован новый способ распространения трояна Zeus

Mon, 30 Nov 2009 21:00:00 GMT

Печально известный троян Zeus, предназначенный для кражи разного рода информации, теперь распространяется через атаки drive-by download, в ходе которых он устанавливается без всяких попутных действий со стороны пользователя.

Эксперты компании CA рассказали о том, что они зафиксировали новую спам-кампанию, инициаторы которой рассылают потенциальным жертвам письма, содержащие просьбу кликнуть по ссылке и заполнить форму отчета для получения налогового вычета.

Как пишет на блоге компании исследователь Мэри Грейс Гэбриэл, на самом деле перешедшие по ссылке люди перенаправлялись на сайт, содержащий iFrame, который отправлял их на другой сайт с замаскированным JavaScript, перенаправляющим жертву еще на один сайт, который предпринимал попытку эксплуатации одной из известных уязвимостей в Adobe Reader и загрузки с ее помощью разновидности Zeus.

В ходе предыдущих спам-кампаний по распространению Zeus подобная методика не использовалась, вместо этого жертв просили вручную загружать и открывать всевозможные отчеты, заявления и утилиты, приходящие якобы от сайтов социальных сетей, Microsoft, правительственных структур и провайдеров.

Специалисты рекомендуют с настороженностью относиться к подобным посланиям и предупреждают о том, что злоумышленники постоянно меняют тактику.

Червь Panda наносит ответный удар

Mon, 30 Nov 2009 21:00:00 GMT

Эксперты по компьютерной безопасности из компании McAfee предупреждают о появлении новой версии вредоносной программы Panda, также известной как Fujacks.

Червь Panda наделал много шума около трех лет назад, инфицировав миллионы компьютеров (преимущественно в Китае). Попав на машину жертвы, программа превращает пиктограммы зараженных приложений в картинки с пандой и инсталлирует троянские компоненты, нацеленные на кражу паролей. В 2007 году китайские правоохранительные органы смогли найти злоумышленника, распространившего червя: вирусописателя приговорили к четырем годам лишения свободы, обязав также разработать инструмент для удаления вредоносной программы.

Новая модификация червя, получившая обозначение Worm_Piloyd.B, куда более сложна. Чтобы скрыть свое присутствия на компьютере, программа использует руткит, деактивирует инсталлированные антивирусные приложения и применяет различные методы, затрудняющие удаление. Одновременно червь скачивает с удаленных серверов троянские и шпионские модули для кражи персональных данных о владельце зараженной машины.

По мнению специалистов McAfee, Worm_Piloyd.B не сможет поразить столь же большое количество компьютеров, как оригинальный червь.

На онлайн-игроков нахлынула новая волна эротического спама

Sun, 29 Nov 2009 21:00:00 GMT

Эксперты по безопасности предупреждают о начале новой вредоносной спам-кампании, целью которой является кража логинов онлайн-игроков.

В сообщении на блоге компании Sophos сказано, что в письме содержится написанный от лица женщины призыв к знакомству и архив "my photos.rar", в котором находятся несколько фотографий обнаженной азиатской девушки и два исполняемых файла, которые выдаются за порнографические видеоролики. На самом деле, эти файлы содержат троян Trojan Troj/Agent-LVF, предназначенный для кражи паролей к игре World of Warcraft. Авторы сообщения полагают, что спам нацелен на одиноких поклонников WoW.

По словам старшего аналитика Sophos Грехама Клули, в настоящее время в Сети имеется на удивление много подобных вредоносных программ, ворующих ключи регистрации и пароли. Клули отмечает, что виртуальная реальность перестала быть тихой гаванью, поскольку ворованную игровую амуницию, деньги и оружие киберпреступники продают за настоящие ценности в реальном мире, не стесняясь эксплуатировать при этом человеческие слабости.

В этом году доходы китайских хакеров году могут превысить $1,5 млрд

Wed, 25 Nov 2009 21:00:00 GMT

В 2009 году доходы китайских хакеров могут составить 10 млрд юаней (1,47 млрд долларов) и более. Об этом, как сообщает "Интерфакс", заявил в интервью центральному китайскому телевидению президент китайской "Компании компьютерной безопасности 360" Ци Сяндун.

"Исходя из этой суммы, можно посчитать, что сегодня в Китае в этой "отрасли" заняты 100 тыс. человек", - сказал Ци Сяндун.

Эксперт делает вывод, что "в Китае в настоящее время формируется сеть хакерской индустрии". Причем в ней принимают участие не только отдельные лица, в последнее время они стали объединяться в преступные формирования.

По словам Ци Сяндуна, основными направлениями "деятельности" киберпреступников являются "взламывание" паролей банковских счетов, распространение вирусов типа "троянский конь", шантаж, другие формы компьютерных или связанных с ними преступлений.

Напомним, по данным экспертов, уровень киберпреступности в Китае после начала мирового экономического кризиса значительно вырос, причем теперь хакеры больше ориентируются на взлом персональных машин, а не серверов.

Основная причина - высокие ставки на черном рынке за взломанные ПК, из которых формируются ботнеты – сети из машин-"зомби" с вредоносным ПО для рассылки спама и DDoS-атак. В частности, по результатам проведенного расследования специализирующейся в области компьютерной безопасности компании Knownsec удалось насчитать 4 млн инфицированных машин за день.

При этом еще несколько лет назад в связи с ужесточившимся законодательством страны в области компьютерных преступлений многие китайские хакеры начали предлагать компаниям свои услуги по защите компьютерных систем от взломов и сбоев в работе. Многие из них получили работу в компаниях, занимающихся компьютерной безопасностью, и получали неплохие деньги.

Новый iPhone-червь формирует ботнет

Wed, 25 Nov 2009 21:00:00 GMT

Хакеры снова атакуют прошедшие джейлбрейк смартфоны Apple iPhone, пользователи которых не поменяли пароль по умолчанию на SSH-доступ.

Новый червь, названный компанией Sophos Duh, использует ту же уязвимость, что и ikee, первый iPhone-вредонос, созданный в демонстрационных целях и всего лишь безобидно меняющий обои, а также утилита iPhone/Privacy.A, которая незаметно крадет любые данные с коммуникатора, находящегося в зоне Wi-Fi-доступа.

Напомним, что iPhone, прошедший джейлбрейк, открывает удаленный интернет-доступ к своей операционной среде через SSH-туннель; необходимым условием при этом является неизменность установленного по умолчанию пароля (alpine).

На этот раз злоумышленники снабдили вредоносный код довольно серьезными возможностями. Во-первых, Duh подменяет UNIX-утилиту SSH собственной версией и устанавливает другой пароль (ohshit) на root-доступ — следовательно, работу червя нельзя остановить без полного удаления всех данных из смартфона.

Во-вторых, запускается поиск уязвимых iPhone в локальной Wi-Fi-сети и определенном диапазоне IP-адресов, с тем чтобы инфицировать новые смартфоны и сформировать из них ботнет.

В-третьих, Duh подменяет таблицу маршрутизации: клиенты некоторых голландских банков перенаправляются на поддельный сайт, где вводимые ими банковские данные похищаются. В-четвертых, некоторые модификации Duh отправляют своим создателям базу записей СМС пользователя. В-пятых, червь способен самостоятельно подгружать из Интернета дополнительные файлы, расширяющие его базовый функционал.

Реакция Apple однозначна: компания не раз предупреждала, что пользователи не должны вмешиваться в нормальную работу смартфона.

Спамеры предлагают посмотреть на работу Большого адронного коллайдера

Tue, 24 Nov 2009 21:00:00 GMT

Компания Sophos сообщила о том, что под видом ролика с Большим адронным коллайдером в действии спамеры рассылают вредоносное ПО.

Специалисты Sophos обнаружили новую спам-рассылку с вредоносным ПО, в которой якобы дается ссылка на видео работы Большого адронного коллайдера.

В спам-сообщении говорится: "Вау, не спрашивай, как я достал это видео, но оно действительно крутое". Также в письме находится ссылка на видеоролик.

Для просмотра ролика пользователю предлагается установить специальный плагин. На самом деле на компьютер жертвы под видом плагина устанавливается троянская программа Troj/TDSS-BP.

Интернет-мошенники в очередной раз атакуют пользователей Facebook

Tue, 24 Nov 2009 21:00:00 GMT

PandaLabs, лаборатория по обнаружению и анализу вредоносного ПО в составе Panda Security, обнаружила фальшивую страницу Facebook, предназначенную для кражи паролей у пользователей социальной сети. Содержимое и URL этой веб-страницы идентичны контенту страницы реального сервиса, поэтому очень легко убедить пользователя ввести свое имя и пароль. После введения пароля страница выдает ошибку, которая должна насторожить и предупредить пользователя о том, что он находится на вредоносном сайте.

Любые данные, введенные на этой странице, попадут в руки хакеров.

"Данная мошенническая URL, вероятно, распространяется в электронных сообщениях с помощью технологии BlackHat SEO. В любом случае, как только данные пользователя попадают в руки кибер-преступников, последние могут предпринять любое действие с аккаунта пользователя, включая публикацию спама, комментариев с вредоносными ссылками, рассылку сообщений по контакт-листу и др." – объясняет Луис Корронс, Технический директор PandaLabs.

Чтобы не стать жертвой мошенников антивирусные эксперты рекомендует:

- Не отвечать и не переходить по ссылкам, включенным в нежелательную почту.

- Внимательно проверять, является ли URL, где Вы вводите свои данные, действительно страницей Facebook (www.facebook.com), поскольку фальшивые веб-сайты часто имеют похожие адреса с одной лишь неправильной буквой.

- Если Вы уже ввели свои данные на одной из таких страниц, быстро зайдите на свой аккаунт и смените пароль, чтобы предотвратить доступ к нему.

- Если Вы не можете войти на свой аккаунт, Facebook предлагает сервисы, которые позволят Вам заявить о том, что данный аккаунт принадлежит именно Вам.

В сервере имен Bind обнаружена уязвимость

Tue, 24 Nov 2009 21:00:00 GMT

Авторы популярнейшего в интернете DNS-сервера BIND сегодня распространили предупреждение о наличии серьезной уязвимости в программном обеспечении. Эксплуатация данной уязвимости позволяет атакующему подменить ответ от сервера имен и направить пользователя, запрашивавшего тот или иной сайт по неверному адресу.

Сообщается, что баг в BIND проявляется только тогда, когда открытый пакет собран с поддержкой DNSSEC (то есть почти всегда), а также когда сервер имен принимает запросы от ненадежных рекурсивных машин в интернете, либо сам выступает в качестве рекурсивного сервера.

В информации, предоставленной Internet Systems Consortium, сказано, что атака может быть реализована против сервера удаленно. "Сервер имен с DNSSEC может некорректно добавлять записи из кеша в некоторые дополнительные секции в ответ на получение рекурсивного запроса", - говорится в сообщении.

ISC советует ИТ-администраторам обновить используемый на сервере BIND до версий 9.4.3-P4, 9.5.2-P1 или 9.6.1-P2.

В Китае обнаружен опасный вирус

Mon, 23 Nov 2009 21:00:00 GMT

Исключительно неприятный вирус был обнаружен в Китае. Дело дошло даже до того, что о быстром распространении этой инфекции свое население вынуждено было предупредить китайское правительство.

Подробностей о сетевом черве Worm_Piloyd.B в настоящее время относительно немного, однако сам факт того, что власти Китая пошли на весьма нетипичный для себя шаг и предупредили об угрозе, уже приковал к себе внимание мирового сообщества.

Как это ни удивительно, но на этот раз на распространение заразы не отреагировали даже антивирусные компании, которые всегда очень легки на подъем в тех случаях, когда им предоставляется возможность в красках живописать картину компьютерного апокалипсиса.

По данным расположенного в Тяньцзине Национального центра быстрого реагирования на компьютерные угрозы, вирус поражает файлы с расширениями .exe, .html и .asp и блокирует попытки их восстановления. Кроме этого, Worm_Piloyd.B загружает в систему другое вредоносное ПО и программу-агент для организации ботнета.

Государственное информационное агентство Синьхуа настойчиво рекомендует пользователям обновить антивирусные программы и активировать в них функцию мониторинга в режиме реального времени.

Зафиксирован всплеск "социального" спама

Sun, 22 Nov 2009 21:00:00 GMT

Лаборатория MessageLabs компании Symantec зафиксировала резкий рост трафика е-мусора, спекулирующего на высокой популярности социально ориентированных сервисов.

С середины недели сеть "зомбированных" компьютеров DonBot массово рассылает сообщения, в которых предлагается "работа на дому с очень хорошим заработком". Кликнув на включенном в письмо изображении или предложенной ссылке, пользователь перенаправляется в микроблогерскую сеть Twitter или службу Facebook. Далее посетителю сообщается о необходимости заглянуть на сайт "работодателя" и для получения инструкций внести определенную плату. Разумеется, никакой работы доверчивые пользователи после перечисления денег не получат.

18 ноября ботнет DonBot распространял около 4% от мирового объема спама. По всей видимости, подчеркивают специалисты, часть аккаунтов в Twitter и Facebook, на которые ссылаются мошенники, была создана специально, а часть — взломана.

По оценкам "Лаборатории Касперского", доля спама в почтовом трафике Рунета составляет в среднем 85%, при этом в связи с приближающимися новогодними праздниками все чаще встречается реклама турпоездок.

Компания Health Net потеряла диск с данными полутора миллионов клиентов

Sun, 22 Nov 2009 21:00:00 GMT

Вчера компания Health Net of the Northeast сообщила об утере жесткого диска, содержащего финансовые и медицинские данные, а также личную информацию полутора миллионов ее клиентов. Готовили свое заявление медики не торопясь – упомянутый диск был утерян еще в мае этого года.

Среди пропавших сведений оказались имена, адреса и номера карт социального страхования клиентов Health Net из Аризоны, Нью-Джерси, Нью-Йорка и Коннектикута. Кстати сказать, законы штата Коннектикут обязывают организации безотлагательно сообщать обо всех инцидентах подобного рода.

Потерявшийся внешний жесткий диск содержал информацию в виде незашифрованного файла-образа. В связи с этим генеральный прокурор Коннектикута намерен требовать от компании оплаты двухгодичного сервиса по защите личных данных всех пострадавших клиентов, а также предоставления страховки от финансовых потерь и возмещения возможных убытков.

Представители Health Net в свою очередь заявляют, что у компании нет никакой информации о том, что утерянные данные были скомпрометированы. Впрочем, фирма все равно взяла на себя обязательства по двухгодичному мониторингу счетов и предоставлению всесторонней помощи жертвам возможного мошенничества.

Хакеры обнародовали переписку ученых об изменении климата

Sun, 22 Nov 2009 21:00:00 GMT

Хакеры, взломавшие сервер Университета Восточной Англии, выложили в Сеть переписку ученых, из которой можно сделать вывод, что последние годы температура на Земле не повышается, пишет британская газета The Times. Фрагменты переписки, по данным издания, хакеры выложили "на российский сервер".

Доступ к архиву электронной почты, насчитывающему около тысячи писем, а также к трем тысячам документов, предназначенных для служебного пользования, хакеры, сообщает Associated Press, получили в середине ноября 2009 года.

В числе документов, ставших достоянием общественности, письмо профессора Фила Джонса (Phil Jones), возглавляющего Центр по изучению климата (Climate Research Unit) Университета Восточной Англии, в котором он сообщает о "трюке", позволяющем скрыть снижение температуры. Письмо Джонсона датировано ноябрем 1999 года.

Руководство Университета Восточной Англии распространило заявление, в котором подборка писем для публикации называется тенденциозной и "отрицающей признанный мировым сообществом факт негативного воздействия деятельности человека на климат". В заявлении также говорится, что полиция проводит расследования факта незаконного проникновения в компьютерную сеть университета.

Письма с сервера Университета Восточной Англии появились в Сети накануне международного саммита, посвященного изменению климата, который пройдет в Копенгагене 7-18 декабря.

Пентагон обвиняет Китай в кибершпионаже

Thu, 19 Nov 2009 21:00:00 GMT

Китай все активнее использует кибершпионаж для получения разведданных из США: атакам подвергаются компьютерные сети американского правительства, оборонной индустрии и частных компаний. Об этом говорится в новом докладе консультативной группы Конгресса США.

Согласно новому отчету консультантов Конгресса США, исследующих угрозы безопасности, которые могут возникнуть при торговле с Китаем, эта страна активно использует своих хакеров для кибершпионажа против США, чему имеются множественные доказательства. "Большое количество как косвенных, так и неоспоримых доказательств свидетельствуют о том, что в эту деятельность вовлечены государственные органы", — сказано в отчете, направленном в Конгресс.

В документе, подготовленном аналитиками Northrop Grumman (одного из крупнейших подрядчиков Пентагона) по заказу Американо-китайской комиссии по вопросам экономики и безопасности, также говорится, что Пекин проводит "долгосрочную кампанию с применением продвинутых компьютерных технологий против правительства и оборонных органов США". Шпионаж направлен на сбор полезных данных и информации об инновационных находках и изобретениях, которые можно использовать в модернизации военных сил и экономического развития.

В прошлом году количество компьютерных атак против США значительно увеличилось и продолжает быстро расти. При этом за большой частью кибератак стоят именно китайцы, считают аналитики. Китайский МИД, тем временем, официально назвал отчет "сфабрикованным наследием Холодной войны". "Эта так называемая комиссия безмерно раздула идею китайской угрозы", — заявил пресс-секретарь ведомства Ма Чжаосюй (Ma Zhaoxu).

Авторы отчета отмечают, что Китай тратит значительные ресурсы на создание и поддержание компьютерной инфраструктуры, которая может использоваться для кибератак. Усилия властей Китая сосредоточены главным образом на сборе разведывательных данных против США и китайских диссидентских групп за рубежом.

В отчете детально описываются атаки, достигшие своих целей, в том числе и через недавно "залатанную" брешь в Adobe Acrobat. Например, через правительственные сети "уплыло" от 10 до 20 ТБ конфиденциальных (но неструктурированных) данных ВВС США. Эта информация затем была использована для фишинга — очень достоверные и адресные сообщения помогли атаковавшим проникнуть на сотни новых ПК. Эффективный кибершпионаж, как считают специалисты, помог Китаю более эффективно модернизировать свою армию по сравнению с США.

Напомним, что по данным нового отчета компании McAfee, сильнейшие государства мира активно создают инфраструктуру для эффективного ведения боевых действий в киберпространстве. Страны разворачивают специализированное ПО, тестируют сети и налаживают шпионскую деятельность в рамках подготовки к использованию Сети для ведения войн. В частности активно готовятся к конфликтам в киберпространстве США, Израиль, Россия, Китай и Франция.

Крупный ботнет опять рассылает спам через социальные сети

Thu, 19 Nov 2009 21:00:00 GMT

Один из крупных ботнетов снова вернулся к жизни и начал очередную кампанию по рассылке спама через сайты социальных сетей.

Исследователи MessageLabs предупреждают, что зомби-сеть DonBot вновь начала крупномасштабные рассылки спама. В период с 18 ноября на ее долю приходится 4% от всего объема спам-сообщений в мире.

Рассылаемые ботнетом письма довольно тривиальны – они предлагают заняться весьма высокооплачиваемой работой на дому, которая якобы состоит в размещении информации онлайн. Мошенники обещают, что среднедневной доход на такой работе может достигать трехсот долларов. Все, что необходимо сделать – это послать первоначальный взнос, после чего можно сидеть и ждать, когда прольется золотой дождь.

Кликая по изображению в сообщении, пользователи переходят на одну из страниц в Twitter, содержащую ссылку на сторонний ресурс, где пользователя и начинают просить внести "пробную оплату". Эксперты предупреждают, что в качестве промежуточных звеньев используются взломанные аккаунты на Twitter и Facebook.

Пропал жесткий диск с данными 60 тыс. служащих армии США

Wed, 18 Nov 2009 21:00:00 GMT

Как стало известно компании "Практика Безопасности", в инженерных войсках США произошла крупная утечка данных. Потерян внешний жесткий диск с персональными данными более 60 тыс. солдат и офицеров, а также гражданских служащих армии США.

Представитель армии, майор Марк Янг (Mark Young), сообщил, что в настоящее время усилия сосредоточены на уведомлении каждого из 60 тыс. человек, чьи данные (в том числе и номера социального страхования) находились на диске. Для упрощения процедуры большинство военнослужащих будет информировано посредством армейского веб-портала Army Knowledge Online Web site.

"Армейские процедуры предполагают лучшую физическую защиту, нежели информационную безопасность в классическом ее понимании, – считает Тарас Пономарев, партнер консалтингового бюро "Практика Безопасности". – Тем не менее, периодически случаются инциденты, попадающие в категорию утечек "по недосмотру". Нынешнее происшествие – симбиоз. По всей видимости, виной пропажи стали отсутствие должных процедур контроля дисков и шифрования чувствительных данных, а также небрежность персонала".

Отметим, что утечки конфиденциальной информации в вооруженных силах США происходили и раньше. Так, например, в июле 2008 г. из Форта Льюис украли ноутбук со сведениями о персонале военной базы. А в октябре 2009 г. скомпрометированными оказались приватные данные 70 млн ветеранов вооруженных сил.

Wi-Fi-смартфоны уязвимы для взлома

Wed, 18 Nov 2009 21:00:00 GMT

Большинство популярных моделей смартфонов, подключенных к незащищенным публичным точкам доступа Wi-Fi, могут быть атакованы хакерами, говорится в исследовании SMobile Systems, вендора решений мобильной безопасности.

Тестовым испытаниям подверглись Nokia N95 п/у Symbian S60, HTC TouchPro 2 п/у Windows Mobile, HTC Dream п/у Android и Apple iPhone 3GS.

Специалисты провели показательные атаки методом перехвата сообщения и подмены ключей (man-in-the-middle, MITM), суть которых в незаметном внедрении злоумышленника в сеть передачи данных между смартфоном и Wi-Fi-хот-спотом для прозрачного перехвата любой информации, включая электронные сообщения и банковские транзакции. Эксперты воспользовались набором общедоступных хакерских утилит, позволяющих перенаправлять маршрутизацию пакетов, перехватывать и анализировать HTTP-трафик, прослушивать порты и вести журналирование.

Итоги неутешительны: незащищенное Wi-Fi-соединение может быть легко взломано, а данные перехвачены. В связи с этим авторы отчета рекомендуют пользоваться приложениями, снабженными функционалом шифрования трафика, хотя подобных программ не так много. Организациям следует внедрить политики безопасности, предполагающие, что смартфоны с Wi-Fi-модулем аналогичны корпоративным ноутбукам с Wi-Fi.

RIM предвидит волну атак на смартфоны и сети сотовых операторов

Tue, 17 Nov 2009 21:00:00 GMT

По мнению Скотта Тоцке, вице-президента канадской Research in Motion, в ближайшее время хакеры переключат свое внимание с компьютеров и интернета на смартфоны и сотовые сети. Топ-менеджер компании, выпускающей смартфоны Blackberry, прогнозирует появление целого класса атак на сотовые сети, а также ряда методов по взлому популярных моделей смартфонов.

По мнению Тоцке, вскоре злоумышленники будут использовать специализированные модели сотовых телефонов, симулирующих атаки, подобные тем, что сейчас хакеры активно применяют в интернете при атаке на те или иные сайты. Он также предсказывает появление методики "мобильных DDoS-атак", работающей по тому же принципу, что и интернет-прототип, но с ориентацией на мобильные сети.

В компании говорят, что современные сети мобильных операторов крайне слабо защищены от подобных атак, а между тем "мобильный DDoS" способен оставить без связи часть города или даже весь населенный пункт на заданное время. Отсутствием связи могут воспользоваться террористы или преступники.

"Уверен, что это именно та область безопасности, над которой нам предстоит работать уже сейчас", - сказал он.

Кроме того, в RIM говорят, что современные сети операторов могут быть уязвимы и другим атакам. К примеру, перехвату мобильных данных, а также известной компьютерной атаке типа "man in the middle", когда злоумышленник под видом авторитативного центра (сотового ретранслятора) пропускает мобильный трафик через свою сеть, попутно просматривая его.

Наконец, вредоносное мобильное программное обеспечение также представляет собой чрезвычайную опасность, говорит Тоцке. По его словам, инженерами RIM уже выявлены несколько хакерских "Google Maps", поддельных мобильных антивирусов для Blackberry и другого софта.

"Современные телефоны - это уже не просто телефоны. Это компьютеры. Со всеми вытекающими отсюда последствиями", - говорит он.

Российские хакеры заработали миллионы на свином гриппе

Mon, 16 Nov 2009 21:00:00 GMT

Согласно новому отчету Sophos, российские хакеры зарабатывают миллионы, продвигая в Сети сайты, продающие фальшивые лекарства против гриппа.

Российские киберпреступники зарабатывают миллионы долларов на продаже поддельного медицинского препарата Tamiflu, лекарства против свиного гриппа, через Интернет.

Об этом говорится в новом исследовании компании Sophos. Как отмечают аналитики, паника, вызванная увеличением случаев смерти от свиного гриппа, привела к тому, что многие люди начали покупать Tamiflu через Интернет, позволяя злоумышленникам не только зарабатывать на себе, но зачастую и давая им доступ к свои личным данным, которые те позже могут использовать для других преступлений.

В отчете говорится, что киберпреступники генерируют трафик на собственные сайты с поддельным Tamiflu через партнерские программы. Многие такие сайты продают свои товары под брендом Canadian Pharmacy, чтобы вызвать больше доверия у пользователей.

Также Sophos упоминает известную в Рунете фарма-партнерку Glavmed, утверждая, что с ее помощью веб-мастера зарабатывают в среднем $16 тыс. в день (или $5,8 млн в год), продвигая сайты с поддельными лекарствами. Некоторые же российские киберпреступники якобы даже получают с помощью торговли Tamiflu более $100 тыс. в день.

Крупнейшая клиринговая палата подверглась фишинговой атаке

Mon, 16 Nov 2009 21:00:00 GMT

Компания WebRoot предупредила о новой фишинговой атаке, целью которой является некоммерческая организация Nacha, обслуживающая сеть клиринговой палаты Automatic Clearing House (ACH).

По информации WebRoot, клиринговая фирма, сетью которой пользуются 15 тысяч банков и которая обслуживает 18 миллиардов электронных транзакций ежегодно, стала мишенью для злоумышленников, пытающихся подделать ее домены и выманить у пользователей электронной почты детали их банковских счетов.

Эндрю Брандт написал на блоге WebRoot, что пользователи волей-неволей уделяют самое пристальное внимание письмам, приходящим от имени крупнейшей в мире клиринговой палаты, обслуживающей межбанковские расчеты. Кроме того, он добавил, что мошенническое сообщение само пугает потенциальных жертв угрозой мошенничества. Его текст гласит: "Транзакция ACH, инициированная с вашего банковского счета, была отклонена Electronic Payments Association из-за угрозы мошенничества". Первая реакция человека – это паника, в результате которой он кликает по прилагаемой ссылке и на самом деле становится жертвой мошенников.

По словам Эндрю Брандта, каждый, кто кликает по вредоносной ссылке, попадает на сайт с фишинговым трояном, который после загрузки скрывает свое присутствие в системе и крадет данные авторизации. Более того, на этом злоключения жертвы не заканчиваются – ее компьютер отправляется сквозь строй других подобных ресурсов, каждый из которых пытается установить свое собственное вредоносное ПО.

Хакеры выдают троян за утилиту для проверки баланса клиентов Verizon

Mon, 16 Nov 2009 21:00:00 GMT

Киберпреступники начали поиск жертв среди клиентов сервиса Verizon Wireless, рассылая им по электронной почте спам, в котором содержится уведомление о превышении доступного баланса и предложение установить специальную утилиту для его проверки, которая на самом деле является опасным трояном.

Как пишет менеджер отдела антивирусных исследований компании SonicWall Ник Билогорский, в том случае, если пользователь решится запустить предложенную утилиту, его компьютер будет заражен трояном, которому в фирме SonicWall присвоили обозначение Regrun.

Рассылка спама началась в пятницу, в 11:30 утра по тихоокеанскому времени США. Очень скоро вредоносные письма заполонили Интернет и уже через несколько часов специалисты SonicWall отметили их поступление в почтовые ящики шестнадцати процентов своих клиентов. На основании этого они сделали вывод о том, что спамеры рассылают порядка двухсот тысяч писем в час.

Жертвы, воспользовавшиеся вредоносной утилитой, открыли на своих компьютерах бэкдоры, через которые из ботнета Zbot на их машины были установлены другие опасные приложения, включая банковские трояны.

Описанная выше схема весьма популярна среди преступников и приносит им огромный доход. Так, по оценкам ФБР, мошеннические операции подобного рода уже принесли злоумышленникам более ста миллионов долларов, похищенных с банковских счетов.

В утечках виновно руководство

Sun, 15 Nov 2009 21:00:00 GMT

В последнее время случаи утечки конфиденциальной информации становятся все более частыми. По данным компании Ernst & Young, кризисный 2009 год показал, что во всем мире число случаев нарушений информационной безопасности со стороны уволенных или нелояльных сотрудников компаний существенно увеличилось. Эксперты подчеркивают, что легкость, с которой происходят утечки, зачастую являются виной руководства компаний. Согласно результатам опроса, 75% топ-менеджеров отметило, что обеспокоено вероятностью того, что сокращенные сотрудники станут мстить. При этом лишь 26% принимают меры по минимизации этого риска. Как правило, менеджмент легкомысленно относится к технологиям защиты информации и начинает действовать, только когда происходит крупный инцидент.

Более 90% сотрудников компаний регулярно выносит конфиденциальную информацию за пределы организации при помощи электронной почты или внешних носителей. В подавляющем большинстве случаев такие действия не имеют злого умысла, а являются частью "личных" бизнес-процессов. Тем не менее, экономический кризис обострил проблему инсайдеров. Согласно статистике утечек информации, собранной компанией Infowatch, в 2009 году 60% утечек произошло умышленно, тогда как в 2008 году - только 45%.