Category: it

Category was added automatically. Read all entries about "it".

ОБ ЭТОМ.

Это верхний пост, где рассказывается почему и зачем этот блог.

Всем привет!

Мне приходится много перемещаться по миру. По работе и из врождённого любопытства. Как оно в мире работается, отдыхается, путешествуется, а также мои личные впечатления от увиденного, услышанного, потроганного и попробованного - об этом и блог.

Впрочем, это не отменяет специальных постов про бизнес, технологии, патенты и прочее рабочее повседневное, когда просто невозможно не высказать своё мнение.

Кстати, о мнении. Это мой личный блог и мнения, выраженные здесь могут не совпадать с официальной позицией одноимённой компании. А могут и совпадать – как повезёт. Но, надеюсь, мои рассказы интересны и достаточно фотогеничны.

Рекомендуемое в блоге:


Топ-100 самых удивительных мест в мире

Лучшие, худшие и просто никакие аэропорты мира

Рассказы о моих путешествиях на Камчатку

Рассказы о моих путешествиях по Китаю

Рассказы о моих путешествиях в Китай

Экскурсии по офисам ЛК в разных странах мира

Мы и Феррари

Наши технологии защиты: популярно о сложном


Помимо Живого Журнала меня можно найти:








Книга посетителей, а также жалоб и предложений - в комментах к этой записи. Заходите, отмечайтесь. Мне будет интересно узнать кто читает мои рассказы.

Как поймать чёрного лебедя в собственной сети?

Давненько у человечества не было такого года, как 2020й. Да что там, не было на моей памяти ни одного года с такой концентрацией чёрных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непресказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «чёрных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удаётся.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов - поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.

Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.

У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.

Хотите тоже так уметь? Не сомневаюсь :)

Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо.  В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.

Встречайте!

1

Collapse )

Что там в портфельчике? Топ-5 технологических патентов «Лаборатории».

Мы уже ДВАЖДЫ герои патентного труда признанные инноваторы по версии американского «топчика» Derwent Top 100 Global Innovators – престижного списка глобальных компаний, создаваемого на основе анализа их патентных портфолио. «Топчик» тем более престижный, что (i) мы там в почётной компании с Amazon, Facebook, Google, Microsoft, Oracle, Symantec и Tencent; и (ii) он основан на титанической аналитической работе организатора, Clarivate Analytics - компания оценивает более 14 000 (да-да-да, это не опечатка - четырнадцать тысяч!) кандидатов по ряду критериев, из которых основным является цитируемость. За пять лет пороговое значение для включения в «топчик» по этому критерию выросло аж на 55%.

dervent

Цитируемость – внимание! – это уровень влияния изобретения на инновации других компаний. Другими словами – насколько часто нас упоминают другие изобретатели в своих патентах; некая база развития технологии, ветвистое древо других технологий, вырастающее на её основе. Согласитесь – на фуфловых патентах такое древо не вырастет. И мы, на минуточку, входим в глобальную сотню самых-самых компаний, которые двигают вперёд мировой научно-технический прогресс.

Чувствуете момент? Я вот до сих пор чувствую, наслаждаюсь и никак меня эта тема отпустить не может. Ну и очень хорошо :)

После изучения этой аналитики, мне сразу захотелось посмотреть – какие наши запатентованные технологии самые цитируемые?

На старт-внимание-побежали:

1 место: 181 цитирование(*) - US8713631B1 System and method for detecting malicious code executed by virtual machine (зеркала патента в РФ RU2522019C1 и Китае CN103593608B).

Суть технологии: есть определенные приложения, написанные на коде, который для своего выполнения требует установленной виртуальной машины, которая и выполняет этот код. Классический пример – Java. Таким образом разработчик может легко портировать код на другие платформы (Windows, Linux…) – код-то один, надо только виртуальную машину поставить.

Разумеется, кибернегодяи используют уязвимости в виртуальных машинах для проникновения на компьютеры, при этом для других приложений (в том числе для антивируса) виртуальная машина  – это чёрный ящик, который к тому же доверенный процесс. Запатентованная технология – один из эффективных способов контролировать выполнение кода в виртуальных машинах при помощи их модификации и получении событий.

Collapse )

В тёмном-тёмном лесу офисе

Весьма вероятно, что ваш офис сегодня также пуст, как и наш. Редко-редко раздаются шаги охраны и технических служб, да гудят системы охлаждения серверов, нагруженные всякой «удалёнкой». Кажется, ничего не нарушает покой и крепкий сон системного администратора – кроме невидимых человеческому глазу и неслышных человеческому уху событий, происходящих в тёмном лесу IT-инфраструктуры.

Роль IT-безопасника в некотором смысле похожа на роль лесника – чтобы поймать браконьера (вредоносное ПО) и нейтрализовать угрозу для обитателей леса, надо для начала его обнаружить. Можно, конечно, дождаться звуков выстрелов и быстро бежать в их сторону, но это значит, что событие уже произошло и остаётся только разбираться с последствиями. Можно в превентивных целях расставить по всему лесу сигналы и видеокамеры и реагировать на каждый новый шорох (и быстро лишиться сна и разума). А если учесть, что «браконьеры» научились здорово прятаться и не оставлять следов, то выясняется, что главный вопрос безопасности заключается в умении вычленять подозрительные события из множества событий повседневных.

Современные кибер-браконьеры всё чаще маскируются именно при помощи совершенно легитимных инструментов и операций – например, открытия документа в Microsoft Office, получения администратором удаленного доступа, запуска скрипта в PowerShell или активацией механизма шифрования данных. Новая волна так называемого «бесфайлового» вредоносного ПО и вовсе не оставляет никаких следов на жёстком диске, что заметно усложняет работу традиционных подходов к защите. Именно так, например, группировка Platinum проникала в компьютеры дипломатических организаций. Офисные документы, загружающие вредоносную нагрузку, применялись для заражения через фишинг в операции DarkUniverse, да и многих других. Ещё один пример - «бесфайловый» вымогатель-шифровальщик Mailto (aka Netwalker), который использует PowerShell скрипт для загрузки вредоносного кода непосредственно в память системного процесса.

Итак, если традиционными средствами не обойтись, то можно попытаться запретить целый ряд операций пользователям и ввести жёсткие политики доступа и использования ПО. Однако в этом случае и пользователи, и вредоносы скорее всего найдут обходные пути, как находят их лесные ручьи или звериные тропы.

Лучше найти решение, которое сможет определять аномалии в стандартных процессах и уведомлять о них администратора. Главная сложность такого решения, чтобы научиться автоматически определять «подозрительность» процессов во всем их многообразии, и не досаждать администратора постоянными криками «Волки! Волки!»

И у нас такое решение есть – Adaptive Anomaly Control. В основе сервиса лежат три основных компонента – правила, статистика и исключения. Правила охватывают основные офисные приложения, пакет приложений Windows Management Instrumentation, стандартные скрипты и другие компоненты, совмещённые со списком «аномальных» активностей. Эти правила являются частью решения и не требуют от администратора создавать их заново.

ad1

Collapse )

Королевство кривых зеркал.

Неисповедимы пути вредоносного кода.

Он как вездесущий газ заполняет собой пространство, проникая на компьютеры через любое доступное «отверстие для маленьких жучков». Мы же эти «отверстия» находим и конопатим. При этом часто случается, что конопатим проактивно – то есть пока «жучки» эти «отверстия» в операционных системах и приложениях не нашли. А как найдут – мы их там с мухобойкой уже ждём :)

На самом деле, проактивность защиты, способность предугадать действия нападающего и заранее создать барьер на пути проникновения – это отличает действительно хорошую, высокотехнологичную кибербезопасность от маркетинговых пустышек.

Сейчас я расскажу вам о «безфайловом» вредоносном коде (иногда его называют «бестелесным») – опасном виде «жучков-призраков», которых научили использовать архитектурные недостатки Windows для заражения компьютеров. А также о нашей патентованной технологии борьбы с этой кибер-заразой. Будет всё как вы любите – просто о сложном, в лёгкой захватывающей манере кибер-триллера с элементами саспенса :)

Вангую самый первый вопрос: «безфайловый» - это как и что такое?

Объясняю. Попадая на компьютер, такой вредоносный код не создаёт своих копий в виде файлов на диске, и таким образом избегает обнаружения традиционными способами, например, при помощи антивирусного монитора, который следит за появлением зловредных и нежелательных файлов-приложений.

Как же такие вредоносы-призраки существует в системе? Исключительно в оперативной памяти доверенных процессов! Вот так.

В Windows (на самом деле не только в Windows) с древних времён существует возможность выполнения динамического кода, которая в частности используется для динамической компиляции, т.е. перевода программного кода в машинный не сразу, а по мере надобности с целью увеличения скорости исполнения приложения. Для поддержки этой возможности Windows позволяет приложениям загружать код в оперативную память через другие доверенные процессы и исполнять его.

Согласен – не самая здравая реализация с точки зрения безопасности, но, как говорится, «поздно пить боржоми». Так работают миллионы приложений, написанных на Java, .NET, PHP, Python и других языках и платформах.

Разумеется, что возможность использовать динамический код полюбили кибер-негодяи, которые изобрели различные способы злоупотребления им. Один из самых удобных и поэтому распространённых способов – техника «отражающей инъекции» (Reflective PE Injection). Не торопитесь падать в обморок от этого технического термина - сейчас популярно расскажу что это такое. Будет интересно! :)

Запуск приложения для пользователя выглядит… Да никак он не выглядит :) Кликнул на иконку и всё. Но за этими декорациями проходит непростая работа: вызывается системная программа-загрузчик, которая берёт наш файл с диска и исполняет его. И этот стандартный процесс контролируется антивирусными мониторами, которые «на лету» проверяют приложение на безопасность.

При «отражении» код загружается мимо системного загрузчика (а соответственно и антивирусного монитора) – он копируется напрямую в память доверенного процесса, создавая «отражение» исполняемого модуля. И всё выглядит как будто бы он был загружен системным загрузчиком. Такое «отражение» может исполняться как настоящий модуль, загруженный стандартным способом, но оно не зарегистрировано в списке модулей и, как уже указывалось выше, не имеет файла на диске.

Причём, в отличие от других техник инъекций кода (например через шелл-код), отражающая инъекция позволяет создавать функционально сильный код на высокоуровневых языках и стандартными средствами разработки с минимальными ограничениями. Итог: никаких файлов, надёжная маскировка в доверенном процессе, вне радаров традиционных защитных технологий, приемлемая свобода действий. Вот такое «королевство кривых зеркал». И окон.

Вполне естественно, что отражающая инъекция получила большую популярность у разработчиков вредоносного кода. Сначала техника появилась в эксплойт-паках, потом её «прелести» оценили кибер-военщина (например, операторы операций Lazarus и Turla) и продвинутый кибер-криминал (это же отличная легитимная лазейка для скрытого исполнения сложного кода!). Ну а дальше, как говорится, техника «пошла в народ».

Найти такую «бестелесную» заразу не так-то просто. Немудрено, что большинство продуктов с ней справляется «так себе», а некоторые «вообще никак».

fm1

Collapse )

Ай-да-новости: дыры, где не должно, взлом на заказ и кто на чём летает?

Вот и пролетел первый месяц этого странного карантинно-самоизоляционного лета.

Полёт весьма нормальный! Мы приняли решение перестраховаться и пока остаться на удалёнке. Хоть киберпреступники не дремлют, но и мы не расслабляемся – работа отлажена. Крупных изменений в глобальной картине угроз сейчас не замечаем. А что там в мире интересного творилось за последний месяц?

0-day в «супер-безопасном» Linux Tails

В этом месяце всплыла история о том, что Facebook за очень круглую и вполне себе шестизначную сумму спонсировала создание уязвимости нулевого дня в ОС Tails (Linux, заточенный под privacy) для расследования ФБР, которые ловили какого-то местного педофила. Изначально было известно, что он "параноик" и пользуется именно этой осью.

Сначала FB включил свою мощь сопоставления аккаунтов и связал все, которыми преступник пользовался. Но вот перейти от них к реальному почтовому адресу всё равно не получалось. Утверждается, что дальше была заказана разработка эксплойта под видеоплеер. Неочевидный, но вполне логичный выбор софта, т.к. от своих жертв преступник требовал видеоролики и с большой долей вероятности включил бы их на том же компе.

Говорят, что разработчиков Tails о дыре не оповещали, а потом вдруг оказалось, что она уже и так закрыта. Сотрудники компании молчат об этом случае, как рыбы об лёд – оно и понятно, уязвимости под заказ – так себе паблисити. Остаётся надежда, что разработка была "индивидуально" под конкретного негодяя и для любого пользователя не подойдёт.

Тезис здесь следующий: любой супер-секьюрный проект на базе Линукса не гарантирует отсутствия дырок. Для этого требуется поменять принцип работы и архитектуру всей операционки. Да, это я "пользуясь случаем передаю привет" вот сюда.

news1
Источник

Collapse )

Мухобойка, пылесос и хлорка. От нас не спрятаться!

Всем привет!

Частенько бывает так, что понятные и очевидные профессионалам истины достаточно сложно объяснить не специалистам. Но я попробую.

Вот, например, надо построить дом. И не просто какой-то типовой стандартный, а по собственным хотелкам. Для этого приглашается архитектор, который вместе с заказчиком рисует эскизы и чертежи, потом всё это просчитывается и согласовывается, появляется проектная документация, подрядчик на проведение работ, техническая инспекция следит за качеством, параллельно дизайнеры рисуют внутренние интерьеры – обычные процессы при строительстве любого объекта сложности выше чем «рай в шалаше». Многие работы уникальны, и они производятся конкретно под требования заказчика, но само строительство идёт из стандартных материалов и изделий: кирпичей, арматуры, бетона.

Так и в разработке программных продуктов.

Большое количество работ уникальны, требуют архитекторов, дизайнеров, технической документации, инженеров-программистов, часто специфических знаний и умений. Но в процессе разработки любого софта используется также огромное количество стандартных кирпичей-библиотек, выполняющих различные «повседневные» функции. Как при строительстве из типовых кирпичей можно сложить стену, забор или трубу – так и в программных продуктах модули с совершенно различным функционалом (потребительскими качествами) используют множество унифицированных библиотечных функций-кирпичей.

Так вроде должно быть понятно всем. Но при чём здесь кибербезопасность?

А вот при чём: цифровые зловреды под стать строительным дефектам. Если нанести повреждения на готовый к заселению дом – это полбеды. Поправить, отштукатурить, покрасить и плитку переложить. А вот если проблема глубоко внутри конструкции? – ага, а вот это дорого больненько. Тоже самое и с софтом. Если к нему сверху прилипнет какая-то зараза, то можно полечить-подчистить-восстановить – и все дела. Но если цифровая дрянь проникнет в библиотеки и модули, из которых собирается конечный продукт? – ай, это ой. Обнаружить такого зловреда может оказаться весьма и весьма непросто, а тем более его выковырять из рабочего бизнес-процесса.

И примеры тому есть, да и немало.

Даже в глубокой древности, во времена Виндовз-98 был похожий инцидент, когда вирус CIH пробрался в дистрибутивы компьютерных игрушек нескольких производителей – и оттуда разлетелся по всему миру. Другая подобная засада произошла годами позже, когда в где-то в 2000х появилась кибер-зараза, проникавшая в библиотеки среды программирования Delphi.

Таким образом получается, что угрозу для личных устройств и корпоративных сетей могут представлять не только «залётные» кибер-негодяи, но и те злодеи, которые случайно или намеренно умудрились пролезть в «закрома» производителя программных продуктов, которым вы пользуетесь, и внедриться в «программные запчасти», из которых потом собирается готовый продукт. Вот так бывает.

«Ах вон оно что, Михалыч!» (с).

Чтобы стало ещё понятнее, давайте спроецируем тот же сценарий на всем нам знакомый поход в обычный продуктовый магазин. Да не просто так сходить, а во времена глобального пандемического шухера, когда от злобного биологического вируса потряхивает вообще всю нашу планету.

Так вот, выглядеть это событие будет примерно вот так. Взяли сумки, руки помыли, маску с перчатками надели, однако на этом ваши меры предосторожности заканчиваются. Далее начинается ответственность продавца и производителя, каждый из которых тоже должен следовать санитарным нормам. А ведь есть ещё и грузчики, упаковщики, кладовщики, системы хранения и транспортировки продукции и так далее! – и на каждом сегменте этой цепочки кто-то может случайно (или намеренно) чихнуть на вашу условную картошку!

Тоже самое и в нашем цифровом мире.

Цепочка поставок в современных гибридных экосистемах ИТ-разработки сложнее на пару порядков, а новых кибер-зловредов мы ловим более 300 тысяч КАЖДЫЙ ДЕНЬ! – причём их сложность постепенно возрастает. Проконтролировать то, насколько «чисто помыты руки и маска с перчатками» у разработчиков каждого отдельного софтверного компонента, и насколько эффективны системы киберзащиты многочисленных поставщиков облачных услуг в каждый конкретный момент – задача невероятно сложная. Особенно если используемый продукт опенсорсный, а сборка приложения – по-модному автоматизирована и работает совсем неразборчиво, на полном доверии, «на лету».

Тут стоить помнить, что атаки на цепочки поставок – это самый что ни на есть тренд продвинутого киберзлодейства! Например, группировка ShadowPad атаковала финансовые организации через решение популярного поставщика ПО для управления серверной инфраструктурой. Другие хитрецы атакуют библиотеки открытого кода, и коллеги из индустрии напоминают, что у разработчиков «крайне мало возможностей удостовериться, что устанавливаемые ими компоненты из различных библиотек не содержат зловредного кода».

Ещё пример – атака на библиотеки контейнеров, таких как Docker Hub. С одной стороны, использование контейнеров позволяет повысить удобство и скорость развертывания приложений и сервисов. С другой, некоторые разработчики ленятся создавать собственные контейнеры и скачивают их готовые образы – а там, сюрприз-сюрприз, как в шляпе волшебника может скрываться что угодно. Кролик, например. Вот такой:

Alien Rabbit

В итоге, разработчики хотят выдать «на гора» работающий продукт как можно скорее, специалисты по автоматизации разработки (devops) ратуют за использование доступных компонентов и облачных платформ на всех этапах, безопасники пьют валерьянку (ну или чего покрепче), а пользователи продукта рискуют получить не одного троянского коня, а целый табун!

Но мы же не зря здесь существуем! :) Если есть сложные задачки – мы любим их решать... и не только математические :)

И – бьют барабаны, трубят трубы, свистят свистелки и сопят сопелки, оркестр играет туш, а восторженная публика в воздух чепчики кидает и аплодирует пока те в воздухе! – мы расширяем возможности нашего продукта Kaspersky Hybrid Cloud Security.

Collapse )

Свет мой, зеркальце! Скажи. Да всю правду доложи (с)

Текст в заголовок мне навеял недавно прошедший День Пушкина, но на этом поэтическая тема данного поста полностью исчерпывается :) Здесь и дальше снова будет про мировое кибер-зловредство и новые интересные технологии борьбы с ним.

Далеко не всегда защита кибер-инвентаря сводится только к отражению атак. Это особенно верно для корпоративного сектора (а здесь и далее будет как раз про APT-угрозы для крупных огранизаций). Частенько по результатам особо болезненных инцидентов необходимо проводить анализ последствий, оценивать ущерб, анализировать причины "пробоя" и планировать "ремонтные работы".

Если по какой-то досадной причине в сетевую инфраструктуру залетел случайный кибер-воришка - это ерунда. Вычистить, отмыть поражённые сектора "мылом и хлоркой", поставить на вид сотрудникам-неряхам, не соблюдающим элементарные правила цифровой гигиены – и всё на этом. Но если вдруг в святая святых обнаружено весьма хитроумное изделие, которое аккуратно шифруется и прячет свою активность, которое что-то подслушивает, поднюхивает, высматривает и отправляет мега/гигабайты сетевых пакетов куда-то за "тридевять земель" неведомому адресату, то это будет совершенно другая сказка. Скорее всего, счастливого конца у неё сложно ожидать, но зато можно сделать её интереснее.

А именно.

Помимо всех необходимых "очистных" работ любопытно и крайне полезно узнать – а откуда именно в наши сети прилетел этот незваный гость? Кто именно может стоять за данным конкретным инцидентом?

bigstock-information-grenade-22247999-1365x1024
источник
(придумайте подпись!)

Сразу и прямо следует сказать, что атрибуция (указание на автора конкретной атаки) в кибер-пространстве – это весьма тонкая материя. Здесь крайне легко ошибиться, показать пальцем и обвинить совершенно непричастных к данному инциденту, да и ложные "отпечатки пальцев" налепить – дело несложное (и такое тоже бывает, пример будет ниже).

Так вот, технически говоря, по конкретному образцу зловредного кода обвинить кого-то именно в кибер-атаке – это крайне скользкая позиция. Для этого нужно быть настоящим джентельменом, которому всегда верят на слово… но такое в наше не самое спокойное время бывает нечасто и нерегулярно.

Но нет причины унывать! Ведь технически говоря (да-да, опять!) мы можем очень многое рассказать о практически любом кибер-зловреде. И, если без лишней скромности, – здесь нам нет равных. Мы держим под колпаком все достаточно крупные хакерские группы и их операции (600+ штук), причём вне зависимости от их аффилированности и намерений (потому что "вор должен сидеть в тюрьме" ©). Мы знаем про их технологии, привычки и поведение практически всё. За много лет наблюдений в наших архивах накопилось так много данных о цифровой гадости и её повадках, что мы решили ими поделиться. В хорошем смысле :) Ведь по этим сигналам (поведение, оформление кода, прочее другое и разное) – по таким не всегда заметным непрофессиональному взгляду мелочам можно выяснить очень многое. Включая направление на источник атаки.

Итак, о чём это. Внимание на следующую строчку ->

На днях мы выпустили новый сервис для экспертов по кибербезопасности - Kaspersky Threat Attribution Engine (далее KTAE – запомнить можно по "ктаэтатам?" :). Этот сервис анализирует подозрительные файлы и определяет из какой хакерской группы у данной кибератаки растут ноги. Да-да, именно так! По анализу зловредного кода мы можем вычислить конкретного исполнителя – с точностью до общепринятого названия конкретной хакерской аномалии.

А зная врага в лицо, заказчикам гораздо проще с ним бороться: принимать осведомлённые решения, разрабатывать план действий, расставлять приоритеты, ну и в целом правильно реагировать на чрезвычайные ситуации с минимальным риском для бизнеса.

sofacy_details

Как это делается?

Collapse )

Средний градус по кибер-больнице во времена биологического шухера.

Один из самых частых вопросов, который мне задают в эти непростые самоизоляционные времена – как изменилась кибер-эпидемиологическая обстановка? Как отразился на «среднем градусе по больнице» переход миллионов людей на удалённую работу? Какие новые трюки изобрели кибер-негодяи и где пользователям нужно «подкрутить» и «прокачать», чтобы не стало мучительно больно?

Рассказываю и показываю.

1585573459_035

Разумеется, криминал всегда следует за наживой и приспосабливается к изменяющейся обстановке, чтобы максимизировать прибыль. Пользователь перевёл большинство своих операций (работа, досуг, общение, покупки и т.д.) на «удалёнку» - и к ней тотчас же присосалась жирная кибер-пиявка.

А именно. Очень многие вынужденно проводят эти весенние дни по домам-квартирам-дачам. Дела все поделаны, книжки перечитаны, умения новые освоены, все иностранные языки выучены, пресс и бицепс прокачан до невозможности. Так?

Да и нет – конечно же большинство (подавляющее или очень многие) значительную часть времени проводят в интернетах – гораздо больше, чем до того. Что это означает для общего фона кибер-злодейства и безопасности? Правильно! В сети стало больше потенциальных жертв, которые проводят в ней всё больше времени.

Плюс к тому, большинство все из тех, кто с городостью называет себя «офисным планктоном» (а таких в эпоху непрекращающихся промышленных революций становится всё больше и больше) – вынужденно работают из дома. Увы, не все компании могут обеспечить надёжную защиту своих сотрудников. Что означает, что у кибер-преступников появляются новые шансы хакнуть офисные сети через домашние компы-мобилы. Чем они, увы, и не ленятся пользоваться.

Эту живописную тенденцию мы наблюдаем прежде всего по резко возросшему количеству брутфорс-атак на серверы баз данных и RDP (технология удалённого подключения к компьютерам).

gra1

Collapse )

Откарантинить банкоматы! Без кибер-изоляции.

Каждый год в командировках и личных поездках я с моими попутчиками накручиваем до 100 полётных сегментов, покрывающих значительную часть планеты. Практически везде и за всё оплата карточкой или телефоном, кругом разгул бесконтактной оплаты, эпл и гугл пэи да пэйпассы, а в Китае и вовсе переводом через WeChat можно на любом рынке у любой бабушки купить хоть капусту, хоть летучую мышь. И печально известный биовирус переходу на виртуальные деньги только способствует.

// Кстати, приятно видеть Россию на пьедестале почёта по уровню проникновения финтех-услуг.

Рассказывали забавную сценку из Индии: на улице сидит человек, перед ним два кирпича, между ними костёрчик, кипятится вода – он чаем торгует. А рядом висит QR-код для онлайн-оплаты!

Разумеется, бывают исключения, в том числе из неожиданно высокоразвитых мест. Например, такси Гонконга (да! – только бумажный кэш, ничего прочего). А в прошлом году был неприятно удивлён во Франкфурте – в двух ресторанах принимали только бумажные деньги. Ну, пришлось гостям пометаться по близлежащим закоулкам в поисках банкомата. То есть, несмотря на развитие прогрессивных платёжных систем банкоматы были, есть и ещё долго будут есть.

scale_1200
источник

О чём это я? Конечно о кибербезопасности :) Банкоматы = деньги ⇒ их хакали, хакают и будут хакать. Увы, неприятную тенденцию роста подобных кибератак подтверждают исследования: с 2017 по 2019 год количество атакованных малварой устройств выросло аж в 2,5 раза.

Можно ли вести постоянный мониторинг безопасности вокруг и внутри банкомата? Конечно же, да! – наверняка подумали все вместе. Увы, это не так. Полно ещё уличных/магазинных/подземно-переходных денежных машинок с весьма узким интернет-горлышком. Не успевают они помимо транзакций ещё и за всей остальной окружающей ойкуменой следить!

И если гора не идет к Магомету, то рассчитывать надо только на свои силы. Поэтому мы применили лучшие практики оптимизации (в этом мы мастера с 25-плюс-летним стажем), да и радикально пригнули количество трафика, которое использует наша специализированная «таблетка» против банкоматной угрозы (Kaspersky Embedded Systems Security, далее KESS).

Collapse )