Рубрика «Блог компании «Лаборатория Касперского»»

Новость на русском, подробнее на английском

Security Week 48: Root-доступ за усердие, майнер-консультант и пробный макрос-зловред - 1Если человек упорно жмет на ту же кнопку, несмотря на то, что ничего не происходит, то он либо идиот, либо тестировщик по призванию. На этой неделе, например, таким образом удалось обнаружить почти забавную уязвимость в новеньких MacOS HIgh Sierra 10.13.1 и 10.13.2 Beta: оказалось, что если при выборе пользователя в строке для логина напечатать root, а потом поместить курсор в поле для пароля, ничего туда не вводя, и несколько раз кликнуть «Снять защиту», система пустит вас внутрь с root-правами. Разумеется, на такую уязвимость Apple прореагировала мгновенно.
Читать полностью »

Открываем зимний конкурс CrackMe: ломай-ревёрсь - 1

На недавно прошедшей конференции ZeroNights, мы предлагали присутствующим решить несколько CrackMe-задач, но удалось это лишь единицам. Мы решили, что незачем хорошим головоломкам пропадать и предлагаем решить их в рамках зимнего конкурса CrackMe, который, таким образом, получается гораздо масштабнее прошлогоднего. 15 участников, первыми решивших максимальное количество CrackMe, и попавших в топ рейтинга, ждут призы (от экскурсии по ЛК до action-камеры).
Читать полностью »

Новость на русском, подробности на английском

Security Week 47: синезубые игрушки, зеленоглазое такси с утечкой и трюмный тетрис - 1Когда мы не смотрим, игрушки оживают и начинают делать гадости — студия Pixar бы такой мультик не сняла, а вот реальность оказалась менее разборчивой. Британская организация по защите потребителей Which? проверила несколько интерактивных игрушек распространенных марок и обнаружила почти у всех одну и ту же проблему. Подкованный злоумышленник может без труда взломать использовать их чтобы подслушивать, что творится в семье, разговаривать с ребенком от имени его разноцветного друга или даже попытаться пролезть в домашнюю сеть.
Читать полностью »

Уязвимость в API угрожает сливом конфиденциальных данных Twilio и Amazon S3

Новость на русском, Отчет appthority

Заборы из стеклянных кирпичей, заговор онлайн-переводчиков, удаленный взлом «Боинга» - 1Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.

API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.
Читать полностью »

Security Week 45: Эфир замерз в кошельках, миллион фальшивых WhatsApp, бесполезная защита интеллектуальной собственности - 1В мире фанатов технологии блокчейн все очень просто и безопасно. Еще бы, ведь блокчейн так надежен сам по себе, что для обеспечения любых финансовых операций не требует ни регулятора в лице государства, ни банков, ни других надстроек. Мы не будем спорить с тем, что технология лишена многих недостатков и уязвимостей старого мира. Но это вовсе не означает отсутствия у нее собственных слабых мест, которые раньше и вообразить-то было невозможно. В общем, такое дело: из-за уязвимости, обнаруженной в популярном Ethereum-кошельке Parity, замороженными оказались средства в криптовалюте, которые, по разным оценкам, эквивалентны 150-300 миллионам долларов США.Читать полностью »

Security Week 44: тихая охота, или Carbanak в помощь, зачем Firefox функции Tor Browser, лазейка в Google-«баганайзер» - 1Кто не знает Carbanak? Несколько лет назад эти ловкие ребята умело увели, по некоторым данным, до миллиарда долларов из доброй сотни банков России, Украины, США и даже Японии. Наши эксперты выявили группу злоумышленников под кодовым именем Silence, которая старательно копировала лучшие техники Carbanak в попытках добраться банковских счетов.

Технология атаки действительно до боли похожа: через фишинговое письмо сотруднику банка злоумышленникам удается проникнуть в его внутреннюю сеть, обосноваться там и тихонько изучать инфраструктуру, рассылая тем временем “договора” партнерам — то есть такие же вредоносные письма, но уже от имени реальных сотрудников и даже с их подписью. Понятно, что при таком раскладе на заражённое вложение кликнут с большой долей вероятности, чем на письмо от очередного нигерийского благотворителя. Старая-добрая социальная инженерия все еще на коне.
Читать полностью »

Kaspersky Industrial CTF 2017: семь часов, чтобы вырубить завод - 1

На конференции GeekPWN в Шанхае мы провели финал соревнования по промышленной кибербезопасности Kaspersky Industrial CTF 2017. В отборочном туре участие приняли почти 700 команд. Преимущественно это были студенты из разных стран, изучающие информационные технологии вообще и кибербезопасность в частности. В финал вышли три команды: CyKor (Южная Корея), TokyoWesterns (Япония), Flappy Pig (Китай).

Наши эксперты соорудили для соревнований модель реально существующего нефтеперерабатывающего завода (какого именно — непринципиально). В модели используются те же PLC-контроллеры, что управляют давлением в резервуарах и контролируют объемы прокачиваемых насосами жидкостей на реальном заводе. Схема их подключения также взята из реальности. Плюс мы построили модель понижающей подстанции 110/10 кВ на стандартных контроллерах производства ABB и Siemens.
Читать полностью »

Security Week 43: Грядет великая IoT-жатва, как хакеры киберконфу НАТО пиарили, из Bad Rabbit торчат уши ExPetr - 1Покайтесь, ибо грядет! Улицы наводнили безумные проповедники с апокалиптическими плакатами, по ночам из-за горизонта поднимается необычно огромная Луна кровавого цвета, а ученые, в свое время не получившие нобелевку из-за слишком радикальных идей, безуспешно пытаются достучаться до властей со своими шокирующими открытиями. Назревает нечто ужасное. Оно уже близко. Ну или нет.

Возможно, в этот раз нам повезло, и мы вовремя получили предупреждение о готовящемся восстании «интернета вещей». NewSky Security нашли в даркнете форумную ветку, в которой «черные шляпы» расслабленно обсуждали концепцию и реализацию атаки через CVE-2017-8225, позволяющую сливать учетные данные из китайских камер от множества разных вендоров. Двое самых активных участников обсуждения в итоге родили два скрипта.
Читать полностью »

Троянец-вымогатель Bad Rabbit: плохой, плохой кролик - 1
24 октября на нас посыпались уведомления о массовых атаках с помощью троянца-вымогателя Bad Rabbit. Основная цель — российские организации и потребители, но есть сообщения и о пострадавших из Украины.

Вот как выглядит требование выкупа у незадачливых жертв:
Читать полностью »

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Про Биткойн слышали многие, что и не удивительно — эта криптовалюта была первой и до сих пор остается самой популярной и самой крупной. Успех Биткойна вдохновил на подвиги кучу людей, поэтому за последние пару лет разных криптовалют — так называемых альткойнов — насоздавали ужас сколько, больше 1000.

Так вот, Биткойн — на данный момент однозначно номер один. А знаете, какая криптовалюта на втором месте? Ethereum. Когда мы говорим про места, мы имеем в виду капитализацию, то есть суммарную стоимость всех монет валюты.

Простыми словами: смарт-контракты, Ethereum, ICO - 1
Капитализация и цены TOP-5 криптовалют. Источник

Как видите, Ethereum с большим отрывом опережает другие «альткойны», а в июне 2017 чуть было даже не обогнал Биткойн, «великий и ужасный». Давайте разберемся, что же в Ethereum такого особенного и почему подавляющее большинство проводимых в этом году ICO используют именно его.
Читать полностью »