За стабилния Linux:

Linux се пропуква при 28 натискания на Backspace

http://kaldata.com/article-87533.html#.VnRWH-nUhdw

Пропукал се е GRUB2. Вече има ъпдей. Пукнатина няма.   Вторият коментар, е много интересен.

Редактирано 18 декември 201510 г. от ghostBG86 (преглед на промените)

Уязвимост във Microsoft Office  създава предпоставки за атака на Outlook

Цитат

Хайфей Ли решил разобраться, что означает эта обтекаемая формулировка. Оказывается, уязвимость можно использовать для обхода средств безопасности Outlook, через возможность Object Linking and Embedding (OLE), а также посредством Transport Neutral Encapsulation Format (TNEF), который используется для работы с почтовыми вложениями. Вложения в этом формате выглядят как winmail.dat или win.dat.

Файлы winmail.dat содержат в себе инструкцию о том, как поступить с контентом внутри вложения.

«Если значение “PidTagAttachMethod”, внутри файла winmail.dat, равно ATTACH_OLE (6), то вложение (другой файл, содержащийся внутри файла winmail.dat) будет обработано как OLE-объект», — объясняет Хайфей.

До выхода патча, OLE-объекты обрабатывались Outlook непосредственно внутри письма, то есть были способны обойти «песочницу» Outlook, в которой обычно содержатся документы (как раз с целью предотвращения запуска вредоносных скриптов). Иными словами, атакующий мог создать вредоносное TNEF-письмо, отправить его жертве, и когда та прочтет послание, встроенный в email OLE-объект загрузится и сработает автоматически.

Уязвимости такого рода крайне опасны. К примеру, хакеры могут использовать их для осуществления скрытных фишинговых атак, ведь в данном случае жертве даже не придется никуда кликать, процесс заражения происходит автоматически.

Хайфей установил, что почтовое вложение может содержать даже Flash-эксплоит. Пока жертва читает письмо, код объекта Flash OLE будет успешно выполнен. Фактически, Flash запустится в обход всего, прямо в Outlook.

Цитат

Уязвимость получила номер CVE-2015-6172. Она затрагивает Office 2010 и более поздние версии, а также Microsoft Word 2007 (Service Pack 3).

Пользователям, не обновившимся 8 декабря, Microsoft рекомендует отключить предварительный просмотр сообщений в Outlook. Тогда все письма будут отображаться в виде обыкновенного текста, и атака не сработает.

Хайфей также предлагает отключить загрузку Flash-контента через OLE. Для этого нужно заблокировать CLSID D27CDB6E-AE6D-11cf-96B8-444553540000 в реестре Windows через Office kill-bit:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]»Compatibility Flags»=dword:00000400

http://www.comss.info/page.php?al=Uyazvimost_v_Microsoft_Office_otkryla_dorogu_k_atakam_na_Outlook

Bitdefender

Руски хакери стоят зад новият Cryptowall 4.0  сървърът от който се изпращат спам писмата с новият вирус е в Русия и е настроен да НЕ изпраща писма към Русия.

Новият крипто вирус използва 2048 битов код за криптиране което прави файловете почти невъзможни за оправяне.

 

Битдефендер дава безплатна ваксина за него.

 

http://labs.bitdefender.com/2015/11/russian-hackers-are-behind-cryptowall-4-0-bitdefender-creates-vaccine/

преди 2 часа, KoiAzLiWe написа:

Bitdefender

Руски хакери стоят зад новият Cryptowall 4.0

 

http://labs.bitdefender.com/2015/11/russian-hackers-are-behind-cryptowall-4-0-bitdefender-creates-vaccine/

Малка добавка-Освен ,че не е насочен към Русия,Cryptowall 4.0 не атакува компютри, на които бъде засечена руска клавиатурна подредба

 Хехе. Инсталираш си ГОСТ кбд и си защитен от бацила

Туй е леко старо като новина

https://www.kaldata.com/forums/topic/247354-коя-антивирусна-да-използвам/?do=findComment&comment=3236105

преди 9 часа, KoiAzLiWe написа:

Bitdefender

Руски хакери стоят зад новият Cryptowall 4.0  сървърът от който се изпращат спам писмата с новият вирус е в Русия и е настроен да НЕ изпраща писма към Русия.

Новият крипто вирус използва 2048 битов код за криптиране което прави файловете почти невъзможни за оправяне.

 

Битдефендер дава безплатна ваксина за него.

 

http://labs.bitdefender.com/2015/11/russian-hackers-are-behind-cryptowall-4-0-bitdefender-creates-vaccine/

Здравейте това ли е по ефектно като защита или CryptoPrevent.

преди 8 минути, ivan1975 написа:

Здравейте това ли е по ефектно като защита или CryptoPrevent.

CryptoPrevent-a е в пъти по-ефективен.

https://www.kaldata.com/forums/topic/247405-как-да-се-предпазим-от-cryptowal-и-как-да-съхраним-файловете/?do=findComment&comment=3258848

преди 10 часа, KoiAzLiWe написа:

Bitdefender

Руски хакери стоят зад новият Cryptowall 4.0  сървърът от който се изпращат спам писмата с новият вирус е в Русия и е настроен да НЕ изпраща писма към Русия.

Новият крипто вирус използва 2048 битов код за криптиране което прави файловете почти невъзможни за оправяне.

 

Битдефендер дава безплатна ваксина за него.

 

http://labs.bitdefender.com/2015/11/russian-hackers-are-behind-cryptowall-4-0-bitdefender-creates-vaccine/

За тази ваксина ли говориш?

Цитат

публикувано 10 ноември (редактирано) · Докладвай

BitDefender са си ъпдейтнали тулчето да се справя и с новата 4-та версия:

http://news.softpedia.com/news/cryptowall-vaccine-updated-for-the-latest-4-0-version-495916.shtml

Старички новини.

преди 44 минути, ivan1975 написа:

Здравейте това ли е по ефектно като защита или CryptoPrevent.

Както ти каза B-boy, cryptoprevent, е много по-ефективен. Ако ползваш обикновенна антивирусна. А до колкото помня, ти си с Комодо. Направи ли, промените по настройките на Комодо?

Направих някой промени по настройките но го махнах щото постояно ме питаше кое да пропусне и кое да не пропусне,а на мен не ми е ясно точно какво да направя.За сега ми идва малко сложна,ще трябва малко повече да почета сега съм с Есет антивирус.

преди 2 минути, ivan1975 написа:

Направих някой промени по настройките но го махнах щото постояно ме питаше кое да пропусне и кое да не пропусне,а на мен не ми е ясно точно какво да направя.За сега ми идва малко сложна,ще трябва малко повече да почета сега съм с Есет антивирус.

Надявам се, легална версия? Комодо пита за доста неща, но се свиква. И след време, вече знаеш кое какво е. Колкото до НОД32, там трябва да пипнеш малко настройките. Че тези по-подразбиране, не са кой знае колко строги. Разгледай темата за програма, имаше линкове и съвети.

Току що, ghostBG86 написа:

Надявам се, легална версия? Комодо пита за доста неща, но се свиква. И след време, вече знаеш кое какво е. Колкото до НОД32, там трябва да пипнеш малко настройките. Че тези по-подразбиране, не са кой знае колко строги. Разгледай темата за програма, имаше линкове и съвети.

За сега е пробна версия

преди 6 минути, ivan1975 написа:

За сега е пробна версия

Разгледай темата. И направи настройките. Тази антивирусна, също има HIPS и можеш да избираш режими на работа. Но си има обучение на самата програма, или вкарване от файл, на съответните настройки за HIPS. Лека е програма, аз с години съм я ползвал, легална разбира се. 

Не ти е необходим criptoprevent, щом ползваш НОД32.

Разглеждах темата но неможах да видя къде са тия настройки ако може линк.Благодаря.

преди 15 минути, ivan1975 написа:

Разглеждах темата но неможах да видя къде са тия настройки ако може линк.Благодаря.

Виж тук. Че има няколко нови неща, във версия 9 на програмата.

http://www.comss.ru/page.php?id=2690

Има колеги, дето я ползват или са я тествали. Те ще кажат, повече неща.

EMSISOFT срещу криптовируси "ТЕСТ" http://blog.emsisoft.com/2015/12/22/how-its-done-right-emsisofts-behavior-blocker-vs-20-crypto-ransomware-families/

New Radamant Ransomware Kit adds RDM Extension to Encrypted Files

Цитат

A new ransomware has been discovered called the Radamant Ransomware Kit that encrypts your data using AES-256 encryption and requires you to pay .5 Bitcoins, or approximately $230.88 USD, to get your files back. It is currently unknown how this particular ransomware is spreading, but will be installed from the %Temp% folder as a .tmp file, which may indicate that it is being installed via an exploit kit. When the infection has finished encrypting your files it will display a web site that displays information on how to pay the ransom. This site is the Command & Control server for the ransomware and is hosted on the domains crazytrevor.com or crazytrevor.in. Unfortunately, at this time there is no way to crack the encryption for this infection. A support topic for this ransomware can be found here: Radamant Ransomware Kit Support Topic.

When the Radamant Ransomware is first installed, it will copy of itself to C:\Windows\directx.exe and create some autorun registry keys to make the infection start every time you login to Windows. It will then scan all drive letters on your computer for files that match certain file extensions. When it has found a targeted file, it will generate a unique AES encryption key and encrypt the file with it.  This encryption key will then be encrypted by a Master key and embedded into the encrypted file. When a file has been encrypted the ransomware will add the .RDM extension to it.  When the ransom first starts, it will query the mask.php script on the Command & Control server for the list of extensions that it should target. The current list of file extensions that the Radamant Ransomware targets is:

1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, 3dm, 3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie.byu, c4d, fbx, dgn, dwg, 4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx, ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid, fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2, ns3, ns4, nsf, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdb, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdb, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str, tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bib, bna, boc, btd, bzabw, chart, chord, cnm, crd, crwl, cyi, dca, dgs, diz, dne, doc, doc, docm, docx, docxml, docz, dot, dotm, dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, klg, knt, kon, kwd, latex, lbt, lis, lit, lnt, lp2, lrc, lst, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg, mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx, pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx, run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla, slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tdf, tex, text, thp, tlb, tm, tmd, tmv, tmx, tpc, trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wbk, wcf, webdoc, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpd, wpl, wps, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xdl, xlf, xps, xwp, xwp, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 0,36, 3fr, 0,411, 73i, 8xi, 9png, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, artwork, arw, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt, bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, erf, exr, fal, fax, fil, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, art, asy, cdmm, cdmt, cdmtz, cdmz, cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gdraw, gem, glox, gsd, hpg, hpgl, hpl, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt, snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm, stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1, pc2, pc3, pcd, pcx, pdd, pdn, pe4, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pm, pmg, png, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sct, sep, sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn, tex, tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd, wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, rtf, cdrw, jpeg, djvu, pdf, ddoc, css, pptm, raw, cpt, gif, jpeg, jpg, jpe, jp2, pcx, pdn, png, psd, tga, tiff, tif, hdp, xpm, ai, cdr, ps, svg, sai, wmf, emf, ani, apng, djv, flc, fb2, fb3, fli, mng, smil, svg, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm

During the encryption process, the Radamant ransomware will also issue a WMIC command to clear the Shadow Volume Copies on the infected computer. This is done to prevent the user from using them to recover their files. The command that it uses to delete the copies is:

process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

When the ransomware has finished encrypting the victim's files it will create a file called YOUR_FILES.url, which when opened will launch a browser and bring you to the ransomware's C2 servers located at crazytrevor.com or crazytrevor.in. The page that opens will provide information on how much to send, how long you have to send it, and what bitcoin address the ransom should be sent to.  A screenshot of the site is shown below.
 

The HTML ransom note broken into two parts. You can click on them to see the full version.

While the ransomware continues running in the background, it will periodically check the C2 server to see if a payment has been made. If a payment has been made the program will automatically begin to decrypt your files.

As already stated, this ransomware will remove the Shadow Volume Copies so that you unable to restore your files through previous versions or ShadowExplorer. You may, though, be able to retrieve some of your files using a file recovery software like R-Studio or Photorec. If you are able to do so, please let us by leaving a comment. 

Based on the use of the word kit in the programs name, it is possible that this ransomware is part of an affiliate program or a purchased kit. If this is the case then we will be seeing more examples of this type of infection coming out as more criminals purchase it. If any new information is unearthed regarding this, we will be sure to post it here.

Files associated with the Radamant Ransomware Kit:

%Desktop%\YOUR_FILES.url
C:\Windows\directx.exe

Registry entries associated with the Radamant Ransomware Kit:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost	C:\Windows\directx.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost	C:\Windows\directx.exe

 

 

Microsoft започва активна борба с адуера от типа Superfish

Цитат

Это решение было принято для предотвращения повторения проблемы с программным обеспечением ПК от Lenovo. В частности, компания вводит новые правила для adware. Теперь такое ПО может использовать только официальные инструменты браузера для установки, запуска, блокирования и удаления. Изменения вступят в силу в марте 2016 года. 

Цель новой политики Microsoft — программное обеспечение вроде Superfish, adware, которое предустанавливалось на пользовательские ПК от Lenovo, в период с 2014 по 2015 гг. Это ПО, как ранее уже сообщалось, прослушивает трафик, анализирует запросы пользователя в поисковых сервисах, и добавляет собственную рекламу на веб-страницы. 

Причем работает все это на уровне самой системы, с перехватом HTTPS-трафика в качестве одного из инструментов «работы». 

Для того чтобы быть частью системы, программа устанавливает СА-сертификат Superfish в хранилище ключей Windows, с подменой сертификатов на свой. ПО поставлялось с ноутбуками моделей Lenovo Y50, Z40, Z50, G50 и Yoga 2 Pro.

В сообщении Microsoft говорится: «Все эти способы перехвата трафика позволяли вставлять рекламу в веб-страницы любого типа, без контроля со стороны браузера. Мы пытаемся дать пользователю возможность контролировать просмотр веб-страниц, а подобное ПО снижает уровень такого контроля». 

И проблема не только в рекламе. Дело в том, что само ПО плохо защищено от взлома со стороны. Взломщики, при желании, могут перехватывать контроль на adware типа Superfish и выполнять с ПК пользователя операции иного типа, включая перехват важной информации (банковский аккаунт и доступы к нему, доступы к другим ресурсам и т.п.). 

По информация от: http://www.comss.info/page.php?al=Microsoft_nachinaet_aktivnuyu_borbu_s_adware_tipa_Superfish

Киберпрестъпленията,които определиха облика на 2015

според

Kaspersky Security Bulletin 2015

Spoiler

2015 год подходит к концу, и до Нового Года осталось всего ничего. Securelist выпустил на прошлой неделе свои итоговые материалы (Kaspersky Security Bulletin 2015), а мы хотим поделиться с вами собственным списком событий, которые определили облик этого года. Вместо того чтобы отбирать несколько лучших историй, мы рассмотрели кибербезопасность в 2015 году в целом.

Итак, 2015-й стал тем годом, когда…

…APT выбросили пиратский флаг

В начале года было объявлено о Carbanak, первой в истории чисто криминальной APT-кампании, которая, по предварительным оценкам, обошлась банкам по всему миру в нехилую сумму около $1 млрд.

Полностью читайте здесь.

Это была довольно сложная кампания, направленная против банков. Злоумышленники использовали целый набор инструментов, включая разведку вручную. Спиэрфишинговые письма задействовали для установки бэкдоров на базе Carberp в системах жертв, после чего злоумышленники начинали поиск соответствующих ПК, которые можно использовать, для того чтобы добраться до тех мест, откуда на самом деле получится выкачать деньги. Затем банкоматы получали дистанционные команды выдать наличные безо всякого взаимодействия с самим банкоматом, а деньги собирали «мулы». В противном случае использовали сеть SWIFT для перевода денег из организации на счета преступников.

Кампания, по-видимому, всё ещё активна по состоянию на конец 2015 года: новые версии ассоциированного с Carbanak программного обеспечения были выявлены в сентябре.

Прежде APT, главным образом, связывали с национальными государствами, так что сам журнал направленных кибератак Securelist изображает их в виде линкоров. После того как Carbanak оказался банальным воровством, кроме жадных до денег преступников за ним ничего не обнаружилось, это действительно похоже на корабль под чёрным флагом.

…Шпионы вышли на охоту за мелкими игроками

Grabit тоже привлёк к себе внимание в этом году: первая кибершпионская кампания, направленная против малого и среднего бизнеса. Ранее предсказывалось, что злоумышленники перейдут на «цели полегче». Очевидно же, что, если каждое крупное предприятие имеет целый ряд поставщиков поменьше и при этом, возможно, непроходимую киберзащиту, то как раз подрядчики необязательно все хорошо защищены. Таким образом, стратегически важные данные можно извлечь косвенно, возможно, даже с меньшими усилиями, чем в случае прямого нападения.

Более подробная информация доступна здесь.

…Две APT-группы занялись взаимным вампирствованием

Эта примечательная история получила огласку, в основном, благодаря Securelist. В ходе изучения Naikon, одной из самых активных APT-групп в Азии, исследователи «Лаборатории Касперского» наткнулись ещё на одну угрозу. Её кодовое название Hellsing происходит из известной японской манги об организации, борющейся с вампирами и для этого нанимающей исправившегося (в некотором роде) вампира.

Забавное было в том, что Hellsing атаковал Naikon. На этом, однако, веселье заканчивается, так как обе APT-кампании представляют серьёзную угрозу. Больше о них читайте здесь.

Русскоязычная APT-группа Turla, как выяснилось, скрывала свои контрольно-командные серверы в космическом пространстве или, если конкретнее, использовала спутниковую связь, чтобы замести следы и заразить своих жертв.

Они хорошо прятались, но недостаточно надёжно, чтобы их не нашли. Оригинальные рассказы доступны здесь и здесь, обе истории действительно стоит прочитать.

Несколько лет назад казалось, что Stuxnet был первым настоящем кибероружием, распечатавшим ящик Пандоры. Теперь стало ясно, что он не был первым.

В феврале «Лаборатория Касперского» объявила об открытии APT Equation, маштабной и многолетней кибершпионской сети. Некоторые из её командных серверов заработали ещё в 1996 году, хотя основной датирован августом 2001 года.

Её главное оружие — червь Fanny — впервые выявлен в 2008 году; он использовал те же эксплойты нулевого дня, что и Stuxnet двумя годами позже. Эксперты «Лаборатории Касперского» заявили, что Equation взаимодействовала с другими мощными группами, такими как Flame и Stuxnet. Возможно, что Equation — на самом деле «базовый носитель» нескольких APT, если не прямой их прародитель.

…Пришествие Windows 10

Всё ещё пытаясь избавиться от античной Windows XP, Microsoft выпустила новую ОС, раздав её бесплатно пользователям Windows 7 и 8.1.

Вышедшая в конце июля Windows 10 привнесла ряд улучшений безопасности, а также (вполне обычно) породила много споров, особенно по поводу пользовательских данных и контроля над ними. Кое о чём стоит беспокоиться: Windows 10 действительно требует вдумчивого подхода, если хотите сохранить контроль над конфиденциальными данными.

Из позитивного (возможно) — Microsoft избрала наиболее строгий, чем когда-либо, подход к доставке обновлений. Версии Home и Pro автоматически получают все некритичные обновления по мере их выпуска и без возможности от них отказаться, в дополнение к автоматическим обновлениям драйверов. В версии Pro можно отложить установку обновлений на ограниченное время, но нельзя их игнорировать совсем.

Microsoft также поспешила выкатить исполинский патч для исправления недостатков, обнаруженных первыми пользователями системы. Патч вышел сразу на следующий день после официальной даты релиза Windows 10, что, безусловно, породило немало шума…, но разве без этого обновления было бы лучше?

…Автомобили, наконец, взломали дистанционно

То, чего так боялись прежде, наконец, стало суровой действительностью: бортовые системы автомобиля были взломаны, причём тормоза, трансмиссию, функции рулевого управления и приборной панели получилось «редактировать» c другого конца страны — через WiFi.

Как продемонстрировали два матёрых автомобильных хакера Чарли Миллер и Крис Валясек, бортовая информационно-развлекательная система Jeep Cherokee концерна Chrysler не изолирована от критических функций приборной панели, благодаря чему злоумышленники могут получить над ними контроль. Это своего рода элементарная ошибка, которая показывает, как почтенный автопроизводитель, по-видимому, хорошо сэкономил на самых азах информационной безопасности.

Тут история в полном объёме.

…Ликвидировано (в основном) ещё больше крупных вымогательских кампаний и ботнетов

При всём том, что постоянно обнаруживаются новые угрозы, правоохранительные органы совместно с частными компаниями кибербезопасности отслеживают нарушителей и время от времени отключают ботнеты и сажают жуликов в тюрьму.

В первой половине 2015 года был отправлен в небытие ботнет Simda с одновременным отключением 14 контрольных серверов в Нидерландах, США, Люксембурге, Польше и России. Предварительный анализ некоторых скачанных серверных логов дал список из 190 стран, пострадавших от ботнета Simda.

Simda оставался незамеченным до неприятного долго, в течение слишком продолжительного для большого ботнета периода — эдакий невидимый слон.

Он также выступал в роли «дитрибуционной платформы» для прочих вредоносных программ, которые сделали его ещё опаснее.

В сентябре двух молодых голландцев арестовали по подозрению в причастности к вымогательствам с помощью CoinVault. Те же лица уличены в разработке ещё одной программы-вымогателя — BitCryptor. Обе вымогательских кампании теперь, по сути, остановлены.

Осенью ботнет, отвечавший за Dridex — сложную банковскую вредоносную программу, похищавшую учётные данные онлайновых банковских счетов по всему миру, — был, в целом, отключен, после того как полиция Кипра задержала подозреваемого в создании этого ботнета гражданина Молдавии.

Полная история доступна здесь.

Крупная вымогательская кампания, связанная с пресловутым набором эксплойтов Angler, были деактивирована, в результате чего активность всего комплекта упала на 50%. К сожалению, победа не была окончательной, так как сейчас он ещё живёхонек и скармаливает своим жертвам CryptoWall.

Преступники идут на всё, чтобы сохранить работоспособность своего инструментария, так что полностью уничтожить Angler быстро не получится.

…ФБР посоветовало платить выкуп

Неслабый скандал разгорелся, когда высокопоставленный представитель ФБР признал, что его ведомство часто рекомендует жертвам программ-вымогателей заплатить выкуп, если данные критически важны, а резервное копирование отсутствует.

Сколь бы «тревожным» ни было это сообщение, данное заявление на самом деле очень справедливо: некоторые штаммы вымогателей являются в данный момент невзламываемыми, так как используют сильные алгоритмы шифрования. Так что, если ФБР или другие органы правопорядка не задержат авторов очередного крипто-нечто и не выбьют из них ключи шифрования, не существует никакого способа расшифровать пострадавшие файлы. Даже суперкомпьютер протратит вечность на взлом 2048-битного RSA-ключа CryptoWall 3, например.

Единственный рецепт заключается в том, чтобы принять все необходимые меры предосторожности, — главным образом, обеспечить регулярное резервное копирование файлов в неподключенное хранилище данных.

Полная история доступна здесь.

…Сбылись многие прогнозы

В конце 2014 года Securelist опубликовал прогнозы о том, как мир киберугроз может развиваться в 2015 году. Четыре из девяти наших предсказаний были напрямую связаны с угрозами для бизнеса, и большинство этих прогнозов — три из четырёх — уже сбылись.

Киберпреступники переняли тактику APT для направленных атак; APT-группы фрагментировали и диверсифицировали нападения; атаки на банкоматы и платёжные терминалы в самом деле усилились. Единственный промах был с «нападениями на виртуальные платёжные системы», да и хорошо, что плохие прогнозы не сбываются. Но большинство, опять же, сбылись.

Улучшится ли ситуация с кибербезопасностью в мире в следующем году, при всей этой непрекращающейся сумятице? Трудно сказать, зато 2015 год, безусловно, доказал, что кибербезопасность касается всех и каждого, от домохозяек и индивидуальных предпринимателей до крупных предприятий и правительств. Сделать кибермир лучше можно только сообща.

 

Издънка на Oracle.
 

Spoiler

 

850 милиона компютъра са могли да се окажат без защита срещу хакерски атаки, предаде Ройтерс, позовавайки се на изявление от FTC. Oracle e обещала сигурност и защитеност на Java SE при инсталиране на актуалната версия на софтуера, но в действителност обновлението е отстранявало неизправности само в предишните версии, оставяйки уязвими за взлом старите модификации на Java.

FTC твърди, че Oracle е знаела за сериозните проблеми в сигурността на Java още при покупката на софтуера от Sun Microsystems през 2010 г. Комисията задължава Oracle да уведоми своите клиенти чрез социалните мрежи за това как да отстранят остарелия софтуер и да им помогне при обновяването.

Oracle, от своя страна, се е съгласила с изискванията на FTC и възнамерява да предложи на потребителите възможност за лесно премахване на старите версии на Java от компютрите им.

 

http://kaldata.com/article-category/internet

Редактирано 26 декември 201510 г. от ghostBG86 (преглед на промените)

преди 7 часа, ghostBG86 написа:

ънка на Oracle.
 

  Затвори скритото съдържание

 

850 милиона компютъра са могли да се окажат без защита срещу хакерски атаки, предаде Ройтерс, позовавайки се на изявление от FTC. Oracle e обещала сигурност и защитеност на Java SE при инсталиране на актуалната версия на софтуера, но в действителност обновлението е отстранявало неизправности само в предишните версии, оставяйки уязвими за взлом старите модификации на Java.

FTC твърди, че Oracle е знаела за сериозните проблеми в сигурността на Java още при покупката на софтуера от Sun Microsystems през 2010 г. Комисията задължава Oracle да уведоми своите клиенти чрез социалните мрежи за това как да отстранят остарелия софтуер и да им помогне при обновяването.

Oracle, от своя страна, се е съгласила с изискванията на FTC и възнамерява да предложи на потребителите възможност за лесно премахване на старите версии на Java от компютрите им.

 

http://kaldata.com/article-category/internet

Ммм... това не е баш вярно. Става дума за това, че не деинсталира версии преди 6.10 на Java SE. Махали само най-скорошни версии.

Цитат

Тhe FTC alleged that, in the past, when you installed or updated Java SE, it didn't replace the version already on your computer. Instead, each version installed side-by-side at the same time. Later, after we changed this, installing or updating Java SE removed only the most recent version already on your computer. What's more, in many cases, it didn't remove any version released before October 2008.

Не знам "Оракъл" казват ли го на сайта си, но добрата практика при инсталирането на нова версия е първо да премахнеш старата и след това да инсталираш новата. Това от години го заявяват от медии и специалисти... Лично аз Java не съм си инсталирал на компота си.

Редактирано 26 декември 201510 г. от Методи Дамянов (преглед на промените)

Новини от Comss.ru
 

Цитат

 

Ботнет на роутерах брутфорсит WordPress-сайты

Исследователи из итальянской ИБ-компании VoidSec около года наблюдают брутфорс-атаки на сайты, использующие CMS-платформу WordPress.

 

Как со слов экспертов сообщает Softpedia, источниками новой агрессии являются в основном маршрутизаторы и модемы линейки PBX производства Aethra Telecommunications.

Первые попытки взлома учетных записей администратора WordPress методом перебора ходовых пар «логин – пароль» были зафиксированы в феврале; судя по записям в логах, злоумышленники оперировали ботнетом. Расследование показало, что вредоносный трафик исходит с тысяч IP-адресов, сосредоточенных у шести интернет-провайдеров, четыре из которых имеют итальянскую прописку.

Как оказалось, корпоративные клиенты этих телеоператоров используют в основном роутеры и модемы итальянского вендора Aethra, причем в большинстве случаев — с дефолтными идентификаторами. Дополнительный анализ выявил также ряд уязвимостей в веб-интерфейсе этих устройств: отраженные XSS, CSRF и CORS (обход политики одного источника через межсайтовый обмен ресурсами), возможный при поддержке HTML5. Наличие таких уязвимостей позволяет атакующему установить контроль над устройством даже при смене логина и пароля, заданных производителем.

Чтобы определить примерные размеры ботнета, используемого в атаках против WordPress, исследователи просканировали Интернет с помощью Shodan. Скан выявил около 12 тыс. подключенных к Сети Aethra-устройств, из которых более 10,8 тыс. работают на территории Италии. При этом порядка 8 тыс. устройств были определены как роутеры и модемы линейки PBX — модели BG1242W, BG8542W и пр., замеченные в брутфорс-атаках.

VoidSec связалась с BT Italia, крупнейшим телеоператором страны, еще в феврале; тот подтвердил наличие проблем, затем по какой-то причине перестал отвечать на запросы. По данным исследователей, Aethra-роутеры, работающие в сетях BT Italia, до сих пор уязвимы к абьюзам.

Другому итальянскому провайдеру, Fastweb, отчет был направлен 11 декабря; новая прошивка для его Aethra-устройств (оператор использует свой, кастомный вариант) была выпущена за семь рабочих дней. VoidSec отмечает, что за этим оператором числятся порядка 40 тыс. модемов и роутеров производства Aethra и лишь 4% из них используют дефолтные идентификаторы. На этой базе можно создать совокупный трафик от 1,7 до 17 Гбит/с и использовать его для DDoS-атаки.

По данным VoidSec, брутфорс-атаки против WordPress с данного ботнета продолжаются и по сей день, хотя и в меньшем объеме.

 

 

Редактирано 29 декември 201510 г. от NIKISHARK (преглед на промените)

Изненада!Flash не е най-уязвимият.

Според CVE (Common Vulnerabilities and Exposures) той се нарежда на 3-място,пред него са Apple и Microsoft

Surprise! Flash Is Not 2015's Most Vulnerable Software

Spoiler

Surprise! Flash Is Not 2015's Most Vulnerable Software

 

 

 

Flash ranks only 3rd in 2015's most vulnerable software list

Now that 2015 has officially ended let's take a retrospective look over what happened during the past year when it comes to critical or highly critical security vulnerabilities.

During the past 365 days, independent security researchers, cyber-security firms, and even the makers of various software themselves have reported security vulnerabilities, and when necessary, have asked for a CVE (Common Vulnerabilities and Exposures) identifier.

These CVE numbers are used to track security flaws across products and time, and if you hang around infosec circles long enough, you understand how crucial they can be to a security researcher's work.

Apple - the company with the most security bugs in 2015

According to CVE Details, a website that manages an inventory of security vulnerabilities based on their CVE identifiers, during 2015, the company for which the most new CVE numbers have been assigned was Apple.

Security researchers discovered 654 security flaws in Apple's products, 83 more security bugs than Microsoft's total of 571 vulnerabilities, the company that came in second.

The rest of the top 10 continues with Cisco - 488 security bugs, Oracle - 479 bugs, Adobe - 460 bugs, Google - 323 bugs, IBM - 312 bugs, Mozilla - 188 bugs, Canonical - 153 bugs, and Novell - 143 bugs.

If you're wondering who received Apple's crown in the past years, IBM got it in 2014 (455 bugs), Oracle in 2013 (496 bugs), Oracle again in 2012 (380 bugs), and Google in 2011 (295 bugs). Between 1999 and 2010, Microsoft "won" the title each year.

OS X - the product with the most security bugs in 2015

As for software products, an Apple product won this title too, with the OS X operating system coming first with 384 security bugs, and iOS coming in second, with 375 bugs.

Third on the list is Adobe's Flash Player, which many security experts expected to come first, especially after the slew of security bugs that spilled out in the open after the Hacking Team data breach. In 2015, Flash had "only" 316 security bugs.

The rest of the top 10 is as follows: Adobe AIR  - 246 security bugs, Internet Explorer - 231 bugs, Google Chrome - 187 bugs, Mozilla Firefox - 178 bugs, Windows Server 2012 - 155 bugs, Ubuntu - 152 bugs, and Windows 8.1 - 151 bugs.

In the previous years, the software products that ranked the most vulnerable were: Internet Explorer in 2014 (243 bugs), the Linux Kernel in 2013 (189 bugs), Google Chrome in 2012 (249 bugs), Google Chrome again in 2011 (266 bugs), Google Chrome for the three-peat in 2010 (152 bugs), Mozilla Firefox in 2009 (126 bugs), Mozilla Firefox tied with Apple OS X in 2008 (96 bugs), PHP in 2007 (114 bugs), Apple OS X in 2006 (106 bugs), the Linux Kernel in 2005 (133 bugs), Internet Explorer in 2004 (59 bugs), Solaris OS in 2003 (44 bugs), Internet Explorer in 2002 (54 bugs), RedHat Linux in 2001 (47 bugs), RedHat Linux again in 2000 (47 bugs), and Windows NT in 1999 (64 bugs).

As you can see, Flash was never that bad as people thought, but that doesn't mean you still need to use it.