Сказка про зеленую машинку

Начиная со средних веков сказочники пытались привить своим читателям культуру кибербезопасности. Основной принцип у них был достаточно простой: они брали, так сказать, сырые кейсы, описанные в народных сказаниях, и на их основе создавали настоящие отчеты разной степени подробности.

Однако если читать внимательно, можно заметить фундаментальную разницу в подходах разных авторов к изложению темы. Если у тех же братьев Гримм или Шарля Перро сказки строятся вокруг киберинцидентов, то Ганс Христиан Андерсен уделяет особое внимание описанию защитных технологий. Похоже, что Гримм и Перро финансировались компаниями, специализирующимися на расследовании инцидентов, в то время как Андерсен работал на разработчика защитных решений. Рассмотрим некоторые из примеров его творчества.

Дикие лебеди

Завязка у cказки достаточно стандартная: в королевской семье появляется мачеха — это вполне обычный в сказках эвфемизм для вредоносного инсайдера. Она люто ненавидит принцев и шифрует их в птиц. Что любопытно, Андерсен дает нам понять, что алгоритм шифрования несовершенен — «мачеха» пытается зашифровать их в формат .большие_птицы_без_голоса, а получается у нее .лебедь.

Далее в сказке описываются мытарства принцессы, какие-то попытки общения со сторонними консультантами по криптографии, однако большая часть истории посвящена тому, как принцесса вручную пишет 11 декрипторов для каждого из братьев.

В сказке говорится, что код для декрипторов она плела из крапивы, растущей на кладбище. По всей видимости, кладбище — это намек на два креста в названии языка программирования C++ (не случайно он был разработан Бьерном Страуструпом, земляком Андерсена). То есть декрипторы принцесса писала на C++.

В пользу объективности Андерсена говорит упоминание факта, что последний декриптор содержал ошибку и часть файлов последнего брата осталась нерасшифрованной.

Принцесса на горошине

Сказка «Принцесса на горошине» выглядит как заметка о внедрении средневекового движка поведенческого анализа на базе сендбокса. Возможно, Андерсен писал ее для какого-то отраслевого журнала, или же это был своего рода вайтпейпер с историей успеха.

Краткий сюжет: некий принц одержим идеей определения, является ли принцесса настоящей. Для этого его мать готовит изолированное контролируемое пространство (тот самый сендбокс), имитирующее спальню принцессы. Непосредственно в постель она помещает триггер, который должен спровоцировать проявление нормального принцессного поведения, обфусцируя двадцатью тюфяками и двадцатью пуховиками. Согласно гипотезе матери, настоящая принцесса должна среагировать на триггер даже в таких условиях, а фальшивая — не заметит его вовсе. Далее объект исследования помещается в спальню, успешно реагирует на триггер, и мать принца выдает вердикт «принцесса».

В наше время технологии поведенческого детектирования все-таки используются скорее для определения вредоносного поведения, а не принцессного. Но основной принцип тот же — например, решение Kaspersky Research Sandbox позволяет проанализировать нормальную работу компьютера в корпоративной сети и эмулировать ее в изолированном пространстве, чтобы потом отслеживать в нем поведение потенциально опасных объектов.

Огниво

В сказке «Огниво» Андерсен пишет о некоем хакере по кличке Солдат, который через некий коммуникатор «Огниво» связывается с группировкой гигантских собак, обеспечивающих его валютой и связью с принцессой в обход правительственных ограничений. Помимо этого, они также прикрывают его преступную деятельность в реальном мире, физически устраняя неугодных людей. Иными словами, это какой-то инструмент для работы через даркнет — очень похоже на то, что под «Огнивом» подразумевается Tor.

Вообще, сказка «Огниво» достаточно нетипична, в первую очередь за счет выбора протагониста. Если обычно главные герои сказок — положительные персонажи или хотя бы люди, которым можно сопереживать, то здесь основное действующее лицо — чудовищно аморальный тип. За крайне короткую сказку он успевает обмануть, ограбить и убить старушку, которая подсказала ему, где добыть денег; несколько раз похитить принцессу ради поцелуя, не интересуясь ее мнением по этому вопросу; публично расправиться с ее родителями, а заодно судьями и королевским советом; и в итоге захватить власть. Вероятно, так Андерсен пытался показать, что человек с псевдонимом «Солдат» — однозначно преступник.

Возвращаясь к ИБ-составляющей, нам тут интересно даже не само «Огниво», а те меры, которые применяют защитники дворца, чтобы отследить, откуда Солдат выходит на связь с принцессой. Дело в том, что королева (обратите внимание: тут, как и в «Принцессе на горошине», за информационную безопасность дворца отвечает именно королева, — Андерсен показывает нам, насколько важна роль СISO в средневековом королевстве) предпринимает несколько попыток вычислить хакера.

Сначала королева поручает штатному киберугрозному аналитику — старухе-фрейлине — отследить адрес злоумышленника вручную. Фрейлина корректно определяет подсеть, из которой Солдат выходит на связь, но из-за сложной системы обфускации адресов не может вычислить конкретную машину преступника. Проще говоря, собака перерисовывает меловой крестик c гейтвея Солдата на все окрестные гейтвеи.

Вторая попытка более искусна и более успешна. Королеве удается встроить в клиентское приложение принцессы имплант — «крошечный хорошенький мешочек» с гречневой крупой. При следующем сеансе связи имплант помечает гречкой все промежуточные узлы, через которые собака организовывает переадресацию сигнала, вплоть «до окна Солдата» — то есть непосредственно до его компьютера под управлением Windows. В результате его удается арестовать и успешно приговорить к смертной казни.

К сожалению, впоследствии усилия королевы пропадают впустую: подкупленный прохожий доставляет приговоренному его коммуникатор, и Солдат призывает на помощь всю собачью группировку. В результате эту сказку уж точно нельзя назвать «историей успеха» — скорее, предостережением.

Новое платье короля

Завершает нашу сегодняшнюю подборку сказок Андерсена о технологиях информационной безопасности еще одна необычная сказка — «Новое платье короля». Тут жанр оригинальной истории совершенно очевиден: это написанная в сатирическом ключе критическая статья, повествующая о кибершарлатанах — ну, знаете, вендорах, которые нахваливают свой next-gen антивирус на базе блокчейна и искусственного интеллекта.

Сюжет таков: король выделяет бюджет на разработку полноценной системы кибербезопасности, но подрядчики вместо установки реальных защитных решений показывают красивые презентации про блокчейн, а деньги присваивают. А все советники короля, не разбираясь в сути вопроса, подтверждают перспективность этих якобы технологий. В результате маленький, но, видимо, опытный мальчик-пентестер замечает, что защита королевской системы не то что дырява, а по факту просто отсутствует — и король становится посмешищем.

Со времен Андерсена индустрия кибербезопасности все же продвинулась далеко вперед, так что в 21 веке при выборе защитных решений следует руководствоваться не столько рекламными лозунгами, сколько результатами независимых тестов.

Практически каждый сотрудник крупной компании время от времени сталкивается с письмом, в котором у него пытаются выудить корпоративные учетные данные. Чаще всего это так называемый массовый фишинг — атака, во время которой письма рассылаются наобум, в надежде, что хоть какой-то процент получателей попадется на удочку. Но изредка среди потока фишинговых посланий попадаются и более опасные, целевые письма, содержимое которых адаптировано под сотрудников конкретных компаний.

Наличие в почтовом ящике таргетированного фишингового письма — признак того, что злоумышленники интересуются вашей компанией. И не факт, что фишинг — единственный метод, которым они решили воспользоваться. Сотрудникам, отвечающим за информационную безопасность, необходимо знать о факте получения такого письма, чтобы своевременно подготовить контрмеры и предупредить персонал.

Поэтому мы считаем, что корпоративным безопасникам время от времени имеет смысл просматривать отфильтрованный фишинг в поисках целевых писем, да и прочим сотрудникам полезно знать признаки целевого фишинга (на случай, если они все-таки столкнутся с письмом подобного рода). Ниже приводим несколько наиболее распространенных уловок с примерами из свежепойманных атак.

Искаженное название компании

Человеческий мозг далеко не всегда воспринимает написанное слово целиком — он видит знакомое начало и достраивает слово самостоятельно. Злоумышленники часто пытаются воспользоваться этой особенностью и регистрируют домен, отличающийся от настоящего сайта вашей фирмы всего на одну-две буквы.

Поскольку домен принадлежит атакующим, они могут корректно настроить даже DKIM-подпись, так что письмо будет успешно проходить проверку.

Добавление слов к названию компании

Еще один способ создать у получателя впечатление, что ему пишет коллега, — зарегистрировать домен из двух слов. Например, для имитации отправителя из какого-нибудь регионального отделения или определенного отдела. В последнем случае преступники чаще всего пытаются выдать себя за сотрудников техподдержки или службы безопасности.

В реальности сотрудники других отделов должны иметь стандартный корпоративный адрес. Никто не заводит отдельный домен для безопасников. С локальными офисами возможны варианты, так что если вы не знаете точно, то лучше проверить существование отдельного локального домена в корпоративной адресной книге.

Конкретика в теле письма

Если в фишинговом письме упоминается конкретно ваша компания, а тем более — к получателю обращаются по имени, то это однозначно признак целевого фишинга и повод бить тревогу.

Письмо на узкоспециализированную тематику

Строго говоря, это не всегда признак именно целевого фишинга — это может быть и вариация массового. Иногда злоумышленники добывают какую-то тематическую базу адресов (например, участников конференции) и стараются сыграть на тематике этой конференции. Однако бывает, что они пытаются аналогичным образом атаковать именно сотрудников конкретной компании, так что довести этот случай до сотрудников ИБ будет нелишне.

Ну а чтобы спокойно изучать пришедшие послания, не опасаясь за реальную безопасность компании, мы рекомендуем устанавливать защитные антифишинговые решения как на уровне почтового сервера, так и на рабочих станциях сотрудников.

От онлайн-мошенников не защищены ни геймеры, ни криптоинвесторы, ни любители покупать товары онлайн. Однако кем бы ни была жертва и как бы ни изощрялись мошенники, придумывая новую схему обмана, шанс вовремя заподозрить неладное и сохранить свои деньги и данные всегда есть. Сегодня рассказываем про пять типичных признаков мошенничества в Интернете, которые помогут вам его опознать.

1. Кнут или пряник

Мошенники часто ищут подход к человеку через жадность или страх. В первом случае ему сулят золотые горы — например, большую выплату от государства или бесплатную криптовалюту. Во втором — обещают проблемы: допустим, угрожают разослать всем знакомым видео, в котором человек смотрит порно, или разрушить репутацию сайта его компании.

И в том, и в другом случае задача преступников — нащупать слабое место жертвы и вызвать эмоциональную реакцию, которая отключит у нее способность мыслить здраво. Если, прочитав письмо, вам захотелось сделать именно то, на чем настаивает его отправитель: перейти по ссылке, отправить деньги, позвонить по номеру, — это знак: сделайте паузу и прочитайте сообщение еще раз. Скорее всего, вы обнаружите, что вас пытаются обмануть.

2. Задание на время

Люди теряют критичность мышления не только на эмоциях, но и в спешке. Этим мошенники тоже пользуются. Они часто задают жесткие сроки для выполнения своих требований. Видите в сообщении, что через пару дней или даже часов крупная денежная сумма сгорит или дефицитное оборудование раскупят? Весьма вероятно, вас опять же хотят обмануть.

3. Неряшливое оформление

Еще стоит насторожиться, если полученное письмо написано с явными ошибками. Во-первых, преступники могут писать слова с ошибками, менять буквы на похожие цифры и символы других алфавитов, чтобы спам-фильтры почтовых серверов не заподозрили, что с письмом что-то не так. Во-вторых, отправитель может быть банально безграмотным — конечно, если он мошенник, а не сотрудник серьезной организации.

В чем бы ни была причина опечаток, обещания «В03НАГРОЖДЕНNЯ» или «выплать» в письме — это тоже признак опасности.

4. Мы ищем вашу выплату в базе

Когда люди из письма или сообщения в мессенджере переходят на мошеннический сайт, первым делом их начинают вовлекать — для этого им предлагают выполнить ряд несложных заданий. Иногда надо пройти опрос или выбрать несколько раз одну из коробочек якобы с призами. Довольно часто — посмотреть на фейковую анимацию поиска по каким-нибудь базам и заполнить анкету. Также периодически предлагают почитать чат или комментарии фейковых счастливчиков, а в последнее время — поговорить с ботом, который представляется юристом, консультантом или сотрудником поддержки.

Цель всего этого очень простая: заставить человек инвестировать немного времени и сил, чтобы ему было жалко просто закрыть сайт, когда дело дойдет до предложения заплатить — а до этого обязательно дойдет. Чувствуете, что сайт, обещавший выигрыш, тянет время? Скорее всего, это не к добру.

5. Небольшая комиссия

Еще одна уловка мошенников — после того, как жертва «повелась» на выдуманный сюжет и прошла по выстланной дорожке почти до конца схемы, попросить ее оплатить комиссию, сделать перевод для верификации карты или заплатить за регистрацию в некой базе. По их словам, без этого платежа получить обещанные богатства и призы не получится.

Чаще всего речь идет об относительно маленькой сумме, которая меркнет перед возможностью разбогатеть на десятки или сотни тысяч, а то и миллионы рублей, да и саму комиссию нередко обещают со временем вернуть. На деле же киберпреступники рассчитывают украсть именно сумму комиссии. Разумеется, после оплаты вы не получите ничего, а если сильно не повезет, то расстанетесь и с большей суммой — ведь вы уже отдали мошенникам данные своей карты.

Продолжение следует

Конечно, киберпреступники постоянно изобретают новые способы сыграть на вашем доверии или слабостях. Но даже зная только эти пять «красных флагов», вы сможете защититься от большинства мошеннических схем. А мы будем и дальше держать вас в курсе того, как обезопасить себя, свои данные и кошельки от злоумышленников.



Не так давно мы рассказывали о плачевном состоянии кибербезопасности в Матрице. В декабре 2021 года ее создатели выкатили масштабное обновление под названием The Matrix Resurrections. Как это часто случается с системными багфиксами — особенно в последнее время, — какие-то проблемы это обновление решило, но часть их так и осталась нерешенной, а заодно добавились новые баги.

Давайте посмотрим, что же изменилось в Матрице за 18 лет с прошлого обновления, и оценим изменения с точки зрения безопасности Матрицы. Как обычно, предупреждаем: осторожно, спойлеры!

Борьба с пиратскими аватарами

Как и раньше, хакеры извне успешно проникают внутрь Матрицы. В оригинальной трилогии было не вполне понятно, всерьез ли система борется с боевиками Сиона или только делает вид (планы внутри планов внутри планов). Из новой же картины складывается впечатление, что программы Матрицы действительно не хотят видеть в своей системе посторонних, и все контрмеры работают в полную силу — просто они недостаточно эффективны.

Пиратский сигнал с хакерских кораблей

Хакерские корабли как раньше летали по «реальной реальности» и передавали свой пиратский сигнал в Матрицу, так и продолжают летать и передавать. Файрвол на входе в Матрицу так и не реализован — хотя, казалось бы, с этого стоило начать. А в идеале уже давно нужно бы внедрить Zero Trust.
Вывод: проблема не решена вообще никак.

Система передачи пиратского аватара

То ли Матрица победила чудовищную систему трансляции пиратских аватаров через эмуляцию проводных телефонных линий, и хакерам пришлось изобретать что-то новое, то ли хакеры самостоятельно решили усовершенствовать свои методы — в результате проводная телефония была забыта.

Как бы то ни было, теперь система другая: пришлые боевики используют сложную систему динамических редиректов — то есть умеют превращать двери и зеркала в порталы как для быстрой транспортировки пиратских аватаров с места на место, так и для входов в систему. Это очень напоминает работу Ключника из второго фильма — возможно, хакерам удалось повторить (или позаимствовать) часть его кода.
Вывод: ситуация ухудшилась.

Система отслеживания пиратских аватаров

Матрица стала гораздо быстрее реагировать на действия посторонних аватаров. Теперь контрмеры принимаются практически в каждом случае проникновения боевиков в систему, и действуют они гораздо оперативнее — возможно, создатели Матрицы последовали нашим рекомендациям из обзора оригинальной трилогии и наконец-то внедрили EDR. Более того, теперь хакеры вынуждены постоянно запутывать следы — к примеру, прибегать к открытию порталов в движущемся поезде, чтобы дольше скрывать свою активность от агентов.
Вывод: ситуация заметно улучшилась.

Агенты Матрицы

Матрица отказалась от уникальных и, по всей видимости, ресурсоемких агентов. Они остались как код, но существуют исключительно внутри зацикленной, дважды виртуальной симуляции. Матрица же научилась переключать любой аватар подключенного человека в режим бота, действующего в интересах системы. С визуальной точки зрения отличие в том, что раньше агент замещал аватар человека, а теперь внешне аватар остается тем же самым, но переходит под контроль ИИ.

Боты действуют более примитивно, чем агенты, но зато умеют работать в режиме роя, то есть синхронно и, по субъективной оценке, более эффективно. Впрочем, физические законы эти боты по-прежнему соблюдают, да и вообще по факту результат прежний: хакеры успешно выполняют свои задачи, просто суетиться им приходится куда больше.

Вывод: новая система существенно отличается от старой, но с задачами справляется не лучше.

Программы-изгои

Раньше в Матрице было полно ненужных программ, не имевших полезных для системы функций и существовавших в свое удовольствие. Вместе с обновлением искусственный интеллект провел крупномасштабную чистку системы от устаревшего ПО, уничтожив подавляющее большинство изгоев. Не всех, конечно, но оставшихся ничтожно мало. Впрочем, некоторые эмигрировали в физический мир (не будем рассказывать, как, чтобы не добавлять лишних спойлеров). Так или иначе, избавление от устаревшего ПО — крайне правильный шаг, который мы всячески приветствуем.
Вывод: значительное улучшение.

Сегментация сетей

А вот отношение Матрицы к изоляции подсетей все еще оставляет желать лучшего. Боевикам извне удается вломиться не только в саму Матрицу, но и в симуляцию Матрицы, развернутую внутри Матрицы на дважды виртуальных серверах. То есть все тот же проходной двор: если попал в сеть, то иди куда хочешь, хоть в бухгалтерию, хоть в R&D. Одним словом, очень странное отношение, особенно в свете отсутствия файрвола на входе или работающей системы Zero Trust.
Вывод: особых изменений не заметно.

Система контроля аномалий

Реализованная в оригинальной трилогии система контроля аномалий в коде при помощи Избранного больше не работает. Вместо нее создали новую систему: теперь циклов пересоздания Избранного и Сиона нет, но Матрица пытается манипулировать переподключенным Нео через Тринити и коллег по работе. Результат еще более плачевный, чем раньше. Вместо одного человека с аномалиями в коде аватара они получают двух. И не факт, что это предел.
Вывод: ситуация значительно ухудшилась.

Проблема экс-агента Смита

Матрица не уничтожила код бывшего агента Смита, а взяла его под контроль и теперь пытается использовать в новой сложной системе контроля аномалий. Вероятно, ИИ интересует часть его кода, в которой каким-то образом остались элементы кода Нео. Ту часть, что отвечала за неконтролируемую репликацию, по всей видимости, удалили. Однако к концу фильма Смиту удается избавиться от контроля (как обычно, благодаря вмешательству Нео), и он остается в Матрице. Причем теперь он может перескакивать из аватара в аватар, а сама Матрица это никак не контролирует. То есть если раньше он был достаточно тупым вирусом, то теперь стал полноценной APT.
Вывод: ситуация заметно ухудшилась.

Новые проблемы

Расстановка сил в фильме ощутимо изменилась. Во-первых, человечество значительно усилилось за счет того, что в конце оригинальной трилогии Сион не был уничтожен. Во-вторых, из-за раскола в стане машин на стороне людей теперь играют и некоторые носители искусственного интеллекта. Причем как разумные машины, так и чисто программные личности. Все это породило несколько принципиально новых проблем.

Утечки данных

Перебежавшие носители искусственного интеллекта захватили с собой изрядное количество информации, часть которой можно считать критически важной. Теперь люди знают гораздо больше об архитектуре Матрицы и некоторых критических системах.

Безопасность критической инфраструктуры

Хакеры значительно усилили активность в «реальной реальности» и теперь периодически атакуют объекты критической инфраструктуры на физическом уровне. Более того, машины-перебежчики активно помогают человечеству взламывать другие машины на уровне железа — например, взламывают систему управления харвестером и таранят другие защищенные объекты. Благодаря этому боевики Сиона продолжают успешно красть тела подключенных к Матрице людей.

Общие выводы

По итогу обновление Матрицы скорее ухудшило общую безопасность машин, нежели улучшило ее. Если бы искусственный интеллект не превратил контролируемую им часть человечества в бездушную батарейку, то, возможно, он мог бы использовать людей для анализа уязвимостей, который явно имело смысл провести перед выкатыванием этого масштабного обновления.

Направленные микрофоны, скрытые камеры и прочая аппаратура для слежки — кажется, что обычный человек встречает все это только в шпионских фильмах. Однако подобные устройства можно найти и в маленькой арендованной квартире, и в номере дорогого отеля, в офисе, сауне… и даже в вашем собственном доме. Сегодня расскажем о нескольких способах обнаружить скрытую камеру.

Маленькие родственники Большого Брата

Миниатюрные камеры стоят недорого — на момент написания текста цены на них начинаются от четырех долларов. Их можно подключить к обычному Wi-Fi, чтобы они передавали информацию, например в облачное хранилище. Поэтому при желании многие могут позволить себе поиграть в шпиона в реальной жизни. Но зачем?

Бывает, что такие устройства устанавливает хозяин арендной квартиры — на случай кражи или порчи имущества. Этим могут заниматься и ревнивые супруги, и нечистые на руку конкуренты. Встречаются и любители розыгрышей, которые публикуют смешные или пикантные кадры, которые им удалось запечатлеть, и профессиональные шантажисты.

Насколько реально обычному человеку стать объектом слежки? Согласно исследованию среди путешественников, которые пользовались сервисом Airbnb, 11% респондентов обнаруживали в снятом помещении скрытые камеры. И это только те, кто сумел что-то найти, а ведь не каждый турист внимательно рассматривает обстановку комнаты. При этом обнаружить камеру непросто: диаметр ее объектива может быть всего 1–2 миллиметра, а корпус обычно скрыт или закамуфлирован. Как же узнать о возможной слежке?

Способ 1. Положитесь на эксперта

Самый надежный способ — доверить поиск скрытой камеры квалифицированному специалисту с профессиональным оборудованием. Найти такого эксперта сегодня можно практически в любом городе — например, заказать услугу на Авито или другом сервисе объявлений.

Достоинства:

• Высокая эффективность.
• Уверенность в результате.
• Минимум личных усилий.

Недостатки:

• Цена.
• Возможно, придется ждать окна в загрузке специалиста.
• Может быть запрещено правилами гостиницы или владельцем квартиры.

Резюме

Приглашать специалиста стоит, если вы собираетесь проверить помещение, в котором планируете часто и подолгу находиться. Например, имеет смысл сделать это после покупки квартиры, особенно если вы не первый ее владелец.

Способ 2. Используйте специальное оборудование

Можно купить устройства для обнаружения скрытых камер (например, детекторы электромагнитного излучения или оптические детекторы) и с их помощью проверять каждую комнату самостоятельно. Самые бюджетные, с радиусом обнаружения всего в несколько метров, стоят от трех долларов, профессиональные — и мощнее, и дороже.

Кстати, простейший оптический детектор можно собрать и своими руками — для этого потребуются красные светодиоды и красный же светофильтр. Направляйте свет в определенную область помещения и смотрите сквозь фильтр — объектив камеры проявится как яркая точка. Правда, надо учитывать, что дальность действия такого устройства не превысит десятка метров.

Если решите проверять квартиру или дом самостоятельно, с особым вниманием осмотрите ванную комнату и спальню, где можно сделать особенно интересные кадры, а также датчики дыма и бытовую технику — часто микрокамеры оказываются встроены в более крупные устройства. Кроме того, припрятать их могут в картинах, часах, горшках с цветами и даже игрушках.

Достоинства::

• Независимость.
• Возможность совершать регулярные проверки.
• Возможность самостоятельно собрать инструмент.

Недостатки::

• Малый радиус действия дешевых и самодельных устройств.
• Цена профессиональных детекторов.
• Самостоятельное изготовление детекторов требует времени и навыков.

Резюме

Если вы не доверяете свою приватность другим, предпочитаете в важных вопросах убедиться самостоятельно, а в идеале еще и знаете, как паять светодиоды, — этот метод для вас.

Способ 3. Используйте возможности смартфона

Иногда можно обойтись и без специального оборудования, достаточно камеры смартфона и фонарика. Выключите свет и задерните шторы (в помещении обязательно должно быть темно), включите одновременно фонарик и камеру на телефоне и направляйте их на те места, где, как вам кажется, может находиться записывающее устройство. Если оно там действительно есть, то на экране смартфона можно будет увидеть блики. Камера на телефоне может не включаться одновременно с подсветкой, в этом случае подойдет и отдельный фонарик.

В некоторых случаях можно обойтись и без фонарика. Многие скрытые камеры оборудованы инфракрасной подсветкой, чтобы снимать в темноте. Человеческий глаз это излучение не видит, а вот фронтальная камера смартфона способна уловить. При съемке в темноте источник инфракрасного света отобразится на экране как мерцающая точка. Основная камера тут может не справиться — часто в ней оказывается светофильтр. Чтобы понять, годится ли ваш смартфон для обнаружения ИК-источников, можете поэкспериментировать с любым пультом ДУ.

Достоинства:

• Бесплатно.
• Не требует специальных навыков.
• Как правило, все необходимое есть у любого путешественника.

Недостатки:

• Работает не со всеми моделями телефонов.
• Требует много времени.
• Низкая эффективность — возможны ложные срабатывания, не видны камеры без инфракрасного излучения.

Резюме

Способ годится разве что для поверхностного осмотра: слишком велика вероятность что-то пропустить. Однако если под рукой нет более подходящего инструмента — это лучше, чем ничего.

Способ 4. Доверьтесь приложению

Существуют специальные мобильные приложения, которые упрощают поиск скрытых видеокамер и других устройств, нарушающих вашу приватность. Они делятся на две категории.

Первые облегчают поиск скрытой камеры по блеску ее объектива — как в предыдущем способе. К таким относится, например, приложение Glint Finder. Оно находит блики, которые возникают при попадании света фонарика на объектив, — вам остается только проверить подозрительные места.

Вторые рассчитаны на поиск шпионских устройств, подключенных к беспроводной сети. Для их работы нужно присоединиться к местному Wi-Fi. После сканирования роутера они выводят список подключенных к нему устройств. Если вы не в умном доме, где в сети даже холодильник и кофеварка, а в списке есть что-то, кроме ваших смартфона и ноутбука, то имеет смысл проверить, что это. Для проверки можно воспользоваться специальным сервисом, который поможет по идентификатору отличить безобидную технику от следящих устройств.

Достоинства:

• Относительно высокая эффективность.
• Минимум затрат.
• Для работы достаточно совместимого смартфона.

Недостатки:

• Уступает специализированным устройствам.
• Вариант с Wi-Fi-детекторами не подходит для умных домов.
• Также он не подходит для гостиничного Wi-Fi и других общественных роутеров, к которым подключено множество пользователей.

Резюме
Специальное ПО занимает промежуточное положение между профессиональным оборудованием и подручными средствами. Пожалуй, это оптимальный вариант для предусмотрительных путешественников — при условии, что они используют проверенное приложение.

Что делать, если обнаружили шпионское устройство

Если вы обнаружили нечто, похожее на камеру или другое следящее устройство, сделайте его фото и попробуйте найти похожие изображения с помощью поиска по картинке. Находка вполне может оказаться чем-то безобидным.

Если же опасения подтвердились, то стоит обратиться в полицию, к администрации гостиницы или в сервис, через который вы бронировали жилье. К примеру, правила AirBnB в явном виде запрещают использование скрытых камер, так что как минимум некоторым постояльцам удалось вернуть деньги или сменить объект размещения.

Доверяй, но проверяй

Итак, теперь вы знаете несколько способов убедиться, что ни шантажист, ни шутник-тиктокер, ни хозяин арендованного жилья не снимает вас без разрешения. Но скрытые камеры — не единственная опасность в путешествии. Вот несколько общих советов, которые помогут обезопасить себя на незнакомой территории:

• Возьмите в поездку внешний аккумулятор, чтобы всегда оставаться на связи.
• Загрузите на свое устройство приложения, которые помогут путешествовать с комфортом: карты, словари, переводчики и так далее.
• Не оставляйте ценные вещи, особенно ноутбуки и телефоны, без присмотра.
• Не используйте общественные компьютеры или терминалы для приватной переписки, входа в аккаунты или онлайн-покупок.
• Установите перед поездкой приложение для безопасного соединения, которое защитит ваши данные от хакеров, а заодно позволит всегда иметь доступ к интересующему вас контенту, даже если он недоступен в той стране, которую вы собираетесь посетить.

В июне 2021 года наши специалисты обнаружили новое вредоносное программное обеспечение, получившее название PseudoManuscrypt. Специально искать его особо не пришлось: вредоносные файлы были задетектированы стандартным антивирусным движком, так как были похожи на уже известные зловреды.

Чем опасен PseudoManuscrypt

Функциональность PseudoManuscrypt достаточно стандартна для шпионского ПО. Во-первых, оно разворачивает программу для записи всех нажатий на клавиатуру, копирует информацию об установленных VPN-подключениях, включая сохраненные пароли. Во-вторых, регулярно крадет содержимое буфера обмена, производит запись звука на встроенный микрофон (при его наличии), выполняет общее исследование скомпрометированной системы. В одном из вариантов зловреда добавлена возможность кражи учетных данных мессенджеров QQ и WeChat, захвата изображения и записи его в видеофайл, а также инструмент для отключения защитных решений. Данные затем отправляются на сервер злоумышленников.

Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.

Происхождение названия

Наши эксперты обнаружили определенное сходство между новой атакой и уже известной кампанией Manuscrypt, но уже в процессе тщательного анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.

Такие сложности с атрибуцией представляют интерес сами по себе: как правило, они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.

Как PseudoManuscrypt попадает в систему

Довольно сложная цепочка событий, приводящая к успешному заражению компьютера, в данной атаке, как правило, начинается с загрузки и исполнения пользователем генератора пиратских ключей к популярному программному обеспечению.

Попасться на удочку «псевдоманускрипта» можно в попытках найти пиратский «ключ» для регистрации ПО в поисковых сервисах. Веб-сайты, распространяющие вредоносный код по соответствующим запросам, оказываются высоко в результатах поиска — судя по всему, организаторы атаки внимательно следят за этим. Еще раз скажем самое важное: это публичная атака, вредоносный код для нее открыто лежит в сети, что крайне необычно для таргетированных операций.

Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt. Источник.

Здесь же становится понятно, почему в итоге было зафиксировано так много попыток заражения промышленных систем. Помимо «ключей» для популярного ПО (офисный пакет, защитное решение, система навигации, 3D-шутер от первого лица), организаторы атаки предлагают фейковый взлом профессионального софта, в частности утилит для взаимодействия с PLC-контроллерами по шине ModBus. Результат — аномально высокое число организаций в сфере промышленности: 7,2% от общего числа.

В примере на скриншоте выше упоминается программное обеспечение для системных администраторов и сетевых инженеров: такой вектор атаки в случае успеха может сразу обеспечить взломщикам полный доступ к инфраструктуре компании.

Организаторы атаки также используют сервисы Malware-as-a-Service, то есть платят другим киберпреступникам за распространение собственного ПО. Отсюда возникла интересная особенность при анализе самих вредоносных файлов: иногда они попадались в сборниках разных зловредов, которые жертва устанавливала одним пакетом. Причем если цель PseudoManuscrypt — шпионаж, то у его «соседей» по этой вредоносной электричке могут быть иные задачи, в частности — шифрование данных с последующим требованием выкупа.

За кем охотится PseudoManuscrypt

Наибольшее число детектирований PseudoManuscrypt произошло в России, Индии, Бразилии, Вьетнаме и Индонезии. Из всего огромного количества попыток запустить вредоносный код значительное число приходится на промышленные организации. Среди пострадавших индустриальных предприятий были замечены управляющие системами автоматизации зданий, компании из энергетического сектора, компании, занятые в производстве, строительстве и даже контролирующие водоочистные сооружения. Подавляющее большинство попыток взлома пришлось на разработчиков тех или иных решений, используемых в промышленности.

Методы защиты от PseudoManuscrypt

В целом, стандартных средств обнаружения и блокировки вредоносного ПО вполне достаточно для эффективной защиты от PseudoManuscrypt. Главное — убедиться, что они установлены на 100% систем на предприятии. Кроме того, следует внедрить политики, затрудняющие отключение защиты.

Для IT-систем в промышленности также существует специализированное решение Kaspersky Industrial CyberSecurity, обеспечивающее и защиту компьютеров (включая специализированные), и мониторинг обмена данными с использованием специфических протоколов на предмет попыток взлома.

Нельзя также забывать о работе с персоналом: коллег необходимо обучать базовым нормам безопасности. Если успешные фишинговые атаки невозможно исключить полностью, то объяснить опасность установки постороннего ПО (тем более пиратского) на компьютеры с доступом к промышленным системам — вполне реально.

Трилогия «Матрицы» — Matrix, Matrix: Reloaded, Matrix: Revolutions — рассказала нам об успешной реализации метавселенной еще до того, как это стало мейнстримом. В роли создателя этого виртуального мира (а точнее, нейро-интерактивной симуляции) выступил искусственный интеллект, в свое время победивший и поработивший человечество. Правда, сотворение этого мира не обошлось без ряда багов, о которых мы сегодня и поговорим.

Основная сложность с восприятием трилогии заключается в том, что из-за ограниченности данных, которыми располагают герои-люди, и постоянной дезинформации, которая поступает со стороны героев-программ, зритель никогда точно не знает, насколько реальна картина мира, которая в данный конкретный момент фильма считается истинной.

Но поскольку нас в данном материале интересует не философский подтекст, а состояние информационной безопасности, опираться мы будем на то, что считается установленными фактами на момент финала третьего фильма. Осторожно: если вы не досмотрели трилогию, а собираетесь, то сразу предупреждаем, что в тексте полно спойлеров.

Борьба с боевиками Сиона

На момент финала трилогии становится понятно, что по большому счету вся эта борьба с освободившимися боевиками, проникающими в Матрицу, — постановка. Для успешного завершения очередного цикла мятежа Матрице нужно какое-то количество врагов извне. Поэтому точно не известно, реально ли пытаются агенты поймать Морфеуса и его команду или просто имитируют бурную деятельность. Как бы то ни было, мы отметим, что в этот момент не так с точки зрения безопасности, не вдаваясь в детали, были ли эти косяки багами или фичами — то есть являются ли они результатом несовершенства программы или были внесены в Матрицу намеренно (например, в качестве ханипотов).

Пиратский сигнал с кораблей сопротивления

Население Матрицы состоит из аватаров людей, подключенных к системе проводами, и программ, изначально существующих в виде кода. Остается непонятным, для чего вообще была реализована возможность удаленной трансляции сигнала извне системы, позволяющая подгружать аватары посторонних людей.

Обычно подобные дыры можно списать на отладочный канал доступа, который забыли закрыть. Но поскольку в данном случае отладкой занимались вовсе не люди, то данная версия не подходит. И потом, даже если сама функция удаленного коннекта была нужна технологически, то почему автопрограммисты не реализовали файрвол, блокирующий пиратский сигнал?

Неконтролируемая система передачи аватара

Внутри Матрицы пиратские аватары могут появляться и исчезать только около кабельного телефона (хотя в чем разница между мобильным и стационарным телефоном в рамках виртуальной реальности, не объясняется). Причем агенты Матрицы в принципе способны деактивировать эту линию — как минимум в момент захвата Морфеуса они ее успешно перерезают. Но если уж она столь критична для проникновения в Матрицу и эксфильтрации из нее, то почему бы агентам в принципе не отключать ее во всем районе проведения операции — или не забанить ее полностью во всей системе?

Несовершенная система адресации

У Матрицы нет данных о том, где точно находится каждый конкретный объект, хотя объективно потребность в этом есть. Можно допустить, что пиратские аватары скрывают свое местоположение в виртуальном пространстве. Но даже для отслеживания еще подключенного к системе Нео агентам нужен жучок. Тут явный косяк с системой адресации.

Тут же вызывает вопросы пресловутая «красная пилюля» Морфеуса. По его словам, она представляет собой программу отслеживания. Она нарушает входящий и исходящий несущий сигнал, что позволяет вычислить местонахождение тела Нео в физическом мире. Почему Матрица не отслеживает эту аномалию? Это было бы логично — как минимум для перехвата «команды спасателей».

Искусственные ограничения агентов Матрицы

Агенты Матрицы — разумные программы, которые могут временно замещать аватар любого человека, подключенного к системе. Они могут до определенных пределов нарушать условные законы физики, но как бы не очень сильно. Хотя известно, что ограничения этих самых законов — полная условность. Те же «близнецы» из второго фильма трилогии обходятся с ними гораздо более вольно. Спрашивается, почему условные ограничения нельзя снимать хотя бы временно, на момент операции захвата? Тут же в копилку ошибок в коде агентов — им зачем-то оставлена возможность отключения от общей информационной системы Матрицы (путем вынимания из уха наушника). Это явная уязвимость в их коде.

Коды к мейнфрейму Сиона

Вся суть охоты машин за Морфеусом в первом эпизоде фильма — попытка завладеть кодами доступа к мейнфрейму Сиона, которые известны каждому капитану. Вызывает кучу вопросов тот факт, что человек, обладающий кодами доступа к критической инфраструктуре повстанцев, и человек, который ходит в Матрицу — это один и тот же персонаж.

Особенно это странно, если вспомнить, что на борту есть люди вообще без интерфейса для подключения к Матрице — очевидно, было бы безопаснее доверить ценнейшую информацию им. Это уже косяк освобожденных людей, причем косяк скорее организационный — что-то вроде стикера с паролями на мониторе, причем именно у того человека, которого собираются снимать для ТВ прямо на рабочем месте.

Программы-изгои

Матрица почему-то не может эффективно избавляться от программ, ставших ненужными. В ее недрах успешно существуют какие-то разумные приложения из старых версий Матрицы, какие-то информационные контрабандисты, какие-то полуфизические боевики, какой-то Сераф, определяющий свою функцию как «I protect that which matters most» (достаточно распространенный слоган компаний из сферы ИБ).

По объяснениям Оракула, все они должны были быть удалены, но вместо этого выбрали отключение от Матрицы и автономную жизнь внутри виртуальной реальности. Существование неконтролируемого устаревшего софта — явная уязвимость, как и в реальной жизни. Они же буквально помогают хакерам атаковать Матрицу!

Контрабанда программ

Некоторые программы существуют исключительно в «мире машин», но при этом могут проникать и в виртуальный мир Матрицы, где обитают аватары людей. Их контрабандой провозит некий условный железнодорожник. Это иллюстрация проблем с сегментацией системы — существование прямого канала связи между двумя сегментами, которые по задумке создателей должны быть изолированными.

Коридор с бэкдорами

Среди изгоев существует программа «Ключник», чья цель — создание ключей от бэкдоров. На самом деле неизвестно, насколько Ключник реально изгой. Возможно, он, как и Оракул, — часть системы контроля бунтовщиков через Избранного. Факт в том, что он не только выпиливает ключи доступа при помощи напильника и токарного станка, но и рассказывает хакерам о существовании целого коридора с бэкдорами, позволяющими получить доступ к разным участкам Матрицы, начиная от внутренней сети, и заканчивая «Источником» — так называемым ядром системы. И Ключник, и коридор — фундаментальная угроза безопасности всей системы. Особенно учитывая то, как именно этот коридор защищен от посторонних.

Основная проблема с защитой коридора состоит в том, что она почему-то существует по условным законам виртуального мира — зависит от нарисованных электростанций и от эмуляций компьютеров на этих станциях. А эти законы в Матрице, как известно, достаточно несложно нарушать. Да даже если бы они посадили внутрь агента, то это было бы эффективнее. Собственно, почему не посадили-то? Нет денег платить зарплату?

Дети лейтенанта Шмидта Клоны агента Смита

У агентов Матрицы изначально была функция замещения кода аватара любого человека. Однако агент всегда существовал в единственном экземпляре. После того как в конце первого фильма Нео, обретя аномальные способности, проник внутрь агента Смита и попытался разрушить его изнутри, какая-то часть кода аватара Нео перенеслась в код агента. После чего Смит ушел в самоволку, а главное — обрел способность обходить искусственные ограничения: как законы физического мира, так и запрет на возможность существования в одном экземпляре. Иными словами, стал полноценным вирусом.

По всей видимости, он был первым вирусом в Матрице. Иначе нечем объяснить, что в системе не существовало нормального антивирусного продукта, который мог бы отслеживать аномалии в коде, а также изолировать и уничтожать опасные приложения, угрожающие безопасности системы.

Учитывая, что большинство освобожденных из Матрицы людей — хакеры, это все, конечно, очень странно. Казалось бы, заразить Матрицу вирусами — это первое, что они должны были попробовать сделать.

Как бы то ни было, существование Смита, копирующего свой код в любой аватар и в любую программу, служит аргументом в переговорах Нео с искусственным интеллектом. В итоге Нео физически подключается к Матрице, позволяет агенту «заразить» свой аватар, подключается к «Смитнету», а потом разрушает всех агентов.

В результате машины соглашаются на перемирие, останавливают истребление людей и даже обещают отпустить тех, кто не хочет жить в Матрице. А могли бы строить изначально безопасную операционную систему, без всех этих косяков. Или хотя бы использовать надежное защитное решение в сочетании с EDR-системой, способной отслеживать аномалии в сети!

Наши эксперты обнаружили вредоносный модуль Internet Information Services, который превращает веб-приложение Outlook on the web в инструмент для воровства учетных данных и своеобразную панель для удаленного доступа. Модуль используется неизвестными злоумышленниками в ходе целевых атак, наши исследователи дали ему имя OWOWA.

Что такое Outlook on the web и почему им интересуются злоумышленники

Веб-приложение Outlook on the web, ранее известное под названиями Exchange Web Connect, Outlook Web Access и Outlook Web App, — это веб-интерфейс для доступа к «персональному информационному менеджеру» от Microsoft. Разворачивается это приложение на веб-сервере, работающем на базе Internet Information Services (IIS).

Оно используется множеством компаний для удаленного доступа сотрудников к корпоративным почтовым ящикам и календарям, без необходимости установки специального клиента. Есть несколько вариантов реализации Outlook on the web, в числе прочего оно входит в состав Exchange Server, установленного в инфраструктуре компании, — именно этим вариантом и интересуются злоумышленники. В теории, если они смогут взять это приложение под контроль, то получат доступ ко всей корпоративной переписке, что даст им множество возможностей как для развития атаки на инфраструктуру, так и для организации BEC-атак.

Как работает OWOWA

OWOWA загружается как модуль на скомпрометированном веб-сервере IIS для всех совместимых приложений, но создан он специально для перехвата учетных данных, вводимых в OWA. Этот зловред проверяет запросы и ответы на странице входа в Outlook on the web и, если понимает, что пользователь ввел учетные данные и в ответ успешно получил токен аутентификации, записывает логин и пароль в файл (в зашифрованном виде).

Кроме того, атакующий способен напрямую управлять функциональностью OWOWA через ту же форму аутентификации. Вводя в строки логина и пароля специальные команды, злоумышленник может выгружать собранную информацию, удалять файл с логами или выполнять произвольную команду на скомпрометированном сервере через PowerShell.

Более подробное техническое описание модуля вместе с индикаторами компрометации можно найти в посте на блоге Securelist.

Кого атакуют OWOWA

Наши эксперты обнаружили атаки с применением модуля OWOWA на серверы в нескольких азиатских странах — Малайзии, Монголии, Индонезии, а также на Филиппинах. Однако у них есть основания полагать, что злоумышленники могут интересоваться организациями и в Европе.

Большая часть целей была правительственными организациями. Впрочем, среди них была как минимум одна транспортная компания, но и она принадлежала государству.

Как защититься от OWOWA

Наличие вредоносного модуля OWOWA (или любого другого постороннего IIS-модуля) на веб-сервере IIS можно обнаружить при помощи команды appcmd.exe или штатного инструмента конфигурации IIS.

Кроме того, мы рекомендуем не забывать, что любой сервер, имеющий выход в Интернет, нуждается в защите, как и любой другой компьютер. Поэтому их следует снабжать серверными защитными решениями.

Работа в центре мониторинга и реагирования (SOC) — это постоянный стресс: с одной стороны, специалисты изо дня в день кропотливо и монотонно выискивают аномалии, а с другой — несут огромную ответственность за безопасность компании. Я руковожу внутренним SOC «Лаборатории Касперского», который обеспечивает работу сервиса Kaspersky Managed Detection and Response, и хотел бы поделиться опытом — рассказать об особенностях работы центра и о том, как я стараюсь свести к минимуму стресс сотрудников и предотвратить их выгорание.

Шаг 1: сформируйте команду

Главное — правильно организовать команду. Наймете недостаточное количество людей — и они быстро устанут; наймете с запасом — им будет скучно. Тут важно найти баланс.

Для начала определите объем работ и роли. Наметьте задачи, которые будут выполнять штатные специалисты, и те, которые можно передать сторонним поставщикам. Так вам будет проще рассчитать необходимую численность персонала. Не забудьте: для управления аутсорсингом тоже нужны специалисты.

• Для работы SOC нужно не менее шести сотрудников: два специалиста по мониторингу, один — по расследованию угроз, инженер-архитектор, администратор и руководитель SOC.
• При смене кадров нагрузка на команду будет повышаться. Заранее продумайте, как смягчить негативные последствия этого.

Шаг 2: поощряйте сотрудников

Мотивация — залог эффективной работы. Безусловно, необходимо создать благоприятные условия для карьерного роста и комфортную рабочую обстановку. Но есть и другие факторы, влияющие на мотивацию команды: например, постановка целей должна быть прозрачной, а оценка результатов — понятной и обоснованной. Люди стремятся к новым профессиональным высотам, и они добиваются успеха, если знают, что их работу ценят по достоинству.

• Вместо того чтобы пресекать инициативу новичков и наказывать за ошибки, мотивируйте лидеров и поощряйте старания сотрудников.
• Создайте благоприятные условия для работы. Предложите сотрудникам достойную зарплату, стимулирующие выплаты, социальные программы, перерывы для физической активности. Позаботьтесь о здоровой атмосфере в коллективе.
• Разъясните сотрудникам цели, задачи и показатели, по которым компания в целом и вы в частности будете оценивать их работу.
• Четко обрисуйте карьерный путь сотрудников: ваши коллеги должны знать, за что отвечает та или иная команда и что нужно сделать, чтобы перейти на более высокую или другую интересующую их должность. Каждый должен работать там, где ему нравится — только тогда специалист сможет достичь выдающихся результатов.

Шаг 3: минимизируйте стресс

Работа SOC-аналитика — это всегда стресс, и очень важно свести его к минимуму. Конечно, рай вы не создадите, но снизить нагрузку на сотрудников вам вполне по силам.

• Позвольте им самостоятельно планировать время. Если гибкий график не снижает производительности (а о ней вы позаботились на предыдущем этапе), это не вызовет никаких проблем.
• Делитесь мнением с коллегами и выслушивайте их. Прозрачность и доверие должны быть обоюдными.
• Поддерживайте команду. Сотрудники должны чувствовать уверенность в сложных ситуациях и рассчитывать на помощь руководителя или профильных экспертов.

Шаг 4: вдохновляйте коллег

SOC — это команда. Найдите время, чтобы проанализировать ее особенности, определить оптимальные рабочие тандемы и задачи, которые они выполняют эффективнее других, и повышайте командный дух.

• Время от времени предлагайте сотрудникам новые нестандартные задачи. Это не только подогреет их интерес, но и поможет вам выявить их сильные стороны и предпочтения.
• Определите зону ответственности каждого специалиста — это придаст им уверенности в том, что их вклад важен и по-настоящему ценится.
• Создайте условия для профессионального развития, в том числе возможности для обмена знаниями и участия в тренингах и вебинарах.
• Устраивайте тимбилдинги. Наблюдая за сотрудниками в неформальной обстановке, вы сможете обнаружить в них качества, которые помогут повысить эффективность команды.

Шаг 5: сводите рутину к минимуму

Один из основных факторов, ведущих к выгоранию, это рутина. Как я уже отметил, работа SOC-специалистов однообразна, и избежать рутинных задач по большей части не удастся. Тем не менее вы можете снизить их пагубное влияние, автоматизировав их или передав их часть внешним исполнителям.

• Привлекайте сторонних специалистов к решению рутинных задач, когда это целесообразно и эффективно.
• Используйте инструменты и сервисы, которые упрощают типичные ИБ-процессы.
• Всегда ищите новые возможности для оптимизации. Все, что можно автоматизировать, нужно автоматизировать: не растрачивайте человеческий потенциал на рутину.

Перераспределить ресурсы и задачи непросто, и сделать это автоматически не получится. Несмотря на всю привлекательность идеи снижения нагрузки, важнее всего позаботиться о заинтересованности и мотивации сотрудников. Кроме того, по юридическим и другим причинам передать некоторые задачи внешним специалистам не получится. А если получится, необходимо проследить, чтобы в договоре с поставщиком были прописаны не только его обязанности, но и ответственность, а также последствия нарушения. Что касается автоматизации — прежде чем к ней приступать, важно проанализировать соответствующие процессы и мнения пользователей, а также определить проблемы в работе команды. Это позволит создать эффективный и реалистичный план.

В интернете появились новости о критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j (уровень опасности 10 из 10 по шкале CVSS). Эта библиотека используется миллионами Java-приложений для регистрации сообщений об ошибках. Что еще хуже, злоумышленники уже активно используют эту уязвимость в атаках. Поэтому Apache Foundation рекомендует всем разработчикам обновить библиотеку до версии 2.15.0, а если это невозможно, воспользоваться одним из методов, описанных на странице Apache Log4j Security Vulnerabilities.

Чем опасна уязвимость CVE-2021-44228

Уязвимость CVE-2021-44228, также получившая названия Log4Shell и LogJam, относится к классу Remote Code Execution. Если злоумышленникам удастся проэксплуатировать ее на одном из компьютеров, то они смогут исполнять на нем произвольный код. Потенциально это позволит им захватить полный контроль над системой.

Что делает CVE-2021-44228 особенно опасной — это простота эксплуатации: успешную атаку через эту уязвимость может осуществить даже неопытный хакер. По словам исследователей, злоумышленникам достаточно заставить приложение записать в лог всего одну строку, в результате чего им удастся подгрузить в приложение собственный код из-за функции message lookup substitution.

В Интернете уже можно найти рабочие доказательства осуществимости (PoC) атак при помощи CVE-2021-44228. Поэтому неудивительно, что различные компании, работающие в сфере кибербезопасности, уже регистрируют массовое сканирование сети в поисках уязвимых приложений, а также атаки на ханипоты.

Обнаружена уязвимость исследователем Ченом Жаожуном (Chen Zhaojun) из Alibaba Cloud Security Team.

Что такое Apache Log4J и почему эта библиотека так распространена?

Apache Log4j — это часть проекта Apache Logging Project, библиотека, которая служит для ведения логов. По большому счету, ее применение является одним из самых простых способов ведения журнала ошибок, поэтому большинство Java-разработчиках применяют именно ее.

Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter. Из-за настолько широкой распространенности библиотеки, исследователи ожидают увеличение количества атак на уязвимые серверы в течении следующих нескольких дней.

#Log4Shell pic.twitter.com/1bKDwRQBqt

— Florian Roth ⚡️ (@cyb3rops) December 10, 2021

Какие версии библиотеки Log4j уязвимы и как защитить серверы от атак?

Уязвимы практически все версии Log4j, начиная с 2.0-beta9 и заканчивая 2.14.1. Самый простой и эффективный метод защиты от Log4Shell — установка наиболее свежей версии библиотеки, 2.15.0. Скачать ее можно на страничке проекта.

Если это по каким-то причинам невозможно, то в случае с версиями библиотеки от 2.10 до 2.14.1 Apache Foundation рекомендует установить системное свойство log4j2.formatMsgNoLookups, или же присвоить переменной окружения LOG4J_FORMAT_MSG_NO_LOOKUPS значение true.

Для защиты более ранних релизов Log4j (от 2.0-beta9 до 2.10.0) разработчики библиотеки рекомендуют убрать класс JndiLookup из classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Кроме того, мы рекомендуем не забывать о необходимости установки защитных решений на серверы — во многих случаях это позволит выявить запуск вредоносного кода и остановить развитие атаки.

Мы уже давно установили, что известные сказочники Шарль Перро, братья Гримм и Ганс Христиан Андерсен на самом деле были популяризаторами темы информационной безопасности. Но откуда они брали истории, на базе которых писали свои отчеты об инцидентах? Считается, что в основе большинства авторских сказок лежат народные. Мы решили копнуть глубже и выяснить, нет ли среди народных сказок, которые не успели пересказать именитые авторы, других описаний так называемых «кейсов».

Как обычно, реальность превзошла наши ожидания — практически все сказки иносказательно описывают те или иные киберинциденты! Причем, несмотря на внешнюю незамысловатость каждой из сказок, на деле в них содержится на удивление значительный объем информации.

Лиса и волк, или Битый небитого везет

Сказка про лису, которая всячески обманывает волка и каких-то селян — это просто сборник классических кибератак. Дошедшая до наших времен версия объединяет три инцидента, которые, по всей видимости, когда-то были отдельными кейсами. Давайте разберем их по порядку:

1. Троянский лис. Начинается все с того, что некий мужик везет на телеге свежевыловленную рыбу. Под телегой здесь явно подразумевается не очень современный компьютер. А явная аллюзия на Михайло Ломоносова, по всей видимости, должна намекнуть, что это служебная машина для научной работы. На телегу он скачивает троянского лиса в надежде порадовать свою супругу нарядным скином (возможно, речь идет о дистрибутиве Firefox). Но троянский лис активизируется и выкачивает базу рыбных данных куда-то вовне.
2. Фишинговая прорубь. Лиса рекламирует свежедобытую рыбу среди лесного зверья, что вызывает определенный интерес у волка. Пользуясь этим, лиса отправляет ему ссылку на фишинговую прорубь. Перейдя по ссылке в надежде на бесплатную рыбу, волк крепко вмерзает в развод, в итоге теряет хвост, а вдобавок к этому подвергается буллингу ведрами и коромыслами со стороны крестьянок. Точно неизвестно, на какую выгоду тут рассчитывала лиса — возможно, это был чистой воды троллинг (на это намекают и анонимные комментарии «Ярче, ярче в небе звезды, мерзни, мерзни волчий хвост», оставленные в близлежащих кустах).
3. Манипуляция сочувствием. Лиса при помощи украденного теста имитирует черепно-мозговую травму и, играя на чувстве жалости волка, вынуждает его заниматься собственной транспортировкой. То есть проводит успешную атаку, используя социальную инженерию.

Колобок

Мы подозреваем, что изначально сказка называлась все-таки «Колобот», но за века после многочисленных пересказов последняя буква морфировала в «к». Это история о том, как бабка по заказу деда создала некоего бота и положила остывать на окошко — читай, загрузила на уязвимый Windows-сервер, — откуда тот благополучно утек и начал гулять по Сети.

Функции бота становятся очевидны после первого же диалога с зайцем — он служит для DoS-атак на лесных жителей. Колобот вываливает на не ожидавшего подвоха зверя потоки абсолютно ненужной информации и, пользуясь замешательством животного, отправляется по следующему адресу. Вероятно, тут также содержится намек на функциональность червя.

Интересно, что в потоке бессмысленных данных бот оставляет так называемые «хлебные крошки» — перечисляет адреса, которые атаковал прежде (от бабушки ушел, от дедушки ушел, от зайца ушел, от волка ушел). «Боевому» боту это было бы ни к чему — возможно, это какая-то отладочная информация, не убранная разработчиками. Иными словами, дополнительное подтверждение того, что код утек до релиза.

Возможно, если бы не утечка, бабка и дед создали бы целый ботнет таких колоботов и использовали их для распределенной атаки (DDoS) в целях наживы. В начале сказки упоминается отсутствие у авторов бота продуктов питания — видимо, таким образом сказители намекают на мотивацию их преступной деятельности.

К счастью, в конце концов бот натыкается на лису с включенной защитой от DoS-атак. Пока он раз за разом повторяет свой поток информации, система отфильтровывает шум, а операторы лисы вычисляют точный адрес бота и успешно ликвидируют угрозу.

Маша и три медведя

Эта сказка в подробностях рассказывает о расследовании киберинцидента. Начинается все с того, что в инфраструктуру, охраняемую тремя медведями, проникает зловред «Маша» и начинает там хозяйничать. К счастью, защитники вовремя замечают неладное и приступают к тщательному изучению инцидента. Сначала они замечают следы манипуляций со стульями и то, что самый маленький стул был и вовсе взломан, — налицо все признаки проникновения в систему.

Затем становится очевидным аномальный расход каши. Некоторые исследователи считают, что под «кашей» следует понимать кэш процессора, который «Маша» в каких-то своих хакерских целях скачала. Но данная версия не выдерживает никакой критики: в этом случае медведи вряд ли обнаружили бы недостачу. Скорее всего, тут не стоит искать созвучия, а под кашей, по всей видимости, подразумевается электроэнергия, которую «Маша» расходовала в целях майнинга.

Наконец, они вычисляют место, где может прятаться вредоносный код. Осмотрев две «кровати», на которых в качестве отвлекающего маневра «Маша» оставила следы пребывания, они наконец-то находят код зловреда. К сожалению, он успевает самоудалиться, и медведям не удается тщательно изучить его внутренности. Но по крайней мере угроза успешно ликвидирована.

Кстати, нигде не говорится, что медведи были не зелеными — возможно, эта сказка предвосхищает появление наших экспертов, занимающихся мониторингом и реагированием на киберинциденты.

Данные банковских карт — наверное, самый ценный вид улова для злоумышленника в Интернете. Но и заполучить эту информацию куда сложнее, чем, к примеру, телефон и электронный адрес. Чтобы заставить жертву выдать важные цифры, киберпреступники придумывают и разыгрывают сложные многоступенчатые сценарии, вовлекая пользователей во все более изощренные сюжеты. Правда, всегда с одинаковым финалом. В последнее время в моде схемы с возвратом НДС, несуществующими компенсациями за утечку данных и выплатами за локдаун. Сегодня мы представим вам еще один сюжет. В центре повествования — конвертация валюты.

Этап первый: письмо из Google

Потенциальная жертва получает письмо с темой «Последнее уведомление о закрытии счета». В тексте письма говорится, что на балансе получателя накопилось несколько сотен тысяч рублей — причем дополнительно уточняется, что это «реальные рубли», а не бонусные! Их нужно срочно вывести на карту, ведь совсем скоро аккаунт удалят, а накопленное сгорит «без восстановления баланса». Что это за аккаунт и за какие заслуги его владельцу начисляли деньги — в письме не уточняется.

«На Вашем балансе накопилось много реальных рублей. Скорее переходите по ссылке!» — призывает письмо

В адресе отправителя нет типичной для мошеннического спама абракадабры: сообщение пришло от одного из сервисов Google. Это же помогает ему обходить спам-фильтры. Как же злоумышленникам удался такой ход?

Для этого они использовали лазейку в одном из легитимных сервисов Google — в данном случае Google Формы. Этот онлайн-инструмент помогает создавать анкеты для сбора данных, онлайн-тестирования и голосований. Составить такую анкету может каждый — достаточно иметь почтовый ящик на Gmail. Среди прочего, создатель опроса может настроить его так, чтобы каждый респондент получал «на память» копию вопросов и своих ответов электронным письмом.

Вот этой функцией и пользуются преступники. Сначала они создают опрос, а потом проходят его, подставляя в качестве контактных данных адреса потенциальных жертв (например, перебирая поочередно адреса из свежих утечек). Текст итогового письма они делят между вопросом и ответом, чтобы в конечном итоге те оказались рядом и пользователь принял их за текст уведомления.

А что в письме?

В тексте письма пользователю предлагают перейти по ссылке в личный кабинет, чтобы забрать те самые накопленные «реальные рубли». Ссылка, в отличие от адреса отправителя, выглядит подозрительно даже на первый взгляд — это случайный набор букв и цифр. Любая организация, уважающая себя и посетителей своего сайта, обычно делает его адрес осмысленным и читаемым.

В нижней части сообщения — таинственные цифры: ЕСПП (номер транзакции в Единой системе приема платежей), номер операции, код авторизации, ИНН. Такие данные обычно подтверждают совершение платежа — их часто можно увидеть на чеке или в справке из онлайн-банка, — но никак не в уведомлении о закрытии счета. Этот блок злоумышленники добавили с единственной целью — создать у жертвы впечатление легитимности происходящего.

Этап второй: ценный приз

Ссылка из письма через цепочку переадресаций ведет на страницу, где пользователю внезапно предлагают поучаствовать в розыгрыше призов. А как же личный кабинет и деньги, которые надо срочно вывести на карту? Забудьте. Больше злоумышленники к этой легенде не возвращаются.

По адресу сайта невозможно определить, что за организация устраивает конкурс, — это снова бессмысленный набор символов. На самой странице жертву просят ввести свое имя, а затем выбрать коробочку. Если коробочка окажется «правильной», пользователь получит приз. На все про все дается три попытки.

Страница с «розыгрышем призов»

Первые две коробки оказываются пустыми, зато в третьей — какой сюрприз! — лежат деньги. Осталось нажать на яркую зеленую кнопку и забрать свои честно выигранные 3060 долларов.

Пользователь «выигрывает» 3060 долларов

Специально для тех, кто сомневается, не развод ли это, на той же странице размещен «живой» чат счастливчиков, которые якобы уже получили призы. Правда, на сообщения никто из них не отвечает.

Имитация оживленной переписки счастливчиков в чате

Этап третий: неверная валюта зачисления

Нажав на кнопку «Забрать выигрыш», жертва попадает в чат с неким «оператором». Судя по всему, это бот, но его реплики довольно достоверно имитируют человека. Перед тем как вывести средства на кошелек или карту, «оператор» просит нажать на кнопку «Я даю свое согласие на получение выигрыша!».

Чат с «оператором» получился у мошенников довольно живым

Теперь кажется, что дело за малым: заполнить реквизиты карты или счета и идти тратить неожиданно свалившиеся на голову деньги. Тем более, что страница всеми силами пытается выглядеть надежно — значки международных платежных систем есть, CVV не требуют, да и данные якобы защищены технологией Protect.

На этом этапе нужны лишь номер банковской карты и e-mail

Однако получить деньги внезапно не удается: банк получателя отклонил операцию, потому что «не смог произвести зачисление в долларах США».

Операция отклонена. Код 409: неверная валюта зачисления

Мошенники тут же любезно предлагают решить эту проблему. Конвертировать приз в рубли можно прямо здесь, не отходя от кассы. Стоимость процедуры смешная по сравнению с выигранными тысячами долларов — всего лишь 346 рублей. К тому же и эту сумму обещают вернуть в течение суток.

Операция также якобы поможет провести некую «верификацию личности» и «определение реквизитов» для вывода средств. Для первой — неудавшейся — транзакции никакая верификация, кстати, не требовалась.

Конвертация валюты на мошенническом сайте

Этап четвертый: время заплатить

Допустим, жертва нажимает на кнопку. Тогда и происходит то, ради чего все затевалось: открывается форма для ввода платежной информации — теперь уже всей, вплоть до секретного кода на обратной стороне карты.

Преступники просят ввести полные данные карты

Страница ввода данных карты представляется платежной системой FastPayment и настаивает на своей защищенности: для этого тут и два значка с обещанием безопасной оплаты, и солидное упоминание сертификата PCI DSS 2.0. К сожалению, красивые значки и надписи типа «у нас 100% без обмана» на форму ввода платежных данных может поместить кто угодно — они вовсе не означают, что страница безопасна.

Так или иначе, если жертва все же заполнит форму, то никаких призовых денег на счету, разумеется, не появится. И хорошо, если дело закончится всего лишь списанием 346 рублей — поскольку все данные карты уже попали в руки злоумышленником, потери могут быть существенно больше.

Как не попасться на обман

К сожалению, внезапные выплаты и розыгрыши призов в Интернете — это почти всегда обман. Чтобы не стать его жертвой, с мечтой о бесплатном сыре лучше попрощаться. А базовые правила безопасности в Сети помогут определить мошенническое письмо, вне зависимости от того, какой сюжет выдумают преступники в следующий раз.

• Не доверяйте письмам, в которых вам обещают дорогие призы, баснословные суммы и крупные переводы.
• Не переходите по ссылкам в электронных письмах, особенно от неизвестных или подозрительных отправителей. Лучше самостоятельно найдите в Интернете официальный сайт компании, от которой пришло сообщение. А еще лучше ввести адрес вручную — конечно, если вы его уже знаете.
• Обращайте внимание на ошибки и несоответствия в адресах электронной почты и сайтов, их дизайне, в названиях организаций и так далее. Необычный домен, многочисленные опечатки в текстах, странные формулировки или внезапная смена темы с «накопленной на счету суммы» на «розыгрыш призов» — верные признаки мошенничества.
• Не вводите личные данные, и в особенности реквизиты банковских карт, на сайтах, которые вызвали даже малейшее подозрение.
• Используйте надежный антивирус, с защитой от онлайн-мошенничества и фишинга, который вовремя предупредит об опасности и не даст перейти на опасный сайт.
• А чтобы защититься от телефонных мошенников и голосового спама, используйте специальное приложение — например, Kaspersky Who Calls, которое доступно как для Android, так и для iOS.