Механизм WPS уже несколько лет служит популярным способом для быстрого подключения новых клиентских устройств в домашних и публичных беспроводных сетях. На данный момент большинство беспроводных роутеров для домашнего использования и небольших офисов уже поддерживают механизм WPS, хотя часто он включается лишь по отдельному запросу пользователя. Вместо относительно сложной настройки механизма авторизации WPA и ввода одной кодовой фразы (пароля) в протоколе WPS достаточно однократно ввести короткий ПИН-код доступа, иногда одноразовый. Тем не менее, такая простота и удобство в итоге оказались связаны с серьезными проблемами в части безопасности.

Вот как описывают уязвимость эксперты US-CERT: когда авторизация с помощью ПИН-кода завершается неудачно (пользователь вводит наугад любой заведомо код), точка доступа или роутер отправляет этому пользователю сообщение, известное под названием EAP-NACK. Все дело в том, что отправка сообщений EAP-NACK выполняется таким образом, что взломщик может проверить правильность первой части ПИН-кода. Кроме того, можно узнать последнюю цифру ПИН-кода – она является контрольной суммой кода. Такая конструкция механизма сильно снижает число попыток, необходимых для вычислений кода путем простого перебора. По данным US CERT, максимальное число попыток, необходимых для подбора ПИН-кода составляет всего 11 тысяч.

В предупреждении US-CERT перечислены конкретные марки роутеров, подверженных описанной уязвимости. Среди пострадавших производителей есть такие известные имена, как Buffalo, D-Link, Cisco Linksys, Netgear, Technicolor, TP-Link и ZyXEL – практически все популярные марки оборудования. Как говорится в заявлении US-CERT, пока нет известных способов обойти найденную уязвимость. Вместо исправления ситуации эксперты предлагают просто отключить функцию WPS в роутерах во всех системах, где это возможно.

Волна атак и контратак была спровоцирована недавним нападением на израильский спортивный сайт ONE, в результате которой оказались скомпрометированы персональные данные тысяч израильтян. Ответственность за взлом коммерческого веб-ресурса взял на себя арабский хакер OxOmar, член группировки Group-XP. По заявлению кибер-террориста, «в заложниках» у него оказались номера кредитных карт и другая персональная информация о сотнях тысяч клиентов.

Ответ со стороны израильских хакеров последовал незамедлительно. Один из членов хакерского сообщества сообщил, что располагает номерами кредиток и адресами электронной почты 50 тысяч жителей Саудовской Аравии. Представители группы, называющей себя «силами обороны Израиля» пообещали, что в ответ на арабскую агрессию будут атакованы сайты трех банков в Арабских Эмиратах, двух правительственных сайтов, а также сайты авиакомпании Saudi Airlines и одного из аэропортов. Нападение было назначено на сегодняшний день, однако, к полудню из строя было выведено лишь несколько намеченных целей, включая сайт sama.gov.sa. Остальные ресурсы пока еще доступны.

OxOmar потребовал немедленного прекращения атак и пообещал ежедневно выкладывать в общий доступ персональные данные двух сотен израильтян, если его требования не будут выполнены. Хакер также призвал своих земляков и соратников объединяться против общего врага.

По словам экспертов, методы ведения кибервойны, к которым прибегают обе стороны, нельзя назвать экзотичными. По сути, озвученные боевые действия представляют собой самые обыкновенные DDoS-атаки, ежедневно регистрируемые в Израиле и в других странах мира. Единственным отличием военных операций в кибер-пространстве от повседневных хакерских атак является их открытость. Если организаторы и исполнители обычных нападений (чаще всего продиктованных коммерческими интересами) предпочитают оставаться в тени, то патриотично настроенные хакеры во всеуслышание заявляют о своих победах.

В период своей пиковой активности DNS Changer одновременно присутствовал на четырех миллионах систем на базе Windows и Mac OS (примерно четверть компьютеров зарегистрированы на территории США). По этой причине вирус привлек к себе пристальное внимание правоохранительных органов и спецслужб. Кульминацией двухлетнего расследования стала операция «Ghost Click», в рамках которой были задержаны шестеро граждан Эстонии. Агенты ФБР также взяли под свой контроль более сотни серверов в американских дата-центрах, используемых для координирования работы инфицированных систем.

Представители компании Internet Identity (IID), известного поставщика защитных сервисов для крупных корпоративных клиентов и госучреждений, поделились информацией о масштабах угрозы. Ссылаясь на результаты собственного исследования и данные от сторонних компаний, эксперты из IID утверждают, что в начале этого года зараженными оставались как минимум 250 компаний из списка Fortune 500, а также 27 из 55 правительственных агентств. Под заражением эксперты подразумевают наличие на предприятии по меньшей мере одного компьютера или маршрутизатора, на котором установлено приложение DNS Changer.

Специалисты утверждают, что даже «обезглавленный» вирус представляет собой серьезную опасность. Вредоносное приложение оснащено механизмами самозащиты, которые блокируют обновление установленных программ и отменяют установку антивирусов. Таким образом, скомпрометированные компьютеры могут оказаться уязвимыми для других угроз.

_http://www.sudo.ws/su...udo_debug.html

Механизмы проникновения троянца BackDoor.Webcam.9 пока выявляются, но уже хорошо известен механизм заражения компьютера. Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троянец проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере, включая его IP-адрес, тип учетной записи пользователя, количество подключенных к системе веб-камер, имя компьютера и версию ОС, а затем ожидает поступления новых команд.

Кроме того, BackDoor.Webcam.9 создает в системной временной папке несколько вспомогательных файлов, используемых им в процессе работы. Все они имеют имена, начинающиеся с rundll_.*, и хранятся во временном каталоге ОС Windows.

Троянец способен выполнять поступающие от удаленного сервера команды, в частности, команду перезапуска самого себя, смены управляющего сервера, создания снимка экрана. Кроме того, троянец способен перехватывать и передавать злоумышленникам изображение, полученное с подключенной к инфицированному компьютеру веб-камеры.

BackDoor.Webcam.9 представляет существенную опасность для пользователей, так как их личная жизнь может быть скомпрометирована.

Сигнатура этой угрозы добавлена в вирусные базы Dr.Web.

Как написано в отчете генерального инспектора НАСА для Конгресса США, вторжение производилось с машин, использующих IP-адреса из официально выделенных Китаю диапазонов. В результате проникновения были скомпрометированы учетные записи «самых привилегированных пользователей JPL», что открыло «полный доступ к ключевым системам» лаборатории. Сейчас расследование взлома еще продолжается, но уже сейчас существует огромная вероятность того, что преступники могли изменить критически важные файлы, модифицировать или удалить учетные записи сотрудников в важнейших системах JPL, а также изменить содержание системных журналов, чтобы скрыть какие-либо из своих действий. Как гласит отчет, «нападающие имели полный функциональный контроль над этими сетями».

К сожалению, это не единственный взлом, с которым пришлось столкнуться американскому космическому агентству. В 2010 и 2011 годах агентство зафиксировало 5 408 инцидентов, связанных с компьютерной безопасностью. Были обнаружены такие несанкционированные действия, как установка вирусов, кража подпадающей под экспортные ограничения информации и похищение других секретных данных. За два года проблемы с безопасностью обошлись НАСА более чем в 7 млн. долл. По выводам проверяющих, некоторые из этих вторжений были инициированы «зарубежными разведками».

Один из таких случаев произошел в марте 2011 года, когда был украден незашифрованный ноутбук одного из сотрудников НАСА, привел к утечке алгоритмов, используемых для управления и контроля МКС (Международной космической станции). В результате одной из самых успешных атак было похищено более 150 учетных записей сотрудников НАСА, которые могли использоваться для дальнейшего доступа к системам.

На данный момент агентство НАСА эксплуатирует более 550 информационных систем, которые контролируют космические аппараты, собирают и обрабатывают научные данные, а также обеспечивают сотрудничество персонала НАСА со своими коллегами по всему миру. Только на ИТ-безопасность НАСА тратит около 58 млн. долл. в год. Утечка или повреждение данных в этих системах влекут за собой серьезные риски, причем не только финансовые, но и угрозы национальной безопасности США. Авторы отчета отмечают, что еще серьезнее выглядит угроза намеренного причинения вреда этим системам — их выход из строя может полностью нарушить работу космической программы США.

Полный текст сенсационного отчета

Необычный принцип действия нового вируса, получившего обозначение Trojan-Spy.Win32.Lurk по классификации Касперского, позволяет ему заражать не только Windows-машины, но и системы на базе Mac OS X, которые до сих пор считались почти неприступными для такого рода угроз. Более того, как только вирус оказывается внутри машины, традиционным антивирусам очень сложно обнаружить его, поскольку он скрывается внутри вполне легального процесса из состава технологии Java.

После заражения вирус Trojan-Spy.Win32.Lurk пытается атаковать механизм контроля прав учетных записей UAC (User Account Control) в системе Windows. При успешной атаке вирус устанавливает на машину «троянский» модуль Lurk и соединяется с контролирующим ботнетом, превращая машину в «зомби». Именно установка «троянца» является главной задачей нового вируса, поскольку работа только в оперативной памяти, без установки файлов на машину, длится только до перезагрузки машины, когда оперативная память полностью очищается.

«Чудесные» способности нового вируса опираются на уже известную уязвимость в самой технологии Java под кодом CVE-2011-3544. Компания Oracle, которой сейчас принадлежат права на Java, давно исправила эту уязвимость, однако до сих пор встречаются компьютеры без нужного исправления. Еще один фактор, немного смягчающий опасность, заключается в том, что этот вирус, по данным Касперского, встречается исключительно на русскоязычных сайтах, где загружается вместе с навязчивой рекламой. На данный момент оператор рекламной службы уже получил уведомление и блокировал вредоносный код в своей ротации.

Несмотря на принятые меры, специалисты предупреждают, что аналогичные приемы могут быть использованы в других вирусах против других людей в других странах мира. Конечно, в других атаках могут использовать другие разновидности вируса, а не только уже идентифицированный Trojan-Spy.Win32.Lurk.