Один из ведущих программистов Google Адам Лэнгли (Adam Langley) сравнил проверку по списку аннулированных SSL-сертификатов с допотопными и устаревшими технологиями защиты, как ремни безопасности в автомобилях. Ремень работает 99% времени, а именно — когда он не нужен. В случае реального ДТП он просто рвётся.

Так же и с сертификатами. На самом деле эта проверка совершенно не гарантирует пользователю защиту сайта от подмены, зато отнимает у браузера большое количество времени и тормозит установку соединения.

Когда браузер устанавливает соединение с сайтом по HTTPS, он принимает подписанный сертификат, который должен свидетельствовать, что данный домен действительно тот, за кого себя выдаёт. Эти сертификаты содержат ссылку на сервис, который находится под управлением центров сертификации (Certificate Authorities, CA) и даёт браузеру актуальную информацию.

Все основные десктопные браузеры ... Читать дальше »

В декабре 2010 года, рассказывая о работе песочницы Flash Player в Google Chrome, компания Adobe обещала реализовать аналогичную технологию и в других браузерах.

Весь 2011 год компания напряжённо занималась разработкой технологий в области безопасности. И вчера наконец-то показала результат и выполнила обещание, сделанное год назад: вышла бета-версия Flash Player с поддержкой защищённого режима в браузере Firefox. Разработчики пишут в официальном блоге, что этот режим спроектирован точно так же, как песочница Adobe Reader X и следует рекомендациям Microsoft ... Читать дальше »

После взлома DreamHost и кражи паролей пользователей, о чём сообщалось две недели назад, пострадали многие веб-сайты на этом хостинге. Антивирусная компания Zscaler обнаружила десятки PHP-страниц, которые осуществляют редирект на сайт hxxp://www.otvetvam.com и другие вредоносные сайты с контентом на русском языке.

Вот список страниц, многие из них до сих пор существуют.

http://www.lciva.com/wp-content/plugins/extended-comment-options/gyrewnv.php

http://honorboundphoto.net/photos/10007-mankato_habitat_for_humanity_golf_tournament/agtruje.php

http://ryanmasters.ca/wp-content/gallery/our-kingdom/thumbs/tyiueg.php

http://treatmentofpanicattacks.com/wp-content/cache/supercache/www.treatmentofpanicattacks.com/category/anxiety-support/polzin.php

http://r4theband.co.uk/content/wp-conten
		
		... 
		
			Читать дальше »
		

Компания Symantec сообщила об обнаружении трояна под Android, который использует технику «серверного полиморфизма» — она раньше наблюдалась во вредоносных программах под Windows. Данная техника означает, что при каждом скачивании генерируется уникальная версия файла — это помогает укрыться от антивирусного срабатывания при поиске по сигнатурам. Компания Symantec присвоила всем вариантам новой вредоносной программы название Android.Opfake. Программа распространяется с российских сайтов под видом различных популярных Android-программ (в частности, Opera Mini 6.5), а после заражения предлагает пользователю отправить SMS на различные платные номера.

Пока что вредоносная программа обнаружена только на российских сайтах, но она умеет отправлять платные SMS не только на российские номера, а также на номера операторов стран СНГ, стран Европы, а также Австралии, Израиля и Тайв ... Читать дальше »

2 февраля в Канкуне (Мексика) началась конференция по безопасности Kaspersky Security Analyst Summit 2012, где с интересным докладом выступил Брэд Аркин (Brad Arkin), директор отдела безопасности по продуктам и сервисам компании Adobe. Его доклад был посвящён новым стратегиям в информационной безопасности. Как известно, программы Adobe находятся в числе лидеров по количеству уязвимостей, так что Брэд Аркин как никто другой знаком с предметом дискуссии.

Главный тезис cпециалиста из компании Adobe — в том, что вместо поиска новых уязвимостей и закрытия дыр разработчики продуктов должны сконцентрироваться на «оборонных стратегиях». То есть нужно стараться сделать так, чтобы себестоимость создания эксплоитов была непомерно высокой и э ... Читать дальше »

Время анархии в Android Market закончилось. Отныне все приложения будут автоматически сканироваться на содержание вредоносного кода.

Компания Google объявила о подключении к Android Market нового сервиса под кодовым названием Bouncer. Он будет проводить анализ новых и существующих приложений, а также аккаунтов разработчиков.

Вот каков его механизм работы. Как только в Android Market поступает новое приложение, сервис автоматически проверяет его на все известные виды вредоносного ПО, а также на функционал, который может указывать на вредоносную сущность. Каждое приложение будут сравнивать с прежними программами, в том числе помеченными как вредоносные, запускать на инфраструктуре Google и эмулировать его работу на устройстве Android.

Вдобавок, будут проверять аккаунты всех новых разработчиков, чтобы предотвратить возвращение тех, кто уже замечен в распространении вирусов.< ... Читать дальше »

Один из оплотов сетевой инфраструктуры VeriSign признал, что в 2010 году в корпоративную сеть неоднократно проникали неизвестные. Весьма неожиданно услышать подобное признание, особенно через два года после факта взломов. Компания объясняет такую медлительность тем, что высшее руководство якобы было уведомлено об инциденте только в сентябре 2011 года. Уже теперь, согласно требованиям отчётности Комиссии по ценным бумагам США, компания VeriSign, как и положено, сообщила о факте взлома в очередном квартальном отчёте.

Между прочим, в дата-центре VeriSign размещаются два из 13-ти корневых серверов DNS — это так, для лучшего понимания ситуации. Кроме того, во время инцидентов, компания являлась Удостоверяющим центром (Certification authority). В августе 2010 года этот бизнес был продан Symantec за $1,28 млрд. Вдобавок, VeriSign является управляющей компанией (authoritat ... Читать дальше »

Авторы вредоносных программ атакуют не только простых обывателей, но и птиц высокого полёта: сотрудников научных и государственных учреждений США. Такой вывод можно сделать из совместного отчёта Zscaler и Seculert (PDF). Эти две компании независимо друг от друга зафиксировали ряд инцидентов с попытками распространения программы, которую назвали MSUpdater.

MSUpdater представляет собой инструмент класса RAT — средство удалённого администрирования, которое пытались установить злоумышленники. Подобные инциденты начали регистрировать в 2009 году, и они продолжаются до сих пор.

Чтобы установить MSUpdater на компьютер жертвы, злоумышленники рассылают по электронной почте PDF-файл. В документе содержится приглашение посетить научную конференцию. Тематика конференции отличается, в зависимости от специализации жертвы: инженерная конференция IEEE, форум по мирному развитию Ирака, конферен ... Читать дальше »

Ботнет Kelihos, который разработчики из «Лаборатории Касперского» и Microsoft ликвидировали прошлой осенью, перекрыв контрольный канал, снова живее всех живых. По сравнению с его прошлой «инкарнацией», единственные изменения были внесены только в сам вредоносный код и список контроллера. Воскрешение ботнета наглядно демонстрирует сложность борьбы с подобными вредоносными сетями и укрепляет вирусописателей, что они могут жить неограниченно долго.

В конце сентября разработчики из «Лаборатории Касперского» и Microsoft вместе вели работу по созданию инструмента, противостоящего Kelihos, который использовал метод синкхолинга (sinkholing). Суть метода заключается в перенаправлении командного трафика троянов с C&C-сервера на собственный сервер аналитиков.

В данном случае боты, находящиеся на заражённых компь ... Читать дальше »

Технический директор американской компании Trusteer рассказал о новой конфигурации Ice X (троян на базе исходников ZeuS v2), которая не только ворует конфиденциальные данные пользователей в формах онлайн-банкинга, но и позволяет впоследствии перенаправлять или блокировать телефонные вызовы, которые идут на городской телефонный номер пользователя.

Чтобы поставить перенаправление на городской телефонный номер, злоумышленникам нужен номер контракта пользователя — приватная информация, которая обычно не хранится в цифровом виде. Поэтому при попытке авторизации в онлайн-банкинге троян Ice IX направляет пользователя на поддельную страницу для «обновления информации о телефонных номерах», и там просит ввести номер контракта.

В данном случае такое поведение т ... Читать дальше »

По какой-то причине командные серы ботнетов на базе Zeus уходят с доменов .RU на домены .SU. По статистике сайта Zeus Tracker, несколько «худших» командных серверов Zeus C&C с самым большим аптаймом уже размещаются на доменах .SU.

По мнению специалистов по безопасности, это может быть связано с тем, что злоумышленники больше не чувствуют себя в безопасности в доменной зоне .RU. Раньше иностранным организациям и антивирусным компаниям было трудно добиться закрытия домена в зоне .RU, вероятно, сейчас ситуация начинает меняться. С другой стороны, доменная зона .SU, которая находится под управлением RIPN, до сих пор является активной, хотя и принадлежит несуществующему государству СССР.

Впрочем, пока рано дело далеко идущие выводы. Возможно, переезд нескольких серверов C&C в зону .SU — это прост ... Читать дальше »

На протяжении последнего времени троян Sykipot неоднократно атаковал компьютеры различных компаний, большинство из которых принадлежало к оборонной промышленности. Основная цель трояна — похищение интеллектуальной собственности (чертежи, бизнес-планы, техническая документация) и передача на удалённый сервер. Для проникновения на компьютеры пользователей троян использует уязвимости нулевого дня — в частности, 1 декабря была проведена масштабная атака, использующая такую уязвимость в Adobe Reader и Acrobat.

Каждой атаке Sykipot присваивался уникальный цифровой код, состоящий из нескольких букв и даты нападения, который записывался в тело самого трояна. В некоторых случаях ключевое слово, предшествующее цифрам, представляло собой название папки поддомена использующего ее сервера. Компании Symantec удалось добыть список та ... Читать дальше »